Sie können sich vor Identitätsdiebstahl schützen, indem Sie Ihre Sozialversicherungsnummer und andere sensible Dokumente schützen, Ihre Kreditauskünfte regelmäßig überprüfen, ein Darknet-Überwachungstool verwenden und ni...
Aktualisiert am 1. November 2023.
Social Engineering ist eine psychologische Manipulationstechnik, die von Bedrohungsakteuren eingesetzt wird, um andere dazu zu bringen, Dinge zu tun oder private Informationen preiszugeben. Social Engineering kann online oder persönlich erfolgen. Zwischen 70 % und 90 % der Datenschutzverletzungen betreffen Social Engineering, was sie zu einer der größten Cybersicherheitsbedrohungen sowohl für Organisationen als auch für Einzelpersonen macht.
Lesen Sie weiter, um zu erfahren, wie Social-Engineering-Angriffe auftreten, verschiedene Arten von Social-Engineering-Angriffen und wie Sie sich vor ihnen schützen können.
Wie treten Social-Engineering-Angriffe auf?
Um sich auf einen Social-Engineering-Angriff vorzubereiten, sehen sich Bedrohungsakteure zunächst ihr Ziel an, um Hintergrunddetails wie wahrscheinliche Ausbeutungspunkte wie schlechte Cybersicherheitspraktiken zu erfahren. Der Bedrohungsakteur gibt dann vor, jemand zu sein, der er nicht ist, um das Vertrauen des Opfers zu gewinnen, sodass das Opfer mit höherer Wahrscheinlichkeit vertrauliche Informationen preisgibt oder dem Bedrohungsakteur Zugriff auf interne Systeme gewährt.
Es ist wichtig, zu verstehen, dass Social Engineering auch persönlich erfolgen kann. Persönliche Social-Engineering-Angriffe treten oft von Bedrohungsakteuren auf, die sich als jemand wie eine Wartungsperson oder eine Zustellperson ausgeben, damit sie in ein Gebäude gelangen kann, in das sie sonst keinen Zugang hat. Sobald ein Bedrohungsakteur Zugriff auf das Gebäude erhalten hat, versucht er, Systeme zu verletzen, damit er vertrauliche Informationen stehlen und sie für bösartige Zwecke verwenden kann.
Arten von Social-Engineering-Angriffen
Hier sind sieben Arten von Social-Engineering-Angriffen.
Phishing
Phishing ist die häufigste Art von Social-Engineering-Angriffen. Bei einem Phishing-Angriff locken Cyberkriminelle ihre Opfer zur freiwilligen Offenlegung sensibler Informationen, indem sie sich als jemand ausgeben, den das Opfer kennt, oder als ein Unternehmen, bei dem das Opfer ein Konto oder einen Service hat. Meistens werden Phishing-Angriffe über E-Mails gesendet.
Diese E-Mails können bösartige Links und Anhänge enthalten und das Opfer auffordern, darauf zu klicken. Ein Klick auf einen bösartigen Link oder einen Anhang kann das Gerät eines Opfers sofort mit Malware infizieren oder das Opfer auf eine gefälschte Website bringen, die legitim aussieht. Gefälschte Websites sind darauf ausgelegt, sensible Informationen wie Anmeldeinformationen und Kreditkartennummern zu stehlen.
Smishing und Vishing
Smishing, auch bekannt als SMS-Phishing, ist eine Art von Phishing-Angriff, der über Textnachrichten statt E-Mails erfolgt. Diese Nachrichten enthalten häufig Angebote für kostenlose Waren oder zeitkritische Warnungen, die Bankgeschäfte oder andere sensible Informationen betrifft. Das Hauptziel eines Smishing-Angriffs besteht darin, Opfer dazu zu bringen, auf einen bösartigen Link zu klicken, um ihre sensiblen Informationen zu stehlen.
Vishing ist eine weitere Art von Phishing-Angriff, erfolgt jedoch über einen Telefonanruf und nicht über Textnachrichten oder E-Mails. Diese Art von Phishing-Angriff ist tendenziell überzeugender, da am anderen Ende normalerweise eine andere Person spricht. Das Hauptziel von Vishing besteht darin, das Opfer dazu zu bringen, sensible Informationen preiszugeben, die der Bedrohungsakteur für bösartige Zwecke verwenden kann. Vishing ist schwieriger zu erkennen, da Bedrohungsakteure jetzt künstliche Intelligenz (KI) nutzen, um die Stimmen von Menschen nachzuahmen, die Opfer kennen.
