Social Engineering

Wie Kriminelle Ihre Hilfsbereitschaft ausnutzen

Das Telefon klingelt und das Display zeigt eine unbekannte Nummer an. Am anderen Ende der Leitung meldet sich ein vermeintlicher Mitarbeiter von Microsoft und gibt Ihnen zu verstehen, dass Ihr Computer mit einem Schadprogramm infiziert sei, und bereits eine Vielzahl an Systemen lahmgelegt habe. Redegewandt erklärt er Ihnen, wie er Sie als Quelle des Übels identifiziert habe. Dann fordert der angebliche Experte Sie auf, sich auf einer Fernwartungsseite einzuloggen. Folgen Sie diesen Anweisungen? Wenn ja, überlassen Sie dem Angreifer damit die komplette Kontrolle über Ihren Computer.

Der weitere Ablauf ist in der Regel der folgende: Ohne dass Sie es merken, rekonfiguriert der angebliche Experte als erstes Ihren Computer, so dass es nicht mehr richtig läuft. Tatsächlich spielen sich anschließend eigenartige Dinge auf Ihrem Bildschirm ab. Für den „Experten“ der Beweis, dass Ihr Computer beschädigt ist. Der Anrufer bietet Ihnen schließlich eine teure „Reparatur“ des Computers aus der Ferne an. Im schlimmsten Fall kassiert er nicht nur Ihr Geld, sondern hat auch noch einen Trojaner installiert und dadurch auch weiterhin freien Zugang auf alle Ihre im Computer gespeicherten Daten, Passwörter und Zugriffscodes.

Sie sind auf seine Masche hereingefallen, weil er sich als Sicherheitsexperte ausgegeben und Sie in Ihren Entscheidungen manipuliert hat. Im Folgenden erhalten Sie die wichtigsten Tipps, wie Sie solche oder ähnliche Tricks erkennen und wie Sie in solchen Fällen am besten reagieren.

Social Engingeering – die Fakten

Bei Social Engineering (aus dem Englischen: „angewandte Sozialwissenschaft“) handelt es sich um Manipulation durch Täuschung. Im Alltag begegnet man Social Engineering etwa in Werbeanzeigen, beim Flirten oder während eines Bewerbungsgesprächs. Auch hier versucht der „Werbende“ sich so zu verhalten bzw. zu vermarkten, dass er die Gunst seines „Zielobjekts“ für sich gewinnt.

Leider wird die Kunst der Manipulation, besonders im Zusammenhang mit den neuen Medien, oft für unlautere Zwecke missbraucht. Dabei werden menschliche Schwächen ausgenutzt. Es liegt in der Natur des Menschen, anderen helfen zu wollen und freundlichen und sympathisch scheinenden Mitmenschen Vertrauen zu schenken. Mit Kalkül und Berechnung wird (oft über einen längeren Zeitraum) von einem Angreifer ein Vertrauensverhältnis zur Zielperson aufgebaut. Zum gegebenen Zeitpunkt wird schließlich die Leichtgläubigkeit des Opfers ausgenutzt, um die begehrten Informationen zu erhalten, aus denen dann Kapital geschlagen wird. Sei dies etwa Geld, Industriegeheimnisse, wirtschaftliche Vorteile oder Sabotage von Konkurrenzunternehmen.

Wer kann zum Opfer werden?

Sie denken, Social Engineering betrifft Sie nur am Arbeitsplatz? Da liegen Sie falsch! Sie denken, nur Angestellte von Firmen, die mit vertraulichen Daten umgehen, werden Opfer von Spionage-Attacken? Auch da liegen Sie falsch!

Social Engineering gibt es nicht nur in der Informatik und nicht nur am Arbeitsplatz, sondern auch im alltäglichen Leben, und zwar immer dort, wo es Werte gibt, die für irgendjemanden interessant sein könnten. Dies kann genauso gut Geld sein, wie geheime Informationen oder der Zugriff auf einen Computer, um diesen für kriminelle Zwecke zu missbrauchen. Generell kann also jeder ein Opfer von Social Engineering werden.

Daten, die es zu schützen gilt

Folgende Informationen sind geheim und dürfen unter keinen Umständen preisgegeben werden: firmeninterne Geheimnisse, Benutzernamen und Passwörter für Online-Anwendungen, Bankdaten.

