IT-Sicherheit an der Universität Bern

Social Engineering: Wie uns Online-Kriminelle austricksen

E-Mails, die uns mit dem Löschen unserer Daten drohen, SMS, die uns einen einmaligen Gewinn verkünden oder Facebook-Kontakte, die uns die grosse Liebe versprechen – unverhoffte Online-Begegnungen halten oft nicht was sie versprechen. Erfahren Sie mehr über Betrug im Internet, die Vorgehensweisen der Kriminellen und wie Sie sich davor schützen können.

Was ist Social Engineering?

"Social Engineering" bezeichnet eine Methode, die zum Ziel hat, Menschen auszutricksen. Indem sie uns mit psychologischen Tricks irreführen, versuchen Kriminelle, uns vertrauliche Informationen zu entlocken, zu Geld zu kommen oder Zugang zur IT-Umgebung unseres Unternehmens zu erhalten. Die Angriffsmethode zielt immer darauf ab, bestimmte Verhaltensweisen auszunutzen. "Social Engineering" kann man in diesem Kontext mit "Beeinflussung von Menschen" oder "soziale Manipulation" übersetzen.

Mein Account
wird in 5 Minuten
gelöscht?!

Wie funktioniert das?

Wir Menschen reagieren in bestimmten Situationen, ohne unser Handeln zu hinterfragen. Vor Allem, wenn starke Emotionen, wie Stress, Angst oder Liebe im Spiel sind: "Mein Account wird in 5 Minuten gelöscht?!" "Der oder die Technikverantwortliche braucht mein Passwort?!" "Die grosse Online-Liebe braucht Geld, damit sie das kranke Kind versorgen kann?!" Wenn Kriminelle sich geschickt als Person oder Unternehmen tarnen, können sie uns in Situationen bringen, in denen wir verletzlich sind oder uns verpflichtet fühlen, etwas zu tun, was uns letztendlich schadet.

Merkmale eines Social Engineering-Szenarios

Kriminelle nutzen psychologische Tricks, um uns zu manipulieren. Dazu nutzen sie immer Emotionen aus, die uns unter Druck setzen und unser kritisches Denken behindern. Seien Sie bei Emails oder Anrufen mit folgenden Merkmalen skeptisch:

  • Drohung: Wenn Sie X nicht machen, dann passiert Y!
  • Dringlichkeit: Sie müssen sofort (!) handeln!
  • Exklusivität: Ich wende mich speziell an Sie!
  • Bitte: Ich brauche Hilfe

Häufige Szenarien

Betrügerische Internetshops – Zu günstig, um wahr zu sein

Wir freuen uns über Schnäppchen oder die einmalige Gelegenheit ein Produkt für einen reduzierten Preis zu erwerben. Das machen Kriminelle sich zu Nutze. Sie betreiben Internetshops mit verführerischen Angeboten.

"Das neue iPhone jetzt unglaubliche 50% günstiger! Nur für Sie und nur heute!"

Die Markenturnschuhe für nur 20 CHF? Die Designertasche 40% günstiger? Das klingt verführerisch. Häufig gelten die Angebote nur für einen Tag oder gar eine Stunde. Auf diese Weise versuchen die Kriminellen, uns in eine Stresssituation zu bringen und das einmalige Angebot anzunehmen.

Wir klicken und geben zum Zahlen unsere Kreditkartendaten ein. Das vermeintliche Schnäppchen wird leider nie ankommen.

Romance Sam – Wir helfen gerne

Ist die grosse Liebe in Not, unterstützen wir auch ungefragt. Das gute Gefühl zu helfen, nutzen die Kriminellen aus. Getarnt als Soldatin oder Arzt im Auslandseinsatz gewinnen sie über eine lange Zeit mit liebevollen Online-Nachrichten Herz und Vertrauen.

Endlich kommt es zu einem persönlichen Treffen. Doch zuvor weist die grosse Internet-Liebe darauf hin, dass z.B. die Nichte vor einer Operation steht, die sehr, sehr teuer ist.

"Ich sehne mich so sehr nach dir und freue mich so sehr auf unser Treffen. Leider muss ich noch auf die Operation meiner Nichte warten. Sie ist sehr kritisch und sehr, sehr teuer...."

Aus Liebe und Hilfsbereitschaft ist das Opfer schnell bereit, die ausländische Familie finanziell zu unterstützen.

CEO-Betrug – Chef*in oder nicht Chef*in

Kriminelle verwenden Drohungen, die angeblich wahr werden, wenn wir nicht sofort und ohne weiter zu überlegen handeln.

Die oder der Vorgesetzte ist in den Ferien. Gegen Ende des Arbeitstages bekommen Sie ein E-Mail, in dem Sie angewiesen werden, die angehängte Rechnung sofort (!) zu begleichen. Sollten Sie dies nicht tun, verliert das Unternehmen den Kunden.

"Ich bin gerade telefonisch nicht erreichbar, aber es ist ganz wichtig, dass Sie die Zahlung noch vor Feierabend auslösen! Der Kunde springt sonst ab! Behandeln Sie die Sache unbedingt vertraulich!"

Der oder die Vorgesetzte würde es selbst machen, aber schliesslich ist er/sie abwesend und jemand anderes war so spät am Abend nicht mehr zu erreichen.

Die E-Mail und die Kontoangaben des Kunden sind aber gefälscht.

Alle Opfer haben zunächst Zweifel

Mit diesen Methoden versuchen die Kriminellen, die Zweifel zu beseitigen:

  • sie geben sich als vertrauenswürdige Personen wie Frauen, Senior*innen, Polizist*innen, Vorgesetzte aus.
  • sie ziehen Verwandte, Bekannte, Respektpersonen, hinzu, die den Fall/die Dringlichkeit bestätigen.
  • sie senden eine angebliche ID- oder Pass-Kopie, oder angebliche Dokumente wie Lieferscheine, Tickets, Verträge.
  • sie versichern, dass das zu überweisende Geld auf ein «sicheres Depot» kommt.
  • sie involvieren fiktive Unternehmen wie Lieferdienste mit echten Websites.

Was tun? – Atmen. Realitätscheck. Prüfen.

Atmen: Atmen Sie immer erst einmal tief durch, wenn etwas Dringendes kommt. Überlegen Sie einen Moment, bevor Sie auf einen Link klicken oder Geld überweisen. Machen Sie den Realitätscheck!

Realitätscheck: Wenn etwas zu gut ist, um wahr zu sein, dann ist es das in der Regel auch – vor allem im Internet. Fragen Sie sich selbst, ob die Anfrage oder das Angebot, das Sie per E-Mail oder am Telefon erhalten haben, überhaupt realistisch ist: Habe ich an einem Lotteriespiel mitgemacht? Würde ein Designer seine Taschen tatsächlich so unglaublich günstig verkaufen?

Prüfen: Falls der Realitätscheck keine Klarheit bringt, dann prüfen Sie nach. Handelt es sich um eine verdächtige Nachricht Ihrer Bank? Dann rufen Sie Ihre Bank an. Ist es eine Nachricht von Ihrem oder Ihrer Vorgesetzten? Dann sprechen Sie mit ihm/ihr. Oder haben Sie eine Rechnung oder einen Vertrag von einem Unternehmen erhalten, das Sie kennen? Dann nehmen Sie Kontakt mit diesem Unternehmen auf.

Schon passiert? Keine Panik.

Sie haben Geld überwiesen?

  • Sprechen Sie mit Ihrer Bank
  • Beenden Sie sofort jede Kommunikation mit dem Angreifer
  • Erstatten Sie Anzeige bei der Polizei

Sie haben Ihr Passwort weitergegeben?

  • Ändern Sie Ihre Passwörter
  • Starten Sie Ihr Antivirenprogramm
  • Sprechen Sie mit Ihrem*er Technikverantwortlichen

Wahre Fälle

Finanzieller Schaden im Unternehmen – AMAG und Emile Egger

Das Schweizer Unternehmen Emile Egger wurde Opfer eines CEO-Betrugs und das Firmennetzwerk des Autoimporteurs AMAG wurde durch einen schädlichen E-Mail-Anhang gehackt. In beiden Fällen lag die Schadensumme in Millionenhöhe.

Die grosse Liebe?

Eine Frau aus Zürich wurde so von ihrer vermeintlichen grossen Liebe um 180'000 Franken betrogen. Sie wurde Opfer eines sogenannten "Romance Scam".

Twitter-Hack

Im Juli 2020 wurde 130 Twitter-Profile international bekannter Personen gehackt. Twitter spricht von einer koordinierten Social-Engineering-Attacke, die gezielt auf Mitarbeitende mit Zugang zu internen Systemen und Tools gerichtet war.

Mehr zum Thema