Piggybacking und Tailgating
Piggybacking liegt vor, wenn Bedrohungsakteure versuchen, sich Zugriff auf ein Netzwerk, System oder physisches Gebäude zu verschaffen, um sensible Informationen zu kompromittieren. Mit Piggybacking können Bedrohungsakteure Zugriff auf ein Netzwerk oder System erhalten, indem sie ungesichertes WLAN verwenden. Um mit Piggybacking Zugriff auf ein physisches Gebäude zu erhalten, verlassen sich Bedrohungsakteure auf die Freundlichkeit der Mitarbeiter, die die Tür für sie öffnen oder sie angelehnt lassen.
Piggybacking und Tailgating sind ziemlich ähnlich, außer dass Tailgating der Fall ist, wenn Bedrohungsakteure Zugriff auf ein physisches Gebäude erhalten, ohne dass andere Menschen es wissen oder bemerken. Bedrohungsakteure können in eine Tür hineinschlupfen, gerade wenn sie sich schließt. Da niemand weiß, wie er es in das Gebäude geschafft hat, sehen sieht er aus, als wäre er autorisiert, dort zu sein.
Pretexting
Pretexting liegt vor, wenn ein Bedrohungsakteur versucht, ein Opfer davon zu überzeugen, sensible Informationen preiszugeben oder ihm Geld zu senden, indem er eine überzeugende Geschichte erfindet. Der Bedrohungsakteur gibt in der Regel vor, jemand wie ein Freund, Familienmitglied, Kollege oder Chef zu sein, sodass das Opfer eher dazu verleitet wird, ihm sensible Informationen zur Verfügung zu stellen. Pretexting-Angriffe können durch Telefonanrufe, Textnachrichten, E-Mails oder persönlich erfolgen.
CEO-Betrug
CEO-Betrug liegt vor, wenn ein Bedrohungsakteur vorgibt, der CEO eines Unternehmens zu sein, um Mitarbeiter dazu zu bringen, ihm sensible Informationen zur Verfügung zu stellen oder Geld zu senden, oft in Form von Geschenkkarten. Um einen CEO-Betrugsangriff durchzuführen, senden Bedrohungsakteure in der Regel mehrere Nachrichten oder E-Mails an ihr Opfer, bevor sie ihre Anfrage stellen. Dies hilft ihnen, glaubwürdiger zu wirken, und gibt ihnen Zeit, das Vertrauen des Opfers zu gewinnen.
Scareware
Scareware liegt vor, wenn Bedrohungsakteure psychologische Manipulationen verwenden, um Opfer dazu zu bringen, etwas herunterzuladen, was ihrer Meinung nach Antivirensoftware ist, aber tatsächlich Malware ist. Malware ist eine bösartige Software, die von Bedrohungsakteuren verwendet wird, um sensible Informationen zu stehlen, indem sie Benutzer ausspioniert oder ihre Tastenanschläge verfolgt.
Diese Art von Social-Engineering-Angriff wird am häufigsten durchgeführt, indem zufällige Pop-ups auf dem Gerät des Opfers angezeigt werden, die sagen, dass sein Gerät mit einem Virus infiziert ist. In der Nachricht wird außerdem angegeben, dass das Opfer zur Entfernung des Virus sofort Antivirensoftware herunterladen muss. Wenn das Opfer auf das Pop-up klickt, lädt es automatisch einen tatsächlichen Virus oder Malware auf sein Gerät herunter. Sobald der Download abgeschlossen ist, kann die Malware sensible Informationen an den Bedrohungsakteur senden, damit er sie verwenden kann, um die Identität des Opfers zu stehlen und seine Online-Konten zu kompromittieren.
Liebesbetrug
Romantikbetrug liegt vor, wenn Bedrohungsakteure vorgeben, das potenzielle Liebesinteresse eines Opfers zu sein. Bedrohungsakteure verwenden oft die Identität einer anderen Person, wenn sie einen Romantikbetrug durchführen, der auch als Catfishing ihres Opfers bekannt ist. Wenn ein Bedrohungsakteur ein Opfer dazu bringt, auf einen Romantikbetrug hereinzufallen, manipuliert er es, um Geld zu senden oder ihm persönliche Informationen zu liefern, die er verwenden kann, um die Identität des Opfers zu stehlen oder seine Konten zu kompromittieren.
