Blog

Social Engineering

In unserem täglichen Leben begegnen uns immer wieder Warnungen und Berichte über die verheerenden Auswirkungen erfolgreich angewandten Social Engineerings. Der mögliche Schaden reicht vom Verlust hoher Geldsummen, der eigenen Kreditwürdigkeit bis hin zur völligen Existenzvernichtung. Nicht nur im beruflichen Alltag, wo viele von uns doch regelmäßig auf die Gefahren im Umgang mit unseren Daten hingewiesen werden, sondern auch und vor allem im privaten Bereich lauern enorme Gefahren.

Jedem sollte bewusst sein, dass man, sobald man die digitale Tür unverschlossen lässt  auf dem heimischen Sofa nicht sicherer ist als in der dunkelsten Bahnhofsgasse. Und im Gegensatz zu einem Raub in der realen Welt ist ein digitaler Überfall in aller Regel langwieriger und mit mehr Scherereien verbunden, wenngleich natürlich die Gefahr, verlegt zu werden, deutlich geringer ist. Wir wollen im heutigen Blog einige der beliebtesten Methoden des Social Engineering betrachten.  Nur wer eine Gefahr kennt, kann dieser ausweichen. Social Engineering beschreibt im Wesentlichen die Ausnutzung natürlicher menschlicher Schwächen, um Sicherheitsbarrieren zu umgehen und Schaden zu verursachen. Grob unterscheidet man zwischen ungezielten Attacken, welche Ihren Erfolg der Masse potenzieller Opfer verdanken und gezielten Attacken, bei denen der Angreifer seine Methoden speziell auf ein Opfer ausrichtet. Den Tätern steht hierzu ein ganzer Werkzeugkasten zur Verfügung, welchen wir uns hier nun anschauen wollen:

1. „Dumpster Diving“

Jeder Ermittler, Detektiv aber auch Stalker weiss, dass unser Müll mehr über uns verrät als uns lieb ist. 

Kassenzettel einer Apotheke verraten welche Medikamente jemand einnimmt. Restaurantflyer oder Mitgliederanschreiben von Vereinen und Fitnessstudios können Anhaltspunkte liefern wann jemand an welchem Ort anzutreffen ist. Jeder sollte einmal überprüfen, wieviel sensible Informationen teilweise auf ungeschreddert weggeworfener Werbepost seiner Bank oder Versicherung zu entdecken sind, teilweise wird zum Geburtstag gratuliert, die Kundennummer steht im Briefkopf, oder es wird die eigene Kontonummer aufgeführt. Eine vollständige Rechnung eines Versorgungsausgleich- oder Kommunikationsunternehmens kann von einem Betrüger als Adressnachweis für eine fingierte Bestellung zu Lasten des unter der Anschrift gemeldeten Opfers genutzt werden. Und dank eines weggeworfenen Schwangerschaftstests weiss derjenige, der den Müll durchsucht, unter Umständen mehr über den Ausgespähten als dessen Partner. Neben dem echten Müll vor unserem Haus gibt es eine weitere Goldgrube für Straftäter. Gemeint sind unsere digitalen Hinterlassenschaften. Wer in ungeschützten sozialen Netzwerken freigiebig sein Leben mit der Welt teilt, hinterlässt im Laufe der Zeit eine Datensammlung, die ein enormes Sicherheitsrisiko darstellen kann. Häufig wird man bei der Eröffnung neuer Online-Accounts aufgefordert, bestimmte Sicherheitsfragen zu beantworten, um im Fall der Fälle ein neues Passwort zu erhalten. Wo sind Sie zur Schule gegangen? Wie hieß Ihr erster Arbeitgeber? Der Name des Haustieres? Manchen wird erst jetzt bewusst , dass die Antworten auf diese Fragen womöglich für jedermann zugänglich sind. Zeit für einen digitalen Hausputz und bewussten Umgang mit unserem Müll. Sensible Daten gehören in den Schredder und wenn möglich auf mehrere Mülltonnen verteilt