Folgende Informationen sind sehr sensibel und sollten unter keinen Umständen mit Personen geteilt werden, die Sie erst kurz kennen, bzw. denen Sie nicht vollkommen vertrauen: Auskünfte über Arbeitsabläufe und persönliche Daten wie Geburtsdatum, Telefonnummer, E-Mail-Adresse usw.

Seien Sie besonders vorsichtig mit Auskünften über Dritte wie etwa Arbeitskollegen oder den Chef. Es könnte sein, dass diese im Visier der Kriminellen sind, und man Ihnen entsprechende Informationen entlocken möchte.

Bringen Sie auch Ihren Kindern bei, was „private Informationen“ sind, und wie sie damit umgehen sollen.

Denken Sie daran: Sehr viele Informationen gelangen auf völlig legale Weise an die Betrüger. Auf Firmenwebseiten finden sich oft Listen der Mitarbeiter mit Stellung, Telefonnummer, E-Mail-Adresse und nicht selten auch einem Foto. Komplettiert wird das „Opferbild“ dann in sozialen Netzwerken, wo sich mehr über den Charakter, die Familienverhältnisse und Freizeitaktivitäten herausfinden lässt. Gehen Sie dementsprechend kritisch mit der Veröffentlichung von Daten im Internet um und akzeptieren Sie nur Online-„Freunde“, die sie auch aus dem wahren Leben kennen. Achten Sie darauf, dass Ihr Profil für „Freunde von Freunden“ nicht einsehbar ist.

Social Engineering - auch ohne Software!

Grundsätzlich kann jeder Opfer von Social-Engineering-Angriffen werden, egal ob Privatperson oder großes Unternehmen. Dabei muss noch nicht einmal ein Computer oder das Internet im Spiel sein. Eines der klassischen Beispiele für Social Engineering ist der „Enkel-“ oder „Neffentrick“: Der Angreifer ruft zum Beispiel eine ältere Dame zuhause an und begrüßt sie mit den Worten „Hallo Oma, rate mal wer dran ist!“. Der weitere Ablauf sieht im für den Angreifer günstigsten Fall dann folgendermaßen aus: Die Oma nennt den Namen eines Enkels, der Anrufer bestätigt diesen und bittet sie dann um Geld oder andere Wertgegenstände, da er sich gerade in einer Notsituation befände. Zum Abholen der Beute erscheint dann der Angreifer selbst und gibt sich als Freund des Enkels aus.

Der Mensch als schwächstes Glied

Die neuen Technologien bieten Angreifern jede Menge neuer Möglichkeiten, über gezielte Manipulierung an gewünschte Informationen zu gelangen. Besonders gefährlich ist dies, wenn die Information einer einzelnen Person dazu missbraucht werden kann, um in das EDV-System einer ganzen Organisation einzudringen. Der Hacker gibt sich einfach als Systemoperator, als EDV-Verantwortlicher oder als Systemingenieur aus.

Oft steht der Hacker auch gar nicht in direktem Kontakt mit seiner Zielperson. Denn auch Phishing- und Spam-E-Mails funktionieren nach dem Prinzip von Social Engineering: Das Opfer erhält eine täuschend echt aussehende E-Mail eines scheinbar seriösen Absenders, mit einem für ihn ansprechenden Inhalt. Hat der Angreifer im Vorfeld (zum Beispiel durch Ausspionieren des Opferprofils in einem sozialen Netzwerk) etwa herausgefunden, dass die Zielperson ein Faible für Wellness-Behandlungen hat, verfasst er eine Mail mit dem Betreff „Top Angebot: 99 Euro für ein Verwöhnwochenende im Luxushotel“. Öffnet die Zielperson die E-Mail, wird sie eine professionell gestaltete Werbeanzeige vorfinden, sowie einen Link („hier geht’s zum Angebot“), der ihm beim Anklicken im Handumdrehen einen Trojaner auf den Computer schickt.

Auch bei Menschen, die sich eigentlich als skeptisch und vorsichtig im Umgang mit sensiblen Informationen bezeichnen, wirkt Social Engineering.

Im direkten Kontakt (Gespräch) mit dem Angreifer gibt kaum jemand einfach so die „heiße Info“ preis. Bei scheinbar unbedeutenden Detailfragen rutscht aber vielen unbemerkt ein entscheidender Hinweis heraus. Es ist wie das Zusammenfügen von Puzzleteilen: Indem der Social Engineer jeden noch so kleinen Informationskrümel sammelt, entsteht nach und nach ein flächendeckendes Gesamtbild. Dabei muss er in vielen Fällen noch nicht einmal spionieren. Oft liefern die Zielpersonen ihre vertraulichen Daten dem kriminellen Drahtzieher quasi freiwillig auf dem Präsentierteller.

