Durch die Digitalisierung sind wir alle zu potenziellen Opfern von Cyberkriminalität geworden. Während der Grossteil der Cyberkriminalität durch technische Angriffe erfolgt, begründet Social Engineering als Methode besondere menschliche Dreistigkeit. Indem die Täterschaft menschliche Schwachpunkte, namentlich Vertrauen, Gutmütigkeit, Überforderung oder Hilflosigkeit der Opfer ausnutzt, spielen die Angreifer mit menschlichen Emotionen.
Wie geht die moderne Täterschaft vor, um Sie als potenzielles Opfer persönlich, geschäftlich oder finanziell zu schädigen und sich gleichzeitig zu bereichern?
Spear Phishing ist eine Variante des klassischen Phishings, bei der nur eine bestimmte natürliche oder juristische Person durch Phishing angegriffen wird. Dabei wird der Zielperson eine E-Mail zugestellt. Die besondere Dreistigkeit dabei ist Raffiniertheit der Angreifer, welche die E-Mail als vertrauenswürdig gestalten. Dabei wird dem Opfer suggeriert, dass die E-Mail beispielsweisen von Kollegen, Vorgesetzten oder Geschäftspartner stammt. Nicht nur der Absender wirkt dabei täuschend echt – auch das Design, die Signatur oder ein wirklicher inhaltlicher Sinn können die Opfer dazu verleiten, einen bösartigen Link anzuklicken oder vertrauliche Daten preiszugeben.
Durch Pretexting gibt sich die Täterschaft als eine andere Person aus. Auch dabei geht es darum, Ihr Vertrauen zu gewinnen. Dazu wählt die Täterschaft vertrauensbegründende Identitäten aus, wie z.B. die von Polizisten, IT-Supportern, Ärzten, Anwälten, Bankangestellten oder Behördenpersonal. Unter dem Vorwand einer erfundenen Geschichte, rücken die Opfer regelmässig vertrauliche Informationen an die Täterschaft heraus.
Der Name Vishing bildet eine Kombination aus «Voice» und «Phishing». Diese Variante wird durch Telefonanrufe vollzogen. Gleich wie bei der Pretexting-Variante gibt sich die Täterschaft als Vertrauensperson aus. Das Ziel bildet dabei regelmässig das Erlangen von Passwörtern oder Kreditkartenangaben.
Bei Baiting wird mit der Hab- oder Neugier der Opfer gespielt. Die Angreifer stellen Ihnen dabei eine Falle, indem sie Ihnen Benefits, wie z.B. den kostenlosen Download eines Kinofilms versprechen, wenn Sie eine bestimmte Aktion ausführen. Regelmässig müssen Sie dazu persönliche Daten angeben. Sobald Sie den angeblichen Kinofilm herunterladen und öffnen, ist Ihr Rechner infiziert.
Dubiose Quizzes und Umfragen nutzen den Meinungsäusserungs- und Bestätigungsdrang des Menschen aus. Solche Quizzes werden oft in sozialen Netzwerken platziert. Durch die Teilnahme werden Sie durch harmlose Fragen über Ihre persönlichen Daten ausgefragt. Diese Daten können die Täter später für verschiedene Zwecke nutzen, welche Sie zu schädigen vermögen.
Abschliessend lässt sich festhalten, dass Social Engineering eine fortschrittliche Methode der Cyber-Kriminalität darstellt, welche an Dreistigkeit nicht zu überbieten ist und die Menschlichkeit als Schwachpunkt ausnutzt. Schützen Sie sich, indem Sie Aufmerksamkeit und extreme Vorsicht walten lassen. Vorsicht ist besser als Nachsicht. Scheuen Sie keine Abklärungen, bevor Sie sensitive Daten preisgeben. Schulen Sie Ihre Mitarbeiter, falls Sie ein Unternehmen führen. Gerne beraten wir Sie umfangreich über anfallende Risiken und führen Wortshops mit Ihrem Unternehmen. Wir freuen uns über Ihre Kontaktaufnahme.