Ein Mann mittleren Alters sitzt zu Hause auf einem Stuhl und blickt kritisch auf sein Smartphone
Wissen

Social Engineering: Vorsicht, Gefahr für Ihr Bankkonto!

Detlev Neumann
von Detlev Neumann, 19.08.2021

Was ist die größte Schwachstelle in jedem Sicherheitssystem? Das sind wir! Denn unser Verstand ist leichter auszutricksen als wir uns das vorstellen – zum Beispiel über Social Engineering. Damit wollen uns Cyberkriminelle unsere persönlichen Daten entlocken. Wie sie dafür menschliche Schwächen ausnutzen und was Sie dagegen tun können? Die KlarMacher verraten es Ihnen. 

Themen in diesem Artikel

Was ist Social Engineering?

Mit Social Engineering wollen Betrüger*innen Sie beeinflussen und ausnutzen. Die Absicht dahinter: Sie sollen beispielsweise ihre persönlichen Informationen wie Passwörter, Bank- oder Kreditkartendaten preisgeben. Und das auch noch freiwillig. Aber warum sollten Sie das tun?

Weil die Täter*innen geschickt menschliche Eigenschaften und Schwächen für ihre Zwecke missbrauchen. So appellieren sie beispielsweise an die Hilfsbereitschaft, nutzen das Vertrauen in Autoritäten oder Gier und Angst aus – ohne dass ihre Zielpersonen etwas von der Manipulation bemerken. 

Social Engineering – der Mensch als Schwachstelle | BSI

Klicken Sie hier, um die Inhalte von YouTube anzuzeigen.

Meine Zustimmung kann ich jederzeit unter Datenschutz widerrufen.

© Bundesamt für Sicherheit in der Informationstechnik 

Social Engineering ist kein Phänomen der Neuzeit, sondern eine Betrugsform, die es schon seit Ewigkeiten gibt. Ein „jüngeres” Beispiel: Im 17. Jahrhundert erbeuteten Trickbetrüger*innen mit der Masche des „Spanischen Gefangenen” eine beträchtliche Summe Bargeld. Sie verschickten unzählige Briefe an wohlhabende Bürger*innen und behaupteten darin, in spanischer Haft zu sein.

Um sich daraus freizukaufen, baten sie die Angeschriebenen um Geld. Im Gegenzug wollten sie ihnen den geheimen Ort eines vergrabenen Schatzes verraten. Um den moralischen Druck zu erhöhen, gaben sich die Kriminellen in einigen Fällen als entfernte und unbekannte Verwandte aus. Wer zahlte – sei es aus Gier oder Großherzigkeit – bekam die versprochene Belohnung natürlich nicht.

Apropos Verwandte und Hilfsbereitschaft: Wem kommt da nicht gleich der Enkeltrick in den Sinn? Bei dieser Social-Engineering-Methode geben sich Anrufer*innen als nahe Familienmitglieder aus – meist gegenüber älteren und hilflosen Personen. Um an deren Bargeld oder Wertsachen zu kommen, greifen sie tief in die psychologische Trickkiste. So wollen sie Zweifel an ihren rührseligen Geschichten im Keim ersticken.

Was ist Social Hacking?

Was ist Social Hacking?

Social Hacking ist eng mit Social Engineering verwandt. Von Social Hacking spricht man, wenn Menschen gezielt beeinflusst werden, um in ein fremdes Computersystem oder Netzwerk einzudringen. Hacker*innen umgehen dabei selbst die sichersten Firewalls und Schutzmechanismen, indem Sie die „Schwachstelle Mensch” ausnutzen.

Die obigen Beispiele zeigen, dass sich menschliche Eigenschaften und damit auch die Definition des Social Engineerings über die Jahre kaum verändert haben. Doch nicht alles ist gleich geblieben: Trickbetrüger*innen heißen auf Neudeutsch „Social Engineers“. Das bedeutet grob übersetzt „Sozialingenieure”. Und wie es sich für Ingenieurinnen und Ingenieure gehört, entwickeln sie immer wirksamere Vorgehensweisen. Anstatt mit Briefen greifen Social Engineers heute per E-Mail, SMS, Messenger-Dienste oder privater Nachrichten in sozialen Netzwerken an.

Was sind bekannte Beispiele für Social-Engineering-Attacken?