Was macht uns angreifbar?

Einerseits macht uns unsere „technische Fahrlässigkeit“ angreifbar. Der Mensch verliert den Überblick über die Vielzahl an Informationen zu seiner Person, die dank der neuen Medien ohne sein Wissen kursieren. Auch geht er oft zu sorglos mit sensiblen Daten um, stellt Privates ins Netz und findet es zu anstrengend, sein Online-Ich regelmäßig zu „säubern“.

Andererseits sind wir eben auch nur Menschen. Auf der Suche nach Anerkennung, Schmeicheleien, Komplimenten, Freundschaft usw. ist der Mensch generell offen für Interesse, das seiner Person entgegengebracht wird. Menschliche Stärken wie z.B. Hilfsbereitschaft oder Schwächen wie Eitelkeit werden von Angreifern gezielt ausgenutzt, um jemanden zu manipulieren. Den meisten Mitarbeitern einer Firma ist es wichtig, gute Team-Player und solidarisch mit den Kollegen zu sein. Dafür wird auf der Seite der Sicherheit oft eingebüßt.

Schokolade fürs Passwort

Im Frühjahr 2012 hat eine Gruppe von Psychologiestudenten der Universität Luxemburg sich als Ermittler einer Umfrage ausgegeben, bei welcher 1206 Passanten in Esch/Alzette, Diekirch und Luxemburg zu ihren Computer-Gewohnheiten befragt wurden. Zu strategisch guten Momenten wurde den Teilnehmern eine Schachtel Pralinen angeboten. Nach einigen Einstiegsfragen, deren Sinn hauptsächlich darin bestand, das Publikum auf das Thema „Computer“ einzustellen, folgte fast schon dreist der Angriff auf das eigentliche Objekt der Begierde: Informationen zum Passwort! Die erschreckende Erkenntnis: Von den befragten Teilnehmern im Alter zwischen 12 und 74 Jahren haben 30% nicht gezögert, den Studenten ihr Passwort zu verraten und haben es teilweise sogar im Fragebogen angegeben. Viele weitere wollten zwar ihr Passwort nicht herausgeben, haben aber genügend Andeutungen darüber gemacht, aus welchen Bausteinen es sich zusammensetzt, um einem Hacker leichtes Spiel zu gewähren.

Diese Studie zeigt, wie wichtig es ist, nicht allein die Anwendung technischer Schutzmaßnahmen (Passwort, Firewall, Antivirenprogramm usw.) zu unterstützen, sondern vor allem zu mehr Aufmerksamkeit betreffend der Weitergabe persönlicher Daten im Alltag aufzurufen.

Hinterfragen ist wichtig!

Die in Luxemburg in persona durchgeführte Studie findet sich ähnlich und von erschreckendem Erfolg gezeichnet auch im Internet wieder. Tausende Opfer sind schon auf Tests namens „Wie sicher ist Ihr Passwort?“ hereingefallen. Dass Fragen wie „Beinhaltet Ihr Passwort Ihren oder den Namen eines Familienmitglieds?“ oder „Ist ein für Sie persönlich wichtiges Datum Teil Ihres Passworts?“ in erster Linie dazu dienen, ihr Passwort zu knacken, fällt den meisten Quizfreunden – wenn überhaupt – zu spät auf. Sobald sensible Informationen im Spiel sind, ist Hinterfragen ungemein wichtig! Überlegen Sie, ob es wirklich notwendig ist, dass Sie die gefragte Information teilen, beziehungsweise, welche kriminellen Absichten Sie dadurch füttern könnten.

Woran erkennt man Social Engineering?

Social Engineering kann in Form von Phishing-Mails und Spam sehr indirekt erfolgen. Phishing-Mails geben vor, zum Beispiel von einer Bank oder Behörde zu stammen und zielen darauf ab, die Zielperson durch Drängen auf ein schnelles Handeln („Ihr Konto wurde gesperrt“) zum Eingeben persönlicher Daten wie Passwörtern oder Kreditkartennummern zu bewegen. Spam-E-Mails funktionieren eher nach dem Prinzip der Werbung. Die Angreifer versuchen dadurch, der Zielperson ein Produkt oder einen Web-Inhalt schmackhaft zu machen, und ihn zum Öffnen eines Weblinks zu bewegen.

