Täuschung und Datenklau
, Social Engineering: So schützen Sie sich vor Manipulation

Beim Social Engineering gelangen Kriminelle mit perfiden Tricks und Täuschungen an Ihre sensiblen Daten. So schützen Sie sich vor der Betrugsmasche.

Social Engineering
, Das Wichtigste in Kürze

  • Beim Social Engineering versuchen Kriminelle, durch gezielte zwischenmenschliche Manipulation an vertrauliche Informationen zu gelangen.
  • Um sich zu schützen, sollten Sie grundsätzlich keine sensiblen Daten wie Passwörter oder TANs weitergeben und bei ungewöhnlichen Anfragen vorsichtig sein.
  • Sind Sie Opfer von Cyber-Betrug geworden, sollten Sie sofort alle betroffenen Zugänge sperren, die entsprechenden Institutionen wie z.B. die Bank informieren und den Vorfall bei der Polizei anzeigen.

Definition
, Was ist Social Engineering?

Social Engineering bezeichnet eine Form von Betrug, bei der Kriminelle gezielt ihre Opfer manipulieren, um Zugang zu vertraulichen Informationen und damit zu Systemen zu bekommen. Statt technische Schwachstellen auszunutzen, setzen Angreifer auf zwischenmenschliche Beeinflussung – etwa durch das Ausnutzen von Hilfsbereitschaft, Vertrauen, Angst oder dem Respekt vor Autorität.

Ziel ist es, die betroffene Person dazu zu bringen, bestimmte Handlungen auszuführen. Beispielsweise werden sie gebeten, sensible Daten preiszugeben, um Sicherheitsmechanismen zu umgehen. Teilweise werden sie auch dazu gebracht, Überweisungen zu tätigen oder Schadsoftware auf ihrem privaten oder beruflichen Computer zu installieren.

Warum sind Social Engineering Angriffe so gefährlich?

Social Engineering zählt zu den größten Bedrohungen für die Cybersicherheit. Laut Studien ist die Mehrheit aller erfolgreichen Cyberangriffe auf Social-Engineering-Methoden zurückzuführen. Die Betrugsmasche ist zum einen so gefährlich, weil sie das menschliche Miteinander ausnutzt – für viele ist ein Angriff deshalb nur sehr schwer zu erkennen. Zum anderen kann Social Engineering enormen finanziellen Schaden anrichten, etwa wenn Kriminelle Zugriff auf Konten erhalten oder wenn eine Schadsoftware die Unternehmens-IT lahmlegt.

Über welche Kanäle erfolgen Social Engineering Angriffe?

Social Engineering ist kein neues Phänomen – die Betrugsmasche gibt es seit jeher. Heute stehen den Tätern jedoch eine Vielzahl an Kommunikationswegen zur Verfügung: Neben digitalen Kanälen wie E-Mail, Textnachrichten oder sozialen Netzwerken kommen auch klassische Kommunikationswege zum Einsatz, etwa das Telefon oder sogar der persönliche Kontakt an der Haustür. Besonders bekannt ist der sogenannte Enkeltrick: Dabei geben sich Betrüger per Anruf oder Messenger-Dienst als nahe Angehörige in einer Notlage aus und fordern unter einem dringenden Vorwand Geld.

Welche Schäden können durch Social Engineering entstehen?

Social Engineering Angriffe können sowohl für Privatpersonen als auch für Unternehmen gravierende wirtschaftliche Folgen haben, unter anderem:

  • Finanzielle Verluste, wenn erlangte Kontoinformationen missbraucht werden, um Geld zu stehlen. Oder die Opfer werden dahingehend manipuliert, das Geld selbst an die Betrüger zu überweisen – in dem Glauben, das „Richtige“ zu tun.
  • Schäden an IT-Systemen, durch unbemerktes Einschleusen von Schadsoftware, die Daten verschlüsselt, stiehlt und missbraucht oder den Betrieb manipuliert.
  • Reputationsschäden durch gestohlene Kundendaten oder Vertrauensverlust in z. B. Onlineshop oder Bank nach Betrugsfällen.

