Social Engineering: Vorsicht, Gefahr für dein Bankkonto!
Was ist die größte Schwachstelle in jedem Sicherheitssystem? Das sind wir! Denn unser Verstand ist leichter auszutricksen als wir uns das vorstellen – zum Beispiel über Social Engineering. Damit wollen uns Cyberkriminelle unsere persönlichen Daten entlocken. Zum Beispiel, um dein Bankkonto leerzuräumen. Mit welchen Methoden sie menschliche Schwächen ausnutzen und was du dagegen tun kannst? Die KlarMacher verraten es dir.
Themen in diesem Artikel
- Definition: Was ist Social Engineering?
- Was sind bekannte Beispiele für Social-Engineering-Attacken?
- So schützt du dich vor Social-Engineering-Angriffen
- FAQ: Häufige Fragen und Antworten
Auf den Punkt: Social Engineering
- Social Engineering nutzt gezielt menschliche Schwächen wie Vertrauen, Angst oder Hilfsbereitschaft aus.
- Betrüger*innen wollen dich dazu bringen, sensible Daten wie Passwörter oder Bankinformationen preiszugeben.
- Die Betrüger*innen nutzen zunehmend digitale Medien.
- Dein bester Schutz ist ein gesundes Misstrauen und die klare Regel, keine vertraulichen Daten an Fremde weiterzugeben.
Definition: Was ist Social Engineering?
Mit Social Engineering wollen Betrüger*innen dich beeinflussen und ausnutzen. Sie heißen „Social Engineers“. Das bedeutet auf Deutsch grob übersetzt „Sozialingenieur*innen”. Die Absicht dahinter: Du sollst deine persönlichen Informationen wie beispielsweise Passwörter, Bank- oder Kreditkartendaten preisgeben. Und das auch noch freiwillig. Aber warum solltest du das tun?
Weil die Täter*innen geschickt menschliche Eigenschaften und Schwächen für ihre Zwecke missbrauchen. So appellieren sie beispielsweise an die Hilfsbereitschaft, nutzen das Vertrauen in Autoritäten oder Gier und Angst aus – ohne dass ihre Zielpersonen etwas von der Manipulation bemerken.
Social Engineering – der Mensch als Schwachstelle | BSI
Social Engineering ist kein Phänomen der Neuzeit, sondern eine Betrugsform, die es schon seit Ewigkeiten gibt. Ein „jüngeres” Beispiel: Im 17. Jahrhundert erbeuteten Trickbetrüger*innen mit der Masche des „Spanischen Gefangenen” eine beträchtliche Summe Bargeld. Sie verschickten unzählige Briefe an wohlhabende Bürger*innen und behaupteten darin, in spanischer Haft zu sein.
Um sich daraus freizukaufen, baten sie die Angeschriebenen um Geld. Im Gegenzug wollten sie ihnen den geheimen Ort eines vergrabenen Schatzes verraten. Um den moralischen Druck zu erhöhen, gaben sich die Kriminellen in einigen Fällen als entfernte und unbekannte Verwandte aus. Doch: Wer zahlte – sei es aus Gier oder Großherzigkeit – bekam die versprochene Belohnung natürlich nicht.
Apropos Verwandte und Hilfsbereitschaft: Wem kommt da nicht gleich der Enkeltrick in den Sinn? Bei dieser Social-Engineering-Methode geben sich Anrufer*innen als nahe Familienmitglieder aus – oft gegenüber älteren oder schutzbedürftigen Personen. Um an deren Bargeld oder Wertsachen zu kommen, greifen sie tief in die psychologische Trickkiste. So wollen sie Zweifel an ihren rührseligen Geschichten im Keim ersticken.
Was ist Social Hacking?
Social Hacking ist eng mit Social Engineering verwandt. Von Social Hacking spricht man, wenn Menschen gezielt beeinflusst werden, um in ein fremdes Computersystem oder Netzwerk einzudringen. Zum Beispiel, wenn Cyberkriminelle bei den Mitarbeitenden eines Unternehmens anrufen, um ihnen Zugangsdaten und Passwörter zu entlocken. Hacker*innen umgehen dabei selbst die sichersten Firewalls und Schutzmechanismen, indem sie die „Schwachstelle Mensch” ausnutzen.
