Social Engineering: Wie es wirkt und wie man sich dagegen wappnet
In den letzten Jahren wurde der Sicherheitscommunity klar, dass IT-Systeme nicht nur aus Computern und Netzwerkgeräten bestehen. Vielmehr sind die (menschlichen) Benutzer dieser Systeme ebenfalls Teile dieser Struktur – und damit Ziele für Angreifer. Die Angriffsmethode wird dabei oft als Social Engineering umschrieben. Der Begriff bezeichnet den Vorgang der bewussten Beeinflussung von Menschen, um ein bestimmtes Ziel zu erreichen.
In sicherheitsrelevanten Umgebungen wird Social Engineering oft im Vorfeld von Cyberangriffen beobachtet. Hierbei nutzen Täter Phishing (gefälschte E-Mails mit schädlichen Links oder Anhängen), Vishing (Telefonanrufe mit der Absicht, sicherheitsrelevante Daten zu gewinnen) oder persönliche Kontakte unter Vorgabe falscher Identitäten. All dies dient dazu, sicherheitskritische Informationen zu erlangen: Passwörter, Informationen über die IT-Netzwerkstruktur, Namen und Daten von Personen oder – neuerdings beliebt – 2-Faktor-Authentisierungscodes. Da die Verhaltensregeln bei E-Mails schon oft beschrieben wurden, konzentriert sich dieser Beitrag auf die letzteren zwei Varianten.
Doch wie arbeiten Social Engineers? Oftmals sind es „ungelernte“ Betrüger, die ihre Fähigkeiten durch Versuch und Irrtum erlangt haben. Professionell ausgebildete Social Engineers – beispielsweise mit einem Hintergrund beim Nachrichtendienst bzw. Psychologen – sind im kriminellen Milieu selten. Dennoch arbeiten beide nach ähnlichen Prinzipien, da sie auf häufigen menschlichen kognitiven Irrtümern (engl. Biases) oder universellen Tendenzen der menschlichen Denkweise beruhen.
Methoden der Engineers
1. Ausnutzen von Stereotypen
Social Engineering ist nicht politisch korrekt. Oftmals werden Geschlechts- oder Ethnische Stereotypen genutzt, um das eigene Anliegen glaubhafter zu machen. Bestätigt man einen Stereotypen eines Mitmenschen, gilt man als besser einschätzbar – und damit vertrauenswürdiger. Dies nutzen Social Engineers aus. So kann am Telefon eine Tarnung als Mutter mit schreiendem Kind im Hintergrund ein prima Vorwand sein, um Menschen von der Dringlichkeit eines Anliegens unterbewusst überzeugen zu können. Berufsstereotypen werden auch häufig ausgenutzt, besonders im persönlichen Bereich: Männliche, dickere Handwerker oder osteuropäische/afrikanische Putzkräfte beispielsweise werden im deutschen Raum weniger hinterfragt oder verdächtigt „nicht dazu zu gehören“ als andere Vertreter dieser Berufsgruppen.
2. Überzeugungstechniken
Insbesondere am Telefon sind Überzeugungstechniken wichtig, um Personen dazu zu bringen, Informationen herauszugeben. Es gibt dafür klassische Wege, dies zu tun. Zwei wichtige Techniken seien hier erwähnt: Die sogenannte „Fuß-in-der-Tür Technik“ ist ein bekanntes Instrument unter Social Engineers. Dafür bittet man das Opfer zunächst um einen kleinen Gefallen, der leicht zu erledigen ist. Da Menschen generell gerne helfen, wird dies oft ohne Beanstandung getan. Danach fragt der Engineer oft nach dem eigentlichen, größeren Gefallen. Die Erfolgsquote dieser Technik ist sehr hoch, vor allem wenn es um Informationen geht. Hier wird menschliches Commitment ausgenutzt. Menschen tendieren allgemein dazu, gerne konsistent in Ihren Handlungsweisen zu wirken. Wer einmal einen Gefallen getan hat, möchte anderen nicht durch ein Nein unangenehm auffallen. So sinkt die Hemmschwelle, den zweiten – wichtigeren – Gefallen abzulehnen. Das Gegenteil ist die „Tür-in’s-Gesicht-Taktik“. Hier wird zunächst ein Gefallen erbeten, der überzogen ist – in der Erwartung, dass das Gegenüber ablehnt. Ist dies Geschehen, wird ein scheinbar geringerer Kompromiss vorgeschlagen – das eigentliche Ziel des Engineers. Oft wird durch ein Ablehnen des ersten Gefallens eine Bringschuld beim Opfer erzeugt – die dann durch den machbaren Kompromiss sofort aufgelöst wird. Beide Techniken nutzen kognitive Dissonanz – ein unangenehmes Gefühl, das sich bei inneren Konflikten entwickelt – um Druck auf Menschen auszuüben.
