Nicht nur für die Corona-Krise – Empfehlungen zum Schutz vor Social-Engineering

Menschen sind beeinflussbar und manipulierbar – nicht etwa, weil sie dumm oder schwach wären, sondern weil sie gelernt haben, sich kooperativ zu verhalten. Genau dieses Verhalten nutzen Cyber-Kriminelle und fremde Nachrichtendienste mit Social-Engineering aus. Ziel ist, an die sensitiven Informationen der Opfer zu gelangen, wie beispielsweise Bankdaten oder andere vertrauliche Daten.

Gerade jetzt in einer Zeit, in der die Corona-Krise alle Menschen in Deutschland hochemotional beschäftigt und Auswirkungen auf das Leben jedes Einzelnen hat, verlagern Cyber-Kriminelle den Schwerpunkt ihrer Angriffe. Bereits 16.385 neu registrierte Domains mit schadhafter Absicht und Bezug zum Thema Covid-19/Corona konnten im Internet durch Sicherheitsbehörden, wie zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik und andere Sicherheitsforscher identifiziert werden. Auffällig: das fingierte Thema ist zwar ein neues, die Vorgehensweise der Angreifer hat sich aber offensichtlich nicht geändert.

Was ist Social-Engineering?

Beim Social Engineering versuchen die Angreifer ihre Opfer mit psychologischen Tricks zu manipulieren. Dazu beeinflussen sie geschickt menschliche Eigenschaften wie Hilfsbereitschaft, Neugierde, Vertrauen, Angst oder Respekt vor Autorität. Die Angreifer versuchen dabei ihre Opfer zu etwas zu bringen, was diese so eigentlich nie vorhatten. Es geht ihnen darum, dass das Opfer zum Beispiel einen Link anklickt, oder eine PIN in das offiziell wirkende Eingabeformular eingibt. Das Vorgehen der Angreifer ist dabei nicht selten äußerst professionell. Oft bemerkt man gar nicht, dass man am Telefon interne vertrauliche Informationen preisgegeben hat oder in einer Mail auf einen nicht vertrauenswürdigen Link im Internet geklickt hat.

Wie funktioniert die Manipulation durch Social-Engineering?

Die Angreifer haben immer eines im Auge: Die Emotionen der Opfer zu wecken – egal ob Freude und Angst. In der jetzigen Zeit ist dies gerade bei der dynamischen Entwicklung zum Thema Corona-Pandemie sehr einfach zu erreichen. Einige Beispiele zurzeit sind:

• Ängste, die die Gesundheit der Familie betreffen.
• Hoffnung auf monetäre Unterstützung.
• Sorge, etwas Wichtiges an Informationen zum Thema zu verpassen.
• Bedürfnis, anderen helfen zu wollen oder sogar auf angebotenen Hilfe mit Gegenhilfe zu reagieren.
• Bedürfnis nach Harmonie, das häufig aus einer Konfliktscheue stammt.

Wichtig: Erkennen, dass man manipuliert wird!

Manipulation geschieht geschickt, undurchschaubar und wenn sie gut angewendet wird, lässt sie sich noch dazu schwer beweisen. Dabei ist nicht jeder Mensch gleichermaßen manipulierbar. Die Kunst des Social-Engineers ist es, den individuellen wunden Punkt eines jeden Einzelnen herauszufinden und zu treffen. Diesen Punkt sollte sich jeder Einzelne bewusstmachen. So gilt, sich erst einmal selbst kennenzulernen: Wo liegen meine eigenen emotionalen Schwächen? Und wie könnten diese gegebenenfalls zu „Stolpersteinen“ werden? Ein gesundes Misstrauen ist förderlich. Insbesondere die Verwendung von bestimmten Signalworten in einer E-Mail oder in einem Telefongespräch sollte hellhörig werden lassen, wie zum Beispiel:

• Jetzt, sofort
• Nur für kurze Zeit
• Schon heute möglich
• Exklusiv

Erfolgreichste Firewall gegen Social-Engineering -  jeder Einzelne

Tipps zum Schutz vor Social-Engineering-Angriffen

• Gesundes Misstrauen: Geben Sie niemals wichtige und vertrauliche Informationen per Mail oder Telefon an Unbekannte weiter, ohne sich vorher über deren tatsächliche Identität zu vergewissern. Hinterfragen Sie E-Mails und Anrufer, wo eine direkte Handlung Ihrerseits (zum Beispiel eine ungewöhnliche Geldüberweisung, die Preisgabe von Kontodaten oder Passwörtern,) unter möglichem Zeitdruck durchgeführt werden soll, ohne zuvor Rücksprache mit einem Dritten zur Absicherung halten zu können.
• Vorsicht bei unbekannten Absendern: Öffnen Sie Emails nur von zweifelsfrei identifizierbaren Absendern. Bei einer Handlungsaufforderung, eine Datei oder einen Link im Internet zu öffnen, gilt ebenso besondere Vorsicht. Dies gilt ganz besonders, wenn das Thema tatsächlich Ihr Interesse und Ihre Neugierde weckt.
• Vorsicht bei zugesendeten Dateien und Links im Internet: Links in E-Mails, die zu einer Seite mit einer Eingabemaske führen, um etwa an Bankdaten und Passwörter zu gelangen, sollten Sie stutzig machen, vor allem, wenn Sie dort gar kein Kunde sind.
• Sparsamkeit mit der Angabe von Daten in sozialen Netzwerken: Beachten Sie die Social Media Guidelines und überprüfen Sie regelmäßig Ihre Privatsphäre-Einstellungen.
• Einsatz technischer Lösungen: Nutzen Sie auf jeden Fall eine Firewall und Antivirus-Software und aktualisieren sie diese regelmäßig. Diese können Spam reduzieren und einen Phishing-Schutz bieten.

von Gerrit Opper und Sebastian Wanninger  E-Mail schreiben