Warnzeichen
, Welche Arten von Social Engineering Angriffen gibt es?

Social Engineering ist ein Sammelbegriff für eine Vielzahl von Betrugsmaschen, bei denen Kriminelle gezielt menschliches Verhalten und Vertrauen ausnutzen. Die Methoden unterscheiden sich zwar im Detail, das Ziel bleibt jedoch immer gleich: Durch Täuschung und Manipulation bringen Täter ihre Opfer dazu, im guten Glauben vertrauliche Informationen preiszugeben oder bestimmte Handlungen auszuführen. Besonders häufig kommen dabei folgende Betrugsformen zum Einsatz:

Phishing

Phishing (von engl. „fishing” – „angeln”) ist die bekannteste und häufigste Form von Social Engineering. Dabei erhalten Opfer E-Mails oder SMS (dann auch Smishing genannt), die auf den ersten Blick vertrauenswürdig erscheinen. Die Nachrichten enthalten jedoch Links zu gefälschten Webseiten, auf denen Nutzer ihre Anmelde- oder Kontodaten eingeben sollen. Cyberkriminelle können diese Daten dann abgreifen und für illegale Aktivitäten verwenden.

Als Absender imitieren Cyberkriminelle meist bekannte Institutionen wie Paypal, Facebook, Amazon oder Banken. Viele Nutzer schöpfen zunächst keinen Verdacht, weil die Absenderadressen bis auf minimale Unterschiede genau so aussehen wie die bekannten Adressen der echten Unternehmen.

Anlagebetrug (Boiler-Room-Fraud)

Beim Anlagebetrug geben sich Kriminelle als seriöse Finanzberater oder Investmentexperten aus. In den meisten Fällen treten Täter über geschaltete Werbeanzeigen oder sogar direkt per Telefon mit ihren Opfern in Kontakt. Dabei wirken sie sehr professionell und überzeugend. Sie überreden die Opfer, in vermeintlich lukrative Finanzprodukte wie Wertpapiere oder Kryptowährungen zu investieren. Diese Produkte existieren jedoch in der Realität nicht oder sind völlig wertlos. Um Vertrauen zu schaffen, nutzen die Betrüger täuschend echt wirkende Websites und Handelsplattformen, auf denen die Opfer scheinbare Gewinne einsehen können.

Wichtiger Hinweis: Die Commerzbank oder andere Banken erfragen niemals sensible Daten wie Online-Zugänge oder Karten-PINs per SMS oder Anruf von Ihnen.

Anruferbetrug

Beim Anruferbetrug erfinden Angreifer einen Vorwand und geben sich als jemand anderes aus, um an Informationen zu gelangen. So geben sich Betrüger am Telefon beispielsweise als angebliche Bankmitarbeiter aus, um sensible Daten wie PINs oder TANs zu erfragen – beispielsweise unter dem Vorwand einer erneuten Legitimation oder Aktualisierung der Kontodaten.

Es sind auch Fälle bekannt, in denen sich Kriminelle am Telefon als Polizisten oder Mitarbeitende einer Behörde ausgeben. Seien Sie auch bei Anrufen eines vermeintlichen Microsoft-Supports, der eine Sicherheitslücke schließen möchte, vorsichtig.

Enkeltrick und “Hallo Mama”-Trick

Bei dieser Form von Social Engineering geben sich Betrüger am Telefon als Verwandte in Not aus und fordern unter einem Vorwand Geld – zum Beispiel, weil sie nach einem Unfall sofort eine Kaution oder Arztrechnung zahlen müssen.

Ähnlich ist der „Hallo Mama“-Trick. Hierbei kontaktieren Betrüger ihre Opfer per WhatsApp oder SMS und geben sich als Sohn oder Tochter mit angeblich neuer Nummer aus. Auch hier wird unter einem Vorwand – zum Beispiel eine dringende Rechnung – um eine schnelle Geldüberweisung gebeten.

