Die emotionale Waffe der Cyberkriminalität

Social Engineering im digitalen Zeitalter

Cybersicherheit, Social Engineering, Security Awareness
LinkedInRedditWhatsAppPocket

Cyberkriminelle haben längst erkannt, dass nicht nur technische Schwächen ein Angriffspunkt sind – auch der Mensch selbst ist verwundbar. Eine der wirksamsten Methoden, um Zugang zu sensiblen Informationen oder Systemen zu erhalten, ist das sogenannte Social Engineering.

Dabei setzen Angreifer gezielt auf psychologische Manipulation, um Vertrauen zu gewinnen und Kontrolle über ihre Opfer zu erlangen.

Anzeige

Vertrauen als Eintrittskarte

Social Engineering zielt darauf ab, dass Menschen ihre natürliche Skepsis verlieren. Anstatt sofort schädliche Inhalte zu verbreiten, wählen Angreifer häufig einen subtilen Ansatz: Sie beginnen mit scheinbar harmlosen Nachrichten und bauen darüber eine Konversation auf. Diese Vorgehensweise hilft, „eine Beziehung aufzubauen“, erklärt Proofpoint, ein Unternehmen, das auf Cybersicherheit spezialisiert ist. Sobald das Opfer Vertrauen gefasst hat, folgen manipulierte Nachrichten mit gefährlichen Anhängen oder Links.

Diese Täuschungsmanöver dienen nicht nur der Vorbereitung auf spätere Angriffe. Sie ermöglichen es den Kriminellen auch, Reaktionen zu testen – etwa um herauszufinden, ob eine Sicherheitssoftware anschlägt oder ein Opfer besonders empfänglich ist. Dadurch lassen sich riskante Angriffe besser timen oder ganz vermeiden.

Vom Spion zur Schadsoftware: Social Engineering im Dienste der Staaten

Besonders heikel wird es, wenn staatlich geförderte Hackergruppen Social Engineering gezielt für Spionagezwecke einsetzen. Über längere Zeiträume hinweg pflegen sie fingierte Kommunikation, um Informationen zu außenpolitischen Entscheidungen, Regierungshaltungen oder sensiblen Themen zu sammeln. Rund ein Viertel der staatlich gelenkten Phishing-Kampagnen beginnt mit unverdächtigen E-Mails – eine alarmierende Entwicklung.

Anzeige

Ein konkretes Beispiel: Im Januar 2025 gab sich die nordkoreanische Gruppe TA427 als Journalist aus, „der Details über die Auswirkungen des Putschversuchs und der anschließenden Verhaftung des ehemaligen südkoreanischen Präsidenten Yoon Suk Yeol auf südkoreanische Sicherheit und Außenpolitik recherchierte“. Solche Tarnungen dienen dazu, politische Insiderinformationen zu erschleichen. Auch die iranische Gruppe TA453 verfolgt ähnliche Methoden und fokussiert sich insbesondere auf den Nahen Osten.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Vielfalt der Täuschung: Die gängigsten Social-Engineering-Techniken

Kriminelle bedienen sich zahlreicher Tricks, um an ihr Ziel zu gelangen. Dabei hat sich die Methodenwahl im Laufe der Zeit verschoben – Angst als Druckmittel verliert an Bedeutung, während Täuschung und Verlockung an Gewicht gewinnen.

1. Advanced Fee Fraud (AFF)
Bei dieser Masche versprechen Angreifer hohe Geldbeträge oder wertvolle Gegenstände gegen eine kleine Vorauszahlung. Diese Betrugsart hat laut Proofpoint um 47 Prozent zugenommen. Ob falsche Jobangebote oder vermeintliche Gewinnspiele – der Reiz des schnellen Geldes wirkt offenbar stärker als Drohungen. Ein Beispiel: Auch die „Eras“-Tour von Taylor Swift wurde zur Kulisse für betrügerische Jobanzeigen missbraucht.

2. Erpressung
Trotz sinkender Relevanz bleibt Erpressung eine der fünf häufigsten Techniken. Dabei drohen Angreifer mit körperlicher Gewalt oder dem Rufschaden ihrer Opfer, sollte eine Forderung nicht erfüllt werden.

3. Telephone-oriented Attack Delivery (TOAD)
Hierbei wird das Opfer dazu gebracht, selbst aktiv zu werden – etwa durch das Anrufen einer Telefonnummer, die dann zum Installieren schädlicher Software verleitet. Besonders tückisch: Diese Methode umgeht klassische Schutzmechanismen, da keine verdächtigen Anhänge oder Links enthalten sind. Laut Proofpoint werden jährlich rund 117 Millionen solcher Angriffe blockiert.

4. „Quick Task“ oder „Der kleine Gefallen“
Diese Methode wirkt zunächst harmlos: Das Opfer wird lediglich gebeten, sich für eine kleine Aufgabe zurückzumelden. Erst später offenbart sich der tatsächliche Hintergrund – oft mit finanziellen oder datentechnischen Schäden.

5. Gefälschte Angebotsanfragen („Request for Quote“) Angreifer senden fingierte Anfragen für Dienstleistungen oder Produkte. Ziel ist es, entweder Zahlungen zu erschleichen oder Schadsoftware zu platzieren – manchmal auch beides.

Generative KI verleiht dem Social Engineering eine neue Dimension. Mit Hilfe von künstlich erzeugten Texten oder Deepfakes können Angriffe noch gezielter und glaubwürdiger gestaltet werden. Die Fähigkeit, Inhalte massenhaft und individuell angepasst zu erstellen, verschiebt das Kräfteverhältnis deutlich zugunsten der Täter.


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Warnung vor Social Engineering-Kampagne ClickFix

Weitere Artikel

HTML-Dateien dominieren unter schädlichen E-Mail-Anhängen
Nordkoreas „Void Dokkaebi“ nutzt russische Infrastruktur
Wie Cyberkriminelle generative KI als Waffe einsetzen
Zero-Knowledge-Kriminalität: So einfach werden Reisepässe mit KI gefälscht
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.