Social Engineering: Vertrauen ist nicht immer gut

Die sozialen Medien sind für Betrüger:innen eine wahre Fundgrube. Dort hatte zum Beispiel ein älteres Ehepaar stolz seine umfangreiche Sammlung alter Enzyklopädien gezeigt und wurde darüber zum Ziel eines Social Engineers. Dieser nahm Kontakt zu ihnen auf und gaukelte vor, seltene Stücke für ihre Kollektion aufgespürt zu haben. Die Vermittlung setze lediglich eine Kaution von 2.000 Euro voraus. Wenn das Paar das Geld gerade nicht habe, könne der Lexikon-Makler auch gerne bei der Beantragung eines Onlinekredits helfen. Die Sammler:innen gaben alle notwendigen Daten weiter. Die Kreditsumme strich der Betrüger ein. Bücher gab es natürlich nicht. Dafür aber eine Kreditschuld, die das Paar jetzt begleichen muss. 

Eine klassische Social-Engineering-Masche. Die Täter:innen missbrauchen menschliche Eigenarten oder Schwächen, um an sensible Daten zu kommen (siehe grüner Kasten). Nach jüngsten Zahlen der EU-Agentur für Cybersicherheit standen zuletzt 82 Prozent aller Datenschutzverletzungen in Verbindung mit dem Faktor Mensch.¹ Gemeint sind Fälle, in denen menschliches Verhalten bewusst ausgenutzt wurde. 55 Prozent der Europäer:innen haben inzwischen Sorge, dass ihre Online-Daten von Kriminellen missbraucht werden.²

Welche Tricks gibt es? 

Social Engineering kann Ihnen inzwischen in vielen unterschiedlichen Lebenssituationen begegnen. Hier Beispieler bekannter „Techniken“:  

• Phishing: Die Social Engineers verschicken E-Mails, Nachrichten oder Links zu Websites, die täuschend echt aussehen, als kämen sie von einem offiziellen Absender wie etwa einer Bank oder einer Behörde. Per Social Engineering verleiten sie ihre Opfer dazu, auf die Links zu klicken, um darüber schließlich sensible Informationen wie Passwörter, Kreditkartennummern oder personenbezogene Daten offenzulegen. 
  Beim sogenannten Spear-Phishing gehen die Betrüger:innen noch einen Schritt weiter. Sie nutzen zuvor erworbene spezielle Informationen über das Opfer, um noch glaubwürdiger zu erscheinen. 
• Vishing: Diese Phishing-Variante funktioniert über Telefon- oder Videoanrufe. Die Betrüger:innen geben sich als vertrauenswürdige Stellen aus und überzeugen ihre Opfer, ihnen bestimmte Informationen zu geben. 
• Baiting (en. "ködern"): Als Gegenleistung für personenbezogene Daten oder den Zugang zu einem System bieten die Social Engineers den Opfern etwas für sie Verlockendes an, zum Beispiel eine kostenlose Software mit infizierten Dateien oder Links.
• Vorspielung falscher Tatsachen: Die Social Engineers erfinden ein Szenario oder einen Vorwand, um sensible Informationen zu erhalten. Dabei geben sie sich zum Beispiel über einen Telefonanruf, eine Mail oder sogar an der Haustür als professionelle Personen aus, wie etwa Kolleg:innen, Bankvertreter:innen oder Stromableser:innen.   

So können Sie sich schützen:

❗ Erscheint etwas auch nur ansatzweise seltsam oder zu gut um wahr zu sein, lassen Sie die Finger davon oder informieren Sie sich erst einmal genau über den/die Absender:in. 

📵 Werden Sie unter Druck gesetzt, eine Zahlung zu leisten oder personenbezogene Daten preiszugeben? Dann ist es gut möglich, dass Social Engineers am Werk sind. Ignorieren Sie entsprechende Mails oder bitten Sie den/die Anrufer:in, Sie später noch einmal anzurufen.  

❌ Klicken Sie nicht auf fremde Links und öffnen Sie keine E-Mails von unbekannten Absender:innen. Geben Sie niemals sensible Daten wie Passwörter, Kreditkartennummern oder personenbezogene Daten in Nachrichten oder E-Mails weiter, unabhängig davon, wer danach fragt. 

🚫 Behaupten Anrufer:innen oder Mailabsender, mit einem Unternehmen oder einer Organisation verbunden zu sein, verlangen Sie einen Identitätsnachweis oder wenden Sie sich direkt an die Organisation, um die Informationen zu überprüfen. Scheuen Sie sich nicht, die Polizei einzuschalten. 

 👁‍🗨 Bleiben Sie auf dem Laufenden. Das Bundesamt für Sicherheit in der Informationstechnik (BDI) stellt auf seiner Seite typische Fälle von Cyberkriminalität vor. Die Verbraucherzentrale veröffentlicht über ihren Phishing-Radar regelmäßig aktuelle Warnungen, und die Polizei informiert über die Plattform „Polizeiliche Kriminalprävention der Länder und des Bundes“ über gängige Maschen.  

Tipp: Die Stoppen-Hinterfragen-Schützen-Regel

Social Engineers sind extrem einfallsreich und lassen sich immer wieder neue Tricks einfallen. Die Polizei hat jedoch mit der SHS-Regel eine relativ einfache Schutzformel entwickelt, die Maschen zu erkennen. 

• Stoppen: Haben Sie ein ungutes Gefühl? Dann hören Sie darauf! 
• Hinterfragen: Halten Sie einmal inne und überlegen, ob das angebotene Geschäft oder die erbetene Handlung wirklich plausibel und sinnvoll ist.  
• Schützen: Sie haben selbst etwas Auffälliges beobachtet? Dann tragen Sie dazu bei, andere zu schützen. Melden Sie auffällige Vorgänge oder Nutzer:innen an die Polizei oder Verbraucherzentrale und erzählen Sie im Bekanntenkreis davon.