Social Engineering - Was ist das?

Social Engineering oder neurolinguistische Programmierung ist der gebrĂ€uchliche Begriff fĂŒr verschiedene AnsĂ€tze, um Menschen dazu zu bringen, das zu denken oder zu tun, was Sie wollen.

Sie könnten daran interessiert sein, einen Blick auf unsere anderen Antivirus-Tools zu werfen:
Trojan Killer, Trojan Scanner.

Was ist Social Engineering | Angriffstechniken & PrÀvention | Gridinsoft

Social Engineering

April 16, 2023

Manche Menschen haben ein natĂŒrliches Talent dafĂŒr, andere davon zu ĂŒberzeugen, etwas zu tun oder zu denken, was sie wollen. Einige sagen, es liegt an Charisma und RednerfĂ€higkeiten. Manche geben der LeichtglĂ€ubigkeit der Menschen die Schuld. Aber die Effekte sind die gleichen – und sie bringen selten etwas Positives fĂŒr die passive Partei.

Social Engineering ist eine FĂŒlle von AnsĂ€tzen und Techniken, die die Art und Weise beschreiben, die Meinungen und Handlungen anderer zu beeinflussen. Es können sowohl Einzelpersonen als auch Massen sein. Diese Methoden lenken normalerweise die Aufmerksamkeit auf die Probleme und schlagen die gewĂ€hlte Sache als Lösung fĂŒr dieses Problem vor. Dank der Entwicklung der Kommunikation ist es elementar geworden, Social-Engineering-Events durchzufĂŒhren – in Messengern, sozialen Netzwerken, per E-Mail oder sogar per Telefon. Social Engineering ist eine spezifische Methode der Direktwerbung.

Soziale Entwicklung

In der Cybersicherheit spielt Social Engineering eine große Rolle bei der Verbreitung von Malware. Seine UniversalitĂ€t ermöglicht es den Hackern, es sowohl fĂŒr Cyberangriffe auf Unternehmen als auch fĂŒr massive Spamming-Kampagnen gegen Einzelpersonen einzusetzen. Und die Gesamtmenge an Engineering-Methoden ermöglicht es, es in verschiedenen Umgebungen effektiv zu machen. Es ist auch relativ einfach anzuwenden - alles, was Sie brauchen, ist ein Text, in dem das Opfer motiviert oder sogar gezwungen wird, zu reagieren. Keine komplizierte Software, keine Hoffnung auf zufĂ€llige Ereignisse – es ist ideal fĂŒr jede Kategorie von Cyberkriminellen.

Wie funktioniert "Social Engineering"?

Es ist wichtig zu erwĂ€hnen, dass wir die bei Cyberangriffen verwendeten Social-Engineering-Methoden ĂŒberprĂŒfen werden. Es gibt viele andere Methoden, aber sie sind grĂ¶ĂŸtenteils Ă€hnlich, und die allgemeinen Unterschiede verstecken sich darin, wie sie verwendet werden. Wie oben erwĂ€hnt, können CyberkriminalitĂ€t unter Verwendung des Betreffs per E-Mail oder als Nachricht auf verschiedenen KommunikationskanĂ€len (Messenger, Foren, In-Game-Chats) begangen werden. Eines der hĂ€ufigsten Ziele von Social Engineering ist es, die Menschen dazu zu bringen, Ihnen zu vertrauen und zu tun, was Sie sagen. Das ist keine sofortige Sache und kann Tage oder sogar Wochen dauern. Aber es lohnt sich, eine gewisse Zeit aufzuwenden, wenn man ein großes Publikum anstrebt. Es ist offensichtlich, dass je mehr Vertrauen Sie gewinnen, desto grĂ¶ĂŸer die Chance, dass die Leute Ihren Köder fressen. Je mehr Leute Sie jedoch zu tĂ€uschen versuchen, desto mehr Zeit benötigen Sie.

