Was ist
Soziale Technik? 11 Beispiele, auf die Sie achten sollten
Inhaltsverzeichnis
Was genau ist Social Engineering überhaupt?
Social Engineering bezieht sich auf den Akt der Manipulation von Personen, um ihre vertraulichen Informationen zu extrahieren. Die Art der Informationen, nach denen Kriminelle suchen, kann variieren. Normalerweise werden die Personen nach ihren Bankdaten oder ihren Kontopasswörtern angegriffen. Kriminelle versuchen auch, auf den Computer des Opfers zuzugreifen, um Schadsoftware zu installieren. Diese Software hilft ihnen dann, alle Informationen zu extrahieren, die sie benötigen.
Kriminelle verwenden Social-Engineering-Taktiken, weil es oft einfach ist, eine Person auszunutzen, indem man ihr Vertrauen gewinnt und sie davon überzeugt, ihre persönlichen Daten preiszugeben. Dies ist ein bequemerer Weg, als sich ohne deren Wissen direkt in den Computer einer anderen Person zu hacken.
Beispiele für Social Engineering
Sie können sich besser schützen, wenn Sie über die verschiedenen Arten von Social Engineering informiert sind.
1. Vorwand
Pretexting wird verwendet, wenn der Kriminelle auf sensible Informationen des Opfers zugreifen möchte, um eine kritische Aufgabe auszuführen. Der Angreifer versucht, die Informationen durch mehrere sorgfältig ausgearbeitete Lügen zu erhalten.
Der Kriminelle beginnt damit, Vertrauen zum Opfer aufzubauen. Dies kann geschehen, indem Sie sich als Freunde, Kollegen, Bankangestellte, Polizisten oder andere Behörden ausgeben, die möglicherweise nach solchen sensiblen Informationen fragen. Der Angreifer stellt ihnen unter dem Vorwand, ihre Identität zu bestätigen, eine Reihe von Fragen und sammelt dabei persönliche Daten.
Diese Methode wird verwendet, um alle Arten von persönlichen und offiziellen Daten einer Person zu extrahieren. Zu diesen Informationen können persönliche Adressen, Sozialversicherungsnummern, Telefonnummern, Telefonaufzeichnungen, Bankdaten, Urlaubsdaten von Mitarbeitern, Sicherheitsinformationen in Bezug auf Unternehmen usw. gehören.
2. Umleitungsdiebstahl
Dies ist eine Art von Betrug, der im Allgemeinen auf Kurier- und Transportunternehmen abzielt. Der Kriminelle versucht, das Zielunternehmen auszutricksen, indem er es dazu bringt, sein Lieferpaket an einem anderen als dem ursprünglich vorgesehenen Lieferort bereitzustellen. Diese Technik wird verwendet, um wertvolle Waren zu stehlen, die mit der Post geliefert werden.
Dieser Betrug kann sowohl offline als auch online durchgeführt werden. Das Personal, das die Pakete trägt, kann angesprochen und überzeugt werden, die Lieferung an einem anderen Ort abzugeben. Angreifer könnten sich auch Zugang zum Online-Liefersystem verschaffen. Sie können dann den Lieferplan abfangen und Änderungen daran vornehmen.
3. Phishing
Phishing ist eine der beliebtesten Formen des Social Engineering. Phishing-Betrug umfasst E-Mail- und Textnachrichten, die bei den Opfern ein Gefühl der Neugier, Angst oder Dringlichkeit hervorrufen können. Der Text oder die E-Mail verleitet sie dazu, auf Links zu klicken, die zu bösartigen Websites oder Anhängen führen würden, die Malware auf ihren Geräten installieren würden.
Benutzer eines Onlinedienstes könnten beispielsweise eine E-Mail erhalten, in der behauptet wird, dass es eine Richtlinienänderung gegeben hat, die sie dazu auffordert, ihre Passwörter sofort zu ändern. Die Mail enthält einen Link zu einer illegalen Website, die mit der ursprünglichen Website identisch ist. Der Benutzer gibt dann seine Kontoanmeldeinformationen in diese Website ein und betrachtet sie als legitim. Nach der Übermittlung ihrer Daten sind die Informationen für den Kriminellen zugänglich.
