Social Engineering - oder Human Hacking - Teil 2

13.02.2019 | Aktuelle Meldungen ITSC, Aktuelle Meldungen SISD
Teil zwei der Reihe über Social Engineering. In Teil zwei geht es um die psychologischen Tricks der Social Engineers und wie diese Menschen dazu bringen Dinge zu tun, preiszugeben oder zu sagen, die eigentlich nicht in ihrem Interesse sein können.

Die psychologischen Tricks der Social Engineers

Der erste Teil des Artikels über Social Engineering (Link) erklärt, dass Social Engineering die gezielte Manipulation von Menschen ist. Die folgenden fünf psychologische Prinzipien machen sich Social Engineers typischerweise für ihre Manipulationen zu Nutze [1, 2]:

Autorität

Menschen erfüllen Anweisungen von Autoritätspersonen wie Lehrern, Eltern, Polizisten, Ärzten oder Chefs und stellen diese nicht in Frage. (Vermeintliche) Autorität kann auch durch Titel, Kleidung oder Statussymbole hergestellt werden. Phishing-E-Mails, in denen die Adressaten von ihrer Bank aufgefordert werden, zur Legitimationsprüfung auf einer Webseite ihre Logindaten einzugeben, nutzen dieses Prinzip.

Soziale Bewährtheit

Besonders in unbekannten Situationen tendieren Menschen dazu, das Verhalten von anderen zu imitieren. Sie wollen nicht durch unangemessenes Verhalten auffallen. Um die Opfer von der Rechtmäßigkeit ihrer Anfrage zu überzeugen, tun Social Engineers so, als ob bereits viele andere Personen, vor allem Freunde oder Kollegen, ihrem Anliegen gefolgt sind. 

Sympathie, Ähnlichkeit & Täuschung

Menschen gewähren Bitten, die von Freunden kommen, bereitwilliger als Bitten von Fremden. Das Prinzip funktioniert aber auch, wenn der Bittsteller den Opfern bekannt, sympathisch, attraktiv oder ähnlich ist. Social Engineers versuchen daher, ihre Opfer so zu manipulieren, dass sie sie mögen. Ein beliebtes Mittel dafür sind Komplimente oder das Vortäuschen von Gemeinsamkeiten wie gleiche Hobbies oder Urlaubsziele.

Verpflichtung, Reziprozität & Konsistenz

Haben sich Menschen für etwas entschieden, neigen sie dazu, ihren Entscheidungen bis zum (bitteren) Ende zu folgen. Sie werden daher Anfragen, die zu ihrer Entscheidung passen, bereitwillig folgen. Ist es dem Social Engineer also erst einmal gelungen, seinem Opfer eine noch so kleine Information zu entlocken, wird das Opfer auf weitere Nachfragen bereitwilliger antworten. Zudem fühlen sich Menschen verpflichtet, erhaltene Gefälligkeiten zu erwidern – wie in dem Beispiel mit der Schokolade.

Ablenkung

Menschen können nur begrenzt eingehende Informationen verarbeiten. Sie versuchen daher, sich auf die vermeintlich wichtigsten Fakten zu konzentrieren und ignorieren alles andere. Social Engineers nutzen das aus, indem sie ihre Opfer ablenken. Ablenken lassen sich Menschen u. a. durch zu viele Informationen, Überraschungen, Neugier, Wünsche und Sehnsüchte, Zeitdruck, Angst, Gier und Knappheit. Ein typisches Mittel zur Ablenkung sind vermeintliche Wettbewerbe oder zeitlich limitierte Angebote. Die vom Social Engineer „verlorenen“ USB-Sticks machen die Finder neugierig und nutzen damit dieses Prinzip aus.

 

Meistens kombinieren Social Engineers verschiedene dieser fünf Prinzipien in einer Attacke. Bei einer Phishing E-Mail spielt neben der Autorität häufig auch Zeitdruck (Ablenkung) eine Rolle.

Die gute Nachricht ist, dass schon das Wissen um diese psychologischen Manipulationen der Social Engineers dabei hilft, sich gegen deren Angriffe zu wappnen.

 

1. Cialdini, R.B.: Influence: the psychology of persuasion. Collins, New York, NY (2007).
2. Ferreira, A., Coventry, L., Lenzini, G.: Principles of persuasion in social engineering and their use in phishing. In: International Conference on Human Aspects of Information Security, Privacy, and Trust. pp. 36–47. Springer (2015).