Die obigen Beispiele zeigen, dass sich menschliche Eigenschaften und damit auch die Definition des Social Engineerings über die Jahre kaum verändert haben. Doch nicht alles ist gleich geblieben: Im Zeitalter der Technologisierung und Digitalisierung kommt Social Engineering eine weitere Bedeutung zu.
Neue Online Betrugsmaschen machen es immer einfacher, an sensible Daten zu kommen. Anstatt umständlich mit Briefen greifen Social Engineers heute per E-Mail, SMS, Messenger-Dienst oder privater Nachrichten in sozialen Netzwerken an.
Was sind bekannte Beispiele für Social-Engineering-Attacken?
Social Engineering nutzt die „Schwachstelle Mensch“ auf viele Arten und Weisen aus. Im Folgenden stellen wir dir die verbreitetsten Social-Engineering-Methoden vor:
Baiting (Ködern)
Beim Baiting legen Angreifer*innen einen Köder aus, um dich zu beeinflussen. Aufhänger dieser Social-Engineering-Methode ist etwas, das unwillkürlich deine Neugier wecken soll. Gängige Beispiele sind kostenlose Film- oder Musik-Downloads. Lädst du die entsprechende Datei herunter, installierst du damit eine Schadsoftware auf deinem System.
Doch Baiting beschränkt sich nicht auf den Online-Bereich. Social Engineers könnten dir auch einen manipulierten USB-Stick zuschieben. Wenn du den an deinen Computer anschließt, wird dein System ebenfalls – oft unmerklich im Hintergrund – mit Schadsoftware infiziert. In unserem KlarMacher Beitrag zur Cyberkriminalität zeigen wir dir, was du dann dagegen machen kannst.
Phishing
Die häufigste Form von Social-Engineering-Angriffen ist das Fischen nach Passwörtern – das sogenannte Phishing. Oft versenden die Täter*innen dabei gefälschte E-Mails im Namen einer seriösen Organisation, um dich zu einer Antwort zu drängen und an vertrauliche Daten zu gelangen. In einem separaten KlarMacher Artikel verraten wir dir im Detail, wie Kriminelle beim Phishing vorgehen und wie du dich vor Phishing-Angriffen schützen kannst.
Quid quo pro
Wortwörtlich übersetzt bedeutet die lateinische Redewendung „dies für das“. Das bedeutet in der Praxis: Wer etwas gibt, der soll dafür eine Gegenleistung erhalten. Und genauso funktioniert auch die gleichnamige Social-Engineering-Attacke. Bei einer Quid-quo-pro-Attacke versprechen dir die Kriminellen für einen Gefallen einen attraktiven Ausgleich.
Bekannte Quid-quo-pro-Angriffe laufen über E-Mails, in denen dir jemand eine enorme Summe anbietet. Allerdings musst du dieser Person vorher Geld überweisen. Natürlich sollten bei sowas deine inneren Alarmglocken läuten.
Allerdings gehen Social Engineers auch wesentlich raffinierter vor. Zum Beispiel könnten Angreifer*innen versuchen, dich mit einer offiziellen Telefonumfrage in die Falle zu locken. Für deine Teilnahme versprechen sie eine großzügige Belohnung oder ein Geschenk. Die Hoffnung der Kriminellen: Während des Gesprächs entlocken sie dir sensible Informationen, wie deine Passwörter, Bank- oder Kreditkartendaten. Auf deine Belohnung wartest du dann natürlich vergeblich.
CEO Fraud
Diese Form des digitalen Trickbetrugs ist auch als Chef-Trick oder Fake-President-Fraud (FPF) bekannt. Meist stecken sehr gewiefte Täter*innen hinter dem CEO-Fraud. Erst kundschaften sie Beschäftigte sowie deren Arbeitgeber sorgfältig aus. In einem zweiten Schritt kontaktieren sie die Mitarbeitenden – zumeist im Namen einer Führungskraft oder aus einem scheinbar wichtigen beruflichen Grund. Der übliche Sinn der Sache: Die überrumpelten Opfer sollen vertrauliche IT-Anmeldedaten der Firma preisgeben oder Geld auf ein Auslandskonto überweisen.
