Social Engineering

Wissenswertes

Social Engineering (engl. eigentlich ?angewandte Sozialwissenschaft?, auch ?soziale Manipulation?) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltens?weisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.  (Quelle: Wikipedia)

Beim Social Engineering erfolgt der Angriff h?ufig personenbezogen, mit fingierten Telefonanrufen oder auch im direkten Kontakt. Das Opfer wird beispielsweise gebeten, einem angeblichen Techniker Zutritt zu R?umlichkeiten zu gew?hren.

Auch per E-Mail kann mit Methoden des Social Engineerings angegriffen werden. ?CEO Frauds? und teilweise auch Phishing-Mails sind Beispiele dafür.

Beim CEO Fraud sollen die Opfer mit Hilfe von E-Mails dazu gebracht werden, den Angreifenden Geld zu überweisen oder ihnen anderweitig einen finanziellen Vorteil zu verschaffen.

Die Angreifer verwenden falsche Identit?ten und schieben eine dringende Aktion vor. Zum Beispiel wird das Opfer angeblich von einer vorgesetzten Stelle (z.B. einem SL-Mitglied) angeschrieben und im Laufe des sich ent?spinnenden Mail-Dialogs instrutiert, schnell und aufgrund einer Ausnahme?situation Zahlungen auszul?sen oder Gutscheine für Online-H?ndler zu erwerben.

Ein solcher Angriff nutzt die vorgespielten Hierarchieverh?ltnisse sowie die Hilfsbereitschaft von Menschen aus.

Social Engineering-Angriffe stoppen

Bei aller Hilfsbereitschaft - ein gesundes Misstrauen ist wichtig.

Ist die Person vor Ihnen, am Telefon oder in der E-Mail wirklich diejenige, die sie zu sein vorgibt?

  • Wenn Sie Zweifel an der Echtheit eines Anrufs haben, unterbrechen Sie das Gespr?ch. Suchen Sie in Verzeichnissen der ETH oder im offiziellen Telefonverzeichnissen nach der Rufnummer und rufen Sie die Anruferin zurück.
  • Prüfen Sie die Absendeadresse der E-Mail, indem Sie mit der Maus über den Absender fahren. Ist die Adresse bekannt oder plausibel? Bei angeblich internen Absendern sollte eine interne Absende?adresse angezeigt werden.
  • Sprechen Sie unbekannte oder unerwartete Personen an, wenn sie sich in zutrittsbeschr?nkten R?umlichkeiten befinden. Weshalb sind sie dort? Wer hat sie beauftragt?
  • Gew?hren Sie Unbekannten keinen Einlass in zutrittsbeschr?nkte R?ume, es sei denn Sie sind über den Anlass informiert und der Besuch wurde Ihnen offiziell angekündigt. Im Zweifelsfall k?nnen sie beim Auftraggeber zurückfragen.
  • Ihr zust?ndiger IT Support würde Sie nie nach Ihrem Passwort fragen.
  • Geben Sie sensitive Informationen wie Passw?rter niemals am Telefon, per E-Mail oder anderweitig weiter.

Fragen Sie sich:

  • Würde die Absenderin/der Absender Sie wegen dieser Sache kontaktieren? Wie wahrscheinlich ist das?
  • Kennen Sie die E-Mailadresse der Absenderin/des Absenders? Ist sie korrekt? Wenn Sie Zweifel haben, versuchen Sie über einen anderen Kommunikationskanal die korrekte E-Mail-Adresse herauszufinden. Sie k?nnen die angebliche Absenderin/den Absender auch anrufen.
  • Wollen Sie die Mail wirklich beantworten? Falls ja, nutzen Sie nicht die ?Reply?-Funktion, sondern adressieren Sie Ihre Antwort an die korrekte, Ihnen bekannte Mailadresse des Absenders.
  • Wenn Sie auf die E-Mail geantwortet haben: Ist der darauf folgende E-Mail-Dialog plausibel, glaubwürdig? Sollen Sie dazu gebracht werden, Geldflüsse auszul?sen oder sensitive Informationen preiszugeben?

Seien Sie skeptisch. Im Zweifelsfall k?nnen Sie Ihren zust?ndigen IT-Support um Rat fragen.

JavaScript wurde auf Ihrem Browser deaktiviert