Die Machenschaften der Hacker: Social Engineering

Ob Politiker, Schauspieler oder Sänger - immer wieder werden Personen, die in der Öffentlichkeit stehen, Opfer von Internet-Kriminellen. Die Auswahl der Opfer erfolgt also gezielt, um private Daten oder geheime Informationen zu erbeuten - so wie zuletzt bei Jennifer Lawrence und Co. Aber nicht nur Promis können ins Visier geraten. In der Serie "Machenschaften der Hacker" stellen wir vor, wie Online-Kriminelle arbeiten. Heute: Social Engineering.

16. September 2014 von Martin Wilhelm

Mit Hilfe von Social Engineering suchen sich Kriminelle sehr gezielt Opfer im Netz. © ra2 studio fotolia

Beim Social Engineering (engl. eigentlich „angewandte Sozialwissenschaft“) täuschen die Täter eine fremde Identität vor. Geschehen kann das praktisch überall – am Telefon, via E-Mail oder über Soziale Netzwerke wie Twitter und Facebook. Der Ablauf ist dabei immer gleich: Die Kriminellen sammeln zunächst einige Informationen über das Opfer und verwenden diese anschließend, um ihren Plan zu verwirklichen. Sprich, an eigentlich private Daten zu gelangen. Das können wie im Fall von Promis pikante Fotos sein oder aber Kreditkartendaten oder geheime Informationen (beispielsweise zur Wirtschaftsspionage).

Um sich das Vertrauen der ahnungslosen Internet-Nutzer zu erschleichen, gehen die Betrüger ganz unterschiedlich vor. „Echte Profi-Kriminelle schrecken nicht einmal davor zurück, den Müll zu durchwühlen“, sagt Sicherheitsexperte Frank Herold. „In anderen Fällen wird wochenlang das Facebook-Profil beobachtet.“ Auf diese Weise können vielerlei Erkenntnisse gewonnen werden:

– Mit wem verkehrt das Opfer?
– Welche Hobbys hat das Opfer?
– Was isst oder trinkt das Opfer gerne?
– Welche Musikgruppe, TV-Sendung oder Zeitschrift mag das Opfer?

Die gesammelten Informationen dienen als „Eisbrecher“. Wenn die Täter wissen, dass sich ein Nutzer für ein bestimmtes Thema interessiert, kann die Attacke beispielsweise so aussehen: Auf die vermeintliche Gemeinsamkeit angesprochen, startet zunächst ein unverbindlicher Chat bei Facebook, später wird der Unbekannte als „Freund“ hinzugefügt und es werden Nachrichten mit ihm ausgetauscht.

Nach einer Weile werden die noch ahnungslosen Opfer beispielsweise unter einem Vorwand („Das musst Du Dir unbedingt ansehen…“) auf eine mit Schadcode infizierte Homepage gelockt. Beim Besuch der entsprechenden Website wird über eine Schwachstelle im Betriebssystem ein „Keylogger“-Programm auf den PC geschmuggelt, das heimlich sämtliche Tastaturbewegungen aufzeichnet und an die Hintermänner übermittelt. Für die Betrüger ist es jetzt ein Leichtes, an die gewünschte Beute, etwa das Login für den Online-Banking-Account, zu kommen.

Gerade im Bereich der Wirtschaftskriminalität ist auch denkbar, dass sich ein Krimineller als Administrator ausgibt, der wegen eines Systemfehlers anruft, und für die Behebung das Passwort des Benutzers angeblich benötigt.

Das empfehlen Sicherheitsexperten

Bei genügend krimineller Energie sind der Kreativität von Hackern also keine Grenzen gesetzt. Zum Schutz vor Social Engineering geben die WEB.DE Sicherheitsexperten folgende Tipps:

  • Geben Sie niemandem via Telefon, E-Mail oder Facebook Auskunft über geheime Daten.
  • Sind Sie Opfer einer Attacke geworden, rufen Sie zuerst Ihre Bank, danach die Polizei an.
  • Seien Sie stets misstrauisch und geben Sie auch scheinbar Unwichtiges nicht leichtfertig öffentlich preis.
  • Überprüfen Sie Ihre Privatssphäre-Einstellungen in Sozialen Netzwerken.
  • Laden Sie nur Software aus dem Internet und aus Datei-Anhängen herunter, wenn es sich um eine vertrauenswürdige Quelle oder einen bekannten Absender handelt.
  • Folgen Sie nie dem Link eines unbekannten Absenders.
  • Ändern Sie regelmäßig Ihr Passwort.
  • Bei Online-Diensten kann man häufig eine Sicherheitsfrage auswählen, um sich gegenüber dem Kundenservice authentifizieren zu können. Auf diese sollte eine möglichst unpassende Antwort gewählt werden. Auf die Frage nach dem Wohnort der Eltern, könnte man beispielsweise die Antwort „3. November 1983” geben.
  • Bringen Sie Unbekannten eine gesunde Portion Misstrauen entgegen – egal ob Sie über Telefon, Mail oder soziale Netzwerke kontaktiert werden.

 

Kategorie: Sicherheit
Schlagworte: Passwort-Sicherheit, Sicherheit, Social Engineering

Verwandte Themen

POP3 und IMAP: E-Mails mit externen Programmen abrufen

Für alle, die ihre E-Mails mit externen Programmen wie Microsoft Outlook oder Mozilla Thunderbird managen möchten, führt kein Weg an zwei echten Klassikern vorbei: IMAP und POP3 - Weltweite Standards, über die E-Mails-Server im Web und E-Mail-Clients auf PC, Laptop oder Smartphone miteinander kommunizieren. Beide haben Vor- und Nachteile - WEB.DE zeigt, welche Risiken berücksichtigt werden sollten und welche Alternativen es für User gibt. mehr

Cyber-Kriminalität: WEB.DE und GMX erkennen rund 35 Prozent mehr Spam

Die Menge an abgewehrten Spam-Mails bei Deutschlands größten E-Mail-Anbietern WEB.DE und GMX steigt. Im dritten Quartal 2024 haben die beiden Dienste wöchentlich rund 1,9 Milliarden potenziell gefährliche E-Mails aus dem eingehenden Nachrichtenstrom herausgefiltert. Im Vorjahresquartal waren es noch 1,4 Milliarden. Im Trend liegen gefälschte E-Mails von Paketunternehmen und Kundenservice-Phishing. mehr