Social Engineering

Social Engineering oder Human Hacking bezeichnet eine Angriffsart, bei der nicht Geräte oder Programme, sondern Menschen gehackt werden. Es geht den Angreifern dabei um zwischenmenschliche Beeinflussung durch gezielte psychologische Manipulation. 

Wie sogenannte Social Engineers versuchen, das Vertrauen ihrer Opfer zu gewinnen und dieses auszunutzen, erfahren Sie hier.

Was ist Social Engineering?

Beim Social Engineering (frei übersetzt „soziale Manipulation“, auch Human Hacking) handelt es sich um Angriffe, die sich nicht gegen Computersysteme oder Programme richten, sondern gegen Menschen. Bei ihnen setzen Angreifer gezielte psychologische Manipulation ein. Sie agieren hauptsächlich digital, können aber auch in der realen Welt in Erscheinung treten. Die Angreifer haben das Ziel, ihre Opfer dazu zu bewegen, etwas zu tun, was sie normalerweise niemals machen würden. Beim Social Engineering stehen unter anderem folgende Ziele im Vordergrund:

• Das Opfer so zu manipulieren, dass es freiwillig und ohne (bzw. nur mit geglaubter) Gegenleistung dem Angreifer Güter wie Geldressourcen zukommen lässt. Zu dieser Form des Social Engineering gehört beispielsweise der sogenannte Enkeltrick.
• Das Opfer so zu manipulieren, dass es sich mit falschen Annahmen auf eine Beziehung einlässt, aus der dann persönliche oder wirtschaftliche Informationen gewonnen werden. Hierbei kann es sich im Privaten um eine vermeintlich romantische Beziehung und im Beruflichen um eine Geschäftsbeziehung handeln.
• Kriminelle verschaffen sich unberechtigten Zugang zu privaten oder geschäftlichen Gebäuden bzw. Räumen, um dort direkten oder indirekten physischen Schaden anzurichten bzw. Wertgut zu entwenden. Dabei sind die Angreifer meist als vermeintliche Zulieferer, Paketzusteller, Geschäftspartner, Produktvertreter oder als neue Mitarbeiter bzw. Nachbarn getarnt.

Das Phänomen Social Engineering umfasst oft sowohl Trickbetrug als auch persönliche oder wirtschaftliche Spionage. Durch falsche Angaben schleicht sich der Angreifer in bestimmte physische oder mentale Räume ein, um Wertsachen zu entwenden bzw. sensible Informationen zu sammeln.

Jeder kann Opfer von Social Engineering werden. Sogenannte Social Hacker geben sich als Personen aus, die sie nicht sind. Bild: Pexels/@fauxels

Die „Schwachstelle Mensch“

Was den ganzheitlichen Schutz vor Social Engineering unmöglich macht, ist der Fakt, dass wir als Menschen nur perspektivisch wahrnehmen können und damit immer auch Informationen im Verborgenen bleiben. Alle privaten oder beruflichen Interaktionen werden aus subjektiven Gedanken und Gefühlen sowie aus objektiven Annahmen und daraus resultierenden Entscheidungen getätigt. Dieses Phänomen wird menschlicher Faktor genannt.

Der menschliche Faktor wird dann zur „Schwachstelle“, wenn er von bestimmten Personen und Personengruppen erfasst und gezielt ausgenutzt wird. Dies passiert beim Social Engineering. Dabei kann auch Vertrauen sowie offengelegte Angst, Hoffnung, Hilfsbereitschaft, Neugierde und autoritärer Gehorsam gezielt ausgenutzt werden, um Menschen zum gewünschten Handeln zu bewegen.

Vor allem dann, wenn etwas nicht nach Plan läuft oder etwas Unerwartetes passiert, tendieren Menschen dazu, irrational zu handeln und sich durch psychologische Tricks manipulieren zu lassen. Das passiert vor allem in Krisen- und Stresssituationen.

Social-Engineering-Unterart Social Hacking

Zum Teil wird der Begriff Social Engineering synonym zu Social Hacking verwendet. Vor allem in den vergangenen Jahren werden sie aber immer häufiger unterschieden. Dabei wird Social Hacking als Unterart des Social Engineering betrachtet, das von Cyberkriminellen mit dem konkreten Ziel vollzogen wird, sich Zugang zu digitalen Systemen des Angegriffenen zu verschaffen.

Teil dieser Informationen können auch Zugangsdaten zu digitalen Systemen sein oder die Wertsachen sensible Datenträger umfassen. In diesen Fällen liegt nicht nur ein Social-Engineering-Angriff vor, sondern auch ein in diesem inbegriffener Social-Hacking-Angriff. Anders als bei anderen Social-Engineering-Arten vollziehen Angreifer beim Social Hacking häufiger klassisches Hacking, dringen also beispielsweise in Computersysteme ein.

Es gibt viele Social-Engineering-Methoden. Sie haben gemeinsam, dass sie die Gefühle ihrer Opfer ausnutzen. Bild: Pexels/@maksgelatin

Social-Engineering-Strategien

Social Engineering kann komplett oder teilweise digital vollzogen werden, aber auch teilweise oder komplett in der physischen Welt stattfinden. Je nachdem, ob Täter nur digital agieren oder auch in der realen Welt, unterschieden sich die Strategien der Kriminellen, mit denen sie versuchen, in Ihre Systeme zu gelangen.

Beim Social Engineering steht stets ein Szenario im Vordergrund, das die Angreifer inszenieren. Dabei handelt es sich um eine mehr oder weniger glaubwürdige Geschichte, die von den Angreifern komplett oder teilweise erfunden wird. Das sogenannte Pretexting beschreibt das vor dem Angriff vermeintlich Passierte, also quasi die ausgedachte Vorgeschichte.

Solche Geschichten können in sehr unterschiedlicher Detailliertheit dargestellt werden. Zum Teil legen sich Kriminelle, um die Geschichten glaubwürdig erscheinen zu lassen, sogar fingierte Profile in sozialen Medien oder fingierte Websites an, beschaffen sich falsche Adressen oder andere gefälschte Dokumente. Meistens aber wird die Vorgeschichte nur grob skizziert oder in wenigen einfachen Sätzen heruntergebrochen. Die Social-Engineering-Szenarien sind meistens auf die grundlegenden Strategien der Social Hacker ausgelegt, also an ein Agieren im digitalen oder physischen Raum angepasst.

Unterscheidungen von Social-Engineering-Strategien

Social Engineering kann im Detail sehr unterschiedlich ablaufen und auf völlig verschiedenen Ansätzen beruhen. Man kann zwei verschiedenen quantitativen Ausprägungen des Social Engineering voneinander unterscheiden:

• Massen-Betrügereien (mass frauds) setzen auf gewisse Allgemeingültigkeit. Hierbei werden konkrete Szenarien entwickelt, die gleichzeitig oder sich wiederholend mit neuen Zielen umgesetzt werden.
• Gezielte Betrügereien (targeted frauds) sind auf ihr spezifisches Ziel genau abgestimmt. Personen oder Personengruppen sowie Institutionen oder Unternehmen werden hierbei vor dem bewussten Erstkontakt bereits beschattet und ausspioniert, damit ein Angriff möglichst geplant vollzogen werden kann. Persönliche oder geschäftliche Informationen werden dabei von vornherein ins Szenario eingebracht.

Während Massen-Betrügereien stets auf höhere Quantität setzen, sind gezielte Betrügereien meistens durchdachter und damit oft erschreckend geplant und qualitativ hochwertig umgesetzt. Während Massen-Betrügereien älter und dadurch oft auch bekannter sind, werden gezielte und individueller angepasste Betrügereien heute immer beliebter.