3. Verschleierung
Social Engineers sagen nie die Wahrheit über sich. Sie nutzen Legenden – also Tarnnamen, falsche Identitäten, gefälschte Lebensläufe etc. – um ihre Opfer zu täuschen. Solche Legenden sind oft sehr detailliert und führen auch zu scheinbar echten Personen, wie beispielsweise im Falle falscher Identitäten. Dies macht eine Überprüfung im Moment sehr schwierig. Kurzes Googlen reicht also oft nicht aus. Gerne wird auch die Identität eines vermeintlichen Angestellten der IT genutzt, um Personen am Computer anzuleiten, verschiedene Dinge zu tun – oft mit der nachträglichen Bitte um Zugangsdaten, weil ein angebliches Problem gefunden wurde.
Was kann man gegen Social Engineering unternehmen?
Leider ist es fast unmöglich, die ersten zwei Punkte zu eliminieren. Selbst die eingefleischtesten Experten sind davor nicht gefeit. Jeder Mensch hat Stereotypen und funktioniert psychologisch in vielen Bereichen ähnlich: Hier handelt es sich um evolutionär vorteilhafte Verhaltensweisen oder gesellschaftlich gelerntes Verhalten. Solche Phänomene abzutrainieren ist unrealistisch. Jedoch kann man die Verschleierungstaktiken durch klare Handlungsanweisungen durchbrechen – egal welchen Vorwand die Person nutzt.
Schritt 1: Zeit gewinnen.
Social Engineers haben ein Ziel: Sofort Informationen zu bekommen. Zu diesem Zweck werden Ihre Tarnungen entworfen. Eine Legende hält zwar meist einer oberflächlichen Überprüfung über Google Stand, zerfällt allerdings oft, wenn man direkten Kontakt zur vermeintlichen Person aufnehmen will. Insofern ist die erste Regel bei fremden Personen (und das beinhaltet vermeintliche Personen aus der eigenen Firma, die man nicht kennt): Geben Sie keine Informationen über sich und andere beim Erstgespräch heraus. Verlangen Sie unter dem Vorwand der Beschäftigung Name, Telefonnummer und E-Mail der Person, um sie zurückzurufen bzw. „im System zu hinterlegen“ und brechen sie den Kontakt ab, wenn sie keine der Daten erhalten.
Schritt 2: Prüfen
Prüfen Sie die Namen und Telefonnummern der Personen über Suchmaschinen und berufliche Netzwerke wie LinkedIn oder XING auf Richtigkeit. Bei Unsicherheiten rufen sie am Front Desk der Firma oder anderen dritten Personen an und bitten um Weiterleitung. Existiert die Person nicht oder hat eine andere Telefonnummer, wird Ihnen dies gesagt und der Fall ist erledigt.
Wenden Sie diese Handlungsanweisung bei jedem Anruf an. Diese Taktik hat den Vorteil, dass sie alle Anrufer gleichbehandelt und Sie in eine Win/Win-Situation versetzt: Ob daraus ein echter geschäftlicher Kontakt entsteht oder die Person zu verdächtig erscheint – sie haben entweder beim Zweitgespräch einen Vorteil, da sie den Gesprächspartner bereits kennen oder – im „schlimmsten Fall“ – einen Angriff abgewehrt. Beide Fälle sind vorteilhaft für Ihr Business.
Autor:
Christian Schaaf
Geschäftsführer
E-Mail: schaaf@corporate-trust.de
Tel. +49 89 599887580
https://www.corporate-trust.de/de/christian-schaaf
Corporate Trust Sicherheitsblog 