Social Engineering nutzt die „Schwachstelle Mensch“ auf viele Arten und Weisen aus. Im Folgenden stellen wir Ihnen die verbreitetsten Social-Engineering-Methoden vor: 

Baiting (Ködern)

Beim Baiting legen Angreifer*innen einen Köder aus, um Sie zu beeinflussen. Aufhänger dieser Social-Engineering-Methode ist etwas, das unwillkürlich Ihre Neugier wecken soll. Gängige Beispiele sind kostenlose Film- oder Musik-Downloads. Laden Sie die entsprechende Datei herunter, installieren Sie damit eine Schadsoftware auf Ihrem System. 

Doch Bating beschränkt sich nicht auf den Online-Bereich. Social Engineers könnten Ihnen auf unterschiedliche Art einen manipulierten USB-Stick zuschieben. Wenn Sie den an Ihren Computer anschließen, wird Ihr System ebenfalls – oft unmerklich im Hintergrund – mit Schadsoftware infiziert. In unserem KlarMacher-Beitrag zur Cyberkriminalität zeigen wir Ihnen, was Sie dann dagegen machen können.

Phishing

Die häufigste Form von Social-Engineering-Angriffen ist das Fischen nach Passwörtern – das sogenannte Phishing. Dabei versenden die Täter*innen vor allem gefälschte E-Mails im Namen einer seriösen Organisation, um Sie zu einer Antwort zu drängen und vertrauliche Daten „abzufischen”. In einem separaten KlarMacher-Artikel verraten wir Ihnen im Detail, wie Social Engineers beim Phishing vorgehen und wie Sie sich vor Phishing-Angriffen schützen

Quid quo pro

Wortwörtlich übersetzt bedeutet die lateinische Redewendung „dies für das“. Das bedeutet in der Praxis: Wer etwas gibt, der soll dafür eine Gegenleistung erhalten. Und genauso funktioniert auch der gleichnamige Social-Engineering-Angriff. Bei einer Quid-quo-pro-Attacke versprechen Ihnen die Kriminellen für einen Gefallen einen attraktiven Ausgleich.

Bekannte Quid-quo-pro-Angriffe laufen über E-Mails, in denen Ihnen jemand eine enorme Summe anbietet. Allerdings müssten Sie vorher ihr oder ihm Geld überweisen. Natürlich sollten bei sowas Ihre inneren Alarmglocken läuten. 

Eine junge Frau ist in der Stadt unterwegs und hält ein Geschenk in die Kamera
© istock/Tempura/2016  Zu schön um wahr zu sein? Halten Sie sich immer vor Augen, dass es im Internet nichts geschenkt gibt.

Allerdings gehen Social Engineers auch wesentlich raffinierter vor. Zum Beispiel könnten Angreifer*innen versuchen, Sie mit einer offiziellen Telefonumfrage in die Falle zu locken. Für Ihre Teilnahme sollen Sie eine großzügige Belohnung oder ein Geschenk erhalten. Die Hoffnung der Kriminellen: Während des Gesprächs entlocken sie Ihnen sensible Informationen, wie Ihre Passwörter, Bank- oder Kreditkartendaten. Auf Ihre Belohnung warten Sie natürlich vergeblich.

CEO Fraud

Diese Form des digitalen Trickbetrugs ist auch als Chef-Trick oder Fake-President-Fraud (FPF) bekannt. Meist stecken sehr gewiefte Täter*innen hinter dem CEO-Fraud. Erst kundschaften sie Beschäftigte sowie deren Arbeitgeber sorgfältig aus. Dann kontaktieren sie die Mitarbeitenden – zumeist im Namen einer Führungskraft oder aus einem scheinbar wichtigen beruflichen Grund. Der übliche Sinn der Sache: Die überrumpelten Opfer sollen vertrauliche IT-Anmeldedaten der Firma preisgeben oder Geld auf ein Auslandskonto überweisen.

Je mehr Informationen zu dem Unternehmen vorliegen, desto erfolgversprechender ist diese Social-Engineering-Methode. Meist erfolgt sie über E-Mail oder Telefon. Social Engineers nutzen die Autorität der angeblichen Vorgesetzten jedoch auch aus, um Informationen für andere Social-Engineering-Attacken zu sammeln. 

Pretexting

Das Alleinstellungsmerkmal von Pretexting sind seine besonders kreativ ausgetüftelten Fallen. Beispiel: Ein vermeintlicher Kundendienstberater Ihrer Bank ruft Sie an. Im Gespräch fragt er nach Ihren Bank- oder Kreditkartendaten, weil angeblich eine Zahlung fehlgeschlagen sei. Dabei geht es um eine Bestellung, die Sie wirklich gemacht haben. Damit der Trick funktioniert, sammeln Betrüger*innen – anders als beim klassischen Phishing – im Vorfeld möglichst viele Informationen über Sie. So lässt sich Pretexting individuell auf Sie zuschneiden und wirkt besonders glaubhaft.

