Datenschutz-Glossar

Social Engineering

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Was ist Social Engineering?

Social Engineering beschreibt eine Vielzahl von Taktiken, die von böswilligen Akteuren verwendet werden, um eine Person dazu zu bringen, etwas zu tun, was sie normalerweise nicht tun würde, insbesondere (aber nicht ausschließlich) online. Phishing ist eine häufige Art der Online-Social-Engineering; andere beinhalten Scareware, Pretexting und Pharming. Der Erfolg eines Social-Engineering-Angriffs beruht oft darauf, eine einzelne Person zu manipulieren, anstatt ein gesamtes System oder die Software oder Hardware eines Unternehmens anzugreifen.

Wie funktioniert Social Engineering?

Einige Taktiken spielen auf den Emotionen einer Person, indem sie Angst, Aufregung, Panik oder Dringlichkeit erzeugen. Die Annahme ist, dass eine Person in einem solchen Zustand ihre Wachsamkeit verliert und leichter zu täuschen ist.

Andere Taktiken verlassen sich auf Vertrautheit oder Unaufmerksamkeit. Der Angriff scheint von einer vertrauten Quelle zu kommen, weshalb die Person versehentlich sensible Daten wie Passwörter oder Bankinformationen weitergibt oder dazu verleitet wird, auf Links zu klicken, die auf gefälschte Websites oder malware zugreifen.

Beispiele für Social Engineering

Phishing

Bei einem phishing-Angriff wird eine Person dazu gebracht, persönliche Passwörter zu teilen, oft über eine gefälschte Website, die eine legitime imitiert. Zum Beispiel könnte eine Person eine E-Mail erhalten, die scheint, von einem Einzelhändler zu kommen, bei dem sie oft einkauft, mit einer Nachricht wie “Du hast eine Geschenkkarte gewonnen! Klicke hier, um diesen Preis zu beanspruchen!” Die Website, zu der sie weitergeleitet werden, könnte ein überzeugender Fake sein; wenn die Person versucht, sich einzuloggen, sammelt der Phisher den Benutzernamen und das Passwort und verwendet es, um auf ihr Konto auf der legitimen Seite zuzugreifen.

Scareware

Scareware verwendet häufig Pop-up-Nachrichten mit dringlicher Sprache wie “Ihr Computer ist infiziert.” Die Nachricht enthält auch eine Schaltfläche, die zum Download oder Update einer Software oder einem anderen Schutz auffordert. Stattdessen lädt die Person jedoch Malware herunter.

Pretexting

Pretexting nutzt im Allgemeinen SMS (Textnachrichten), um eine Person dazu zu bringen, persönliche Daten an Betrüger weiterzugeben. Zum Beispiel könnte eine Textnachricht behaupten, von einem örtlichen Bankmanager zu sein, mit Sprache wie “Es gibt ein Problem mit Ihrem Girokonto” und einem Link, der (angeblich) auf die Bankwebsite verweist. Der bereitgestellte Link könnte dann zu einer Fake-Website führen, die die Person auffordert, ihre Identität durch die Angabe persönlicher Daten oder Login-Informationen zu bestätigen.

Pharming

Pharming-Angriffe nutzen häufig soziale Netzwerke, mit Nachrichten von vorgetäuschter Dringlichkeit wie “Ihr Konto wurde gehackt. Ändern Sie sofort Ihr Passwort.” Der begleitende Konto-Update-Button würde Malware installieren, die das nächste Mal, wenn die Person versucht, auf ihr Social-Media-Konto zuzugreifen, zu einer Nachahmungswebsite umleitet. Wenn sie sich auf der Nachahmungsseite “einloggen”, geben sie dem Angreifer ihr Passwort, das dann verwendet werden kann, um auf legitime Konten zuzugreifen. Beachte auch, dass, wenn die Person die gefährliche Praxis befolgt, dieselben (oder sehr ähnliche) Benutzernamen/Passwörter auf verschiedenen Websites oder Apps wiederzuverwenden, die Angreifer dann auch auf diese anderen Websites und Apps zugreifen würden.

Social Engineering am Arbeitsplatz

Social Engineering ist auch ein Weg für böswillige Akteure, um Zugang zu Unternehmen oder deren Systemen zu erhalten, indem sie Mitarbeiter ins Visier nehmen. In einer Arbeitsplatzumgebung können Angreifer eine (oder mehrere) Techniken des Social Engineering verwenden, um eine Einzelperson oder eine Gruppe von Mitarbeitern dazu zu bringen, einen Fehler zu machen und so ihr Unternehmen und ihre Kollegen Datenlecks, Malware oder anderen Angriffen auszusetzen. Unternehmen wenden cybersecurity-Maßnahmen an, um sich gegen diese (und andere) Arten von Angriffen zu verteidigen. Mitarbeiter spielen eine entscheidende Rolle bei dieser Abwehr, indem sie den security-Protokollen ihres Arbeitgebers folgen.

