Schwachstelle Mensch: Die fiesen Tricks und Methoden des Social Engineering

Soziale Cyber-Manipulation nutzt die Gutmütigkeit von Menschen
Soziale Cyber-Manipulation nutzt die Gutmütigkeit von Menschen aus

Der Mensch! Er ist eines der wichtigsten und meist unterschätzten IT- und Cyber-Security-Risiken für Business Security. Mitarbeiter sind oftmals schlecht in Datenschutzthemen geschult und vorbereitet. Sie erzeugen aus Unvorsichtigkeit oder Good-will-Mentalität Sicherheitslücken und werden so zum Einfallstor für die Gefahren und manipulativen Methoden des sogenannten Social Engineering.

Social Engineering bedeutet „soziale Manipulation“ — sie nutzt menschlichen Schwächen aus, um zum Beispiel wichtige Passwörter zu entlocken, Malware und Trojaner oder Attacken via Erpessungstrojanern vorzubereiten und zu lancieren. Die Unternehmens-Server und Rechner können außerdem durch Manipulation in sogenannte Botnetze integriert und für Attacken aus  DDoS und Botnetzen verwendet werden.

Soziale Manipulation durch soziale Verpflichtung, Sympathie, Autorität

Angreifer operieren weltweit und gibt es in großer Zahl, sie gehen immer ausgefuchster und hochgerüsteter vor. Hinter manchen Attacken stehen große Organisationen, Wettbewerber oder sogar feindlich gesinnte Staaten. Die erfahrenen Cyberkriminellen und Social Engineerer sind sehr pfiffig, wenn es darum geht, unberechtigten Zugang zu Unternehmensinformationen, Datenbanken oder IT-Systemen zu erlangen. Sie manipulieren Mitarbeiter und verstehen es, zutiefst menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft oder Respekt vor Autoritäten für sich auszunutzen. Das sind die wichtigsten psychologischen Instrumente und Methoden, die bei der Cyber-Manipulation des Menschen Anwendung finden:

  • Ein angeblicher zeitlicher oder sachlicher Notstand oder einer, bei dem schnelles Handeln gefragt ist
  • ein Verweis auf eine angebliche Verpflichtung des Opfers
  • ein sehr sympathisches, seriöses oder verbindliches Auftreten
  • die Erfindung eines Autoritätsverhältnisses gegenüber dem Opfer
  • der Hinweis auf Allgemeingültigkeit und Rechtmäßigkeit des Handelns.

Social Engineering Methoden - vier typische Beispiele und Bauerntricks

Beispiel  1. Ein Anrufer oder ein Mann in Berufskleidung gibt sich vor Ort  als Netzwerk-Techniker der Telekom aus. Er gibt vor, unter fürchterlichem Zeitdruck zu stehen und wegen einer erheblichen Störung technische Details zu Geräten oder Einstellungen schnellstens zu benötigen – sonst ginge bald gar nichts mehr. Psychologische Folge: Das Opfer, zum Beispiel ein Mitarbeiter am Empfang, wird unter emotionalen Druck gesetzt. Es möchte keinesfalls mitverantwortlich für ein entstehendes Chaos oder Ausfälle von technischen Services sein. Dem professionellen, selbstbewussten und fachkundigen Auftreten des Sicherheitsprofis haben die meisten nichts entgegen zu setzen und liefern die gewünschten Informationen.

Beispiel  2. Eine vermeintliche Assistentin eines höherrangigen Managers kommt persönlich vorbei und verlangt für ihren Chef schnellstens das vergessene Passwort für den Server- oder Netzwerkzugang. Hier wird die „Hierarchie-Karte“ gespielt. Aus Angst vor Repressalien geben so eingeschüchterte  Mitarbeiter die Daten „hierarchiebewusst“ weiter und glauben damit, bestmöglich zu unterstützen.

Beispiel 3.
Ein Anruf geht ein, in dem ein Anrufer „Herrn Schmidt“ sprechen möchte, der im Moment nicht erreichbar ist. Die Information, dass Herr Schmidt zwei Wochen außer Haus ist, legt offen, dass dessen Arbeitsplatz und Account in dieser Zeit unbeobachtet ist – eine gute Basis, um Daten und Passwörter vor Ort abzufischen.

Beispiel 4.
Huch, da hat ein Kollege einen Stick auf dem Schreibtisch liegengelassen. Das Opfer steckt ihn unvorsichtig in den Rechner, um zu schauen, wem er gehört. Der USB-Stick startet gegebenenfalls automatisch Anwendungen, die Unternehmen Schaden zufügen können. Oder der Stick enthält Neugier weckende Dateinamen, auf die das Opfer klickt.

Nach wie vor kommen auch klassische Manipulationsmethoden über Briefpost und Fax zum Tragen. Nicht zu vernachlässigen ist auch die Gefahr der sozialen Manipulation durch „Innentäter“: bestehende oder ehemalige Mitarbeiter.

Immer häufiger: soziale Manipulation über soziale Netzwerke

Öffentliche Mitarbeiter-Profile in sozialen Medien können ein Einfallstor für Cyber-Kriminelle sein
Öffentliche Mitarbeiter-Profile in sozialen Medien können ein Einfallstor für Cyber-Kriminelle sein

In einer Zeit, in der viele Menschen freiwillig intimste Informationen auf Facebook und Co. leichtfertig veröffentlichen, ist es besonders einfach, emotionale Brücken zu Mitarbeitern zu finden, um sich damit ihr Vertrauen zu erschleichen. Cyberkriminelle nutzen daher immer häufiger öffentlich verfügbare Mitarbeiterprofile auf XING, Linked-In und Facebook als Social Engineering Methode. Wenn Mitarbeiter es zum Beispiel versäumen, ihre Facebook-Privatsphäre zu schützen oder WhatsApp-Sicherheit nicht ernst nehmen bieten sie damit Cyberkriminellen ein ideales Einfallstor, um Profile auszuspähen und maßgeschneiderte Angriffsstrategien und -stories zu entwickeln. Die Zielpersonen können E-Mails oder Messenger-Nachrichten mit Links zu Trojanern, Malware, Ransomware oder auch Adware & Spyware erhalten. Beim Klick auf den Link über den Firmenrechner kann das Netzwerk infiziert und/oder verschlüsselt werden oder Botnetze ihre Infizierungsstrategien umsetzen.

2017 wurde auch ein Fall bekannt, bei dem Cyberkriminelle Twitter-Accounts als Köder nutzten, um Nutzer über Social-Engineering-Angriffe um ihre Kreditkartendaten zu erleichtern. Dies hat die Sicherheitsfirma Proofpoint aufgedeckt. Bei dieser Masche platzierten Angreifer seriös wirkende Werbeanzeigen, die sich an Markenmanager und -Influencer wendeten. Die Anzeigen enthielten einen Link, auf dem eine angebliche Account-Verifizierung über Twitter Fake Accounts gebeten wird, der den offiziellen Support-Account von Twitter imitiert.

Tipp!

Eine gute, ausführliche Übersicht über gängige Methoden des Social Engineering kann als Mitarbeiter-Information bei der Webseite von Datenschutz Praxis heruntergeladen werden.

  • Business Security
  • Schutz vor DDoS
  • Schutz vor Social Engineering
  • Social Engineering Methoden
  • Soziale Manipulation

Zurück

Diesen Beitrag teilen
oben