Social Engineering - oder Human Hacking: Teil 1
Die am meisten verwendete Angriffstechnik auf den Menschen ist Social Engineering. Unter Social Engineering versteht man die gezielte Manipulation von Menschen. Menschen sollen so beeinflusst werden, dass sie im Sinne des Angreifers (des Social Engineers) und nicht notwendigerweise in ihrem eigenen Interesse handeln [2]. Manipulierte USB-Sticks oder Phishing-E-Mails sind typische Formen des Social Engineerings. Ein gefundener USB-Stick soll bei den Findern Neugier und Hilfsbereitschaft wecken. Sie verbinden den USB-Stick mit ihren Rechnern, um zu schauen, was sich darauf befindet – schon installiert sich eine Schadsoftware. Eine Phishing-E-Mail will die Adressaten dazu verleiten, ihre Logindaten oder Kreditkartennummern auf einer Webseite der Angreifer einzugeben. Beides Handlungen, die definitiv gegen die eigenen Interessen verstoßen.
Social Engineers kennen sich gut mit Psychologie aus. Sie verstehen, wie Menschen „funktionieren“ und sind in der Lage, sie zu ihren Gunsten zu beeinflussen. Menschen zeigen typische Verhaltensweisen, die sich im Laufe der Evolution als vorteilhaft herausgebildet haben und die früher häufig das Überleben sicherten. Dazu gehört beispielsweise, dass Menschen Autoritätspersonen fast blind vertrauen und deren Entscheidungen nicht unbedingt in Frage stellen. Social Engineers nutzen diese antrainierten Verhaltensweisen gezielt aus.
Dazu ein Beispiel:
Die Untersuchung von Happ et al. [3] zeigt, wie einfach sich Menschen manipulieren lassen. Die Autoren befragten über 1.000 Personen zu ihrem Verhalten im Umgang mit IT. Die Probanden wurden u. a. auch gebeten, eines ihrer Passwörter zu nennen. Insgesamt nannte fast ein Drittel der Befragten ein Passwort! Um die Wirkung einer bewussten Manipulation zu testen, schenkten die Interviewer den Personen zu verschiedenen Zeitpunkten – am Anfang des Interviews, unmittelbar vor der Passwort-Frage, am Ende des Interviews – ein Stück Schokolade. Von denjenigen, die das Stück Schokolade unmittelbar vor der Passwort-Frage erhielten, nannte sogar knapp die Hälfte ihr Passwort. Der Grund: die Probanden wollten sich für das Geschenk erkenntlich zeigen und gaben noch bereitwilliger Auskunft.
Welche psychologischen Tricks Social Engineers anwenden, erfahren Sie im zweiten Teil des Artikels der am nächsten Mittwoch (13.02.2019) erscheinen wird.
Zudem finden Sie auf unserer Seite unter Wissen->E-Mail-Kommunikation weitere Informationen zu Social Engineering.
1. ISACA: State of Cybersecurity 2018 - Part 2: Threat Landscape and Defense Techniques. ISACA, Schaumburg, IL, USA (2018).
2. Hadnagy, C., Wilson, P.: Social Engineering: The Art of Human Hacking. Wiley (2011).
3. Happ, C., Melzer, A., Steffgen, G.: Trick with treat–Reciprocity increases the willingness to communicate personal data. Computers in Human Behavior. 61, 372–377 (2016).