Ein lächelnder Kundendienstberater sitzt mit Laptop und Headset am Schreibtisch
© istock/PeopleImages/2016  Wenn ein vermeintlicher Kundendienstmitarbeiter Ihrer Bank Sie anruft und sensible Daten erfragt, dann handelt es sich wahrscheinlich um eine Social-Engineering-Attacke.

Damit gelingt es geschickten Social Engineers sogar, Zwei-Faktor-Authentifizierungen auszuhebeln, zum Beispiel das TAN-Verfahren beim Online-Banking. Dazu ergaunern sie zunächst Ihre Login-Daten für Ihr Online-Banking-Konto. Das gelingt über andere Social-Engineering-Methoden wie Phishing. Im nächsten Schritt stoßen die Hacker*innen eine Überweisung an. Um die auszuführen, fehlt ihnen nur noch die passende Transaktionsnummer (TAN). Die hat Ihnen als wahre*n Kontobesitzer*in mittlerweile die Bank geschickt.

Um Ihnen die TAN zu entlocken, tischen Ihnen die Täter*innen die Geschichte von verdächtigen Bewegungen auf Ihrem Konto auf. Um die Angelegenheit (und Ihre Identität) zu klären, werde lediglich die soeben an Sie verschickte TAN benötigt. Geben Sie Ihre TAN preis, können die Anrufer*innen damit Ihr Konto plündern.

 Job-Scamming

Viele Menschen wünschen sich einen gut bezahlten Nebenjob, den Sie bequem von zu Hause aus erledigen können. Das machen sich immer mehr Cyberkriminelle beim sogenannten Job-Scamming zunutze. Die Social-Engineering-Methode beginnt mit einer viel Geld versprechenden – aber gefälschten – Stellenanzeige im Netz. So locken die Täter*innen eine große Zahl an Interessenten an, auf deren Daten oder Identität sie es abgesehen haben.

Ein Mann hat gerade seine Online-Bewerbung an seinem Laptop verschickt
© istock/glegorly/2020  Job-Scamming: Immer mehr Social Engineers gehen mit gefälschten Jobangeboten auf Datenfang.

Im Zuge des vorgeblichen Bewerbungsprozesses sammeln Kriminelle mühelos alle benötigten persönlichen Daten. Schließlich hoffen die ahnungslosen Bewerber auf einen lukrativen Job und übermitteln dafür gern sensible Daten wie ihren Lebenslauf und sonstige angefragte Dokumente. Mit diesen Informationen eröffnen die Täter*innen beispielsweise ein Bankkonto.

Vorher ist aber noch eine Hürde zu meistern: Wer in Deutschland ein Konto online anlegen will, muss sich über ein gesetzlich anerkanntes Video-Ident-Verfahren legitimieren. Deshalb werden die getäuschten Bewerber*innen aufgefordert, Ihre Identität über ein solches Verfahren zu bestätigen. Das gehöre zum Einstellungsprozess. Spielen die ahnungslosen Opfer mit, dann eröffnen sie unwissentlich ein Bankkonto, das die Täter*innen für kriminelle Machenschaften nutzen können. Das wäre ein typisches Beispiel für Identitätsdiebstahl.

So schützen Sie sich vor Social Engineering

Social-Engineering-Angriffe sind schwer abzuwehren, weil sie gezielt menschliche Schwächen ausnutzen. Deshalb ist der wirksamste Schutz gegen Social Engineering ein gesundes Misstrauen. Denken Sie stets daran, dass es auch im Internet nichts geschenkt gibt. Kommt Ihnen eine Situation unglaubwürdig vor, dann ist sie es oft auch.

Behalten Sie im Hinterkopf, dass Social Engineers in der Regel sehr freundlich und wortgewandt sind. Die Angreifer*innen lassen erst locker, wenn sie Ihnen die gewünschten Informationen entlockt haben. Bleiben Sie immer standhaft und lassen Sie sich zu nichts drängen. Als Faustregel gilt: Geben Sie niemals sensible Daten an Fremde weiter – weder am Telefon noch via E-Mail oder in sozialen Netzwerken.

Bei Anrufen ist besondere Vorsicht geboten: Verraten Sie auch scheinbar unwichtige Daten nicht an Unbekannte, da Social Engineers damit künftige Angriffe vorbereiten könnten. Im Zweifelsfall legen Sie einfach auf!

Wie hat Ihnen der Artikel gefallen?

4

Das könnte Sie auch interessieren: