Social Engineering ist eine gängige Hacking-Taktik, die psychologische Manipulation in Cybersecurity-Angriffen(new window) einsetzt, um Zugang zu vertraulichen Informationen zu erhalten oder diese zu stehlen.
Diese Informationen nutzen sie dann, um Betrug zu begehen, unbefugten Zugriff auf Systeme zu erlangen oder in manchen Fällen deine Identität zu stehlen. Unternehmen in den USA haben beispielsweise im Jahr 2023 über 2,9 Milliarden Dollar durch Geschäfts-E-Mail-Kompromittierung(new window) verloren. Viele der Angriffe beinhalteten Phishing, einen der häufigsten Social-Engineering-Betrügereien.
Indem du die Mechanismen gängiger Social-Engineering-Tricks verstehst und starke Cybersecurity-Verteidigungen implementierst, kannst du deine sensibelsten, wertvollsten Informationen besser sichern.
Dieser Artikel beleuchtet die verschiedenen Arten von Social-Engineering-Angriffen und erforscht Wege, wie du dich und dein Business vor dem Opferwerden dieser trügerischen Praktiken schützen kannst.
Wie Social Engineering funktioniert
Statt schwache Codezeilen anzugreifen, nutzt Social Engineering Schwächen in der menschlichen Psychologie, um Zugang zu Gebäuden, Systemen oder Daten zu erhalten. Meistens nutzt Social Engineering unsere natürliche menschliche Tendenz zu vertrauen aus.
Cyberkriminelle werden immer besser darin, sich als wohlmeinende Akteure zu tarnen und überzeugende Sprache zu verwenden, um Opfer dazu zu verleiten, Informationen preiszugeben, die sie privat und sicher halten möchten.
Ein Angreifer könnte dir beispielsweise eine E-Mail senden, die so aussieht, als käme sie von einem bekannten Unternehmen oder Dienst, und dich bitten, Anmeldeinformationen oder persönliche Daten zu bestätigen. Diese Art von Kommunikation kann ein Gefühl der Dringlichkeit oder Angst erzeugen und dich glauben lassen, dass es ein Problem mit deinem Konto gibt, das sofortige Aufmerksamkeit erfordert. Viele denken, sie antworten jemandem, der ihre besten Interessen im Sinn hat, und geben die Informationen, wie Anmeldedaten oder einen einmaligen Passcode – nur um dann zu erleben, dass diese Informationen gegen sie verwendet werden.
Social-Engineering-Angriffe beschränken sich nicht nur auf E-Mails, obwohl dies der häufigste Übertragungsweg ist. Sie können auch über das Telefon, in sozialen Medien oder persönlich stattfinden.
Gibt es verschiedene Arten von Social-Engineering-Angriffen?
Cyberkriminelle haben eine umfangreiche Werkzeugkiste voller Social-Engineering-Tricks.
Phishing
Phishing(new window) beinhaltet das Versenden von E-Mails oder Nachrichten, die legitim erscheinen, mit dem einzigen Ziel, sensible Daten wie Passwörter oder Kreditkarteninformationen zu extrahieren. Diese E-Mails und Nachrichten können erstaunlich echt wirken(new window), sodass du glaubst, sie stammen von einem vertrauenswürdigen Absender.
Gefälschte Rechnungsstellung
Angreifer verwenden oft eine legitime Domain, wie PayPal, um gefälschte Rechnungen zu senden, die behaupten, du hättest einen ausstehenden Betrag und beinhalten einen Button zum Bezahlen.
Ködern
Diese Taktik lockt mit verlockenden Angeboten, wie kostenloser Software, um Opfer in Fallen zu locken, die dazu führen könnten, dass sie unwissentlich Ransomware(new window) installieren. Das Versprechen eines kostenlosen Film-Downloads könnte dich beispielsweise dazu verleiten, eine Datei herunterzuladen, die deinen Computer gefährdet.
Geschäfts-E-Mail-Kompromittierung (BEC)
In diesem Szenario kann ein Angreifer leitende Angestellte dazu bringen, Gelder zu überweisen oder sensible Informationen preiszugeben(new window). Meist in Form von E-Mails, erscheinen diese Angriffe legitim mit dringenden Anfragen oder bösartigen Links, was sie schwerer erkennbar macht.
