Zum Inhalt springen
Audio
Aus Audio Aktuell SRF 4 News vom 14.11.2023. Bild: imago images
abspielen. Laufzeit 3 Minuten 47 Sekunden.

Social Engineering Linkedin, das Lieblingsnetzwerk der Betrüger

Cyberkriminelle setzen oft psychische Manipulation ein, um an ihr Ziel zu kommen. Solche «Social Engineering»-Attacken hätten dieses Jahr deutlich zugenommen, meldet die Enisa. Besonders beliebt bei den Kriminellen: Linkedin.

Laut dem neusten Enisa Threat Landscape Report ist Social Engineering die drittgrösste Bedrohung in der digitalen Welt – nach Ransomware und Malware, die beide wiederum durch Social Engineering ermöglicht werden.

Phishing, Vishing, Smishing – was ist was?

Box aufklappen Box zuklappen
  • Phishing ist Betrug via Textnachricht, meistens via E-Mail. Das Ziel: Dass das Opfer auf einen Link klickt oder einen Anhang öffnet und damit einen Virus installiert, oder dass es Informationen preisgibt, zum Beispiel Kontodaten.
  • Vishing ist dasselbe, aber via Telefon. Das Wort setzt sich zusammen aus «Voice» und «Phishing».
  • Smishing oder SMSishing ist wieder dasselbe, aber via SMS.
  • Spear-Phishing nennt man einen gezielten Phishing-Angriff. Er funktioniert anders als die meisten Phishing-Attacken nicht nach dem «Schrotflintenprinzip», sondern ist auf eine bestimmte Person oder Gruppe zugeschnitten.
  • Whaling, also «Walfang», ist eine spezielle Art von Spear-Phishing, die auf das höhere Management von Firmen zielt.
  • Clone Phishing nennt man einen Phishing-Angriff, bei dem der Täter keine eigene Nachricht schreibt, sondern eine «echte» Nachricht, die das Ziel früher einmal erhalten hat, kopiert und einen bösartigen Anhang oder einen Link einfügt.

Die häufigste Art von Social Engineering ist Phishing, also betrügerische E-Mails. Aber auch betrügerische Anrufe und Pop-Ups gehören zum Arsenal der Kriminellen.

Linkedin, das Lieblingsnetzwerk der Social Engineers

Eine besondere Rolle für Social Engineers spielen die sozialen Medien. Ein gezielter Angriff basiert auf einer eingehenden Studie der Zielperson: Name, Alter, Adresse, Job, Interessen, Hobbies, Familie, Freunde, Persönlichkeit... All diese Informationen lassen sich auf den sozialen Medien finden.

Linkedin nimmt dabei eine spezielle Stellung ein. In diesem Netzwerk veröffentlichen viele ihren gut strukturierten und detaillierten Lebenslauf – alles, was ein Profiler braucht, wird auf dem Silbertablett serviert.

Worauf haben es Hacker abgesehen?

Linkedin ist besonders dann ein ideales Instrument, wenn es die Hacker nicht auf eine Einzelperson, sondern ein Unternehmen abgesehen haben. Zum Beispiel, wenn die Kriminellen Ransomware ins Firmennetzwerk schleusen wollen, wenn sie an Firmengeld kommen möchten oder wenn es um Industriespionage geht.

So läuft ein Angriff ab

Box aufklappen Box zuklappen

Ein professioneller Social-Engineering-Angriff verläuft in mehreren Phasen:

  • Reconnaissance

Die passende Zielperson wird bestimmt und ein genaues Profil erstellt. Dazu gehört auch eine psychologische Analyse mit einem besonderen Augenmerk auf mögliche «Schwachpunkte» wie Einsamkeit, Extroversion, Kontaktfreudigkeit, Abenteuerlust, Hilfsbereitschaft oder Pflichtbewusstsein.

  • Fake Persona

Es wir eine passende Identität erfunden, die zum Profil der Zielperson passt. Diese «Fake Persona» erhält Profile auf verschiedenen sozialen Medien, Fotos und eine Vorgeschichte. Oft ähnelt sie der Zielperson, hat eine ähnliche Persönlichkeit und gemeinsame Interessen.

  • Kontakt

Erst nach sorgfältiger Vorbereitung kontaktiert die «Fake Persona» die Zielperson. Das passiert meist unauffällig unter einem passenden Vorwand: zum Beispiel hat sie Fragen zu einem gemeinsamen Hobby.

