Social Engineering ist eine Angriffsart, die auf die menschliche Psyche und nicht auf eine technische Schwachstelle abzielt.
Methoden
- Vishing (gefälschter Telefonanruf)
- Smishing (gefälschte SMS)
- Pretexting (Nachahmung – z. B. IT-Support)
- Tailgating (Betreten der autorisierten Tür und Weitergeben)
- Ködern (kostenlose Freigabe des USB-Speichers)
- Quid pro quo (Informationen gegen ein Geschenk)
Typische Angriffsszenarien
- Anruf „Bankkundendienst“ (gefälscht)
- Passwortabfrage „IT-Abteilung“
- E-Mail-Betrug „CEO“ (CEO-Betrug)
- Szenario „Sofortige Hilfe in der Nähe benötigt“
In Unternehmen Auswirkung
- Großer Verlust bei unzureichender Mitarbeiterschulung
- CEO-Betrug, Verlust von Millionen Dollar
- Datenleck
- Imageschaden
Verbundene Straftaten
- TCK Art.158/1-f Betrug mit Informationssystemen
- TCK Art.135 Aufzeichnung personenbezogener Daten
- TCK Art.157 Betrug
Prävention (Unternehmen)
- Regelmäßige Mitarbeiterschulung
- 2FA auf allen Konten
- Doppeltes Bestätigungssystem (große Überweisungen)
- Sicherheitsrichtlinien
- Phishing-Simulationen
Prävention (Einzelperson)
- Geben Sie bei verdächtigen Suchanfragen kein Passwort an
- Geben Sie keine Passwörter an an verdächtige Suchanfragen
- Geben Sie keine Passwörter für die Überprüfung verdächtiger Suchanfragen weiter
- Geben Sie keinen SMS-Code weiter
- Bestätigen Sie „dringende Geld“-Nachrichten per Telefon
Oberster Gerichtshof 23. CD
23. CD akzeptiert, dass „organisierter und systematischer“ Social-Engineering-Betrug ein organisiertes Verbrechen darstellt und zu hohen Strafen führt.
Anwalt für Cyberkriminalität wird empfohlen.