Social engineering

Wenn Sie E-Mail-Spoofing begehen, brauchen Sie viel weniger Aufwand, um jemanden dazu zu bringen, Ihnen zu glauben. Sie streben keinen direkten Kontakt an – alles, was Sie tun mĂŒssen, ist, Ihre Nachricht als von einem legitimen Absender zu tarnen. Einige Analysten trennen sogar Spoofing von Social Engineering - da es zu einfach ist. Aber alle anderen Praktiken, Sie werden viel mehr Arbeit brauchen. Sehen wir uns einige Social-Engineering-Beispiele aus dem wirklichen Leben an.

Beispiele fĂŒr Social-Engineering-Angriffe:

1. Phishing

Hacker nutzen irrefĂŒhrende E-Mails, Websites und Textnachrichten, um sensible persönliche oder organisatorische Informationen von ahnungslosen Opfern zu stehlen

2. Spear-Phishing

Dieser E-Mail-Betrug wird verwendet, um gezielte Angriffe gegen Einzelpersonen oder Unternehmen durchzufĂŒhren. Spear-Phishing ist komplizierter als eine durchschnittliche Massen-Phishing-E-Mail und erfordert grĂŒndliche Recherchen zu potenziellen Zielen und ihren Organisationen.

Wir haben E-Mail-Spoofing als eines der Beispiele fĂŒr elementares Social Engineering erwĂ€hnt. Bei verschiedenen Cyberangriffen ereigneten sich jedoch viel raffiniertere FĂ€lle. Wenn Sie das Unternehmen ĂŒber die gefĂ€lschte E-Mail-Nachricht infizieren, mĂŒssen Sie viel tun, um den Leser glauben zu machen, dass die Nachricht und der Absender echt sind. Beispielsweise kann sich der Gauner als autorisierter Vertriebspartner eines bestimmten Unternehmens vorstellen und Ihnen anbieten, einen Vertrag mit ihm abzuschließen. Am Ende erhalten Sie eine Datei mit „Vertragsbedingungen und Details“ – ein Word-Dokument oder eine Excel-Tabelle, die das Makro enthĂ€lt. Letzteres ist eines der ausnutzbarsten Elemente von Microsoft-Produkten. Hacker fĂŒgen das Malware-Download-Skript Makros hinzu; Sobald Sie die Datei öffnen und Makros zulassen, wird Ihr PC infiziert.

3. Ködern

Diese Art von Angriff kann online oder in einer physischen Umgebung ausgefĂŒhrt werden. Das Opfer verspricht normalerweise eine Belohnung als Gegenleistung fĂŒr sensible Informationen oder das Wissen um seinen Aufenthaltsort.

4. Schadsoftware

Bei einer Kategorie von Ransomware-Angriffen wird den Opfern eine dringend formulierte Nachricht gesendet und dazu verleitet, Malware zu installieren ihr(e) GerĂ€t(e). Ironischerweise besteht eine beliebte Taktik darin, dem Opfer mitzuteilen, dass bereits Malware auf seinem Computer installiert wurde und dass der Absender die Software gegen Zahlung einer GebĂŒhr entfernen wird.

Zum Beispiel wurde Discord zu einem GesprĂ€chsort fĂŒr verschiedene Personengruppen. Die Mehrheit des Publikums sind jedoch Spieler und Programmierer. Benutzer können dem Kanal beitreten, um Fragen in beiden Kategorien zu stellen. Wie man das einrichtet, welches Level passiert, welches Framework am besten ist – diese Themen sind typisch fĂŒr dieses soziale Netzwerk. Und gleichzeitig können die Antworten auf diese Fragen spezielle Anwendungen erfordern.