Man spricht auch vom Pretexting (von engl. „pretext“ – „Vorwand“), wenn Angreifer eine falsche Identität annehmen oder einen erfundenen Grund vorgeben, um an Informationen zu kommen.

Baiting

Beim Baiting erfolgt der Angriff über eine externe Datenquelle, also zum Beispiel einen USB-Stick oder eine externe Festplatte. Personen erhalten sie zum Beispiel als Werbegeschenke und verbinden sie nichts ahnend mit ihrem Computer. Der Computer wird dadurch mit schädlicher Software (sogenannte „Malware”) infiziert.

Love-Scam

In Online-Dating-Plattformen erschleichen sich Betrüger mit vorgetäuschter Liebe das Vertrauen der Opfer. Nach einiger Zeit bitten sie um Geld und in der Folge meist um immer mehr und höhere Geldsummen, etwa um die Familie zu unterstützen oder um eine Notsituation zu überbrücken.

Task-Scam oder Job-Scam

Beim Job-Scam veröffentlichen Kriminelle gefälschte Stellenanzeigen, teils im Namen realer Firmen. Der Bewerbungsprozess läuft komplett online ab. Im Prozess werden persönliche Daten, Ausweisdokumente oder die Eröffnung eines Bankkontos verlangt – angeblich zur Identitätsprüfung. In anderen Fällen sollen Bewerber „Testkonten“ einrichten, um im Rahmen des angeblichen Jobs den Kundenservice von Banken oder Zahlungsdiensten zu prüfen. Die eröffneten Konten werden dann von den Tätern für Geldwäsche missbraucht.


Diese Masche kann auch im Rahmen kleinerer Online-Aufgaben z. B. App-Bewertungen gegen Vergütung erfolgen – dann spricht man von Task-Scam.

Business E-Mail-Compromise (BEC) oder CEO-Fraud

Eine weitere Form von Social Engineering sind sogenannte BEC-Angriffe, bei denen Cyberkriminelle gezielt die geschäftliche E-Mail-Kommunikation manipulieren. Dabei geben sich die Täter per E-Mail häufig als Führungskraft („CEO-Fraud“) oder Lieferant aus, um Mitarbeitende – insbesondere in Buchhaltung oder Zahlungsabwicklung – dazu zu bringen, Überweisungen auf betrügerische Konten vorzunehmen oder vertrauliche Informationen preiszugeben.

Prävention
, 8 Tipps, wie Sie sich vor Social Engineering Attacken schützen

Mit Aufmerksamkeit und dem richtigen Wissen lassen sich Social Engineering Angriffe oft frühzeitig erkennen und abwehren. Die folgenden Tipps helfen Ihnen dabei, Ihr Risiko deutlich zu reduzieren:

Angriffsflächen minimieren durch Datensparsamkeit

Jeder kann Ziel eines Social Engineering Angriffs werden. Überlegen Sie, welche persönlichen Informationen über Sie online zugänglich sind und wie Angreifende dieses Wissen gegen Sie einsetzen könnten.

Niemals Zugangsdaten teilen

Geben Sie Passwörter, Zugangsdaten, Kontoinformationen oder ihre photoTAN-Grafik niemals per Telefon, E-Mail oder andere Messenger-Dienste weiter. Banken und seriöse Unternehmen fordern sensible Daten niemals auf diesen Wegen an.

Neue Kontakte hinterfragen

Seien Sie insbesondere in sozialen Netzwerken grundsätzlich skeptisch bei neuen Kontaktanfragen. Geben Sie dort keine sensiblen Informationen preis und prüfen Sie die Vertrauenswürdigkeit des Kontakts mithilfe öffentlich zugänglicher Informationen.

Unbekannte Absender prüfen

E-Mails oder Nachrichten von unbekannten – und selbst von bekannten – Absendern können gefährlich sein. Hinterfragen Sie immer den Inhalt, die Absicht und die Dringlichkeit einer unerwarteten E-Mail-Anfrage.