Schadsoftware
Hierbei werden falsche Alarme und erfundene Bedrohungen versendet, um potenzielle Opfer zum Herunterladen oder Installieren schädlicher Software zu zwingen. Diese Bedrohungen behaupten zum Beispiel, dein System sei mit einem Virus infiziert, der eine spezielle Sicherheitssoftware erfordert, die tatsächlich schädlich ist.
Mülltauchen
Diese Taktik, obwohl aufwendiger und komplizierter, ist ein weiterer gängiger Trick der Social Engineering, der darin besteht, in deinem Müll nach Rechnungen, Kontoauszügen, vorab genehmigten Kreditkarten oder anderen Dokumenten mit sensiblen Informationen zu suchen, die für betrügerische Aktivitäten verwendet werden können.
Drängeln
Auch als „Mitlaufen(new window)“ bekannt, beinhaltet diese Taktik, dass Angreifer durch dichtes Folgen hinter autorisiertem Personal in gesicherte Bereiche gelangen. Drängeln nutzt den menschlichen Instinkt aus, Türen offen zu halten, besonders in belebten Bereichen.
Geldbetrug
Du hast wahrscheinlich schon vom sogenannten Nigeria-Prinzen-Betrug(new window) gehört, bei dem ein Angreifer dich bittet, bei der Überweisung eines großen Geldbetrags aus dem Ausland zu helfen und dafür eine Provision zu erhalten. Natürlich musst du zuerst deine Bankdaten übergeben oder eine „Bearbeitungsgebühr“ zahlen, um es zu erhalten.
Quid pro quo
Hier bieten Angreifer Dienstleistungen oder Vorteile im Austausch für Informationen an. Ein Hacker könnte zum Beispiel anbieten, ein Computerproblem zu beheben, das erfordert, dass du ein Fernzugriffstool herunterlädst, welches dem Angreifer letztendlich die Kontrolle über deinen Computer gibt.
Wie kannst du dich vor Social Engineering Angriffen schützen?
Es gibt mehrere Strategien, die du anwenden kannst, um das Risiko von Social Engineering Angriffen zu begrenzen oder zu verhindern:
Sei vorsichtig mit E-Mail-Anhängen
Sei skeptisch beim Öffnen von Anhängen oder beim Klicken auf Links in E-Mails von unbekannten Quellen, da sie Malware enthalten oder auf Phishing-Seiten verweisen können.
Sei skeptisch bei zu guten Angeboten
Wenn ein Angebot ohne offensichtlichen Haken zu großzügig erscheint, ist es wahrscheinlich eine Ködertaktik, die ausgenutzt werden soll.
Begrenze das Teilen persönlicher Informationen online
Je weniger Informationen du online teilst, desto schwieriger wird es für Angreifer, dich mit personalisierten Betrügereien zu zielen.
Aktualisiere regelmäßig deine Software
Das Aktualisieren deiner Apps und deines Betriebssystems stellt sicher, dass du den neuesten Schutz gegen neue Bedrohungen hast.
Sichere deine Daten
Regelmäßige Backups können dir helfen, schnell von einem Angriff zu erholen, ohne signifikanten Informationsverlust.
Entsorge sensible Dokumente ordnungsgemäß
Dokumente, die persönliche oder sensible Informationen enthalten, durch Schreddern oder anderweitige gründliche Vernichtung zu entsorgen, kann verhindern, dass sie entdeckt und böswillig verwendet werden.
Vermeide unbekannte USB-Geräte und deaktiviere die Autorun-Funktionen von Geräten
Das Anschließen unbekannter USB-Geräte kann Malware in dein System einführen. Das Deaktivieren von Autorun verhindert die automatische Installation möglicher Ransomware.
Nutze Mehrfaktor-Authentifizierung (MFA)
Eine zusätzliche Sicherheitsebene über nur Passwörter hinaus kann deine Verteidigung gegen unbefugten Zugriff deutlich verbessern.
Verwende starke Passwörter und 2FA
Verwende starke, einzigartige Passwörter für all deine Online-Konten. Proton empfiehlt die Verwendung eines Open-Source-Passwortmanagers(new window), um dir zu helfen, starke Passwörter zu erstellen und zu merken(new window). Zusätzlich bietet die Aktivierung der Zwei-Faktor-Authentifizierung (2FA)(new window) eine zusätzliche Schutzebene. Sollten deine Benutzernamen oder Passwörter jemals kompromittiert werden, können Betrüger nicht auf deine Konten zugreifen.
