Baiting

• Bei dieser Methode legt der Angreifer einen Köder aus, beispielsweise in Form eines USB-Sticks mit vorinstallierter Malware.
• Sobald jemand den Stick aus Neugier an einem System anschließt, wird es kompromittiert.
• Es gibt sogar einen USB-Stick, der Computer schwer beschädigen oder völlig zerstören kann:
• Das Gerät zieht eine gewisse Strommenge über den USB-Anschluss und gibt sie dann in einem einzigen hohen Stromstoß wieder an das System ab.
• Ein solches Gerät ist schon für 54 $ zu haben.

Pretexting

• Bei dieser Methode versuchen Angreifer unter einem Vorwand, das Vertrauen ihres Opfers zu gewinnen und es zur Herausgabe von Informationen zu bewegen.
• Ein solcher Vorwand kann zum Beispiel eine Internetumfrage sein, die zunächst harmlos erscheint, dann aber Bankdaten abfragt.
• Manche Hacker sind dreist genug, sich vor Ort in Unternehmen als Systemprüfer auszugeben, um gutgläubigen Mitarbeitern wertvolle Informationen zu entlocken.

Phishing

• Bei Phishing-Angriffen werden im Namen vertrauenswürdiger Quellen gefälschte E-Mails oder Textnachrichten verschickt, in denen die Empfänger nach Informationen gefragt werden.
• Sehr häufig geben sich Kriminelle als Bank aus und fordern Kunden zur Bestätigung ihrer Sicherheitsinformationen auf.
• Die Opfer landen auf einer gefälschten Website, wo ihre Anmeldedaten aufgezeichnet werden.
• Beim sogenannten Spear Phishing konzentrieren sich die Angreifer auf eine bestimmte Person innerhalb eines Unternehmens.
• Sie erhält eine gefälschte E-Mail, in der ein Vorgesetzter sich nach vertraulichen Informationen erkundigt.

Vishing und Smishing

• Diese Angriffsmethoden sind Varianten des Phishing: Beim Voice Phishing werden Sie telefonisch um Informationen gebeten.
• Häufig geben sich die Kriminellen als Kollegen aus, beispielsweise als Mitarbeiter des IT-Helpdesk, die Ihre Anmeldedaten benötigen.
• Smishing funktioniert nach demselben Prinzip, nutzt aber SMS.

Quid-pro-Quo

• Tausch ist kein Raub – dieses Sprichwort mag generell stimmen, nicht aber beim Thema Cybersicherheit.
• Bei vielen Social-Engineering-Angriffen wird den Opfern suggeriert, dass sie für die bereitgestellten Informationen oder Anmeldedaten eine Gegenleistung erhalten.
• Ein Beispiel hierfür ist Scareware: Computernutzern wird ein Update zur Behebung eines gefährlichen Sicherheitsproblems angeboten.
• In Wahrheit ist die Scareware selbst die Sicherheitsbedrohung.

Contact Spamming und E-Mail-Hacking

• Bei dieser Methode haben die Angreifer es auf die Kontakte ihres Opfers abgesehen und hacken sich in sein E-Mail-Konto oder seine Konten in den sozialen Netzwerken.
• Dann geben sie sich gegenüber den Kontakten als das Opfer aus.
• Manchmal behaupten sie, man hätte sie ausgeraubt und ihre Brieftasche gestohlen.
• Kann der Freund nicht schnell ein bisschen Geld auf dieses Konto überweisen?
• Oder sie schicken einen Link, den der Kontakt sich unbedingt anschauen soll.
• Tut er es, wird Malware oder ein Keylogging-Trojaner installiert.

Pharming und Hunting

• Einige Social-Engineering-Strategien sind noch weitaus raffinierter.
• Die meisten der oben beschriebenen Methoden sind recht unkompliziert und fallen unter den Oberbegriff Hunting.
• Die Kriminellen verschaffen sich Zugang, stehlen alle Informationen, die sie kriegen können, und verschwinden wieder.

Shoulder Surfing

• Bei dieser Methode werden Daten gestohlen, indem dem Opfer "über die Schulter" geschaut wird.
• Während dises seinen Laptop oder ein anderes Gerät benutzt.
• Insbesondere für Unternehmen, die remote arbeiten ist es wichtig, diese Bedrohung zu kennen, da die Mitarbeiter ihre Arbeitsgeräte oft an öffentlichen Orten benutzen.
• Tailgating
• Dumpster Diving

Quellen

• https://www.kaspersky.de/resource-center/threats/how-to-avoid-social-engineering-attacks
• https://www.also.com/ec/cms5/de_6000/6000/blog/vlog/artikel/zukunftstechnologien/social-engineering-techniken-und-wie-man-angriffe-verhindert_40193.jsp