Je mehr Informationen zu dem Unternehmen vorliegen, desto erfolgversprechender ist diese Social-Engineering-Methode. Meist erfolgt sie über E-Mail oder Telefon. Social Engineers nutzen die Autorität der angeblichen Vorgesetzten jedoch auch aus, um Informationen für andere Social-Engineering-Attacken zu sammeln.
Pretexting
Das Alleinstellungsmerkmal von Pretexting sind seine besonders kreativ ausgetüftelten Fallen. Beispiel: Du erhältst einen Anruf, vermeintlich vom Kundendienst deiner Bank. Im Gespräch wird nach deinen Bank- oder Kreditkartendaten gefragt, weil angeblich eine Zahlung fehlgeschlagen sei. Dabei geht es um eine Bestellung, die du wirklich gemacht hast. Damit der Trick funktioniert, sammeln Betrüger*innen – anders als beim klassischen Phishing – im Vorfeld möglichst viele Informationen über dich. So lässt sich Pretexting individuell auf dich zuschneiden und wirkt besonders glaubhaft.
Damit gelingt es geschickten Social Engineers sogar, Zwei-Faktor-Authentifizierungen auszuhebeln, zum Beispiel das TAN-Verfahren beim Online Banking. Wie das funktionieren soll? Dazu ein Beispiel:
Dazu ergaunern die Social Engineers zunächst die Login-Daten für dein Online Banking Konto. Das gelingt über andere Social-Engineering-Methoden wie Phishing (siehe oben). Im nächsten Schritt stoßen die Hacker*innen eine Überweisung an. Um die auszuführen, fehlt ihnen nur noch die passende Transaktionsnummer (TAN). Die bekommst du dann zum Beispiel über das ChipTAN- oder das mTAN-Verfahren von deiner Bank zugeschickt.
Nun müssen dir die Kriminellen noch die TAN entlocken. Dazu tischen sie dir bei einem vermeintlichen Anruf deiner Bank die Geschichte von verdächtigen Bewegungen auf deinem Konto auf. Um die Angelegenheit (und deine Identität) zu klären, werde lediglich die soeben an dich verschickte TAN benötigt. Gibst du die Transaktionsnummer preis, können die Anrufer*innen damit dein Konto plündern.
Job-Scamming
Viele Menschen wünschen sich einen gut bezahlten Nebenjob, den Sie bequem von zu Hause aus erledigen können. Das machen sich immer mehr Cyberkriminelle beim sogenannten Job-Scamming zunutze. Die Social-Engineering-Methode beginnt mit einer viel Geld versprechenden – aber gefälschten – Stellenanzeige im Netz. So locken die Täter*innen eine große Zahl an Interessenten an, auf deren Daten oder Identität sie es abgesehen haben.
Im Zuge des vorgeblichen Bewerbungsprozesses sammeln Kriminelle mühelos alle benötigten persönlichen Daten. Schließlich hoffen die ahnungslosen Bewerber*innen auf einen lukrativen Job und übermitteln dafür gern sensible Daten wie ihren Lebenslauf und sonstige angefragte Dokumente. Mit diesen Informationen eröffnen die Täter*innen beispielsweise ein Bankkonto.
Vorher ist aber noch eine Hürde zu meistern: Wer in Deutschland ein Konto online anlegen will, muss sich über ein gesetzlich anerkanntes Video-Ident-Verfahren legitimieren. Deshalb werden die getäuschten Bewerber*innen aufgefordert, ihre Identität über ein solches Verfahren zu bestätigen. Das gehöre zum Einstellungsprozess. Spielen die ahnungslosen Opfer mit, dann eröffnen sie unwissentlich ein Bankkonto, das die Täter*innen für kriminelle Machenschaften nutzen können. Ein typisches Beispiel für Identitätsdiebstahl.
Investment-Scam
Schnell und einfach reich werden? Das wollen wir doch alle – und sind an dieser Stelle besonders anfällig für Betrug. Wen wundert es also, wenn Social Engineers sich in diesem Feld besonders gerne tummeln. Investment-Scam nennt sich diese Online-Betrugsmasche. Den Einstieg bieten vor allem soziale Plattformen wie Facebook, Instagram oder TikTok. Vielleicht bist du auch schon einmal über die Anzeigen gestolpert: Angebliche Fachleute versprechen den Schlüssel zur erfolgreichen Aktienanlage und laden Interessierte ein, ihnen in Chatgruppen zu folgen.