Privatsphäre-Einstellungen kontrollieren

Überprüfen Sie regelmäßig Ihre Privatsphäre-Einstellungen in sozialen Netzwerken. Achten Sie genau darauf, wer welche Informationen über Sie sehen kann, und beschränken Sie sensible Inhalte auf enge Kontakte.

Vorsicht bei zu guten Angeboten

Seien Sie misstrauisch gegenüber Angeboten, die zu gut klingen, um wahr zu sein. Oft steckt dahinter eine Masche, um an Ihre Daten zu kommen – etwa durch gefälschte Gewinnspiele oder Sonderangebote.

Manipulation und Zeitdruck erkennen

Betrüger setzen beim Social Engineering häufig auf emotionale Erpressung oder behaupten, sofortiges Handeln sei nötig. Lassen Sie sich weder zeitlich noch emotional unter Druck setzen – weder von Privatpersonen noch von vermeintlich bekannten Unternehmen oder Behörden.

Wachsam bleiben

Hinterfragen Sie ungewöhnliche, überraschende oder dringende Anfragen – auch wenn sie vertrauenswürdig erscheinen. Vertrauen Sie im Zweifel Ihrem Bauchgefühl und handeln Sie nicht übereilt. Informieren Sie sich außerdem regelmäßig über aktuelle Betrugsmaschen zum Beispiel auf der Seite der Verbraucherzentrale.

Maßnahmen für Betroffene
, Social Engineering: So verhalten Sie sich im Ernstfall richtig

Wenn Sie glauben, Opfer eines Social Engineering Angriffs geworden zu sein, sollten Sie sofort handeln:

Bank kontaktieren:
Je nachdem, welche Konten, Daten oder Zugänge betroffen sind, sollten Sie umgehend alle relevanten Institutionen kontaktieren und den Vorfall melden. Wenn beispielsweise Ihre Bankdaten betroffen sind, wenden Sie sich direkt an Ihre Bank.

Kunden der Commerzbank können rund um die Uhr folgende Hotlines nutzen:

Privatkunden: 069 5 8000 8000
Unternehmer: 069 5 8000 9000

Wenn Sie im Berufsalltag mit Social Engineering konfrontiert werden, wenden Sie sich direkt an die IT-Abteilung Ihres Arbeitgebers oder an einen Experten für Cybersicherheit.

Zugänge sperren:
Falls Sie Ihre Zugangsdaten – zum Beispiel für das Online Banking – versehentlich mit Kriminellen geteilt haben, sollten Sie den Zugang sofort sperren.

Kunden der Commerzbank können wie folgt handeln:

Anzeige erstatten:
Wenn Ihnen ein Schaden durch einen Social Engineering Angriff entstanden ist, sollten Sie Anzeige erstatten. Das geht entweder persönlich bei Ihrer örtlichen Polizeidienststelle oder bequem im Internet über die Online-Wache.

Sicherheit bei der Commerzbank
, Vertrauen Sie auf höchste Sicherheitsstandards

Sicherheit hat bei uns oberste Priorität: Wir tun alles, um Ihr Banking stets sicher zu halten.

Modernste Sicherheitsstandards:

Unsere spezialisierten Sicherheitsteams überwachen regelmäßig unser Online und Mobile Banking. Wir führen kontinuierlich Tests durch und entwickeln unsere Sicherheitsmaßnahmen ständig weiter.

Abschaltung betrügerischer Webseiten:

Sollten gefälschte Commerzbank-Webseiten im Umlauf sein, sorgen wir dafür, dass diese umgehend abgeschaltet werden.

2-Faktor-Authentifizierung:

Mit der 2-FA bieten wir Ihnen einen zusätzlichen Schutz beim Online Banking. So wird es für Betrüger deutlich schwieriger, unbefugte Transaktionen mit Ihren Daten vorzunehmen.

Individuelle Beratung:

Bei Fragen oder Bedenken stehen wir Ihnen jederzeit zur Verfügung. Kontaktieren Sie einfach unsere Kundenhotline für eine persönliche Beratung.

Das könnte Sie auch interessieren: