Ein Social-Engineering-Angriff ist ein Cyberangriff, der menschliches Verhalten psychologisch manipuliert und darauf abzielt, dass die Betroffenen sensible Daten weitergegeben, Anmeldedaten teilen, Zugriff auf ein privates Gerät gewähren oder ihre digitale Sicherheit in anderer Form kompromittieren.
Social-Engineering-Angriffe sind eine erhebliche Cybersicherheitsbedrohung, da viele Angriffe auf persönlicher Ebene beginnen und menschliche Fehler ausnutzen, die für die Umsetzung des Angriffspfads ausgenutzt werden. Angreifer wecken Empathie, Angst oder ein Gefühl der Dringlichkeit beim Opfer und erlangen so oftmals Zugriff auf personenbezogene Daten oder das Endgerät selbst. Wenn das Gerät mit einem Unternehmensnetzwerk verbunden ist oder Anmeldedaten für Unternehmenskonten darauf gespeichert sind, kann dies Angreifern auch Tür und Tor für Angriffe auf das Unternehmensnetzwerk öffnen.
Cyberkriminelle entwickeln immer neue manipulative Methoden, mit denen sie private Benutzer und Unternehmensmitarbeiter austricksen. Daher müssen die Unternehmen ihnen immer einen Schritt voraus bleiben. In diesem Blog-Artikel betrachten wir zehn der gängigsten Arten von Social-Engineering-Angriffen:
Phishing ist ein Cyberangriff, bei dem Benutzer per E-Mail, Telefon, SMS, über soziale Medien oder eine andere Form der persönlichen Kommunikation dazu verleitet werden, auf einen schädlichen Link zu klicken, infizierte Dateien herunterzuladen oder persönliche Daten wie Kennwörter oder Kontonummern preiszugeben.
Während die Forderungen bei den meisten herkömmlichen Phishing-Angriffen eher sonderbar klingen (z. B. bittet ein Mitglied eines Königshauses um die Bankdaten einer Privatperson), ist moderner Phishing-Betrug weitaus raffinierter. In vielen Fällen geben sich Cyberkriminelle harmlos anmutend als Einzelhändler, Dienstleister oder Behörde aus, um an personenbezogene Daten wie E-Mail-Adressen, Telefonnummern, Geburtsdaten oder die Namen von Familienmitgliedern heranzukommen.
Phishing ist eine der häufigsten Arten von Cyberangriffen. Seine Verbreitung nimmt von Jahr zu Jahr zu. Die Zahl von Cyberangriffen aller Art ist während der COVID-19-Pandemie erheblich gestiegen, was auch für Phishing-Angriffe gilt. Während des Lockdowns verbrachten die Menschen generell mehr Zeit im Netz und waren emotional empfänglicher als sonst – perfekte Voraussetzungen für eine effektive Phishing-Kampagne. Laut dem FBI war Phishing im Jahr 2020 die vorherrschende Form von Cyberkriminalität: Im Vergleich zum Jahr 2019 hatten sich die Vorfälle nahezu verdoppelt.
Ein Whaling-Angriff ist eine Art von Phishing-Angriff, bei der auch die persönliche Kommunikation genutzt wird, um Zugriff auf ein Gerät oder persönliche Daten eines Benutzers zu erlangen.
Der Unterschied zwischen Phishing und Whaling hat etwas mit dem Grad der Personalisierung zu tun. Während Phishing-Angriffe nicht personalisiert sind und für Millionen von Benutzern repliziert werden können, zielen Whaling-Angriffe auf eine bestimmte Person ab – in der Regel auf eine hochrangige Führungskraft. Für diese Art von Angriff müssen beträchtliche Recherchen zu dieser Person angestellt werden. Normalerweise werden dazu ihre Aktivitäten in den sozialen Medien und ihr sonstiges öffentliches Verhalten unter die Lupe genommen. Diese gründlichen Recherchen münden in einer zielgerichteten Kontaktaufnahme, wodurch die Erfolgswahrscheinlichkeit steigt.
Obwohl Whaling-Angriffe anfangs mit mehr Planung und Aufwand verbunden sind, machen sie sich oft ausgesprochen bezahlt, da die Ziele Zugriff auf gewinnversprechende Daten oder finanzielle Ressourcen bieten, die zur Fortsetzung eines Ransomware-Angriffs erforderlich sind.
Baiting ist eine Art von Social-Engineering-Angriff, bei dem Betrüger Benutzern falsche Versprechungen machen, um sie zur Preisgabe von persönlichen Daten oder zur Installation von Malware auf dem System zu verleiten.
Baiting-Betrug kann durch verlockende Anzeigen oder Online-Werbung eingeleitet werden, z. B. in Form von kostenlosen Spiel- oder Film-Downloads, Musik-Streamings oder Smartphone-Updates. Der Angreifer hofft, dass das Opfer auf das Angebot hereinfällt und dabei ein Kennwort eingibt, das es auch für andere Websites verwendet. Auf diese Weise kann der Hacker auf die Daten des Opfers zugreifen oder die Informationen an andere Kriminelle im Dark Web verkaufen.
Baiting gibt es auch in physischer Form – am häufigsten über ein mit Malware infiziertes Flash-Laufwerk: Der Angreifer hinterlässt das infizierte Flash-Laufwerk an einem gut sichtbaren Ort in der Hoffnung, dass das Opfer das Laufwerk findet und am eigenen Computer einsteckt. Während das Opfer nachsieht, wem das Laufwerk gehört, wird automatisch Malware installiert.
Diversion Theft ist ein Cyberangriff, der offline gestartet wird. Bei dieser Art von Angriff bringt ein Dieb einen Kurier dazu, ein Paket am falschen Ort abzuholen oder abzugeben, ein falsches Paket zu liefern oder ein Paket an den falschen Empfänger zu liefern.
Diversion Theft gibt es inzwischen auch als Online-Variante. In diesem Fall stiehlt der böswillige Angreifer vertrauliche Informationen, indem er den Benutzer dazu bringt, sie an den falschen Empfänger zu senden.
Diese Angriffsart umfasst häufig auch Spoofing, d. h. die Cyberkriminellen tarnen sich als eine bekannte oder vertrauenswürdige Quelle. Spoofing kann viele Formen annehmen: gefälschte E-Mails und Aufrufe, IP-Spoofing, DNS-Spoofing, GPS-Spoofing sowie Website Spoofing.
Social-Engineering-Angriffe sind eine erhebliche Cybersicherheitsbedrohung, da viele Angriffe auf persönlicher Ebene beginnen und menschliche Fehler ausnutzen, die für die Umsetzung des Angriffspfads ausgenutzt werden. Angreifer wecken Empathie, Angst oder ein Gefühl der Dringlichkeit beim Opfer und erlangen so oftmals Zugriff auf personenbezogene Daten oder das Endgerät selbst. Wenn das Gerät mit einem Unternehmensnetzwerk verbunden ist oder Anmeldedaten für Unternehmenskonten darauf gespeichert sind, kann dies Angreifern auch Tür und Tor für Angriffe auf das Unternehmensnetzwerk öffnen.
Cyberkriminelle entwickeln immer neue manipulative Methoden, mit denen sie private Benutzer und Unternehmensmitarbeiter austricksen. Daher müssen die Unternehmen ihnen immer einen Schritt voraus bleiben. In diesem Blog-Artikel betrachten wir zehn der gängigsten Arten von Social-Engineering-Angriffen:
- Phishing
- Whaling
- Baiting
- Diversion Theft
- Business Email Compromise (BEC)
- Smishing / SMS-Phishing
- Quid pro quo
- Pretexting
- Honeytrap
- Tailgating/Piggybacking
1. Phishing
Phishing ist ein Cyberangriff, bei dem Benutzer per E-Mail, Telefon, SMS, über soziale Medien oder eine andere Form der persönlichen Kommunikation dazu verleitet werden, auf einen schädlichen Link zu klicken, infizierte Dateien herunterzuladen oder persönliche Daten wie Kennwörter oder Kontonummern preiszugeben.
Während die Forderungen bei den meisten herkömmlichen Phishing-Angriffen eher sonderbar klingen (z. B. bittet ein Mitglied eines Königshauses um die Bankdaten einer Privatperson), ist moderner Phishing-Betrug weitaus raffinierter. In vielen Fällen geben sich Cyberkriminelle harmlos anmutend als Einzelhändler, Dienstleister oder Behörde aus, um an personenbezogene Daten wie E-Mail-Adressen, Telefonnummern, Geburtsdaten oder die Namen von Familienmitgliedern heranzukommen.
Phishing ist eine der häufigsten Arten von Cyberangriffen. Seine Verbreitung nimmt von Jahr zu Jahr zu. Die Zahl von Cyberangriffen aller Art ist während der COVID-19-Pandemie erheblich gestiegen, was auch für Phishing-Angriffe gilt. Während des Lockdowns verbrachten die Menschen generell mehr Zeit im Netz und waren emotional empfänglicher als sonst – perfekte Voraussetzungen für eine effektive Phishing-Kampagne. Laut dem FBI war Phishing im Jahr 2020 die vorherrschende Form von Cyberkriminalität: Im Vergleich zum Jahr 2019 hatten sich die Vorfälle nahezu verdoppelt.
2. Whaling
Ein Whaling-Angriff ist eine Art von Phishing-Angriff, bei der auch die persönliche Kommunikation genutzt wird, um Zugriff auf ein Gerät oder persönliche Daten eines Benutzers zu erlangen.
Der Unterschied zwischen Phishing und Whaling hat etwas mit dem Grad der Personalisierung zu tun. Während Phishing-Angriffe nicht personalisiert sind und für Millionen von Benutzern repliziert werden können, zielen Whaling-Angriffe auf eine bestimmte Person ab – in der Regel auf eine hochrangige Führungskraft. Für diese Art von Angriff müssen beträchtliche Recherchen zu dieser Person angestellt werden. Normalerweise werden dazu ihre Aktivitäten in den sozialen Medien und ihr sonstiges öffentliches Verhalten unter die Lupe genommen. Diese gründlichen Recherchen münden in einer zielgerichteten Kontaktaufnahme, wodurch die Erfolgswahrscheinlichkeit steigt.
Obwohl Whaling-Angriffe anfangs mit mehr Planung und Aufwand verbunden sind, machen sie sich oft ausgesprochen bezahlt, da die Ziele Zugriff auf gewinnversprechende Daten oder finanzielle Ressourcen bieten, die zur Fortsetzung eines Ransomware-Angriffs erforderlich sind.
WEITERE INFORMATIONEN
Informieren Sie sich über den Unterschied zwischen Phishing-, Spearphishing- und Whaling-Angriffen.3. Baiting
Baiting ist eine Art von Social-Engineering-Angriff, bei dem Betrüger Benutzern falsche Versprechungen machen, um sie zur Preisgabe von persönlichen Daten oder zur Installation von Malware auf dem System zu verleiten.
Baiting-Betrug kann durch verlockende Anzeigen oder Online-Werbung eingeleitet werden, z. B. in Form von kostenlosen Spiel- oder Film-Downloads, Musik-Streamings oder Smartphone-Updates. Der Angreifer hofft, dass das Opfer auf das Angebot hereinfällt und dabei ein Kennwort eingibt, das es auch für andere Websites verwendet. Auf diese Weise kann der Hacker auf die Daten des Opfers zugreifen oder die Informationen an andere Kriminelle im Dark Web verkaufen.
Baiting gibt es auch in physischer Form – am häufigsten über ein mit Malware infiziertes Flash-Laufwerk: Der Angreifer hinterlässt das infizierte Flash-Laufwerk an einem gut sichtbaren Ort in der Hoffnung, dass das Opfer das Laufwerk findet und am eigenen Computer einsteckt. Während das Opfer nachsieht, wem das Laufwerk gehört, wird automatisch Malware installiert.
4. Diversion Theft
Diversion Theft ist ein Cyberangriff, der offline gestartet wird. Bei dieser Art von Angriff bringt ein Dieb einen Kurier dazu, ein Paket am falschen Ort abzuholen oder abzugeben, ein falsches Paket zu liefern oder ein Paket an den falschen Empfänger zu liefern.
Diversion Theft gibt es inzwischen auch als Online-Variante. In diesem Fall stiehlt der böswillige Angreifer vertrauliche Informationen, indem er den Benutzer dazu bringt, sie an den falschen Empfänger zu senden.
Diese Angriffsart umfasst häufig auch Spoofing, d. h. die Cyberkriminellen tarnen sich als eine bekannte oder vertrauenswürdige Quelle. Spoofing kann viele Formen annehmen: gefälschte E-Mails und Aufrufe, IP-Spoofing, DNS-Spoofing, GPS-Spoofing sowie Website Spoofing.