Social Engineering hat viele Gesichter

Man stellt sich Hacker:innen schnell als einzelne schwarz gekleidete Personen vor, die den ganzen Tag auf mehreren Bildschirmen gleichzeitig versuchen, auf Konten und Systeme Zugriff zu erlangen. Aber oft gibt es eine viel einfachere Schwachstelle in einem System – den Menschen.
Selbst wenn alle Sicherheitsfaktoren wie z.B. Passwortsicherheit, Verschlüsselung und Virenschutz eingehalten werden, kann gezielte Manipulation von Menschen ausreichen, um Informationen zu erhalten. Zugangsdaten, Passwörter oder wichtige Dokumente geraten so schnell in falsche Hände.

„Social Engineering“ als Schlagwort wird oft der Informatik zugeordnet. Doch Social Engineering ist in der Ausübung eigentlich ein Thema, das mehr in die Psychologie einzuordnen ist, da es um die gezielte oder ungezielte Manipulation von anderen Menschen geht. Die Auswirkungen wie z.B. Diebstahl von Passwörtern oder anderen persönlichen Informationen sind dann ein Problem, mit dem sich die Informatik beschäftigen muss. Aus diesem Grund betrachten wir in diesem Beitrag das Phänomen des Social Engineerings aus zwei Seiten. Anna Zichler, die einen Bachelor in Psychologie hat, zeigt einige auf menschlichem Verhalten basierende Mechanismen auf, die beim Social Engineering eingesetzt werden. Informatikerin Lisa Hoffmann gibt Tipps, um einem erfolgreichen Angriff vorzubeugen.

 

1. Vertrauen: Eine häufige Voraussetzung erfolgreicher Social Engineering-Angriffe

Bei vielen Angriffsarten beschäftigen sich professionelle Social Engineers mit ihrer Zielperson, bevor sie mit dieser in Kontakt treten. Das erste Ziel solcher Angriffe ist ein Vertrauensaufbau oder Verhinderung von Misstrauen. Um das Vertrauen aufzubauen, nutzen Social Engineers verschiedene menschliche psychologische Prinzipien. Zu den bekannten gehören:

a) Freundschaft, Sympathie, Ähnlichkeit

Menschen sind eher bereit, Bitten von Freunden nachzukommen. Zudem nehmen Menschen andere Personen als vertrauenswürdiger wahr, die ihnen selbst ähneln oder die sympathisch wirken. Social Engineers nutzen dies aus. Beispielsweise können sie eine E-Mail so manipulieren, dass sie so wirkt, als würde sie von einer dem Opfer bekannten Person stammen. Dadurch können sie ihre Zielperson leichter dazu bringen, einen bösartigen Link in einer Phishing-E-Mail anzuklicken oder einen Anhang zu öffnen.

Tipp: E-Mail-Header sind sehr einfach zu fälschen. Eine E-Mail kann so gestaltet werden, dass auch die E-Mail-Adresse und der hinterlegte Name selbst so aussehen, als würden diese von der richtigen Person stammen. Dem kann vorgebeugt werden, indem sich jeder in der Firma oder der Gruppe ein Zertifikat von einer vertraulichen Quelle erstellen lässt, um E-Mails mit einer digitalen Signatur zu versehen. Diese Signatur ermöglicht es, die Authentizität des Senders zu überprüfen. Hier bei uns an der Universität des Saarlandes vergibt das Hochschul-IT-Zentrum diese Zertifikate und gibt sie nur nach Vorlage eines gültigen Personalausweises aus. Es gibt aber auch Online-Anbieter, welche diese ausstellen können. Aktuell am meisten vertreten sind OpenPGP und S/MIME. Diese könne auch zum Verschlüsseln der E-Mails genutzt werden. So kann verhindert werden, dass außenstehende Personen die Mails abfangen können.

