1. Pretexting
Beim Pretexting erfindet der Angreifer eine glaubwürdige Geschichte oder Identität, um das Vertrauen seines Opfers zu gewinnen.
Das Ziel ist es, an sensible Informationen zu kommen, ohne dass das Opfer Verdacht schöpft.
Beispiel:
Ein Angreifer gibt sich als IT-Mitarbeiter aus und bittet um Zugangsdaten, um angeblich ein technisches Problem zu lösen.
Kernmerkmal: Täuschung durch eine erfundene Rolle oder Situation.
2. Interrogation
Interrogation bedeutet direkte, intensive Befragung.
Hier versucht der Angreifer durch gezielte Fragen oder psychischen Druck, schnell an Informationen zu gelangen.
Beispiel:
Ein Angreifer stellt wiederholt Fragen zu einer Sicherheitskonfiguration und drängt das Opfer, eine schnelle Antwort zu geben.
Kernmerkmal: Offenes, aggressives Ausfragen – eher auffällig und riskant.
3. Observation
Bei Observation beobachtet der Angreifer das Ziel passiv, ohne direkten Kontakt aufzunehmen.
Er achtet auf Sicherheitslücken, Arbeitsabläufe oder schwache Schutzmaßnahmen.
Beispiel:
Ein Angreifer beobachtet, wie Mitarbeiter ihre Zugangsdaten eintippen oder merkt sich Türcodes.
Kernmerkmal: Kein Eingreifen – nur stilles Beobachten.
4. Elicitation
Elicitation ist das unauffällige Herauslocken von Informationen durch lockere Gespräche.
Das Opfer merkt oft nicht einmal, dass es sensible Daten preisgibt.
Beispiel:
Bei einem scheinbar harmlosen Smalltalk fragt der Angreifer beiläufig nach den VPN-Zugängen oder Arbeitszeiten.
Kernmerkmal: Freundlicher Smalltalk mit versteckter Agenda.
5. Impersonation
Bei Impersonation gibt sich der Angreifer aktiv als jemand anderes aus, um Vertrauen zu erschleichen und Zugang zu erhalten.
Beispiel:
Ein Angreifer gibt sich vor Ort als Techniker eines externen Dienstleisters aus und wird so ins Gebäude eingelassen.
Kernmerkmal: Aktive Imitation einer echten Person oder Rolle.
SocialEngineeringCyberSecuritySecurityAwarenessHumanHackingInfosec