4. Speer-Phishing
Dies ist eine Art von Phishing-Betrug, der eher auf eine bestimmte Person oder Organisation abzielt. Der Angreifer passt seine Nachrichten basierend auf den beruflichen Positionen, Eigenschaften und Verträgen des Opfers an, sodass sie authentischer wirken. Spear-Phishing erfordert mehr Aufwand seitens des Kriminellen und kann viel mehr Zeit in Anspruch nehmen als normales Phishing. Sie sind jedoch schwerer zu identifizieren und haben eine bessere Erfolgsquote.
Beispielsweise sendet ein Angreifer, der versucht, Spear-Phishing auf eine Organisation anzuwenden, eine E-Mail an einen Mitarbeiter, der sich als IT-Berater der Firma ausgibt. Die E-Mail wird auf eine Weise gerahmt, die genau so ist, wie es der Berater tut. Es wird authentisch genug erscheinen, um den Empfänger zu täuschen. Die E-Mail fordert den Mitarbeiter auf, sein Passwort zu ändern, indem ihm ein Link zu einer bösartigen Webseite bereitgestellt wird, die seine Informationen aufzeichnet und an den Angreifer sendet.
5. Wasserholen
Der Waterholing-Betrug nutzt vertrauenswürdige Websites aus, die regelmäßig von vielen Menschen besucht werden. Der Kriminelle sammelt Informationen über eine gezielte Personengruppe, um festzustellen, welche Websites sie häufig besuchen. Diese Websites werden dann auf Schwachstellen getestet. Mit der Zeit infizieren sich ein oder mehrere Mitglieder dieser Gruppe. Der Angreifer kann dann auf das sichere System dieser infizierten Benutzer zugreifen.
Der Name kommt von der Analogie, wie Tiere Wasser trinken, indem sie sich an ihren vertrauten Orten versammeln, wenn sie durstig sind. Sie denken nicht zweimal darüber nach, Vorsichtsmaßnahmen zu treffen. Die Raubtiere sind sich dessen bewusst, also warten sie in der Nähe und sind bereit, sie anzugreifen, wenn sie nicht mehr auf der Hut sind. Waterholing in der digitalen Landschaft kann genutzt werden, um gleichzeitig einige der verheerendsten Angriffe auf eine Gruppe gefährdeter Benutzer durchzuführen.
6. Hetze
Wie aus dem Namen hervorgeht, beinhaltet das Ködern die Verwendung eines falschen Versprechens, um die Neugier oder Gier des Opfers zu wecken. Das Opfer wird in eine digitale Falle gelockt, die dem Kriminellen hilft, seine persönlichen Daten zu stehlen oder Malware auf seinen Systemen zu installieren.
Das Ködern kann sowohl über Online- als auch über Offline-Medien erfolgen. Als Offline-Beispiel könnte der Kriminelle den Köder in Form eines mit Malware infizierten USB-Sticks an auffälligen Stellen hinterlassen. Dies können der Aufzug, die Toilette, der Parkplatz usw. des Zielunternehmens sein. Das Flash-Laufwerk sieht authentisch aus, was das Opfer dazu bringt, es zu nehmen und in seinen Arbeits- oder Heimcomputer einzustecken. Das Flash-Laufwerk exportiert dann automatisch Malware in das System.
Online-Köder können in Form von attraktiver und verlockender Werbung bestehen, die die Opfer dazu animieren würde, darauf zu klicken. Über den Link können bösartige Programme heruntergeladen werden, die dann ihren Computer mit Malware infizieren.
7. Quid pro Quo
Ein Quid-pro-quo-Angriff bedeutet einen „Etwas-für-etwas“-Angriff. Es ist eine Variation der Ködertechnik. Anstatt die Opfer mit dem Versprechen eines Vorteils zu ködern, verspricht ein Quid-pro-quo-Angriff eine Dienstleistung, wenn eine bestimmte Aktion ausgeführt wurde. Der Angreifer bietet dem Opfer einen vorgetäuschten Vorteil im Austausch für Zugang oder Informationen.
