Social Engineering

Social Engineering: Die perfide Masche der Cyberkriminellen

Frei übersetzt bedeutet Social Engineering nichts anderes als „soziale Manipulation“. Während sich Viren und Antivirenprogramme seit Jahren einen Wettkampf um potenzielle Sicherheitslücken in Anwendungen und Betriebssystemen liefern, machen sich Angreifer parallel eine leicht zu berechnende Schwachstelle zunutze: Den Menschen.

Die Vorgehensweise im Digitalbereich ähnelt dem, was früher als Trickbetrug bekannt war: Die Cyberkriminellen versuchen durch Beeinflussung und Manipulation eine bestimmte Verhaltensweise auszulösen, die für das Opfer schadhaft ist. So verschaffen sich Unbefugte Zugriff auf geheime oder persönliche Daten, die später als Grundlage für weitere Angriffe dienen.

Social Engineering kann jeden treffen: Die Assistenz der Geschäftsleitung, leitende Angestellte, Privatpersonen – sie alle haben Informationen, die für Cyberkriminelle potenziell wichtig oder lukrativ sind.

Diese Arten von Social Engineering gibt es

Dabei können die Angriffe selbst auf verschiedene Arten stattfinden. Schließlich lassen sich Menschen auf unterschiedliche Arten manipulieren und beeinflussen.

Relativ weit verbreitet und vergleichsweise einfach durchzuführen ist das sogenannte Baiting oder Ködern. Hier hinterlässt der Angreifer eine Festplatte, einen USB-Stick oder einen anderen Datenträger mit seiner Schadsoftware und weckt dadurch die natürliche menschliche Neugier. Diese Form des Social Engineerings kann an jedem erdenklichen Ort stattfinden: Am Messestand, am Tresen im Foyer, in der IT-Abteilung, an einem beliebigen Schreibtisch oder an öffentlichen Orten. Die Manipulation und der Aufwand sind gering, der potenzielle Schaden enorm: Das Opfer steckt den bestenfalls noch in einer sicheren und vertrauten Umgebung gefundenen Datenträger an seinen Rechner an und lädt die schadhafte Datei damit ins Firmennetzwerk. Schon haben Außenstehende Zugriff auf kritische Daten.

Eine alte und bekannte Form des Social Engineerings ist das Phishing. Unter diesen Oberbegriff fallen eine ganze Reihe von Methoden, mit deren Hilfe sich Cyberkriminelle Informationen erschleichen. Eine beliebte Taktik ist es, drängende Situationen und unverzüglichen Handlungsbedarf vorzutäuschen. Dem potenziellen Opfer soll möglichst wenig Zeit gelassen werden, über den sich anbahnenden Betrug nachzudenken. Häufig geht es um gesperrte Konten oder kompromittierte Internet-Accounts und damit zusammenhängende Folgeschäden. Als Absender der E-Mails mit dem Trojaner-Anhang oder dem gefährlichen Link fungieren in der Regel vertrauenswürdige Administratoren, Banken, Autoritätspersonen oder Kollegen. Ein gängiger Trick ist es, das Corporate Design bekannter Firmen zu imitieren.

Noch mehr Potenzial entfaltet das Phishing, wenn die Angreifer erst einmal Zugriff auf ein E-Mail-Konto haben. Von dort aus schreiben sie gezielt Freunde, Arbeitskollegen, Familienmitglieder oder Bekannte des Opfers an und erhalten aufgrund der authentischen Absenderadresse einen Vertrauensvorschuss. Wer würde seiner Schwester oder bestem Freund nicht einen kleinen Gefallen erweisen – ihr oder ihm etwas Geld überweisen oder ein angehängtes (virenverseuchtes) Dokument ausdrucken?

Aus dem allgemeinen Phishing, dem „Fischen im Trüben“, sind mit dem sogenannten Spear Phishing zielgerichtete Attacken hervorgegangen. Bei dieser komplexeren Variante setzen sich die Angreifer detailliert mit ihrem Angriffsziel auseinander, sammeln persönliche Daten und merken sich wiederkehrende Verhaltensweisen. Jede Information, die ein Nutzer von sich per Facebook, Twitter oder anderweitig im Internet öffentlich weitergibt, gewährt den Kriminellen vielleicht einen Hinweis auf seine wahre Identität und seine Eigenschaften. Dadurch ergeben sich viele verschiedene Angriffsflächen. Wer sich auf Facebook öffentlich auf seinen Urlaub in Hotel XY freut, könnte beispielsweise eine gefälschte E-Mail von eben jenem Hotel erhalten. Und wer eigene Krankheiten oder die von Familienmitgliedern öffentlich macht, bekommt vielleicht ein zwielichtiges Hilfsangebot per E-Mail, auf das er in seiner Verzweiflung eingeht.

Es gibt noch viele weitere perfide Methoden des Social Engineerings – und die Trickbetrüger denken sich immer wieder neue aus. Manchmal sind es rührselige Geschichten und die Vorspiegelung falscher Tatsachen, die eine monetäre Zuwendung auslösen sollen. Oder die Cyberkriminellen bieten einen Geldgewinn an, für den das Opfer jedoch erst eine Datei öffnen oder ein Formular ausfüllen muss.

Zu bedenken ist: Social Engineering gibt es überall – im Internet, am Telefon und im Rahmen persönlicher Interaktionen.

Wirksamer Schutz gegen Social Engineering

Security-Programme erkennen heutzutage betrügerische E-Mails und gefährliche Trojaner oder Viren als Anhänge. Aufgrund der unterschiedlichen Angriffswege und Methoden sowie der beim Menschen liegenden Schwachstelle, ist ein hundertprozentiger Schutz letztlich nur durch den Nutzer selbst möglich.

Mögliche Präventivmaßnahmen gegen Social Engineering sind:

  • keine vertraulichen Gespräche in der Öffentlichkeit führen – weder persönlich noch am Telefon
  • persönliche Informationen nicht öffentlich in sozialen Netzwerken oder an andere Stellen im Internet teilen
  • bei E-Mails und Dateianhängen doppelt prüfen, auch wenn sie aus vermeintlich vertrauenswürdiger Quelle stammen
  • gesundes Misstrauen gegenüber Fremden, auch auf Messen, bei Telefonaten oder bei angeblich neuen Mitarbeitern und Dienstleistern

Grundsätzlich wichtig ist es, das eigene Bewusstsein für mögliche Social-Engineering-Angriffe zu schärfen. Die Gefahren lauern überall – insbesondere für Angestellte von Unternehmen.