Das zentrale Merkmal von Angriffen mithilfe von Social Engineering besteht in der Täuschung über die Identität und die Absicht des Täters. So gibt sich dieser beispielsweise als Techniker/Technikern oder als Mitarbeitende eines Unternehmens wie PayPal, Facebook oder eines Telekommunikationsunternehmens aus, um das Opfer zur Preisgabe von Anmelde- oder Kontoinformationen oder zum Besuch einer präparierten Webseite zu verleiten.

Ein klassisches Beispiel ist der vorgebliche Systemadministrator, der den Mitarbeiter oder die Mitarbeiterin anruft, da dieser angeblich zur Behebung eines Systemfehlers oder Sicherheitsproblems das Passwort des Benutzers oder der Benutzerin benötigt. Dieses Beispiel ist auch insofern typisch, als die Täter hier die Absicht vortäuschen, die Sicherheit eines Systems oder einer Dienstleistung zu erhöhen. Ein Opfer, das auf die Täuschung hereinfällt, handelt im guten Glauben, das Richtige zu tun. Tatsächlich spielt es dem realen Motiv des Täters in die Hände, Zugangsdaten abzugreifen oder Schadsoftware einzuschleusen, die einem Angreifer im schlimmsten Fall als Einfallstor zum Eindringen in ein ansonsten gut geschütztes Unternehmensnetzwerk dienen kann.

Die Kommunikation über digitale Kanäle wie E-Mail bietet ein besonders günstiges Umfeld für Social Engineering. Während der Täter sein Gegenüber in einer realen Gesprächssituation über alle Sinne hinwegtäuschen muss, hat er es bei der technisch vermittelten Kommunikation deutlich einfacher. Darüber hinaus bieten die privaten und beruflichen Sozialen Netzwerke dem Täter eine einfache Möglichkeit, im Vorfeld des Angriffs eine Vielzahl von Hintergrundinformationen über Personen oder Mitarbeiter eines Unternehmens zu sammeln und gegebenenfalls zu verknüpfen.

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Quelle: Bundesamt für Sicherheit in der Informationstechnik

Um das Risiko von Social Engineering-Betrügereien zu mindern, sollten in jedem Fall die folgenden Grundregeln beachtet werden:

• Gehen Sie verantwortungsvoll mit sozialen Netzwerken um. Überlegen Sie genau, welche persönlichen Informationen Sie dort offenlegen, da diese von Kriminellen gesammelt und für Täuschungsversuche missbraucht werden können.
• Geben Sie in privaten und beruflichen sozialen Netzwerken keine vertraulichen Informationen über Ihren Arbeitgeber und Ihre Arbeit preis.
• Teilen Sie Passwörter, Zugangsdaten oder Kontoinformationen niemals per Telefon oder E-Mail mit. Banken und seriöse Firmen fordern ihre Kunden nie per E-Mail oder per Telefon zur Eingabe von vertraulichen Informationen auf.
• Lassen Sie bei E-Mails von unbekannten Absendern besondere Vorsicht walten: Sollte auch nur ansatzweise der Verdacht bestehen, dass es sich um einen Angriffsversuch handeln könnte, reagieren Sie doch im Zweifelsfall besser überhaupt nicht. Wenn es sich um falschen Alarm handelt, wird sich ein Absender ggf. noch über einen anderen Kanal bei Ihnen melden. Nehmen Sie sich Zeit für den 3-Sekunden-Sicherheits-Check.
• Sollte eine Reaktion zwingend erforderlich sein, vergewissern Sie sich durch einen Anruf beim Absender oder der Absenderin, dass es sich um eine legitime E-Mail handelt.

Quelle: Bundesamt für Sicherheit in der Informationstechnik