Was sind die zentralen Merkmale der verschiedenen Phishing-Angriffe
angriffsmethode: phishing
zielgruppe: breite masse / ungezielt
grad der personalisierung: gering (massenversand)
typisches ziel: zugangsdaten von privatpersonen
angriffsmethode: spear-phishing
zielgruppe: einzelne person oder kleine gruppe
grad der personalisierung: hoch (basiert auf osint)
typisches ziel: kompromittierung eines unternehmens-accounts
angriffsmethode: ceo-fraud
zielgruppe: mitarbeiter mit finanzbefugnis
grad der personalisierung: sehr hoch (gibt sich als ceo aus)
typisches ziel: durchführung betrügerischer überweisungen
Phasen eines Social-Engineering-Angriffs
1. Informationssammlung (Information Gathering)
Ziel: Möglichst viele Informationen über die Zielperson oder das Unternehmen sammeln.
Mittel: OSINT (Open Source Intelligence), z. B.:
Firmenwebseiten
Soziale Netzwerke (LinkedIn, Xing, Facebook)
Presseartikel, Stellenanzeigen
Zielinfos: Namen, Abteilungen, interne Abläufe
2. Beziehungsaufbau (Relationship Development)
Ziel: Vertrauen aufbauen
Der Angreifer gibt sich aus als:
Kollege aus anderer Abteilung
IT-Support
Kunde, Bewerber etc.
Je mehr Infos er hat, desto glaubwürdiger wirkt er
3. Manipulation (Exploitation)
Ziel: Opfer zur gewünschten Handlung bewegen
Psychologische Taktiken:
Hilfsbereitschaft („Ich bin neu, können Sie mir helfen?“)
Autorität („Ich rufe im Namen der Geschäftsführung an“)
Angst/Dringlichkeit („Ihr Konto wurde gehackt, klicken Sie hier“)
4. Zugriff (Execution)
Ziel: Das Opfer handelt – gibt z. B.:
Zugangsdaten preis
klickt auf schädlichen Link
öffnet infizierten Anhang
tätigt eine Überweisung
Der Angreifer hat Zugriff, startet ggf. technischen Angriff oder erzielt direkt Gewinn
Gängige Methoden des Social Engineering
Phishing:
Gefälschte Massen-E-Mails (z. B. angeblich von Bank oder Paketdienst), um Nutzer zum Klick auf Links oder Preisgabe von Daten zu verleiten.
Spear-Phishing:
Zielgerichtetes, personalisiertes Phishing mit echten Namen und Infos, oft auf eine bestimmte Person oder Abteilung zugeschnitten.
CEO-Fraud / Fake President:
Angreifer gibt sich als Chef aus, fordert per E-Mail geheime Überweisung. Ziel: Buchhaltung unter Zeitdruck zur Zahlung bringen.
Vishing:
Telefonanruf mit falscher Identität (z. B. IT-Support, Bank), um Passwörter, TANs oder sensible Daten zu erfragen.
Baiting:
Auslegen eines infizierten USB-Sticks oder digitalen Köders. Ziel: Opfer steckt ihn aus Neugier ein und startet Malware.
Schutzmaßnahmen gegen Social Engineering
Technische Maßnahmen allein reichen nicht – Ziel ist der Mensch.
Wichtigste Maßnahme: Mitarbeiterschulung (Security Awareness)
Misstrauisch bei unerwarteten Anfragen
Identität von Absendern prüfen
Niemals unter Stress sensible Infos preisgeben
Technische Unterstützung: z. B. Spam- und Phishing-Filter
Netzwerkbasierte Angriffe
Man-in-the-Middle (MITM)
Angreifer schaltet sich unsichtbar zwischen zwei Kommunikationspartner
Typische Methoden:
ARP-Spoofing (im LAN)
DNS-Spoofing (falsche Webseiten)
Rogue Access Point (falsches WLAN)
Schutz: Ende-zu-Ende-Verschlüsselung (HTTPS, TLS, VPN), Zertifikate prüfen
DoS / DDoS
Ziel: Dienst lahmlegen durch Überlastung
DoS = eine Quelle
DDoS = viele Quellen (Botnetz)
Schutz: Notfallpläne, Firewall, Anti-DDoS-Dienste, Traffic-Filter
Identitäts- und Zugangsdaten-Angriffe
Credential Stuffing
Angreifer nutzt gestohlene Zugangsdaten von anderen Seiten
Erfolgreich, wenn gleiche Passwörter mehrfach verwendet werden
Schutz:
Einzigartige Passwörter (am besten mit Passwort-Manager)
Multi-Faktor-Authentifizierung (MFA)
Login-Überwachung und Bot-Schutz für Betreiber
Nicknapping
Angreifer übernimmt Nicknamen/Benutzernamen, um Ruf zu schädigen oder zu täuschen
Ziel: Identitätsdiebstahl oder Betrug
Frühzeitig Benutzernamen sichern
Starkes Passwort + MFA
Bei Missbrauch: Plattform melden, Passwort ändern, Anzeige erstatten
Last changeda month ago