Was soll ich tun, wenn ich angegriffen werde?

Das Wichtigste, was du tun kannst, ist, wachsam zu bleiben. Bewerte sorgfältig jede Nachricht, die dringend, alarmierend ist oder zu gut erscheint, um wahr zu sein.

  • Wenn es eine verdächtige E-Mail ist, schaue dir die E-Mail-Adresse des Absenders genau an. Antworte nicht auf die E-Mail und klicke nicht auf Links darin, es sei denn, du bist dir sicher, dass sie von einer vertrauenswürdigen Quelle stammt.
  • Besuche keine URLs, die ungewöhnlich aussehen (zum Beispiel, “alert-officialsite.com” vs. “officialsite.com”). Um besonders vorsichtig zu sein, klicke niemals auf Links in einer Nachricht, E-Mail oder einem Pop-up, sondern gebe die URL direkt in die Adressleiste deines Browsers ein oder verwende die offizielle App des Unternehmens.
  • Wenn du dich auf einer Website befindest und diese verdächtig aussieht, vertraue deinem Instinkt. Interagiere nicht mit einer Website, wenn diese anders aussieht als üblich.
  • Wenn du vermutest, dass eines deiner Konten kompromittiert wurde, ändere sofort dein Passwort auf dieser Seite/App und auf allen anderen Seiten/Apps, bei denen du dasselbe (oder ein ähnliches) Passwort verwendest. Denke daran, dass du immer äußerst unterschiedliche Passwörter für jede Seite und App verwenden solltest, um den Schaden zu begrenzen, falls ein Konto kompromittiert wird. Ein seriöser password manager kann helfen.

Wie kann ich verhindern, dass ich überhaupt Ziel von Social Engineering werde?

Es gibt mehrere Schritte, die du unternehmen kannst, um die Wahrscheinlichkeit zu minimieren, dass du Ziel von Social Engineering wirst.

  • Überprüfe immer die Seite, die du besuchst und/oder in die du persönliche Informationen eingibst (z. B. “google.com” vs. “gooooooogle.com”).
  • Vermeide das Herunterladen, Anmelden oder Teilen persönlicher Informationen auf einer App oder einem Dienst, es sei denn, es handelt sich um etwas, das du gesucht hast.
  • Gehe äußerst vorsichtig mit jeder Website, E-Mail oder Textnachricht um, die dir unerwartet eine Belohnung anbietet oder dich auffordert, Software herunterzuladen oder zu aktualisieren.
  • Aktiviere Safe Browsing in deinem Web-browser. Alle großen Browser, einschließlich Brave, unterstützen diese Funktion, die dich warnen kann, wenn du dabei bist, eine bekannte Phishing-Seite zu besuchen.
  • Halte die von dir verwendete Software stets auf dem neuesten Stand, sodass sie die neuesten Sicherheitsfixes enthält. Dies ist besonders wichtig für dein Betriebssystem (OS) und deinen Browser, die dich oft darauf hinweisen, wenn sie aktualisiert werden müssen.
  • Verwende einen Passwort-Manager, um alle deine Passwörter sicher zu speichern und um zufällige und einzigartige Passwörter für jedes Konto und jede Website zu generieren, auf die du zugreifst.
  • Aktiviere die Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung für jedes Konto, das dies unterstützt. Dies wird Angriffe nicht verhindern, aber es wird den Schaden begrenzen, falls du doch Ziel wisrt: Selbst wenn ein Angreifer dein Passwort erhält, hat er nicht deinen zweiten Faktor (in der Regel ein einzigartiger, einmaliger Zahlencode, der ebenfalls erforderlich ist, bevor Sie Zugriff auf dein Konto auf einer Website oder App erhalten).
  • Installiere und aktualisiere Apps nur über den offiziellen App Store oder von renommierten Unternehmen.
  • Vermeide die Installation von Browser-extensions. Wenn du diese installieren musst, tu dies nur über den “offiziellen” Store für diese Erweiterungen, z. B. den Chrome Web Store. (Beachte, dass Browser wie Brave über einen integrierten Ad-Blocker verfügen, Brave Shields, was bedeutet, dass du keine Ad-Blocking-Erweiterung installieren musst.)
  • Gebe persönliche Informationen nur auf Websites ein, die HTTPS verwenden (achte auf „https://“ in der Adressleiste deines Browsers), und vermeide dies auf nicht-HTTPS-Seiten. In Brave werden Verbindungen automatisch auf HTTPS aktualisiert. Wenn du mit einem öffentlichen oder nicht vertrauenswürdigen Wi-Fi-Netzwerk oder ISP verbunden bist, versuche, ein VPN zu verwenden.

Bereit für Brave, dem neuen Internet?

Brave wurde von einem Team aus datenschutz- und leistungsorientierten Vorreitern des Webs entwickelt. Helfen Sie uns dabei, gemeinsam das Internet zu reparieren.