© shutterstock

Was ist Social Engineering?

Persönliche Daten aus Facebook-Profilen und anderen öffentlich verfügbaren Online-Quellen eignen sich gut, um das Vertrauen von potenziellen Opfern zu gewinnen und diese zu manipulieren.

 Weltweit nutzen 2,8 Milliarden Menschen Facebook. Eine beeindruckende Zahl. Sie macht das soziale Netzwerk auch zu einem äusserst attraktiven Ziel für Hacker und andere zwielichtige Gestalten. Anfang April wurde bekannt, dass sich «maliziöse Täter» – so die Bezeichnung von Facebook – vor dem September 2019 persönliche Informationen von über 530 Millionen Facebook-Nutzerinnen und -Nutzern beschafft haben. Dazu gehören Nutzername, Wohnadressen, Geburtsdaten, E-Mail-Adressen und weitere Angaben.

Gemäss Facebook haben die Täter dabei nicht die Systeme des Netzwerkbetreibers verletzt, sondern die Daten «zusammengekratzt» (englisch = scraping). Dabei durchforstet eine Software automatisch das Internet nach öffentlich zugänglichen Informationen, die dann zusammengestellt und auf einschlägigen Plattformen veröffentlicht werden, die für alle zugänglich sind. Möglich war das im oben geschilderten Fall, weil die Hacker eine Schwachstelle in der Datensynchronisation ausgenutzt hatten, die gemäss Facebook nun gestopft sein soll.

Die Betreiber des sozialen Netzwerks erachten es nicht für notwendig, die betroffenen Nutzerinnen und Nutzer in Kenntnis zu setzen, dass ihre Profile einem Angriff zum Opfer gefallen sind. Wer wissen möchte, ob seine Informationen online veröffentlicht wurden, kann dies auf der Website haveibeenpwned.com tun. Sie wird vom Cybersicherheitsexperten Troy Hunt betrieben und gibt Auskunft darüber, ob bei einem Hackerangriff persönliche Daten wie Login oder Passwörter gefunden und veröffentlicht wurden.

Aus persönlicher Erfahrung weiss ich, dass bei Hackerangriffen auf prominente Firmen wie Adobe, Dropbox oder Linkedin auch meine Login-Daten schon publik gemacht wurden. In einem solchen Fall muss man umgehend das Passwort ändern. Und: Aus diesen Gründen empfiehlt es sich auch, nicht immer das gleiche Passwort zu verwenden, sondern verschiedene bzw. einen Passwort-Manager zu benutzen.

Zurückhaltend bleiben

Expertinnen und Experten sind sich einig, dass beim bekannt gewordenen Datenleck von Facebook wichtige Informationen für das sogenannte Social Engineering zugänglich gemacht wurden. Im Vergleich zu einem Passwort können persönliche Angaben wie Wohnadresse, Geburtsdatum, Handynummer oder E-Mail-Adresse nicht einfach geändert werden. Bei der Betrugsform des Social Engineering geht es darum, mit erschlichenen (Teil-)Informationen das Vertrauen seines Opfers zu gewinnen und es entsprechend zu manipulieren.

Verfügen die Betrüger über persönliche Informationen wie die Handy-Nummer, dann können sie beispielsweise eine SMS verschicken, die den Anschein erweckt, von der Post oder einem Kurierdienst zu sein, und eine Paketauslieferung ankündigen. Wer auf den darin enthaltenen Link klickt, lädt sich Schadsoftware aufs Handy herunter und infiziert dieses.

Eine andere Variante ist, dass die Cyberkriminellen anrufen und darauf hinweisen, dass die Adressatinnen oder Adressaten nächstens eine E-Mail erhalten werden, dessen angehängtes Formular ausgefüllt werden müsse, um den Empfang einer Sendung zu beschleunigen. Doch der Anhang enthält nicht das angekündigte Dokument, sondern ebenfalls Schadsoftware, die den Computer infiziert. Es ist auch denkbar, dass sich die Hacker mit den ergatterten Personendaten Zugang zu anderen Dienstleistungen verschaffen, denn dort werden oft Geburtsdaten und Wohnadresse zur Sicherheitsprüfung abgefragt.

Was tun? Stets grosse Zurückhaltung beim Anklicken von Links üben, die einem via SMS aufs Handy oder per E-Mail auf den PC zugeschickt werden. ❋

Beitrag vom 14.06.2021
Marc Bodmer

ist Jurist und Game-Consultant. Er beschäftigt sich seit über 25 Jahren mit digitalen Medien.
© René Ruis

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.