DSGVO

Angeln mal ganz anders … Phishing und Social Engineering

Sicher haben Sie diese Begriffe schon gehört – aber können Sie auch genau einordnen, um was es dabei eigentlich geht?

„Phishing“ nennt man den Versuch, Zugangsdaten, PIN oder auch andere Geschäftsgeheimnisse auf verschiedensten Wegen zu erhalten. Dies könnten Anrufe, Nachrichten oder auch E-Mails sein.

„Social Engineering“ ist die Manipulation von Menschen, um sie zu bestimmten Handlungen zu bringen. So könnten Gelder oder auch vertrauliche Informationen gestohlen werden.

Aber welche Strategien nutzen die Täter und wie können Sie sich dagegen schützen?

Eine der meistgenutzten Taktiken ist das Erzeugen von Druck oder Angst. So könnte ein Angreifer über eine Mail mit einer gefälschten Rechnung unter Androhung von Mahngebühren oder Vollstreckungen sowohl Gelder stehlen wollen (wenn es sich um eine Rechnung handelt, die unberechtigt gestellt wurde) als auch – und das ist das häufigere Szenario – mittels einer manipulierten Mail Schadcode auf den Rechner des Empfängers und damit schlimmstenfalls im gesamten Banknetzwerk platzieren. Eine weitere Möglichkeit ist die Schaffung eines zeitlichen Drucks, indem beispielsweise der Erfolg eines angeblichen Projekts von einer spontanen Handlung (Geld überweisen, Passwort weitergeben, …) abhängig gemacht wird. So wird der Adressat überrumpelt und reagiert möglicherweise so, wie es sich der Angreifer erhofft.

Möglich ist auch die Kraft der Autorität. Hier kann beispielsweise das Insiderwissen über Hierarchien innerhalb der Bank oder die Macht von Behörden ausgenutzt werden, um den Empfänger zur gewünschten Handlung zu bringen.

Das Gegenteil davon, aber nicht weniger erfolgreich, ist der Aufbau von Vertrauen. Der Angreifer nutzt vorher erworbenes oder im Gespräch zufällig erhaltenes Wissen über angebliche Gemeinsamkeiten. So können ein „gemeinsames“ Hobby oder der gleiche Kindergarten der Kinder schnell eine Atmosphäre aufbauen, in der mögliche Bedenken schneller über Bord geworfen werden.

Oft wird auch die natürliche Neugier ausgenutzt. Der Angreifer könnte eine Mail so manipulieren, dass sie so aussieht, als ob sie nur versehentlich zum Empfänger kam, aber „spannende“ Inhalte bereithält. Schnell ist man doch bereit, eine Datei „gehaltsabrechnungen.xls“ zu öffnen, die angeblich an die Personalabteilung adressiert ist. Man will ja nur mal schauen … und schon ist der Schadcode auf dem Rechner.

Auch wenn es keiner gern zugibt – eine gewisse Gier ist uns allen nicht fremd. „Sie haben gewonnen – holen Sie sich über diesen Link Ihren Gewinn ab.“ Fragen Sie sich dann vielleicht erst einmal – haben Sie überhaupt irgendwo mitgespielt?

Der Einsatz von Lob oder Schmeicheleien kann ebenfalls zum Erfolg führen. „Sie als Fachmann auf dem Gebiet xyz können mir doch da sicher weiterhelfen.“ Auch hier treten Sicherheits-Bedenken schnell in den Hintergrund, da man „auf seinem Gebiet“ und damit in einer entspannten Situation ist.

Und wer darauf nicht hereinfällt, den erreicht man eventuell mit einem Appell an die Hilfsbereitschaft. Schließlich sind die meisten Menschen gern bereit, anderen in einer vermeintlichen Notlage zu helfen. Ein gefundener USB-Stick lässt sich ja vielleicht seinem Eigentümer zurückgeben, wenn man einfach mal schaut, was darauf ist. Vielleicht finden sich ja Kontaktdaten und man war schließlich auch selbst schon mal in der Situation, etwas verloren zu haben und hätte sich gefreut, wenn jemand sich die Mühe gemacht hätte, das Objekt zurückzugeben. Schnell findet man dann keine Kontakte, aber vielleicht ein Schadprogramm, das sich im Hintergrund installiert.

Gern werden auch aktuelle Anlässe genutzt, um solche Mails zu verbreiten. „verbraucherzentrale.de“ zeigt bei den aktuellen Warnungen beispielsweise eine Phishing-Mail, die angeblich von den „Volksbanken Raiffeisenbanken“ kommt und mit Hinweis auf die Änderungen PSD2 zu einer „Prüfung“ auffordert. Empfänger, die schon vorher mit diesem Thema in Kontakt gekommen sind, könnten hier deutlich eher auf den Schad-Link klicken.

Und wie können Sie sich gegen solche Angriffe schützen?

Reagieren Sie grundsätzlich vorsichtig bei Anfragen, die Sie nicht einordnen können. Versuchen Sie immer, den Absender der jeweiligen Nachrichten zu verifizieren. Sie könnten beispielsweise über einen anderen Kontaktweg rückfragen und sich entsprechende Aufgaben bestätigen lassen. Ein relativ sicheres Indiz für unberechtigte Kontaktversuche ist die direkte Frage nach Passwörtern oder Geld in E-Mails.

Haben Sie Fragen zum Datenschutz? Wir helfen Ihnen gern.

Ähnliche Beiträge
DSGVO

Viren mal ohne Corona – mehr als 20 Jahre „I love You“

„I love You“ – das ist an sich etwas, das man gern hört. Jedoch nicht in dem Zusammenhang…
Mehr lesen
DSGVO

Werbung für 500 Personen - 1,24 Millionen Euro!

Anfang Juli 2020 ging es durch die Presse – der Landesdatenschutzbeauftragte von…
Mehr lesen
DSGVO

Dokumente vernichten - aber richtig.

Auch (oder gerade deswegen?) im „papierlosen“ Büro fallen jede Menge Dokumente mit…
Mehr lesen
Newsletter
Bleiben Sie informiert
Abonnieren Sie unseren Newsletter und erhalten nur die Infos, die für Sie wichtig sind! [mc4wp_form id="729"]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.