 

b) Autorität

Menschen neigen dazu, autoritären Personen zu vertrauen und ihre Absichten weniger anzuzweifeln. Social Engineers verwenden daher häufig Tarngeschichten, in denen sie sich als Anwält:innen, Führungskräfte oder Techniker:innen ausgeben. So können sie sich beispielsweise gegenüber einer Reinigungskraft als Mitarbeiter:in der Chefetage ausgeben und um physischen Zugang zu den Computerterminals bitten. Aber auch Spam-Emails, die sich etwa als Mails vom Finanzamt ausgeben, werden eher als glaubwürdig wahrgenommen. Grund ist, dass das Finanzamt genau wie andere staatliche Einrichtungen als eine Art Autorität wahrgenommen wird.

Tipp: Wenn eine E-Mail von einer vermeintlichen Autoritätsperson eingeht, ist es immer wichtig, im Kopf folgende kurze Check-Liste durchzugehen. Diese gilt auch grundsätzlich für Mails von anderen Personen oder Unternehmen.
1. Ist die Intention der E-Mail verdächtig?
Passt das Geschriebene zu dem, was ich von dieser Person/dem Unternehmen erwarte?
Wird etwas Auffälliges besonders betont? Z.B. Öffnen eines Links/einer Datei, Kaufen von Gutscheinen, befristete Angebote, etc.

2. Ist die E-Mail-Adresse des Absenders seriös?
   Wie wir im vorherigen Abschnitt gelernt haben, können E-Mail-Header einfach verändert werden, aber oft passieren dabei kleine Fehler. Manche Social Engineers setzen auch auf ungezielte Massen-E-Mails, anstatt sich auf ein Unternehmen festzulegen. Deshalb lohnt sich ein genauer Blick: Ist der Name der Person falsch geschrieben oder passt die E-Mail-Adresse nicht zum Namen der Person?
3. Ist der Absender bekannt?
   Hatte das Unternehmen, für das ich arbeite, schon einmal mit dem Absender der Mail Kontakt? Macht es in Hinblick auf meine Funktion im Unternehmen Sinn, dass ich kontaktiert werde?

 

c) Soziale Bewährtheit

In unklaren Situationen tendieren Menschen dazu, sich daran zu orientieren, was andere in ähnlichen Situationen tun oder getan haben. Social Engineers können dieses menschliche Verhalten ausnutzen. Sie können beispielsweise ein neu eingestelltes Teammitglied glauben lassen, dass es in der Organisation üblich ist, bestimmte Arten von vertraulichen Informationen „auf kurzem Dienstweg“ auszutauschen.

Tipp: Unternehmen sollten insbesondere für neue Mitarbeiter:innen, aber in regelmäßigen Abständen auch für alle anderen Mitarbeiter:innen, IT-Sicherheitsschulung anbieten. In diesen können Protokolle über das Verhalten am Arbeitsplatz besprochen werden und das sichere Verhalten am Arbeitscomputer aufgefrischt werden. Dies hilft auch den Mitarbeiter:innen, sich in ihrem eigenen Verhalten sicher zu fühlen.

 

d) Reverse Social Engineering

Beim Reverse Social Engineering wird das Opfer dazu gebracht, den Social Engineer von sich aus zu kontaktieren. Da das Opfer die Person ist, die die Beziehung hergestellt hat, wird Misstrauen von vorneherein gemindert und das Vertrauen des Opfers zum Social Engineer gestärkt. Social Engineers können sich etwa als Systemadministrator:innen ausgeben und der Zielperson eine E-Mail mit ihren Kontaktinformationen und dem Hinweis schicken, dass sie sich bei technischen Problem an sie wenden können.

 

 

2. Kritische Denkprozesse ausbremsen

Social Engineers profitieren davon, wenn sie Opfer dazu bringen, kritische Denkprozesse zu reduzieren oder ganz auszulassen. Hierzu können sie ebenfalls auf verschiedene menschliche Entscheidungsmechanismen zurückgreifen. Zu den bekanntesten gehören:

Druck und Dringlichkeit

Zeitdruck führt häufig dazu, dass Menschen wesentliche kritische Denk- und Analyseprozesse überspringen, wenn sie auf eine Anfrage reagieren. Social Engineers können dies ausnutzen, indem sie sich beispielsweise als Führungskraft ausgeben und behaupten, dass eine Überweisung auf ein bestimmtes Konto so schnell wie möglich erfolgen muss. Am Telefon („Vishing“) lässt sich Druck und Dringlichkeit auf ein Opfer noch stärker ausüben. So können Social Engineers vorgeben, Techniker:innen zu sein und behaupten, innerhalb der nächsten Stunde müssten Remote-Updates durchgeführt werden. Dafür bräuchten sie jetzt die Anmeldedaten des Opfers.
Tipp: Wenn man sich unter Druck gesetzt fühlt (z.B. durch einen Anruf oder eine dringende E-Mail von einer Vorgesetzten), muss man sich klar werden, dass man gerade unter Druck gesetzt wird und sich dem entziehen. Anstatt direkt auf die Mail zu antworten, kontaktiert man die echte Führungskraft auf einem anderen Weg und verifiziert, dass diese auch wirklich die Mail verschickt hat. Bei Anrufen von vermeintlichen Firmen kann man um einen Rückruf bitten oder auf eine andere Person verweisen.

 

 

3. Weitere Manipulationsmöglichkeiten

Ist die erste Misstrauenshürde genommen, versuchen Social Engineers bei vielen Angriffsarten die Zielperson in ein Gespräch zu verwickeln, um ihr Ziel zu erreichen. Auch hier können Social Engineers menschliche Verhaltens- und Entscheidungsmechanismen sowie Emotionen ausnutzen:

a) Emotionen

Social Engineers nutzen gezielt verschiedene Emotionen ihrer Opfer, um ihr Ziel zu erreichen. Angst ist eine davon. So können sich Social Engineers beispielsweise als Bankangestellte ausgeben und behaupten, dass das Konto der Zielperson gefährdet sei. Daher würden die Zugangsdaten des Opfers benötigt, um die Sicherheitslücke zu schließen. Eine andere Form ist die sogenannte „Scareware“. Dabei handelt es sich um die Imitation eines Schadprogrammes, das eine Gefahr für den Computer oder das Smartphone des Nutzers vortäuscht. Dadurch sollen die Opfer dazu gebracht werden, ein vermeintliches Virenschutzprogramm, das tatsächlich aber Schadsoftware enthält, herunterzuladen.

Tipp: Firmen und Unternehmen haben meist eigene IT-Abteilungen oder Verträge mit entsprechenden Dienstleistern. Hilfeleistungen zu IT-Problemen nur von diesen annehmen. Genauso im privaten Umfeld: Nur vertraute Menschen oder Firmen mit IT-Hilfeleistungen beauftragen und nicht einfach einen Dienst aus dem Internet verwenden.

 

b) Persönlichkeitsmerkmale

Auch Eigenschaften von Menschen, wie z.B. Neugier oder Hilfsbereitschaft, können ausgenutzt werden. Ein Beispiel hierfür ist ein liegengelassener USB-Stick mit Schadsoftware, der vom Opfer aus Neugier an den eigenen oder den Firmenrechner angesteckt wird. Auch das Bitten um Geld für dringend benötigte medizinische Behandlungen fällt darunter.

Tipp: Wenn man einen liegengelassenen USB-Stick (oder ein Smartphone o.ä.) findet, diesen nicht in den eigenen Computer stecken. Er kann verschiedene Sorten von Schadsoftware enthalten, die auch unbemerkt vom Nutzer im Hintergrund funktionieren. Z.B. könnte alles, was in die Tastatur eingegeben wird, mitgelesen werden oder der ganze Computer mit einem von einem USB-Stick ausgehenden Stromschlag zerstört werden. Wenn sich der Besitzer auch nach einiger Zeit nicht feststellen lässt, kann man auch hier IT-Spezialist:innen des Vertrauens aufsuchen und um Hilfe bitten. Diese können den Inhalt des USB-Sticks in einer sicheren Umgebung erforschen.

 

 

4. Fazit

Social Engineers können viele weitere menschliche Mechanismen ausnutzen, um ihre Ziele zu erreichen und nutzen dabei zahlreiche weitere technische Möglichkeiten. Ein Bewusstsein für die Existenz von Social Engineering sowie ein Gefühl dafür, wie vielfältig die Angriffe sein können, sind daher umso wichtiger. Durch regelmäßige Fort- und Weiterbildungen auf diesem Gebiet kann es gelingen, die Gefahr durch solche Angriffe zu reduzieren.