Social Engineering: Die Kunst der Manipulation in der digitalen Welt

• Phishing: Täuschende E-Mails oder Websites, die Nutzer dazu bringen, Login-Daten preiszugeben.
• Spear Phishing: Zielgerichtete Angriffe auf bestimmte Personen oder Organisationen.
• Vishing: Betrug über Telefonanrufe.
• Smishing: Manipulative SMS-Nachrichten.
• Whaling: Eine besondere Form des Phishings, das auf hochranginge Führungskräfte abzielt. 

Angreifer geben sich als vertrauenswürdige Personen aus, um sensible Informationen zu erhalten. Ein bekanntes Beispiel ist der Fall von Hewlett-Packard, wo Privatdetektive sich als Telekommunikationsmitarbeiter ausgaben, um Verbindungsdaten zu erlangen.

Baiting beschreibt das Platzieren von manipulierten USB-Sticks, die Malware enthalten, an öffentlichen Orten. Ein Beispiel ist der FBI-Fall gegen Silk Road, bei dem verdächtige Personen auf diese Weise überwacht wurden. 
Auch das Platzieren von QR-Codes, deren Links auf Schadcode oder Phishing-Seiten weiterleiten, ist eine Möglichkeit. Eine geschickte Platzierung bspw. an Automaten oder vor Kantinen sowie das Überkleben von QR-Codes legitimer Aktionen erschwert das Erkennen. 
Ebenso können Gewinne oder Geschenke, meist in digitaler Form, wie kostenlose Songs oder Apps, per Mail, telefonisch, per Post, als Pop-Up im Browser, oder auf anderem Wege angeboten werden. Das Einlösen kann dann zur Installation von Malware oder zum Abfluss von Daten führen. 

Unbefugte verschaffen sich Zugang zu gesicherten Bereichen, indem sie sich an echte Mitarbeiter „anhängen“. Ein solcher Angriff wurde 2014 bei JPMorgan Chase dokumentiert.

Dabei können Keylogger – Hardware, die zwischen Tastatur und PC gesteckt oder installiert wird, um Eingaben mitzuschneiden – an zugänglichen Geräten platziert werden. So könnte sich zum Beispiel eine Person als Technikerin ausgeben und durch professionelles Auftreten und Vorspielen eines Reparaturauftrags Zugang zu Räumen verschaffen. Sie gelangt so in Bereiche mit Computern und kann dort unbeobachtet einen Keylogger installieren. 

Cyberkriminelle nutzen Deepfakes und gestohlene persönliche Daten, um beispielsweise Finanztransaktionen zu manipulieren, wie im Fall von Uniper, wo eine gefälschte CEO-Stimme 220.000 € erschlich. Im privaten Bereich kommt Impersonation häufig als „Enkeltrick“ vor. 

Mit Methoden der Open-source Intelligence (OSINT), also Ausnutzung von öffentlich zugänglichen Informationen, werden Daten über die impersionierende Person gesammelt und verwendet. Das können z. B. Bilder im Web, wie der Unternehmenswebseite oder sozialen Netzwerken sein, aber auch aus Interviews, die auf Videoplattformen oder sozialen Netzwerken hochgeladen wurden. Weitere persönliche Informationen können den Erfolg eines solchen Angriffs drastisch erhöhen. Sie bilden die Basis für das Training von KI-Modellen, aber auch auf klassischem Wege kann ein Angreifer diese Informationen nutzen, um Vertrauen zu erzeugen und Echtheit zu simulieren.

Das Durchsuchen von Papiermüll oder anderen Orten, wie Aushängen oder offene Briefkästen, aber auch Erspähen über die Schulter oder von ungesperrten, unbeaufsichtigten Geräten nach sensiblen Informationen. 

Der oder die Angreifer bieten eine Gegenleistung für Informationen oder Zugang zu Systemen und Informationen. Diese variieren dabei stark, je nach persönlicher Beziehung und Opfer. Solche Angriffe können bis hin zum Aufbau von persönlichen Abhängigkeiten führen. 

Der oder die Angreifer kreieren eine fiktive Person und richten ein gefälschtes Online-Profil ein, um sich mit einem Opfer anzufreunden. Am häufigsten ist dieser Angriff auf Dating-Plattformen zu finden, aber auch andere Interessengemeinschaften können dazu verwendet werden. Im Laufe der Zeit wird durch den Angreifer eine persönliche Beziehung aufgebaut bis hin zu einer Abhängigkeit, die für weitere Schritte ausgenutzt wird. 

Dabei wird das Opfer dazu gebracht Informationen an eine vermeintlich vertrauenswürdige Quelle zu schicken oder zu übergeben – oft unter Druck. Ein Beispiel hierfür ist der Anruf eines vermeintlichen Bankers mit der Information, dass sich, auf Grund eines Cyberangriffs, die Kontaktdaten des Service Centers der Bank geändert haben und das Opfer dort dringend anrufen solle, um das Geld des Unternehmens auf ein anderes Konto zu transferieren, damit die Angreifer es nicht bekommen. Ein Beispiel aus dem privaten Bereich ist der Anruf bei älteren Menschen mit dem Hinweis, dass kriminelle Banden im Viertel unterwegs seien, aber gleich ein Polizist vorbeikomme, um Wertgegenstände zur sicheren Verwahrung abzuholen.