Das Gemeine daran: Das Ganze kann anfangs durchaus seriös erscheinen. Mit konkreten Kaufempfehlungen in ihren Gruppen erschleichen sich die Kriminellen langsam das Vertrauen ihrer Follower*innen. Nach einiger Zeit stellen sie dann vielversprechende neue Investitionsmöglichkeiten vor, meist vermeintlich neue Kryptowährungen oder andere nicht frei am Markt verfügbare Geldanlagen. Oder sie laden Anleger*innen zu exklusiven Handelsplattformen oder Trading-Apps ein. Von den Gewinnen und dem eingesetzten Kapital siehst du dann allerdings nie wieder etwas.
Vom netten Date benutzt und ausgeraubt – Social Engineering
So schützt du dich vor Social-Engineering-Angriffen
Social-Engineering-Angriffe sind schwer zu verhindern, weil sie gezielt menschliche Schwächen ausnutzen. Vertrauen, Moral, Respekt für Autorität, Angst – gepaart mit Zeitdruck lässt sich die Psyche in vielen Fällen einfach überrumpeln. Deshalb ist der wirksamste Schutz gegen Social Engineering ein gesundes Misstrauen. Denke stets daran, dass es auch im Internet nichts geschenkt gibt. Kommt dir eine Situation unglaubwürdig vor, dann ist sie es oft auch.
Behalte im Hinterkopf, dass Social Engineers in der Regel sehr freundlich und wortgewandt sind. Die Angreifer*innen lassen erst locker, wenn sie dir die gewünschten Informationen entlockt haben. Bleibe immer standhaft und lasse dich zu nichts drängen. Als Faustregel gilt: Gib niemals sensible Daten an Fremde weiter – weder am Telefon noch via E-Mail oder in sozialen Netzwerken.
Bei Anrufen ist besondere Vorsicht geboten: Verrate auch scheinbar unwichtige Daten nicht an Unbekannte, da Social Engineers damit künftige Angriffe vorbereiten könnten. Im Zweifelsfall legst du einfach auf!
Getäuscht? Die Hanseatic Bank Apps begrenzen den Schaden!
Du hast trotz aller Vorsicht deine Daten an Kriminelle weitergegeben? Dank der Zwei-Faktor-Authentifizierung mit der App Hanseatic Bank Secure ist es Unbefugten auch dann nur schwer möglich, mit deiner GenialCard oder GoldCard zu bezahlen.
Und du kannst deine Kreditkarte selbst sicherheitshalber sperren. In der App Hanseatic Bank Mobile ist das ein Kinderspiel und eine Sache von wenigen Sekunden. Dann kann niemand deine Karte einsetzen, weder online noch im Geschäft noch sonst wo – Datenklau hin oder her.
FAQ: Häufige Fragen und Antworten
Was versteht man unter Social Engineering?
Social Engineering bezeichnet kriminelle Methoden, die menschliche Schwächen ausnutzen, um an vertrauliche Informationen zu gelangen. Betrüger*innen setzen dabei auf Manipulation, Vertrauen und Täuschung.
Was sind typische Beispiele für Social Engineering?
Gängige Social-Engineering-Angriffe sind Phishing-E-Mails, gefälschte Support-Anrufe, manipulierte USB-Sticks oder Online-Anlagebetrug. Beim CEO-Fraud geben sich Betrüger*innen als Chef*innen aus und beim Job-Scamming versuchen sie mit vermeintlich attraktiven Jobangeboten und persönliche Daten oder komplette Identitäten zu erbeuten.
Wie kann ich mich vor Social Engineering schützen?
Der beste Schutz ist gesundes Misstrauen. Gib niemals vertrauliche Daten an Fremde weiter, überprüfe Absender*innen genau und lege im Zweifel bei verdächtigen Anrufen sofort auf.
Warum ist Social Engineering so gefährlich?
Social Engineering ist gefährlich, weil es direkt den Menschen angreift – die größte Schwachstelle in jedem Sicherheitssystem. Selbst modernste Firewalls und Virenscanner helfen nicht, wenn Opfer ihre Daten freiwillig preisgeben.
Teile den Artikel:
