Social Engineering macht sich vermeintliche menschliche Schwächen wie Neugier oder Angst zunutze, um Zugriff auf sensible Daten oder Informationen zu erhalten. Dabei verleiten Täter ihre Opfer dazu, eigenständig wichtige Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadsoftware auf ihren Systemen zu installieren.
Was ist Social Engineering?
Beim Social Engineering geht es um die zwischenmenschliche Beeinflussung einer Person. Im Zuge dessen versucht der Hacker, das Vertrauen seines Opfers zu gewinnen und ihm so vertrauliche Informationen (wie z.B. Zugangsdaten oder Zahlungsinformationen) oder auch Geld zu entlocken. Die Betrugsmasche an sich gab es bereits lange vor der Zeit des Internets: Etwa beim sogenannten Enkel-Trick, wo sich Betrüger als Familienmitglieder ausgeben und eine Notsituation vorgaukeln, um an Geld oder Wertgegenstände ihrer Opfer zu gelangen.
Wie sieht Social Engineering online aus?
In Zeiten der digitalen Kommunikation haben Betrüger auch mehr Möglichkeiten, um sich als jemand anderes auszugeben. Ein klassischer (Online-) Fall von Social Engineering wäre es etwa, wenn sich der Hacker als hochrangiger Mitarbeiter eines Unternehmens ausgibt und einen Mitarbeiter per Mail auffordert, eine Überweisung zu tätigen. Durch die mutmaßliche Dringlichkeit des Anliegens befindet sich der Empfänger der E-Mail nun in der Situation, dem Auftrag des Vorgesetzten zügig nachzukommen. Doch nicht nur Personen aus dem Controlling oder der Geschäftsführung können betroffen sein. Auch bei vermeintlichen E-Mails von der IT-Abteilung mit der Aufforderung Zugangsdaten zu teilen, sollte man hellhörig werden.
Wie kann man sich schützen?
In den meisten Fällen ist der Absender das eindeutigste Kriterium, um einen Social Engineering-Versuch zu enttarnen. Daher sollte die Absender-Adresse sorgfältig geprüft werden. Wichtig auch: Wenn etwas komisch erscheint, besser persönlich nachfragen. Ein kurzes Telefonat hilft, um auf Nummer sicher zu gehen. Gerade bei CEO-Fraud-Attacken ist es wichtig, sich nicht einschüchtern zu lassen. Bei einer kurzfristigen Überweisung von mehreren tausend Euro, sollte man hinterfragen, ob der Vorgesetzte, dies wirklich ohne das Wissen anderer und noch dazu auf ein unbekanntes Konto veranlassen würde. So wie bei herkömmlichen Spam-Mails sollte man auch bei vermeintlichen Social Engineering-Versuchen auf die Rechtschreibung achten, denn diese könnte ein Hinweis darauf sein, dass etwas nicht in Ordnung ist. Auf mitgeschickte Links sollte ebenfalls nicht geklickt werden, besser zuerst mit der Maus drüber hovern.
