Social Engineering

Angriffe auf den „Faktor Mensch“

Anwender sind ein beliebtes Angriffsziel für Hacker. Kriminelle ziehen den sogenannten „Faktor Mensch“ der Technik sogar vor, wenn sie sich unbemerkt Zugriff auf sensible Informationen verschaffen wollen. Verschlüsselungsmethoden und andere technische Abwehrmechanismen haben es Hackern erschwert, in Systeme einzudringen. Um eine Sicherheitslücke zu finden und auszunutzen, muss oft eine Menge Zeit und Rechenleistung investiert werden. Dagegen ist es „oft ein Kinderspiel, die menschliche Firewall zu knacken. Das erfordert … keine Investitionen und beinhaltet nur ein minimales Risiko.“ [1]

Die am meisten verwendete Angriffstechnik auf den Menschen

ist Social Engineering. Social Engineering ist gezielte Manipulation. Die Angreifer (die Social Engineers) beeinflussen ihre Opfer dabei so, dass sie im Sinne der Angreifer handeln und beispielsweise Informationen preisgeben. Häufig bemerken die Opfer gar nichts von dieser „Attacke“. Manipulierte USB-Sticks oder Phishing-E-Mails sind typische Formen des Social Engineerings. Ein gefundener USB-Stick soll die Finder neugierig machen oder ihre Hilfsbereitschaft wecken. Sie verbinden den USB-Stick mit ihren Rechnern, um zu schauen, was sich darauf befindet – schon installiert sich eine Schadsoftware. Eine Phishing-E-Mail will die Empfänger beispielsweise dazu verleiten, ihre Logindaten oder Kreditkartennummern auf der Webseite der Angreifer einzugeben.

Aber auch gezielte Informationsbeschaffung zur Vorbereitung eines Angriffs, ist Teil von Social Engineering. Schon scheinbar harmlose Fragen, eine gezielte Informationsrecherche über Organisationsstrukturen und Ansprechpartner auf sozialen Netzwerken oder achtlos weggeworfene Dokumente helfen den Social Engineers ihrem Ziel näher zu kommen.

Beim Social Engineering geben Angreifer häufig vor, jemand anders zu sein: Die Chefin auf Dienstreise, der hilfsbereite IT-Administrator, ein interessierter Forschungspartner oder die hilfesuchende Praktikantin. Die Angreifer nehmen per E-Mail oder telefonisch Kontakt mit ihren Opfern auf und erzählen eine erfundene Geschichte. So braucht der angebliche IT-Admin ein Passwort oder einen Zugang zum PC, der erfundene Praktikant ganz schnell einen Ausdruck oder die vermeintliche Chefin sofort eine Überweisung auf ein ausländisches Konto um den Ruf des Unternehmens zu retten.

Social Engineers kennen sich gut mit Psychologie aus. Sie verstehen, wie Menschen „funktionieren“ und sind in der Lage, sie zu ihren Gunsten zu beeinflussen. Beispielsweise vertrauen Menschen Autoritätspersonen fast blind und stellen deren Entscheidungen nicht unbedingt in Frage. Social Engineers nutzen diese antrainierten Verhaltensweisen gezielt aus.

Die folgenden fünf psychologische Prinzipien machen sich Social Engineers typischerweise für ihre Manipulationen zu Nutze [2, 3]:

Autorität

Menschen erfüllen Anweisungen von Autoritätspersonen wie Lehrern, Eltern, Polizisten, Ärzten oder Chefs und stellen diese nicht in Frage. (Vermeintliche) Autorität kann auch durch Titel, Kleidung oder Statussymbole hergestellt werden. Phishing-E-Mails, in denen die Adressaten von ihrer Bank aufgefordert werden, zur Legitimationsprüfung auf einer Webseite ihre Logindaten einzugeben, nutzen dieses Prinzip.

Soziale Bewährtheit

Besonders in unbekannten Situationen tendieren Menschen dazu, das Verhalten von anderen zu imitieren. Sie wollen nicht durch unangemessenes Verhalten auffallen. Um die Opfer von der Rechtmäßigkeit ihrer Anfrage zu überzeugen, tun Social Engineers so, als ob bereits viele andere Personen, vor allem Freunde oder Kollegen, ihrem Anliegen gefolgt sind. Hierbei helfen ihnen die vorher beschafften Informationen über die Organisationsstrukturen.

Sympathie, Ähnlichkeit & Täuschung

Menschen gewähren Bitten, die von Freunden kommen, bereitwilliger als Bitten von Fremden. Das Prinzip funktioniert aber auch, wenn der Bittsteller den Opfern bekannt, sympathisch, attraktiv oder ähnlich ist. Social Engineers versuchen daher, ihre Opfer so zu manipulieren, dass sie sie mögen. Ein beliebtes Mittel dafür sind Komplimente und das Vortäuschen von Gemeinsamkeiten wie gleiche Hobbies oder Urlaubsziele. Anknüpfungspunkte sind über die vorherige Informationsrecherche in sozialen Netzwerken leicht herauszufinden.