Die häufigste Form dieses Angriffs besteht darin, dass sich ein Krimineller als IT-Mitarbeiter eines Unternehmens ausgibt. Der Kriminelle kontaktiert dann die Mitarbeiter des Unternehmens und bietet ihnen neue Software oder ein System-Upgrade an. Der Mitarbeiter wird dann aufgefordert, seine Antivirensoftware zu deaktivieren oder schädliche Software zu installieren, wenn er das Upgrade wünscht.
8. Auffahren
Ein Tailgating-Angriff wird auch Huckepack genannt. Es handelt sich um den Kriminellen, der Zugang zu einem eingeschränkten Ort sucht, der nicht über angemessene Authentifizierungsmaßnahmen verfügt. Der Kriminelle kann sich Zugang verschaffen, indem er hinter einer anderen Person hineingeht, die zum Betreten des Bereichs berechtigt ist.
Beispielsweise kann sich der Kriminelle als Lieferfahrer ausgeben, der alle Hände voll mit Paketen hat. Er wartet darauf, dass ein autorisierter Mitarbeiter die Tür betritt. Der betrügerische Zusteller bittet dann den Mitarbeiter, ihm die Tür aufzuhalten, und lässt ihn so unbefugt eintreten.
9. Honigfalle
Bei diesem Trick gibt der Kriminelle vor, online eine attraktive Person zu sein. Die Person freundet sich mit ihren Zielen an und täuscht eine Online-Beziehung mit ihnen vor. Der Kriminelle nutzt diese Beziehung dann aus, um die persönlichen Daten seiner Opfer zu extrahieren, Geld von ihnen zu leihen oder sie dazu zu bringen, Malware auf ihren Computern zu installieren.
Der Name „Honigfalle“ stammt von der alten Spionagetaktik, bei der Frauen dazu benutzt wurden, Männer anzugreifen.
10. Schurke
Rogue-Software kann in Form von Rogue-Anti-Malware, Rogue-Scanner, Rogue-Scareware, Anti-Spyware usw. auftreten. Diese Art von Computer-Malware verleitet Benutzer dazu, für eine simulierte oder gefälschte Software zu bezahlen, die versprochen hat, Malware zu entfernen. Rogue-Sicherheitssoftware ist in den letzten Jahren zu einem wachsenden Problem geworden. Ein ahnungsloser Benutzer könnte leicht auf solche Software hereinfallen, die in Hülle und Fülle verfügbar ist.
11. Malware
Das Ziel eines Malware-Angriffs besteht darin, das Opfer dazu zu bringen, Malware auf seinen Systemen zu installieren. Der Angreifer manipuliert menschliche Emotionen, um das Opfer dazu zu bringen, die Malware auf seinen Computern zuzulassen. Diese Technik beinhaltet die Verwendung von Sofortnachrichten, Textnachrichten, sozialen Medien, E-Mail usw., um Phishing-Nachrichten zu senden. Diese Nachrichten verleiten das Opfer dazu, auf einen Link zu klicken, der eine Website öffnet, die die Malware enthält.
Für die Botschaften werden oft Panikmache eingesetzt. Sie könnten sagen, dass mit Ihrem Konto etwas nicht stimmt und dass Sie sofort auf den bereitgestellten Link klicken müssen, um sich bei Ihrem Konto anzumelden. Über den Link können Sie dann eine Datei herunterladen, über die die Malware auf Ihrem Computer installiert wird.
Bleiben Sie wachsam, bleiben Sie sicher
Sich auf dem Laufenden zu halten ist der erste Schritt, um sich davor zu schützen Social-Engineering-Angriffe. Ein grundlegender Tipp ist, alle Nachrichten zu ignorieren, in denen Sie nach Ihrem Passwort oder Ihren Finanzinformationen gefragt werden. Sie können Spamfilter verwenden, die mit Ihren E-Mail-Diensten geliefert werden, um solche E-Mails zu kennzeichnen. Die Anschaffung einer vertrauenswürdigen Antivirensoftware trägt auch dazu bei, Ihr System weiter zu sichern.