Wenn ein Opfer dem Bedrohungsakteur Geld sendet, kann er weiterhin nach mehr Geld fragen oder das Opfer nicht mehr kontaktieren, sobald er das erhalten hat, was er will.
So schützen Sie sich vor Social Engineering
Um sich vor Social Engineering zu schützen, müssen Sie Ihren digitalen Fußabdruck bereinigen, mit Ihrer Sicherheit sowohl online als auch persönlich vorsichtig sein, Ihre Konten mit starken Passwörtern und Multifaktor-Authentifizierung (MFA) schützen und eine übermäßige Weitergabe persönlicher Informationen vermeiden.
Bereinigung Ihres digitalen Fußabdrucks
Ihr digitaler Fußabdruck besteht aus den Spuren von Daten, die Sie im Internet hinterlassen. Es gibt zwei Hauptarten von digitalen Fußabdrücken: passiver und aktiver Fußabdruck. Ihr passiver Fußabdruck besteht aus den Daten, die Websites im Hintergrund über Sie sammeln, wie Browserverlauf, Einkaufsverlauf und Cookies. Ihr aktiver digitaler Fußabdruck sind die Daten, die Sie wissentlich im Internet posten, wie Social-Media-Beiträge und öffentliche Bewertungen.
Es ist wichtig, Ihren digitalen Fußabdruck zu bereinigen, denn je mehr Daten über Sie online vorliegen, desto einfacher ist es für Bedrohungsakteure, Sie mit Social-Engineering-Angriffen ins Visier zu nehmen. Hier sind vier Möglichkeiten, Ihren digitalen Fußabdruck zu bereinigen.
- Entfernen Sie Ihre Informationen von Personensuchwebsites
- Vermeiden Sie zu viel Teilen in sozialen Medien
- Machen Sie Ihre Social-Media-Profile privat
- Löschen und deaktivieren Sie Online-Konten, die Sie nicht mehr verwenden
Seien Sie vorsichtig mit Ihrer Sicherheit online und persönlich
Da Social-Engineering-Angriffe persönlich oder online stattfinden können, ist es wichtig, vorsichtig zu sein, an wen Sie persönliche Informationen weitergeben und wen Sie in ein Gebäude lassen. Wenn Sie jemand sind, der vom Büro Ihres Unternehmens aus arbeitet, lassen Sie nicht einfach jemanden herein, und seien Sie vorsichtig, wenn jemand Sie tailgiert, da er sich leicht in das Gebäude schleichen könnte.
Schützen Sie Ihre Online-Konten
Wenn Sie auf einen Social-Engineering-Angriff hereinfallen, ist es wichtig, dass Sie bereits Sicherheitsmaßnahmen zum Schutz Ihrer Online-Konten haben. Dies beinhaltet die Aktivierung starker Passwörter und Multifaktor-Authentifizierung für Konten, bei denen dies eine Option ist.
Anstatt sich beim Erstellen Ihrer Passwörter auf sich selbst zu verlassen, verwenden Sie einen Passwortgenerator oder melden Sie sich für ein Password Manager-Konto an. Password Manager helfen Benutzern bei der Erstellung, Verwaltung und sicheren Speicherung von Passwörtern, damit sie sich nicht alle selbst merken müssen. Neben starken Passwörtern ist es genauso wichtig, MFA zu aktivieren.
MFA ist eine Sicherheitsmaßnahme, die neben Ihrem Benutzernamen und Passwort eine oder mehrere Authentifizierungsebenen erfordert, um sich erfolgreich bei einem Konto anzumelden. Selbst wenn ein Bedrohungsakteur Ihren Benutzernamen und Ihr Passwort durch einen Social-Engineering-Angriff erhalten könnte, wäre er ohne den zusätzlichen Authentifizierungsfaktor nicht in der Lage, Ihr Konto zu kompromittieren.
Vermeiden Sie eine übermäßige Weitergabe persönlicher Informationen
Wie oben erwähnt, müssen Sie vermeiden, dass Sie zu viele persönliche Informationen online teilen, um Ihren digitalen Fußabdruck sauber zu halten. Aber es ist auch wichtig, dass Sie mit den Informationen, die Sie persönlich mit Menschen teilen, vorsichtig sind. Sie wissen nie, was die Absichten einer Person sein könnten. Daher ist es besser, sicher zu sein und Ihre persönlichen Informationen für sich zu bewahren und nur mit Menschen zu teilen, von denen Sie wissen, dass Sie ihnen vertrauen können.
So schützen Sie Ihr Unternehmen vor Social Engineering
Um Ihr Unternehmen vor Social-Engineering-Angriffen zu schützen, senden Sie Mitarbeitern simulierte Phishing-E-Mails, schulen Sie Mitarbeiter regelmäßig in Best Practices für Cybersicherheit, investieren Sie in einen Business Password Manager und implementieren Sie das Prinzip der geringsten Rechte (PoLP).
Senden Sie simulierte Phishing-E-Mails
Simulierte Phishing-E-Mails sind E-Mails, die von Organisationen an ihre Mitarbeiter gesendet werden, um ihre Fähigkeiten bei der Erkennung von Phishing-Angriffen zu testen. Das Senden dieser simulierten Phishing-Tests ist eine großartige Möglichkeit, um zu bestimmen, wie gut oder schlecht Mitarbeiter sie erkennen. Wenn ein Mitarbeiter auf einen dieser Phishing-Tests hereinfällt, indem er auf den Inhalt der E-Mail klickt, hat er ihn nicht erkannt und muss zusätzliche Schulungen absolvieren, um zu lernen, ihn zu erkennen.
Es gibt viele Phishing-Tools, die Sie benötigen, um diese Phishing-Tests zu senden, einschließlich kostenloser Open-Source-Tests wie Gophish. Es gibt auch viele kommerzielle Produkte wie KnowBe4 und Infosec IQ.
Schulen Sie Ihre Mitarbeiter in Cybersicherheit
Phishing-Tests sollten nicht das einzige sein, was Sie tun, um Ihr Unternehmen zu schützen. Sie müssen Ihre Mitarbeiter auch regelmäßig in Best Practices für Cybersicherheit wie die folgenden schulen.
- Verwenden Sie starke, einzigartige Passwörter für jedes Konto
- Aktivieren Sie MFA für Konten, wenn dies eine Option ist
- Vermeiden Sie die Verwendung öffentlicher WLAN-Netzwerke, wenn Sie aus der Ferne reisen oder arbeiten
- Halten Sie Ihre Software und Hardware auf dem neuesten Stand
- Regelmäßige Datensicherung
Je mehr Mitarbeiter über Cybersicherheit wissen, desto besser können sie sie praktizieren, um die Risiken von Cyberangriffen wie Social Engineering zu mindern.
Investieren Sie in einen Business Password Manager
Ein Password Manager für Unternehmen ist ein Tool, das Organisationen dabei unterstützt, sicherzustellen, dass Mitarbeiter immer starke Passwörter für jedes ihrer Mitarbeiterkonten verwenden. Mit einem Business Password Manager haben IT-Administratoren vollständige Transparenz über die Passwortgewohnheiten der Mitarbeiter und können die Verwendung von MFA durchsetzen, um Konten sicherer zu machen.
Wenn es um Phishing geht, die am häufigsten vorkommende Art von Social-Engineering-Angriffen, besteht das größte Risiko darin, dass Passwörter kompromittiert werden. Password Manager speichern Website-Adressen zusammen mit Anmeldeinformationen, was bedeutet, dass sie Benutzer vor der Eingabe ihrer Anmeldeinformationen auf eine gefälschte Website schützen, da Password Manager auf einer Website, die sie nicht erkennt, nicht automatisch ausgefüllt werden.
Implementieren Sie das Prinzip der geringsten Rechte
Das Prinzip der geringsten Rechte ist ein Cybersicherheitskonzept, das besagt, dass Benutzer nur gerade genug Netzwerkzugriff auf die Informationen und Systeme erhalten sollten, die sie für ihre Arbeit benötigen, und nicht mehr. Die Implementierung des Prinzips der geringsten Rechte reduziert die Angriffsfläche eines Unternehmens. Für den Fall, dass ein Bedrohungsakteur Zugriff auf das Konto eines Mitarbeiters erhält, verhindert er die Bewegung seitlich im Netzwerk des Unternehmens.
Bleiben Sie vor Social-Engineering-Angriffen geschützt
Social-Engineering-Angriffe können jeden ins Visier nehmen – es spielt keine Rolle, wer Sie sind. Es ist wichtig, dass sowohl Einzelpersonen als auch Organisationen Schritte unternehmen, um sich vor Social-Engineering-Angriffen zu schützen, um die Risiken zu mindern.
Starten Sie noch heute eine kostenlose 30-tägige persönliche Testversion oder 14-tägige Geschäftsversion von Keeper Password Manager, um Ihre Online-Konten vor Social-Engineering-Angriffen zu schützen.