Social Engineering erklärt

Von Marcel Stäheli, 07.03.18

Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, an vertrauliche Daten zu gelangen oder die Opfer zu bestimmten Aktionen zu bewegen (Social Engineering, engl. für angewandte Sozialwissenschaft oder soziale Manipulation). Es wird bewusst die Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit von Personen ausgenutzt.

Der Begriff umfasst auch traditionellen Betrug und Hochstapler, heutzutage aber wird er meist in Zusammenhang mit Internetkriminalität verwendet (Phishing z.B. ist eine Form des Social Engineering).

Wie sind wir beeinflussbar?

Online-Angriffe beruhen auf den gleichen psychologischen Prinzipien, wie Angriffe in der realen Welt:

  • Der Wunsch jedes Menschen nach Wechselwirkung (wenn ich dir einen Gefallen tue, tust du wahrscheinlich auch mir einen)
  • Sozialer Beweis (der Glaube an das Urteilsvermögen der Mehrheit)
  • Autorität (etwa das Vertrauen in einen Polizisten, Doktor, technischen Support-Mitarbeiter oder jemandem, der in der Firmenhierarchie höher steht)

Es wird generell versucht mit jemandem eine Beziehung aufzubauen und die gewünschte Reaktion zu erhalten. Die verwendeten Methoden sind dabei breit gefächert.

Personenbasierende Methoden

  • Betrüger
    • Als Drittanbieter
    • Als Desktop-Support
    • Als Sicherheitsdienst
  • Telefonanrufe
  • Schultersurfen

Beispiel: Betrüger

Sie arbeiten in einem grossen Unternehmen. Es kommt jemand ins Büro und fragt nach dem Serverraum, er sei von der Swisscom und müsse einen Anschluss testen. Je grösser die Firma desto wahrscheinlicher ist es, dass niemand Fragen stellen wird.

Mit passendem Auftreten und richtiger Wortwahl können Kriminelle ihre Opfer dazu bringen Dinge zu erzählen, die sie normalerweise nicht preisgeben würden.

Beispiel: Telefonanruf

Es ist zwar unklug irgendjemandem Ihr Passwort zu verraten, doch das ändert sich, wenn Sie am Sonntagmorgen vom „Technik-Support“ Ihres Arbeitgebers angerufen werden und der verlangt, dass Sie für ein kleines technisches Update auf Ihrem Computer ins Büro kommen sollen. Vieleicht sagen Sie dem „Netzwerk-Administrator“ Ihr Passwort, wenn Sie dann zu Hause bleiben können?

Beispiel: Schultersurfen

Sie sind im Park oder im Zug, starten Ihr Notebook und melden sich über den Fernzugriff am Terminal Server an oder loggen sich in Facebook ein.

Haben Sie sich umgedreht um zu kontrollieren, ob Sie jemand beobachtet? Vielleicht hat ihnen gerade jemand beim Eingeben Ihres Passwortes zugeschaut.

Computerbasierte Methoden

Die wenigsten Schadprogramme auf die man im Internet treffen kann, gelangen über eine technische Lücke auf den Computer. In den meisten Fällen lädt sie der Benutzer selber auf den PC, absichtlich oder unabsichtlich.

  • Phishing
    • Spear Phishing
  • Mobile Angriffe

Beispiel: Phishing

Ihre Bank sendet Ihnen eine E-Mail mit der Meldung, dass versucht wurde Ihr Konto zu plündern und sie sicherheitshalber Ihr Passwort ändern sollen. Die E-Mail enthält einen Link auf eine Webseite die genau aussieht wie die Seite Ihrer Bank. Wenn Sie sich mit Ihrem aktuellen Passwort anmelden, wird es an die Betrüger gesendet.

Ein Krimineller versendet gefälschte E-Mails mit dem Ziel an Passwörter von Opfer zu gelangen oder Schadsoftware auf ihren Computer zu laden.

Beispiel: Mobile Angriffe

Sie erhalten eine SMS, angeblich von Swisscom, mit einem Link zu einem Bonus-Angebot. Der Link führt stattdessen auf eine Webseite die eine Sicherheitslücke in ihrem Smartphone ausnützt.

Es kann schnell gehen

Was würden Sie zum Beispiel tun, wenn Sie auf der Strasse einen USB-Stick finden würden? Natürlich: Mitnehmen. Ausserdem wollen Sie wissen, was alles drauf ist. Nicht wahr? Vielleicht haben Sie damit aber gerade Schadsoftware eingefangen, ohne es zu merken.

Die besten Sicherheitsrichtlinien sind wertlos, wenn ein Betrüger mit Social Engineering einen Benutzer dazu bringt ihm Daten freiwillig auszuhändigen. Darum ist es essentiell, dass Mitarbeiter regelmässig Trainings zur Sicherheitssensibilisierung absolvieren, um nicht Opfer solche Betrügereien zu werden.