Social Engineering setzt auf die Schwachstelle Mensch. Bei dieser Angriffstaktik werden Opfer gezielt so beeinflusst oder manipuliert, dass Angreifer an nützliche Daten gelangen, um diese im Nachhinein an anderer Stelle für verschiedene Zwecke zu nutzen. Eine Gefahr für Privatpersonen und Unternehmen gleichermaßen. Gänzlich verhindern lassen sich Social-Engineering-Attacken nicht, aber durch regelmäßige Sensibilisierung kann bei Nutzerinnen und Nutzern von Sozialen Medien das Bewusstsein für diese Gefahr erhöht werden.
Perfekte Plattform für Social Engineering
Social-Media-Posts bei Facebook, Instagram, Xing, LinkedIn & Co. sind heutzutage nicht mehr wegzudenken. Und die Vorteile liegen auf der Hand: Durch die Vernetzung kann man schnell mit anderen in Kontakt treten, sich austauschen sowie Bilder oder Videos teilen. Genau dieser Umstand macht es Kriminellen heutzutage leicht, an ihr Ziel zu kommen. Denn Social-Media-Kanäle bilden die perfekte Plattform für Social Engineering: Wer achtet schon penibel darauf, welche persönlichen Daten in den sozialen Medien preisgegeben werden? Sei es unsere Kontaktliste, an welchem Urlaubsort wir uns aufhalten, wer unser Arbeitgeber ist, wo wir am liebsten Essen usw. Allesamt Puzzleteile, die ein komplexes Bild des jeweiligen Users erzeugen und ihn zu einem leichten Ziel von Social Engineering-Angriffen machen können.
Gefahr für Privatpersonen und Unternehmen
Schon anhand der Namen der Kinder, des Ehegatten, des Geburtstags usw. ist ein potenzieller Angreifer in der Lage, Passwörter zu erraten. Ein weiterer Zugang können KollegInnen in der Kontaktliste sein, die er im Namen seines Opfers kontaktiert – bis hin zur Annahme von dessen Identität. Das Sammeln persönlicher Daten kann dazu genutzt werden, Opfer zu täuschen oder unter Druck zu setzen, um so an wichtige Informationen zu gelangen – etwa um digitalen Zutritt zu einem Unternehmen zu erhalten.
Mit den folgenden Tipps lassen sich viele der gängigen Social Engineering-Angriffe erschweren oder sogar ganz verhindern:
1. Vorsicht im Umgang mit sensiblen Daten
Teilen Sie grundsätzlich keine vertraulichen Informationen wie Kontodaten, Passwörter oder firmeninterne Daten über soziale Medien. Auch der Austausch über das Telefon oder via E-Mail sollte vermieden werden.
2. Schränken Sie Ihre Sichtbarkeit ein
Gehen Sie auf den verschiedenen Social Media-Kanälen achtsam vor und prüfen Sie folgende Punkte: Ist mein Profil öffentlich? Welche Informationen stelle ich dort zur Verfügung? Wer sieht meine Daten?
3. Persönlichkeit, aber nichts Persönliches teilen
Je mehr Daten eine Person veröffentlicht, desto mehr Daten können über sie gesammelt werden. Es empfiehlt sich dabei, regelmäßig die Profileinstellung zu überprüfen und Passwörter zu ändern. Achten Sie darauf für private und dienstliche Accounts unterschiedliche Passwörter zu verwenden. Andernfalls haben Angreifer nicht nur Zugriff auf die privaten Accounts, sondern richten womöglich auch Schaden im Unternehmen des Nutzers an. Hilfreich sind Passwortmanager, um starke und für jeden Account einzigartige Passwörter einzurichten. Zudem kann zusätzlich eine Zweifaktor-Authentifizierung eingerichtet werden, um die Sicherheit des eigenen Accounts weiter zu erhöhen und dessen Übernahme durch einen Angreifer zu erschweren.
4. Ungereimtheiten im Austausch & Kontaktlisten pflegen
Nehmen Sie nicht unbedacht Kontaktanfragen an, sondern verifizieren Sie zunächst die Person. Welches Interesse könnte sie haben, sich mit Ihnen zu vernetzen. In diesem Zusammenhang: Überprüfen Sie regelmäßig ihre Kontaktliste und die Profile von Personen, mit denen lange kein Kontakt bestand. Ein Angreifer könnte über die Freundesliste nach einem Kontakt suchen, der schon länger nicht mehr aktiv war. Für solche Accounts stehen die Chancen nicht schlecht, dass die Logindaten bereits irgendwo gehackt und seitdem noch nicht geändert wurde. Wenn sich dann dieser „alte Bekannte“ plötzlich meldet und im Laufe des Gesprächs einen Link versendet, wird kaum jemand einen Angreifer dahinter vermuten.
5. Ruhe bewahren
Bei Phishing-Angriffen wird oft mit starken Emotionen oder einem künstlichen Zeitfenster gespielt, um den Empfänger dazu zu bewegen, unüberlegt und vorschnell zu handeln. In diesen Fällen ist es besonders wichtig Ruhe zu bewahren und den Nachrichteninhalt genau zu überprüfen. Es sollten sowohl der Absender als auch sämtliche vorhandenen Links auf ihre Richtigkeit kontrolliert werden. Die Richtigkeit von Links kann festgestellt werden, indem man mit der Maus über diese fährt, ohne sie anzuklicken, um sich so in der linken unteren Ecke des Bildschirms den vollständigen URL-Pfad anzeigen zu lassen. Hier gilt es besonders auf Tippfehler zu achten, wodurch ein Link auf den ersten Blick legitim aussehen kann, in Wirklichkeit aber nicht auf die richtige Webseite verweist.
Haben Sie Fragen oder benötigen Unterstützung? Wir sind für Sie da. Kontaktieren Sie uns gern über kontakt@gisa.de. Suchen Sie weitere Tipps, um sich aktiv zu schützen? Dann lesen Sie dazu den Blogbeitrag „Der Mensch als Firewall“. Weitere Informationen zu unseren Leistungen finden Sie hier.