Letzteres ist genau die HauptangriffsflĂ€che. Sie können die Malware anstelle des gesamten Programms einschleusen und viele Benutzer mit einer einzigen Nachricht infizieren. Und damit alle glauben, dass diese Datei vertrauenswĂŒrdig ist, können Sie Social Engineering anwenden. Das tat die Gaunergruppe im Februar 2021. Von den Konten aus wurde eine Kette von Chats angegriffen, die mehrere Monate prĂ€sent waren und als zuverlĂ€ssig und seriös galten. Sicher, frĂŒher und spĂ€ter gab es dieselben Angriffe – aber noch nie in einem so großen Ausmaß. Dieser Fall fĂŒhrte zum Auftauchen des Begriffs „Discord-Virus“.

5. Vorwand

Bei diesem Angriff nimmt der TÀter eine falsche IdentitÀt an, um die Opfer dazu zu bringen, Informationen preiszugeben. VorwÀnde werden oft gegen Organisationen mit vielen Kundendaten eingesetzt, wie Banken, Kreditkartenanbieter und Versorgungsunternehmen.

6. Quid pro Quo

Bei diesem Angriff geht es darum, Informationen oder Dienste auszutauschen, um das Opfer zum Handeln zu bewegen. Normalerweise fĂŒhren Cyberkriminelle, die diese Schemata durchfĂŒhren, keine fortgeschrittene Zielforschung durch und bieten „Hilfe“ an, indem sie sich als technische Support-Experten ausgeben.

7. Auffahren

Dieser Angriff zielt auf Personen ab, die dem Kriminellen physischen Zugang zu einem sicheren GebĂ€ude oder Bereich verschaffen können. Diese BetrĂŒgereien sind oft aufgrund der fehlgeleiteten Höflichkeit eines Opfers erfolgreich, z. B. wenn sie einem unbekannten „Mitarbeiter“ die TĂŒr aufhalten.

8. Vishing

In diesem Szenario hinterlassen Cyberkriminelle dringende Voicemails, um die Opfer davon zu ĂŒberzeugen, dass sie schnell handeln mĂŒssen, um sich vor einer Festnahme oder einem anderen Risiko zu schĂŒtzen. DarĂŒber hinaus werden Banken, Regierungsbehörden und Strafverfolgungsbehörden bei Vishing-Betrug hĂ€ufig als Personas ausgegeben.

9. Water-Holing

Dieser Angriff verwendet fortschrittliche Social-Engineering-Techniken, um eine Website und ihre Besucher mit Malware zu infizieren. Die Infektion wird normalerweise ĂŒber eine Website verbreitet, die fĂŒr die Branche des Opfers spezifisch ist, wie z. B. eine beliebte Website, die regelmĂ€ĂŸig besucht wird.

10. Telefonanrufe

Sie haben wahrscheinlich schon vom The Wolf of Wall Street-Film gehört. Es zeigt, was Social Engineering ĂŒber Telefonanrufe bedeutet. Ein Opfer erhĂ€lt einen Anruf, bei dem sichergestellt wird, dass es etwas kauft oder dem Anrufer das Geld gibt. In der im Film dargestellten Zeit (90er Jahre) war der Telefonverkauf sehr effektiv. Es ist ziemlich einfach, einer Person zu versichern, dass Sie ein Experte in einer bestimmten Branche sind, vor allem, wenn Sie viele Fachbegriffe verwenden und Ihre Sprache sehr konsistent ist. Wenn die Person dann an Ihre ProfessionalitĂ€t glaubt, ist es einfach, sie dazu zu bringen, das zu tun, was Sie wollen.

Das bemerkenswerteste Beispiel fĂŒr Social Engineering am Telefon ist Tech-Support-Betrug. Es tauchte am Rande des Jahres 2021 auf und existiert heute in verschiedenen Formen. Am Anfang sehen Sie das unheimliche Banner ĂŒber Ihrem Browserfenster, das besagt, dass Sie Ihren PC haben infiziert und muss sich an den Support wenden. Alternativ können diese Aussagen Sie ĂŒber die rechtliche Handlung des Anschauens von Pornos oder des Besuchs der verbotenen Websites informieren. In jedem Fall wird Ihnen angeboten, die auf dem Banner angegebene Nummer anzurufen.