Direkte  Angriffe erfolgen zum Beispiel im (Telefon-)Gespräch und müssen nicht immer komplex sein. Es ist durchaus möglich, dass sie in Form einer einfachen, harmlosen Bitte um Informationen stattfinden. Ein Angriff kann auch dazu dienen, Informationen zu beschaffen, mit deren Hilfe letztendlich ein ganz anderes Opfer angegriffen wird. Grundsätzlich gilt: Jede Bitte einer unbekannten Person um Informationen über betriebliche Abläufe, persönliche Daten und Gepflogenheiten ist verdächtig.

Wie kann man sich schützen?

  • Jede Information, auch wenn sie noch so unbedeutend erscheint, muss als wichtig und schützenswert betrachtet werden.

  • Achtung auch bei harmlos wirkenden Umfragen und Quiz im Internet.

  • Seien Sie skeptisch, sobald eine Ihnen unbekannte Person zu neugierig wird. Auch, wenn die Fragen sich nicht direkt auf geheime Informationen beziehen.

  • Klicken Sie nicht auf Links in E-Mails, die Sie nicht erwartet haben. Kontaktieren Sie im Zweifelsfall den (vermeintlichen) Absender und erkundigen Sie sich nach der Legitimität der E-Mail.

  • Verraten Sie niemandem Ihren Benutzernamen und Ihr Passwort für Internet- und EDV-Anwendungen, auch wenn die Anfrage noch so glaubwürdig erscheint. Die EDV-Abteilung Ihrer Firma benötigt diese nicht und wird Sie auch nie danach fragen. Gleiches gilt für Banken, Online-Shops oder ähnliche, die Sie per Mail um Informationen bitten.

  • Führen Sie keine Befehle aus, die Ihnen eine unbekannte Person vorgibt, sei dies am Telefon, in einer E-Mail oder im direkten Kontakt, wenn diese Befehle sensible Informationen betreffen.

  • Überprüfen Sie im Zweifelsfall die Identität von Gesprächspartnern am Telefon oder von E-Mail-Partnern. Am Telefon können Sie zum Beispiel den Gesprächspartner um dessen Telefonnummer bitten und ihn dann, nach Prüfen der Nummer, zurückrufen. So können Sie herausfinden, ob der Gesprächspartner tatsächlich befugten Zugriff auf den Telefonanschluss hat, von dem aus er Sie angerufen hat.

  • Treffen Sie in einer zweifelhaften Situation keine impulsive Entscheidung. Gewinnen Sie Zeit zum Nachdenken und entziehen Sie sich dadurch dem Druck des Angreifers. Einen unbekannten Anrufer z.B. dürfen Sie ohne schlechtes Gewissen auf den nächsten Tag vertrösten, an dem das Problem dann in Ruhe gelöst werden kann.

  • Loggen Sie sich auf Webseiten und Online-Anwendungen stets mithilfe des dafür vorgesehenen Buttons aus. Wenn Sie sich nicht ordnungsgemäß abmelden, ist Ihre offene Sitzung für eventuelle Hacker leicht zugänglich.

  • Öffnen Sie keine Datei, die an eine E-Mail eines unbekannten oder zweifelhaften Absenders angehängt ist. Das gilt auch für Dateien von zweifelhaften Webseiten. Solche Anhänge können Schadprogramme wie Trojaner enthalten, die einem Hacker freien Zugriff auf alle Ihre im Computer gespeicherten Vorgänge und Daten ermöglichen.

  • Lassen Sie Papierdokumente mit sensiblen Informationen nicht für andere sichtbar herumliegen. Das gilt auch für Dokumente im Papierkorb. Machen Sie Dokumente, die Sie nicht mehr benötigen, unlesbar.

Zurück zu unserem Ausgangsbeispiel. Sollten Sie tatsächlich Probleme mit Ihrem Computer haben, so empfiehlt BEE SECURE, dass Sie sich professionelle Hilfe holen. Dies geschieht am besten bei Personen und Fachbetrieben, die Sie bereits gut kennen. Auf bee-secure.lu finden Sie eine Liste  lokaler Fachbetriebe („PC Doctors“), die sich BEE SECURE gegenüber verpflichtet haben, fachlich professionell zu arbeiten.