Schütze dich mit Proton
Angesichts der Bedrohungen durch Social Engineering bietet Proton eine umfassende Palette von Produkten und Funktionen, die darauf ausgelegt sind, dein digitales Leben zu sichern.
Proton Mail
Proton Mail ist darauf ausgelegt, Phishing-E-Mails zu erkennen und zu isolieren, wodurch das Risiko von Betrugsnachrichten in deinem Posteingang deutlich reduziert wird. Mit Ende-zu-Ende-Verschlüsselung als Kern unserer Dienste haben wir Proton Mail mit mehreren Ebenen der Cybersecurity-Abwehr entwickelt:
- PhishGuard fortschrittlicher Phishing-Schutz(new window) zur Kennzeichnung potenzieller Phishing-Angriffe
- Intelligente Spam-Erkennung und benutzerdefinierte Filter zum automatischen Filtern von Spam
- Link-Bestätigung, um Links vor dem Öffnen zu überprüfen
- Warnungen zur Domain-Authentifizierung, um möglicherweise gefälschte Adressen(new window) zu kennzeichnen und Anti-Spoofing für eigene Domains, um deine Domain vor Fälschungen zu schützen
- Adressverifizierung, um Absender in Ende-zu-Ende-verschlüsselten E-Mails zu verifizieren
- Aliase, um deine persönliche Adresse vor potenziellen Betrügern zu verbergen
Unsere Verschlüsselung erstreckt sich auch auf weitergeleitete Nachrichten, Dateifreigaben und alle in Proton Calendar organisierten Ereignisse, sodass du deinen Workflow und Termine planen kannst, ohne die Sicherheit zu gefährden.
Proton VPN
Proton VPN(new window) verbirgt auch deine Online-Aktivitäten und deinen Standort vor möglichen Lauschern, was es Angreifern erschwert, Informationen über dich zu sammeln, die in Social-Engineering-Angriffen verwendet werden könnten. Für Unternehmen ermöglicht ein Proton VPN for Business(new window)-Konto den Zugang zu einem umfangreichen Servernetzwerk in über 85 Ländern auf sechs Kontinenten, sodass du und deine Mitarbeiter immer Zugriff auf einen schnellen, sicheren VPN-Server haben – egal, wo sich deine Geschäfte oder Mitarbeiter befinden.
Proton Drive
Proton Drive schützt deine Dateien vor unberechtigtem Zugriff. Alle deine Dateien, Dateinamen und Ordnernamen sind sowohl in Ruhe als auch beim Transfer zu deiner sicheren Cloud vollständig verschlüsselt. Mit einem Proton for Business-Plan erhält jeder Nutzer in deiner Organisation 500 GB Speicherplatz, der den Raum und die Sicherheit bietet, die dein Unternehmen benötigt, um ohne Sorgen vor Cybersecurity-Bedrohungen zu arbeiten.
Proton Pass
Proton Pass macht es einfach, Logins sicher zu teilen und – wenn du Geschäftsinhaber bist – zu kontrollieren, wer Zugriff auf sensible Logins hat. Administratoren erhalten zusätzlichen Zugriff auf Tools, um sicherzustellen, dass ihre Teams Cybersecurity-Best Practices anwenden, einschließlich Zwei-Faktor-Authentifizierung(new window). Ein Proton Pass for Business-Konto gibt dir Zugang zu 50 Tresoren, unbegrenzten Aliasen und unserem hochsicheren Proton Sentinel-Programm, das sowohl für Proton Mail als auch für Proton Pass funktioniert und seit seiner Einführung im August 2023 tausende von Account-Übernahmeangriffen blockiert hat(new window).
Der Wechsel ist ganz einfach
Proton Mail bietet auch eine einfach zu bedienende Funktion namens Easy Switch, die es dir ermöglicht, nahtlos zu deinem neuen Proton Mail-Posteingang zu wechseln, Daten zu sichern und Nachrichten, Kontakte und Kalender von anderen E-Mail-Diensten wie Gmail zu importieren. Es ist auch einfach, deine Daten zu Drive und Pass zu übertragen.
Wenn du ein Proton Mail-Konto erstellst, schützt du nicht nur deine wertvollsten Daten vor Social-Engineering-Angriffen, sondern hilfst auch dabei, ein besseres Internet zu schaffen, in dem Privatsphäre der Standard ist.