Ab dem ersten Kontakt wird (manchmal über Wochen) eine beiläufige Beziehung aufgebaut. Aus Smalltalk wird Freundschaft, die sich via verschiedene Plattformen abspielt (zum Beispiel Linkedin, Instagram und WhatsApp).

  • Exploit

Manchmal dauert es Monate, bis es zum eigentlichen Betrug kommt, zum sogenannten Exploit. Jetzt fragt die Zielperson unter einem Vorwand nach heiklen Informationen, bittet das Opfer, einen Link oder ein Dokument zu öffnen, oder fragt nach Geld. Der Vorwand kann eine dringende Notsituation sein («Ich habe ein Vorstellungsgespräch in 10 Minuten, könntest du nicht rasch mein Porfolio durchlesen?»), oder etwas Beiläufiges («Ich habe diese Jobausschreibung gesehen, die dich interessieren könnte!»).

  • Exit

War der Angriff erfolgreich, kommt die letzte Phase: Die «Fake Persona» bricht den Kontakt ab. Je nachdem passiert das vorsichtig und unter einem Vorwand, damit das Opfer gar nie merkt, dass es Ziel eines Angriffs war.

Auf Linkedin kann man direkt nach einem bestimmten Arbeitgeber suchen. Man erhält dann eine Liste von Angestellten inklusive deren Jobtitel und -profil, was einem Hacker oder einer Hackerin bereits einen guten Überblick über ein Unternehmen gibt: Wie ist die Firma organisiert? Wie heissen die Leute in der Führungsetage? Wie ist die IT-Abteilung aufgestellt?

Aus der Liste der Mitarbeitenden kann man sich dann eine Zielperson suchen. Das kann jemand sein mit Zugang zu vertraulichen Informationen, zu IT-Systemen oder zu Bankkonten. Das kann aber auch ein durchschnittlicher Angestellter sein, der den Angreifern einen ersten Landepunkt liefert.

Sollte ich Linkedin deinstallieren?

Wie bei anderen Medien empfehlen Cybersecurity-Experten und -Expertinnen auch bei Linkedin, nicht unbedingt gleich das Profil zu löschen, sondern mit einer gesunden Portion Skepsis an die Sache heranzugehen. Bei allem, was man schreibt, sollte man sich fragen: Darf das ein Krimineller, eine Kriminelle über mich wissen – respektive über meine Firma?

Dürfen das Kriminelle über mich wissen?

Ausserdem braucht es ein stärkeres Bewusstsein dafür, dass jede und jeder ein wertvolles Ziel sein kann – man muss weder besonders reich noch ein Firmenchef sein, um Opfer eines gezielten Hackerangriffs zu werden.

Ein Social Engineer kann über Monate hinweg als harmloser Kontakt getarnt eine Freundschaft aufbauen, bevor er oder sie unauffällig nach dem fragt, was von Beginn an die Absicht war: Dass Informationen verraten werden, dass ein Link oder Dokument geöffnet wird oder dass Geld überwiesen wird.

Wenn in dem Moment die Zeichen erkannt werden, kann den Betrügern relativ einfach der Riegel geschoben werden: mit einem simplen «Nein».

Podcast Digital Podcast

Der Technologie-Podcast von SRF über Internet, Smartphones, soziale Netzwerke, Computersicherheit und Games.

Weitere Audios und Podcasts

Holen Sie sich SRF News in Ihr Whatsapp

Box aufklappen Box zuklappen

Die wichtigsten und spannendsten News jetzt bequem auf Whatsapp – einmal morgens (Montag bis Freitag), einmal abends (die ganze Woche): Abonnieren Sie hier den SRF-News-Kanal auf Ihrem Smartphone.

SRF 3, 14.11.2023, 14:10 Uhr

Jederzeit top informiert!
Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden.
Schliessen

Jederzeit top informiert!

Erhalten Sie alle News-Highlights direkt per Browser-Push und bleiben Sie immer auf dem Laufenden. Mehr

Push-Benachrichtigungen sind kurze Hinweise auf Ihrem Bildschirm mit den wichtigsten Nachrichten - unabhängig davon, ob srf.ch gerade geöffnet ist oder nicht. Klicken Sie auf einen der Hinweise, so gelangen Sie zum entsprechenden Artikel. Sie können diese Mitteilungen jederzeit wieder deaktivieren. Weniger

Sie haben diesen Hinweis zur Aktivierung von Browser-Push-Mitteilungen bereits mehrfach ausgeblendet. Wollen Sie diesen Hinweis permanent ausblenden oder in einigen Wochen nochmals daran erinnert werden?

Meistgelesene Artikel