Hauptinhalt

Social Engineering

Auf dem Bild ist ein Mauszeiger zusehen, der auf ein Katzenvideo klickt. Der Text lautet: Pfoten weg von unbekannten Links!
Foto: Stabsstelle Informationssicherheit

Was ist Social Engineering?

Social Engineering ist kein neuer Master an einer Fachhochschule, sondern eine weitere Methode, mit der Hacker versuchen Sie zu Dingen zu bewegen, die Sie eigentlich nicht möchten. Wie auch beim Phishing haben es die Angreifer/innen in der Regel auf Ihre Kreditkarten- oder Kontodaten, Ihre Passwörter oder andere sensible Informationen wie die noch unveröffentlichten Forschungsergebnisse abgesehen.

Die Angriffe sind besonders perfide, weil sie weniger technische, sondern menschliche Lücken bzw. Fehler ausnutzen. Sie funktionieren, indem sie unsere Hilfsbereitschaft, unser Vertrauen oder unseren Respekt gegenüber vorgesetzten Personen ausnutzen.

Beim Social Engineering sind nicht Ihr Rechner oder Ihr Smartphone das Angriffsziel sondern Sie. Ein/e Angreifer/in spioniert Sie typischerweise zuerst über Ihre Social Media Profile aus und nutzt alle verfügbaren Quellen, um möglichst viele Informationen über Sie zu sammeln. Danach erhalten Sie eine persönlich gestaltete E-Mail mit einem authentisch wirkenden Anliegen. Beispielsweise könnte Sie eine vermeintliche Bekannte um die letzten Ergebnisse eines laufenden Experiments für eine wichtige Studie bitten. In allen Fällen stecken die Angreifer/innen dahinter.

Social Engineering ist dabei multimedial unterwegs: Per Telefon, per E-Mail, per SMS oder per Direktnachricht in irgendeiner App. Die Angreifer/innen haben sich breit aufgestellt. Viele von uns kennen das Beispiel des angeblichen IT-Supports mit ausländischem Akzent, der dringend PC-Probleme an Ihrem Rechner lösen muss. Hierfür müssen Sie nur eine Fernwartungssoftware installieren und ein Passwort mitteilen.

Ein weiteres Beispiel sind Monteur/innen, die nur mal kurz die Heizungen überprüfen möchten und Ihnen freundlich vorschlagen, in der Zeit doch einen Kaffee trinken zu gehen. Besonders hilfreich ist es dann für sie, wenn Sie Ihren Rechner nicht sperren und er sich an Ihren Daten bedienen kann.

Butter bei die Fische. Ein konkretes Beispiel für Social Engineering an der Philipps-Universität

In der Vergangenheit liefen Social Engineering Angriffe an der Philipps-Universität oft per E-Mail ab. Hier ein fiktives Beispiel mit einem echten Inhalt einer solchen Betrugsmail:

Das Bild zeigt ein Beispiel für eine Betrugsmail. In diesem Fall bittet eine Institutsleitung die Adressat:innen um einen dringenden Gefallen.

Wir haben rot markiert, woran Sie erkennen, dass mit der E-Mail etwas nicht stimmt. Beim genauen Blick auf die Absenderadresse fällt auf, dass die E-Mail nicht aus der Philipps-Universität stammt. Das ist bei Betrugsmails häufig der Fall und Anlass genug, um vorsichtig zu sein. Wie Sie die tatsächlichen Absender/innen einer E-Mail erkennen, erfahren Sie auf der Seite zum Thema Phishing.

In den Fällen, die wir an der Philipps-Universität beobachten, bittet häufig angeblich die Leitung einer Organisationseinheit die Mitarbeiter/innen, dringend Kontakt aufzunehmen. Auch hier wird wieder suggeriert, dass alles ganz schnell gehen muss. Wenn Sie auf die E-Mail antworten, werden Sie darum gebeten, beispielsweise Gutscheincodes zu kaufen, eine Überweisung auf ein Konto vorzunehmen, das Ihnen die Betrüger/innen freundlicherweise mitteilen oder sensible Daten wie Kontodaten oder Passwörter herauszurücken.

So schützen Sie sich:

Beim Schutz vor Social Engineering liegt es vor allem an Ihnen, denn Sie sind das Angriffsziel.

  • Bewahren Sie Ruhe und reagieren Sie nicht überhastet, auch wenn es vermeintlich schnell gehen muss. Nehmen Sie sich die Zeit, um nachzudenken.
  • Die E-Mail ist ein asynchrones Kommunikationsmedium. Wenn die Ihnen vorgesetzte Person etwas dringend von Ihnen benötigt, würden Sie wahrscheinlich einen Anruf erhalten. Rufen Sie die Ihnen vorgesetzte Person an, wenn Sie skeptisch sind und erkundigen Sie sich, ob sie die E-Mail tatsächlich geschrieben hat. Lassen Sie sich nicht unter Druck setzen – die wenigen Minuten, die ein Rückruf braucht, hat auch jemand, der eilig Geld, Unterlagen oder Informationen benötigt.
  • Führen Sie berufliche Telefonate an dafür geeigneten Orten und besser nicht im Bus, im Zug oder an der Kasse im Supermarkt.
  • Seien Sie sparsam mit beruflichen Informationen in sozialen Netzwerken.
  • Erhalten Sie E-Mails mit Dateianhängen, die Sie nicht erwartet haben, fragen Sie die Person, von der Sie die E-Mail erhalten haben persönlich oder rufen Sie sie an, bevor Sie die Anhänge öffnen.
  • Lassen Sie keine unbekannten Personen unbeaufsichtigt in Ihrem Büro.
  • Sperren Sie Ihren Rechner (Windows+L), sobald Sie nicht an diesem arbeiten und auch wenn Sie nur kurz auf die Toilette gehen.
  • Angreifer/innen fälschen in der Regel ihre Absenderadresse, deshalb: Schauen Sie genau hin, von wem die E-Mail wirklich kommt.
  • Kein seriöser Support fragt Sie je nach Ihrem Passwort.

Wenn das Kind in den Brunnen fällt ...

In stressigen Situationen kann es passieren, dass wir den Angreifer:innen ins Netz gehen. Wichtig ist dann, dass wir richtig und schnell reagieren um größere Schäden zu verhindern. Deshalb:

Ruhe bewahren & IT-Notfall melden.
Wenden Sie sich bitte an Ihre IT-Administration und/oder an:

IT-Notfallrufnummer: 06421 28-28281
E-Mail: it-sicherheit@uni-marburg.de

In eigener Sache:

Lassen sie die Angreifer:innen alt aussehen: Nehmen Sie an unserer Online-Schulung zum Thema IT-Sicherheit Teil und knacken Sie den Highscore im Mini-Spiel Spot The Phish. Neben Informationen zum Thema Phishing sehen Sie dort die spannende Serie The Inside Man und erfahren alles rund um das Thema IT-Sicherheit.