Die meisten Social-Engineering-Attacken finden heute digital statt. Besonders beliebt sind Phishing- und Spear-Phishing. Sie sollten Ihre Geräte entsprechend schützen. Bild: Pexels/@karolina-grabowska

Analoge Social-Engineering-Strategien

Das Tailgating ist notwendig, wenn die von den Kriminellen gefahrene Angriffsstrategie vorsieht, dass der Hack nicht (ausschließlich) im digitalen Raum stattfinden soll. Beim Tailgating versucht der Angreifer, in einen für Außenstehende geschlossenen Bereich zu gelangen. Um das zu schaffen, nehmen Angreifer meistens eine entsprechende Rolle ein. Tailgating kann aber auch stattfinden, ohne dass der Angegriffene es weiß, also durch Einbruch. Dabei können beispielsweise Sicherheitslücken bei Zugangsbeschränkungen ausgenutzt werden. Sind Angreifer in entsprechenden Räumen, können sie entweder Objekte wie Datenspeicher unbemerkt entwenden oder sich in diese einhacken und Schadsoftware implementieren. Zwei eng mit dem Tailgating verbundene Social-Engineering-Methode sind

• das sogenannte Media Dropping, bei dem Mediendateien wie USB-Sticks in der physischen Welt platziert werden. Auf diesen befindet sich dabei ein Tool, dass den Angreifern Fernzugriff ermöglicht oder andere Schadsoftware.
• das sogenannte Dumpster Diving, bei dem Kriminelle den Müll ihrer Opfer durchwühlen, um persönliche oder sensible Daten zu erhalten.

Damit Angreifer Media Dropping oder Dumpster Diving betreiben können, müssen sie sich mit Tailgating erst einmal Zugang zum entsprechenden Gebäude verschaffen.

Digitale Social-Engineering-Strategien

Im Gegensatz zum Tailgating findet Phishing komplett im Digitalen statt. Dabei handelt es sich um eine Grundstrategie, mit der das erdachte Szenario direkt geäußert und das Opfer geködert wird. Phishing erfolgt am häufigsten über E-Mail, kann aber auch über Chat, Brief, Fax oder Telefon vollzogen werden.

Wenn man von Phishing spricht, ist meistens eine Massen-Betrügerei gemeint. Im Gegensatz dazu etabliert sich als Unterart aber immer mehr das sogenannte Spear-Phishing. Während beim Phishing dabei ein allgemeingültiges Szenario im Vordergrund steht, werden beim Spear-Phishing individuelle, spezifische und teilweise personelle Informationen in die Strategie eingewoben, die das Szenario glaubwürdiger erscheinen lassen. So kann von Kriminellen auf existierende Personen aus persönlichem Umfeld sowie auf existente Ereignisse Bezug genommen werden. Richtet sich Spear-Phishing gegen Personen auf Führungsebenen, spricht man auch von Whaling.

Verbunden mit dem Phishing ist auch das sogenannte Baiting, das einen klar benannten Köder einsetzt, den es hinter einem Link oder beim Besuch einer Website verspricht. Bei Baiting kann es sich gleichzeitig auch um Phishing handeln. Mit dem Baiting verwandt sind Quid-pro-Quo-Angriffe, die auf Vertrauen setzen.

Oft handelt es sich bei Social Engineers um flüchtige Bekannte, angebliche Dienstleister oder Mitarbeiter. Bild: Pexels/@elevate

Social-Engineering-Rollen

Angreifer nehmen während des kompletten Angriffs mehr oder weniger durchdachte Rollen ein und legitimieren damit ihren Grund, in die privaten oder geschäftlichen Räume der Angegriffenen zu kommen oder auf die digitalen Systeme zugreifen zu müssen. Sie passen ins Szenario und legitimieren meistens auch die Kontaktaufnahme mit dem Opfer.

