Social Engineering – Definition

Was ist Social Engineering?

Beim Social Engineering, Social Hacking bzw. Human Hacking versuchen Kriminelle durch zwischenmenschliche Beeinflussung von Mitarbeitern an sensible Daten eines Unternehmens zu gelangen bzw. entsprechende IT-Systeme zu infiltrieren. Als Social-Engineering-Attacke kann man psychologische Manipulationen oder geschickt durchgeführte Trickbetrügereien an Mitarbeitern verstehen, mit denen Social Engineers Zugriff auf entsprechende Informationssysteme bekommen. Sie nutzen hierbei die „Schwachstelle Mensch“ geschickt aus und spielen vor allem mit Ängsten, Hoffnungen, Hilfsbereitschaft, Vertrauen und Neugier; aber auch Verpflichtungen, Gefälligkeiten und autoritärer Gehorsam werden manipulativ missbraucht.

Die Ziele von Social Engineering

Social Engineering ist erfolgreich, wenn sensible Daten wie Passwörter oder Kontoinformationen unberechtigt weitergegeben oder angenommen werden. Die Legitimation von Datentransfer ist nicht gänzlich zu kontrollieren und deswegen immer mit Risiken verbunden. Social Engineering ist vor allem dann erfolgreich, wenn es subjektiv als vertrauenswürdig empfunden wird.

Beispiele von Social-Engineering-Methoden

Beim Social Hacking bzw. Social Engineering nutzen Angreifer zwischenmenschliche Interaktionen aus, um an sensible Unternehmens- oder Kundendaten zu gelangen. Die bekanntesten Social-Engineering-Methoden könnten kaum unterschiedlicher sein. Nahezu alle Social-Engineering-Methoden laufen jedoch nach den gleichen vier Schritten ab:

• Zuerst werden Informationen gesammelt,
• mit ihnen wird eine Beziehung aufgebaut,
• Schwachstellen werden ausgenutzt
• und die Daten abschließend gestohlen.

Neben dem Phishing und dem Spear Phishing gehört der CEO-Fraud/CEO-Betrug zu den wichtigsten Social-Engineering-Methoden. Hierbei spionieren Cyberkriminelle das persönliche und betriebliche Umfeld von Firmenchefs aus und täuschen dann deren Identität vor. Auch werden teilweise Honeypots für das Social Engineering genutzt.