Verpflichtung, Gegenseitigkeit & Konsistenz

Haben sich Menschen für etwas entschieden, fühlen sie sich dazu verpflichtet, ihren Entscheidungen bis zum (bitteren) Ende zu folgen. Sie werden daher Anfragen, die zu ihrer Entscheidung passen, bereitwillig folgen. Ist es den Social Engineers also erst einmal gelungen, ihren Opfern eine noch so kleine Information zu entlocken, werden die Opfer auf weitere Nachfragen bereitwilliger antworten. Zudem verlangt die Gesellschaft, erhaltene Gefälligkeiten zu erwidern. Erhalten die Opfer ein Geschenk von den Angreifern – da reicht schon ein Stück Schokolade oder eine Cola – sind sie sozial verpflichtet, den Angreifern etwas zurückgeben und sei es nur eine Auskunft.

Ablenkung

Menschen können nur begrenzt eingehende Informationen verarbeiten. Sie versuchen daher, sich auf die vermeintlich wichtigsten Fakten zu konzentrieren und ignorieren alles andere. Social Engineers nutzen das aus, indem sie ihre Opfer ablenken. Ablenken lassen sich Menschen u. a. durch zu viele Informationen, Überraschungen, Neugier, Wünsche und Sehnsüchte, Zeitdruck, Angst, Gier und Knappheit. Ein typisches Mittel zur Ablenkung sind vermeintliche Wettbewerbe oder zeitlich limitierte Angebote. Die vom Social Engineer „verlorenen“ USB-Sticks machen die Finder neugierig und nutzen damit dieses Prinzip aus.

Meistens kombinieren Social Engineers verschiedene dieser fünf Prinzipien in einer Attacke. Bei einer Phishing E-Mail spielt neben der Autorität häufig auch Zeitdruck (Ablenkung) eine Rolle.

Die gute Nachricht ist, dass schon das Wissen um diese psychologischen Manipulationen der Social Engineers dabei hilft, sich gegen deren Angriffe zu wappnen. Aber auch Profis sind nicht vor Social Engineering Angriffen geschützt und es ist oft sehr schwierig einen Angriff zu erkennen.

Hier ein paar Ratschläge, was Sie tun können:

·         Seien Sie wachsam! Was sich zu gut anhört, um wahr zu sein, ist es wahrscheinlich auch.

·         Fragen Sie nach! Bekommen Sie eine unerwartete oder ungewöhnliche E-Mail, erkundigen Sie sich telefonisch beim Absender danach oder bitten Sie denjenigen, persönlich vorbeizukommen.

·         Bleiben Sie skeptisch! Auch scheinbar harmlose Fragen nach Ansprechpartnern, Strukturen oder der IT-Ausstattung helfen Social Engineers, ihre Angriffe vorzubereiten.

·         Seien Sie vorsichtig! Nehmen Sie nur Freundschaftsanfragen von Personen an, die Sie wirklich kennen.

·         Lassen Sie sich Zeit! Überdenken Sie Ihre Reaktion auf eine Anfrage in Ruhe, auch wenn Druck auf Sie aufgebaut wird und erbitten Sie sich Bedenkzeit.

·         Halten Sie sich an Richtlinien! Beharren Sie auf der Einhaltung interner Regelungen und Vorgaben. Diese dienen häufig dazu, die Tricks der Social Engineers auszuhebeln und keiner kann Ihnen hierfür einen Vorwurf machen.

·         Seien Sie geheimnisvoll! Geben Sie nur die nötigsten Informationen auf sozialen Netzwerken preis, besprechen Sie keine geschäftlichen Themen in der Öffentlichkeit und geben Sie niemals (wirklich niemals!) jemandem ihr Passwort.

·         Melden Sie sich! Wenn Ihnen etwas verdächtig vorkommt oder Sie befürchten, Opfer eines Social Engineering Angriffs geworden zu sein, melden Sie sich beim IT-Helpdesk.

Kontakt

Sollten Sie Opfer von Social Engineering geworden sein oder auch nur Verdacht schöpfen, zögern Sie nicht und wenden sich sofort an das ITSC.

 

 

Quellen

1.          Mitnick, K.D., Simon, W.L.: The Art of Deception: Controlling the Human Element of Security. John Wiley & Sons, Inc., New York, NY, USA (2002).

2.         Cialdini, R.B.: Influence: the psychology of persuasion. Collins, New York, NY (2007).

3.         Ferreira, A., Coventry, L., Lenzini, G.: Principles of persuasion in social engineering and their use in phishing. In: International Conference on Human Aspects of Information Security, Privacy, and Trust. pp. 36–47. Springer (2015).