Social-Engineering-Angriff
Social Engineering ist ein psychologischer Angriff, bei dem Hacker Menschen manipulieren, um sie zur Preisgabe von Geheimnissen, Passwörtern oder Zugriffsrechten zu bewegen.
Social Engineering nutzt die menschliche Psychologie anstelle technischer Schwachstellen aus, um Benutzer dazu zu verleiten, sensible Daten preiszugeben oder Zugang zu gesicherten Systemen zu gewähren. Diese Art von Angriff ist recht komplex, da er Vertrauen, Dringlichkeit oder Autorität ausnutzt, um Sicherheitskontrollen zu umgehen, die sowohl heuristisch als auch technisch sind.
Was sind die gängigen Taktiken des Social Engineering?
- Köderauslegung: Einen mit Malware infizierten USB-Stick an einem öffentlichen Ort liegen zu lassen, in der Hoffnung, dass ein neugieriger Mitarbeiter ihn an einen Arbeitscomputer anschließt.
- Vorwand: Erfinden eines fingierten Szenarios (des „Vorwands“), um Informationen zu stehlen, beispielsweise indem sich ein Angreifer als IT-Prüfer ausgibt, der eine „Überprüfung“ Ihrer Zugangsdaten benötigt.
- Tailgating: Einer autorisierten Person in einen beschränkten physischen Bereich (wie ein Büro oder einen Serverraum) zu folgen, indem man einfach hinter ihr hineingeht.
- Gegenleistung: Das Anbieten einer Dienstleistung oder eines Vorteils (wie z. B. „kostenloser technischer Support“) im Austausch für sensible Informationen oder Systemzugang.
Warum ist Social Engineering so effektiv?
Ein System lässt sich reparieren, die menschliche Natur bleibt jedoch unverändert. Angreifer nutzen häufig Generative KI um Ziele auf LinkedIn und in sozialen Medien zu recherchieren, was es ihnen ermöglicht, hochgradig personalisierte Spear-Phishing-Angriffe zu erstellen, die von legitimen Anfragen kaum zu unterscheiden sind.