Vor allem am Ende der 1990er und in den 2000er Jahren gaben sich Kriminelle gern als vermeintliche Prinzen aus fernen Ländern oder als testamentarisch betreute Anwälte von in der Ferne verstorbenen Verwandten aus. Heute sind die Betrugsmaschen leider etwas schwieriger zu durchblicken.

Kriminelle geben sich beispielsweise als Polizisten aus und verschicken vermeintliche Vorladungen oder fingierte Schreiben zu angeblichen Unfällen. Auch sind Mitarbeiter des Finanzamts und der Staatsanwaltschaft bei Social Hackern beliebte Rollen. Gern geben Sie sich aber auch als Supportmitarbeiter (so beispielsweise von Microsoft, Apple oder Vodafone) aus, die sich aufgrund eines vermeintlich wichtigen Anliegens meldet. Auch können Angreifer vorgaukeln, Nachbarn, Verwandte, Freunde oder Verkäufer zu sein, die etwas auf einer eigener Website oder in den sozialen Medien wie Facebook anbieten. Beliebte Rollen, die Angreifer vornehmen, um in geschlossene Räume zu gelangen, sind seit jeher Techniker, Handwerker, Stromzählerableser oder Postboten.

Sonderformen: CEO-Betrug und Honeypots

Einer großen Beliebtheit erfreut sich auch seit jeher eine Sonderform des Social Engineering, bei dem Kriminelle vorgeben, dass sie der Chef des Angegriffenen seien. Diese als CEO-Betrug oder CEO-Fraud bezeichnete Angriffsform funktioniert besonders dann gut, wenn Mitarbeiter sofort und ohne großes Nachdenken das umsetzen, was ihr Vorgesetzter fordert. Dass es sich nicht um den tatsächlichen Chef handelt, dem sie am Telefon oder via E-Mail die Zugangsdaten übermittelt haben, fällt dann manchmal erst im Nachhinein auf. Der CEO-Betrug gilt heute als beliebteste Social-Engineering-Methode.

Mittlerweile setzen Angreifer auch oftmals sogenannte Honeypots ein. Das sind ausgedachte Personen oder Institutionen, die im körperlichen und/oder wirtschaftlichen Sinn als äußerst attraktiv empfunden werden. Während Honeypots, die sich an Privatpersonen richten, oftmals vorgaukeln, persönliche sowie romantische oder sexuelle Beziehungen zu begehren, stellen wirtschaftliche Honeypots vermeintlich interessante Geschäftsbeziehungen dar. Honeypots können dabei auch als langfristige Quellen agieren, die wichtige Informationen beschaffen, durch die sich kriminelle Organisationen in die gewünschten Systeme einklinken können.

Die beliebteste Social-Engineering-Methode ist der CEO-Betrug. Dabei gibt sich der Angreifer, meistens digital, als der Chef aus. Bild: Pexels/@olly

Social Engineering erkennen

Da Social Engineering völlig unterschiedlich aussehen kann, gibt es leider keinen einheitlichen Schutz gegen die Angriffsform. Wir können Ihnen aber drei zentrale Hinweise und Tipps geben, mit denen Sie mögliche Betrugsversuche hoffentlich sofort durchblicken und sich vor diesen schützen:

• Versuchen Sie, einen klaren Kopf zu bewahren! Das gilt besonders in Euphorie- oder Krisensituationen. Social Engineers setzen psychologische Tricks ein, um bei ihren potenziellen Opfern emotionale Reaktionen hervorzurufen und dann im Moment der gedanklichen Abwesenheit zuzuschlagen. Gerade dann, wenn Sie sich von einem vermeintlichen Hauptgewinn oder einer Hiobsbotschaft geradezu erschlagen fühlen, sollten Sie sich selbst die Zeit geben, sich erst einmal zu sammeln, bevor Sie irgendwelche Angaben machen oder sich mit bestimmten Handlungen einverstanden erklären.
• Agieren Sie in sozialen Netzwerken vorsichtig! Für das Social Engineering greifen Angreifer nämlich oft auf Informationen aus sozialen Netzwerken zurück. Viele Personen teilen auf Facebook & Co. mehr aus ihrem Leben, als ihnen eigentlich bewusst ist. Sie geben an, welche Produkte sie nutzen, wo sie sich aufhalten und welche Veranstaltungen sie besuchen wollen. Für Kriminelle ist es ein leichtes, aus den Informationen ein Szenario zu entwickeln, mit denen Sie ihre Opfer manipulieren.
• Erkennen Sie Betrugsmaschen, indem Sie angegebene Informationen erst einmal kontrollieren. Behörden melden sich normalerweise nur schriftlich und nicht per Telefon. Fragen Sie, sollten Sie angerufen werden oder wenn jemand vor der Tür steht, lieber einmal mehr nach dem Namen und der genauen Zugehörigkeit und fragen Sie bei den offiziellen Stellen lieber noch einmal nach. Erhalten Sie überraschend per Telefon eine Nachricht, die nahezu unglaublich klingt, bitten Sie um späteren Rückruf und geben Sie keinesfalls sensible Daten Preis – auch wenn dies gefordert wird.

Sollte eine schnelle Reaktion gefordert sein, vergewissern Sie sich beim vermeintlichen Absender, dass es sich um eine legitime Nachricht oder E-Mail handelt. Am besten rufen Sie ihn dafür an.

Schutz vor Social Engineering

Doch um sich vor Social Engineering erfolgreich zu schützen, gehört weit mehr dazu, als vorsichtig zu agieren und verdächtiges Verhalten, das auf Social Engineering hindeutet, zu erkennen. Denn leider sind Social-Engineering-Angriffe nicht immer eindeutig zu identifizieren und können tendenziell jeden treffen. Genau deswegen ist es wichtig, dass Sie auch Schutzmaßnahmen einrichten, mit denen Sie mögliche Angriffe eindämmen oder sogar verhindern.

• Geheimnisse sind wichtig und richtig! Egal, ob im Privaten oder Beruflichen. Generell gilt, dass Sie sensible Daten wie Ihre Passwörter und geheimen Zugangsdaten niemals herausgeben sollten. Normalerweise sollte keine seriöse Instanz Ihre Passwörter oder vergleichbar sensible Daten anfordern.
• Firmen sollten im Rahmen einer Firmenpolitik Richtlinien erstellen, von welchen Personen und Instanzen welche Informationen an wen weitergegeben dürfen. Durch solche Zugriffsrechte kann sichergestellt werden, dass nur die Personen an Daten kommen, die auch wirklich für sie bestimmt sind.
• Sichern Sie Ihre Geräte umfassend ab. Sowohl Firmennetzwerke inklusive aller eingebundenen Geräte als auch private Computer, Notebooks und Smartphones sollten Sie stets mit vollumfänglichen Sicherheitsmaßnahmen wie einem Antivirenschutz absichern. Wenn Sie hierbei Hilfe benötigen, wenden Sie sich gern an den PC-SPEZIALIST in Ihrer Nähe.
• Geben Sie Security-Awareness-Schulungen für Ihre Mitarbeiter, damit sie Social-Engineering-Angriffe erkennen und verhindern können. Meistens reicht es schon aus, dass Ihre Mitarbeiter ein gesundes Grundverständnis für Social Engineering entwickeln und nicht unüberlegt Links anklicken oder Anhänge öffnen.

Sollten Sie Opfer eines Social-Engineering-Angriffs geworden sein, ist PC-SPEZIALIST ebenfalls der richtige Ansprechpartner. Er entfernt sowohl mögliche Schadsoftware aus Firmennetzwerken bzw. von Firmenrechnern als auch auf Geräten von Privatpersonen.

_______________________________________________
Weiterführende Links: Bundesamt für Sicherheit in der Informationstechnik (BSI), Kaspersky, BRANDMAUER IT Security Blog, SoSafe, ComputerWeekly, GDATA, Hornetsecurity