Social Engineering

Social Engineering als betrügerisches Muster, bei dem es um Geldtransfers geht, läuft in der Regel so ab, dass die Betrüger unschuldige Personen dazu verleiten, sich mit ihrem gültigen Ausweis für einen Dienst zu registrieren. Das Konto des Opfers wird dann von den Betrügern übernommen und genutzt, um durch Geldabhebungen oder Online-Überweisungen Werte zu generieren (z. B. beim Romance Fraud).

Wen betrifft Social Engineering?

Social Engineering betrifft grundsätzlich jeden, der in irgendeiner Form mit digitalen oder physischen Informationen zu tun hat. Dabei kann es sich um Einzelpersonen, Unternehmen, Behörden oder Organisationen handeln. Hier sind einige Beispiele:

  1. Individuen: Einzelpersonen sind oft das Ziel von Social Engineering-Angriffen. Kriminelle könnten versuchen, persönliche Informationen wie Passwörter, Kreditkarteninformationen oder sensible Daten durch Manipulation oder Täuschung zu erhalten.
  2. Unternehmen: Unternehmen sind besonders anfällig für Social Engineering-Angriffe, da sie oft umfangreiche Datenbanken mit geschäftlichen und persönlichen Informationen ihrer Kunden und Mitarbeiter haben. Social Engineering kann dazu führen, dass Angreifer auf vertrauliche Unternehmensdaten zugreifen oder Betrugsaktionen durchführen.
  3. Behörden: Regierungsstellen und öffentliche Institutionen sind ebenfalls gefährdet. Angriffe auf diese Organisationen können zu Datenlecks führen oder die nationale Sicherheit gefährden.
  4. Organisationen: Non-Profit-Organisationen, Bildungseinrichtungen und andere Gruppen können ebenso Ziel von Social Engineering sein. Die Angreifer könnten versuchen, Geldmittel abzuzweigen oder sensible Informationen zu stehlen.

Social Engineering zielt darauf ab, menschliche Schwächen auszunutzen, indem sie auf Vertrauen, Neugier, Angst oder andere emotionale Reaktionen abzielen. Daher ist es wichtig, dass Individuen und Organisationen sich der Gefahren bewusst sind, Schulungen zur Sensibilisierung durchführen und Sicherheitsprotokolle implementieren, um sich vor solchen Angriffen zu schützen.

Was sind Beispiele für Social Engineering?

Hier sind einige Beispiele für Social Engineering-Angriffe:

  1. Phishing: Ein Angreifer sendet gefälschte E-Mails, die vorgeben, von einer vertrauenswürdigen Quelle wie einer Bank, einer Regierungsbehörde oder einem Unternehmen zu stammen. Die E-Mail enthält oft Links zu gefälschten Websites, auf denen Opfer aufgefordert werden, vertrauliche Informationen wie Passwörter, Kreditkarteninformationen oder persönliche Daten einzugeben.
  2. Pretexting: Ein Angreifer täuscht vor, eine legitime Autoritätsperson oder eine vertrauenswürdige Figur zu sein, um Informationen zu erhalten. Dies kann beinhalten, dass sich der Angreifer als Techniker ausgibt, der Zugriff auf Computer benötigt, oder als Mitarbeiter eines Lieferdienstes, um Zugang zu Gebäuden zu erhalten.
  3. Baiting: Hierbei werden schädliche Dateien oder Geräte absichtlich an Orten platziert, an denen sie gefunden werden sollen. Wenn jemand die Datei öffnet oder das Gerät verwendet, wird Malware auf den Computer geladen oder vertrauliche Informationen gestohlen.
  4. Tailgating: Ein Angreifer gewinnt Zugang zu einem gesicherten Gebäude, indem er sich einfach hinter einer berechtigten Person durch die Eingangskontrolle schleicht, ohne sich zu identifizieren.
  5. Quid pro Quo: Der Angreifer bietet im Austausch für vertrauliche Informationen oder Zugang zu Systemen Hilfe oder Dienstleistungen an. Zum Beispiel kann er vorgeben, IT-Support anzubieten und dann nach Passwörtern oder Zugangsdaten fragen.
  6. Vishing: Bei diesem Angriff wird das Opfer telefonisch kontaktiert. Der Angreifer kann sich als Mitarbeiter eines Unternehmens ausgeben und versuchen, vertrauliche Informationen zu erhalten, indem er Druck ausübt oder Angst schürt.
  7. Impersonation: Der Angreifer gibt sich als eine andere Person aus, um Zugang zu Informationen oder Ressourcen zu erhalten. Dies kann auch das Erstellen gefälschter Online-Profile in sozialen Medien oder E-Mails umfassen.

Diese Beispiele zeigen, wie Social Engineering-Techniken dazu verwendet werden können, menschliche Schwächen auszunutzen und Informationen zu stehlen oder Zugang zu sensiblen Bereichen zu erhalten. Es ist wichtig, sich dieser Taktiken bewusst zu sein und Vorsichtsmaßnahmen zu treffen, um sich davor zu schützen.

Unterschied zwischen Social Engineering und Money Mules

Im Gegensatz zu Money Mules sind sich die Opfer von Social Engineering nicht bewusst, dass ihre Handlungen rechtliche Konsequenzen haben können.  Vielmehr ist ihre Zusammenarbeit mit dem Betrüger nicht so offensichtlich, da sie durch psychologische Manipulation in die Sache hineingezogen werden. Sie werden dazu verleitet, Konten zu eröffnen, z. B. durch Stellenanzeigen, die auf den ersten Blick wie die tatsächliche Arbeitsstelle aussehen. Andere Beispiele sind die Beantragung eines Kredits. Den Nutzern wird dann vorgegaukelt, dass der Kredit nur unter bestimmten Bedingungen vergeben werden kann, was meist die Eröffnung eines Kontos bei einem Finanzinstitut und die spätere Weitergabe der Zugangsdaten an die Betrüger beinhaltet.

Durch Social Engineering verschafft sich der Kriminelle Zugang zu dem frisch eingerichteten Bankkonto, was zu weiteren finanziellen Malversationen im Namen des Opfers führen kann. Der Betrüger bleibt also unentdeckt, und die gesamte Haftung wird auf die ahnungslose Person abgewälzt.

Weiterlesen: VideoIdent: Ein optimiertes Verfahren schützt gegen Social Engineering.

Play