Am Telefon stellen BetrĂŒger sicher, dass alles, was Sie auf dem Banner gesehen haben, der Wahrheit entspricht. Sie werden detailliert beschreiben, wie das passiert ist und welche katastrophalen Dinge passieren werden, wenn Sie ihren Anweisungen nicht folgen. Installieren Sie den „Malware-Entferner“ (Rogue-Software), ĂŒbertragen Sie das „Bußgeld“ oder geben Sie den Gaunern sogar die vollstĂ€ndigen Informationen zu Ihrer Person – sie können das verĂ€ngstigte Opfer alles fragen.

Ist Social Engineering illegal?

Nach den obigen Abschnitten könnten Sie denken, dass Social Engineering das Schicksal von Cyberkriminellen und BetrĂŒgern ist. Die eigentliche Essenz dieser Technik ist jedoch nur die Kunst der Suggestion. In einigen FĂ€llen kann es fĂŒr wohltĂ€tige Zwecke verwendet werden – zum Beispiel, um Menschen von illegalen Handlungen oder dem Konsum von Drogen abzubringen. Verschiedene Religionen sind das perfekte Beispiel fĂŒr den wohlwollenden Einsatz von Social Engineering - Abbe stellt zum Beispiel sicher, dass die Leute so handeln, wie Gott es sagt. Das ist eben die höfliche Lebensweise, also fĂŒhrt praktisch die Religion die Gemeinde auf den rechten Weg.

Dennoch kann man es sicherlich als zweischneidiges Schwert bezeichnen. WĂ€hrend es als wohlwollend ausgebildet wurde, fand es in vielen fragwĂŒrdigen Situationen Anwendung, oft sogar böswillig. Sie werden nicht fĂŒr Social Engineering bestraft, aber Sie werden wahrscheinlich wegen Betrugs rechtlich verfolgt, wenn Sie es verwenden, um jemanden zu tĂ€uschen. Das hĂ€lt Cyberkriminelle jedoch nicht davon ab, es hier und da einzusetzen.

Wie kann man sich schĂŒtzen?

Diese Frage kann nicht linear beantwortet werden. Jeder Mensch hat seine LeichtglÀubigkeit. Daher wird jeder seine Möglichkeiten haben, den TÀuschungsversuch zu spiegeln. Aus diesem Grund haben wir uns entschieden, nur die grundlegendsten RatschlÀge zu beschreiben.

  • VernachlĂ€ssigen Sie niemals die Suche nach alternativen Wegen. Selbst wenn Ihnen jemand einen sehr effektiven Weg zur Lösung des Problems anbietet, ist es eine gute Idee, diesen Weg zu ĂŒberprĂŒfen und nach mehreren anderen zu suchen. Möglicherweise deckt die ÜberprĂŒfung des Angebots den Betrug auf.
  • Vertraue niemals den angebotenen Anwendungen. Auf den oben genannten Online-Kommunikationsplattformen können Menschen anbieten, ihre selbst erstellten Apps zu nutzen. Da selbst die seriösen die Anti-Malware-Programme auslösen können, ertönt der Rat, den Antivirus zu ignorieren oder zu deaktivieren, nicht wie eine Bedrohung. Trotzdem ist es wichtig sicherzustellen, dass diese App in Ordnung ist.
  • Denken Sie rational. Niemand wird Ihnen den kostenlosen Rat geben, in etwas zu investieren oder das A und O fĂŒr nichts zu kaufen. Auch wenn solche Angebote fĂŒr das letzte Jahrzehnt relevant sein könnten, sind sie heutzutage nicht gut. Und sie mĂŒssen noch mehr Verdacht erregen, wenn das Angebot Ihnen einen unrealistischen Gewinn oder so etwas bringt. Wenn es zu gut klingt, um wahr zu sein, ist es wahrscheinlich auch so.
  • ÜberprĂŒfen Sie die Informationen ĂŒber die Person, die Ihnen die Sache angeboten hat. Wenn Sie nur eine Telefonnummer haben - ĂŒberprĂŒfen Sie sie. Das könnte ausreichen, um zu verstehen, was zu erwarten ist. Das Internet ermöglichte es, jede Nummer zu ĂŒberprĂŒfen, und je mehr Leute Anrufe von dieser Nummer erhielten, desto grĂ¶ĂŸer war die Chance, die vollstĂ€ndigen Informationen ĂŒber den Anrufer und seine Absichten zu sehen.< /li>
  • Halten Sie Ihre Antivirus-/Antimalware-Software auf dem neuesten Stand – Stellen Sie sicher, dass automatische Updates aktiviert sind, oder machen Sie es sich zur Gewohnheit, jeden Tag als Erstes die neuesten Signaturen herunterzuladen. ÜberprĂŒfen Sie regelmĂ€ĂŸig, ob die Updates installiert wurden, und scannen Sie Ihr System auf mögliche Infektionen.

