Bundesamt für Sicherheit in der Informationstechnik

Social Engineering - der virtuelle Haustürbetrug

15. November 2016 | Nicht nur technische Schwachstellen und Sicherheitslücken öffnen Cyber-Kriminellen Tür und Tor. Internetnutzer tun dies selbst gelegentlich unwissentlich, indem sie im Vertrauen den falschen Personen Zugang zu Informationen oder IT-Systemen gewähren. Ähnlich wie Trickbetrüger täuschen Angreifer beim sogenannten Social Engineering ihren Opfern oft eine persönliche Bekanntschaft oder besondere Umstände vor. Ziel ist es, Personen etwa durch Telefonanrufe oder Nachrichten im vermeintlichen Auftrag von Vorgesetzten oder Bekannten dazu zu bewegen, vertrauliche Informationen oder sensible Daten preiszugeben, oder sie zum Öffnen von Dateien oder zur Installation von Programmen auf dem Computer zu verleiten. Hinter dieser Vorgehensweise verbirgt sich die Taktik, Hilfsbereitschaft und Gutgläubigkeit oder auch Respekt vor Autorität auszunutzen und sich so unbemerkt Vorteile zu verschaffen.

Von der Kontaktanfrage zur (individualisierten) Phishing-Attacke

Beim Social Engineering werden Anwender oftmals über soziale Netzwerke ausgespäht. Kriminelle suchen dort nach Informationen zu ihrem Opfer, dessen Kontakten und Umfeld, um Wissen zu sammeln und so Anknüpfungspunkte für einen Beziehungsaufbau zu finden. Die Angreifer geben sich dann beispielsweise als Bekannter oder Freundesfreund aus, um Nutzer zu unüberlegten Handlungen zu verleiten. Das kann beispielsweise das arglose Öffnen von E-Mail-Anhängen oder das Anklicken von Links sein, wodurch die Täter Schadcode wie Ransomware oder Trojaner zum Abgreifen von Daten einschleusen können. Auch das Weiterleiten auf gut imitierte Phishing-Webseiten kann Teil von Social Engineering sein.

Auch im Beruf achtsam sein

Im beruflichen Umfeld hat in jüngerer Vergangenheit immer wieder der so genannte CEO-Betrug Schlagzeilen gemacht. Angreifer verschaffen sich zunächst ein genaues Bild von Strukturen, Zuständigkeiten und üblichen Kommunikationswegen im Unternehmen, um auf Basis dieser Informationen in erster Linie Mitarbeiter mit Zugriff auf Firmenkonten zu kontaktieren. Dabei geben sie sich als Führungskraft aus, die unter dem Siegel höchster Verschwiegenheit eine vertrauliche Überweisung an ein fremdes Konto in Auftrag gibt. Da diese Fälle oftmals erst Tage später entdeckt werden, sind Kriminelle in den vergangenen Jahren immer wieder erfolgreich mit diesem Trick gewesen.

Sicherheit beginnt beim Anwender

Die wichtigsten Gegenmaßnahmen sind ein bedachter Umgang mit der Veröffentlichung privater Informationen, eine hohe Aufmerksamkeit und ein gesundes Misstrauen gegenüber vermeintlichen Bekannten. Sensibilisierung und Aufklärung der Anwender sind wichtig für einen sicheren Einsatz von IT und den Umgang mit Internet und Co – egal ob im privaten oder im beruflichen Umfeld.