3 Möglichkeiten, wie Unternehmen Social-Engineering-Angriffe verhindern

Die folgenden Maßnahmen können dazu beitragen, Social-Engineering-Angriffen auf Ihre Organisation vorzubeugen und sie zu verhindern:

1ïžâƒŁ Sicherheitsbewusstseinsschulung


Die Schulung des Sicherheitsbewusstseins sollte in jedem Unternehmen eine kontinuierliche AktivitĂ€t sein. Mitarbeiter sind sich der Gefahren von Social Engineering möglicherweise nicht bewusst, oder wenn sie es sind, vergessen sie mit der Zeit die Details. Daher ist die DurchfĂŒhrung und kontinuierliche Aktualisierung des Sicherheitsbewusstseins der Mitarbeiter die erste Verteidigungslinie gegen Social Engineering. Mitarbeiter aller Ebenen in einem Unternehmen sollten geschult werden, keine Informationen per E-Mail oder Telefon an „Vertriebs“-Köder ĂŒber das Thema zu geben, welche Hardware, Software, Anwendungen und Ressourcen allgemein verwendet werden.

2ïžâƒŁ Antivirus- und EndgerĂ€te-Sicherheitstools


Die primĂ€re Maßnahme besteht darin, Antivirus/Antimalware und andere Endpunkt-Sicherheitsmaßnahmen zu installieren. a> auf BenutzergerĂ€ten. Moderne EndgerĂ€teschutz-Tools können offensichtliche Phishing-Nachrichten oder Nachrichten, die auf bösartige Websites oder IPs in Datenbanken mit Bedrohungsinformationen verweisen, identifizieren und blockieren. Sie können auch bösartige Prozesse, die auf dem GerĂ€t eines Benutzers ausgefĂŒhrt werden, abfangen und stoppen. WĂ€hrend ausgeklĂŒgelte Angriffe darauf ausgelegt sind, Endpunkt- und AV-Agenten zu umgehen oder zu deaktivieren, hinterlassen diese Angriffe in der Regel andere verrĂ€terische Anzeichen fĂŒr einen erfolgreichen Angriff.

3ïžâƒŁ Penetrationstests


Es gibt unzĂ€hlige kreative Möglichkeiten, die Abwehrmechanismen einer Organisation mit Social Engineering zu durchdringen. Die Verwendung eines ethischen Hackers zur DurchfĂŒhrung von Penetrationstests ermöglicht es einer Person mit den FĂ€higkeiten eines Hackers, Schwachstellen in Ihrem Unternehmen zu identifizieren und auszunutzen. Wenn ein Penetrationstest erfolgreich sensible Systeme kompromittiert, kann er Ihnen helfen, Mitarbeiter oder Techniken zu entdecken, auf deren Schutz Sie sich konzentrieren mĂŒssen, oder Social-Engineering-Methoden, fĂŒr die Sie möglicherweise besonders anfĂ€llig sind.