2. Phishing

Die vermutlich am häufigsten angewandte Technik, um an sensible Daten zu gelangen. Das Spektrum reicht von sehr plumpen und leicht zu erkennenden Massenmails mit dem Versprechen eines hohen Gewinns oder Erbes bis hin zu ausgeklügelten und direkt auf das Opfer zugeschnittenen Angriffen. Dieses Vorgehen wird auch als Spearphishing bezeichnet. Der Angreifer strickt hierzu geschickt die Informationen ein, die er auf verschiedenen Wegen vorab gesammelt hat, um eine Vertrautheit zu erreichen. Denkbar ist beispielsweise, dass zuvor die sozialen Medien durchforstet werden (siehe Punkt 1). Mit dem Namen eines Freundes ist schnell ein Email-Account erstellt und eine Geschichte erfunden (Trennung, Unfall u.ä. ), mit welcher ein Geldbetrag erbeten wird. Dies ist in abgewandelter Form auch als „Enkeltrick“ schon dutzendfach erfolgreich angewandt worden. So perfide das Vorgehen auch ist, so einfach ist das Gegenmittel: Wer eine solche Aufforderung erhält, sollte den vermeintlichen Absender persönlich kontaktieren und verifizieren, dass die Bitte auch wirklich von diesem gestellt wurde. Eine weitere Spielart des Phishing ist es, fingierte E-Mails bekannter Firmen und Banken zu versenden mit der Aufforderung, seine jeweiligen Zugangsdaten aus Sicherheitsgründen neu einzugeben.  Hier ist stets Vorsicht angebracht. Überprüft in diesem Fall die Absenderadresse. Häufig sind hier Schreibfehler im Firmennamen oder ungewöhnliche Top-Level-Domains (Länderspezifische Kürzel wie .de, .at .ch ) zu finden, die den Phishing Versuch entlarven. In jedem  Fall sollte man auf keinerlei Links aus Emails klicken. Stattdessen ruft man die jeweilige Seite direkt auf dem üblichen Weg auf und loggt sich ein. In der Regel wird der Login problemlos funktionieren und der Betrug hierdurch ersichtlich. 

3. Baiting 

Diese Methode baut auf der menschlichen Neugier und Sensationslust auf und ist leider sehr erfolgreich. Der Täter lässt hierbei einen Datenträger (USB Stick, SD Karte) auf den vom Opfer frequentierten Wegen zurück und hofft darauf, dass dieser vom Opfer aus Neugier am eigenen PC angesteckt wird. Dateinamen wie „Personalabbau 2023“ oder „Gehaltslisten“ führen mit hoher Wahrscheinlichkeit dazu, dass die betreffende Datei angeklickt und hierbei Schadsoftware installiert wird. Es existieren weiterhin sogenannte „Killer-Sticks”, welche beim Einstecken eine Überspannung erzeugen, die den betreffenden Computer zerstört. Ein solches Gerät kann, wenn es einen neuralgischen Teil der IT Infrastruktur zerstört, durchaus existenzbedrohende Auswirkungen haben. Man sollte daher niemals gefundene Datenträger einstecken. 

4. Tailgating

Diese Methode wird sowohl bei Angriffen auf Unternehmen als auch auf Privatpersonen angewandt.

Der Angreifer verschafft sich Zugang zu Bereichen, die ihm sonst verschlossen bleiben würden, indem er die Freundlichkeit der Menschen ausnutzt. Mal stellt sich der Angreifer als neuer Kollege vor, dessen Schlüsselkarte noch nicht aktiviert ist, mal verkleidet er sich als Handwerker oder Paketbote und baut darauf, dass ihm jemand die Tür öffnen wird, wenn er mit vollen Händen vor dieser steht. Die beste Verteidigung hier ist ein gesundes Misstrauen. Fragen Sie den neuen Kollegen nach dem Namen der Personalverantwortlichen und begleiten Sie ihn persönlich zu ihrem vorgeblichen Zielort. Auch der Handwerker sollte zum Besucherempfang begleitet werden, um sicherzustellen, dass wirklich ein Auftrag vorliegt. In Unternehmen, in welchen regelmäßig betriebsfremde Menschen verkehren, ebenso wie in öffentlichen Verkehrsmitteln sollten Geräte niemals unbeaufsichtigt gelassen werden. Bildschirme sind bei Verlassen des Arbeitsplatzes zu sperren und sogenannte Bildschirmfilterfolien schützen vor neugierigen Blicken. Auch im privaten Bereich sollte bei unangekündigt vor der Tür stehenden Handwerkern stets Vorsicht gewahrt bleiben. In jedem Fall lohnt es bei dem angeblichen Auftraggeber (Wasserwerke, Telekommunikationsunternehmen) anzurufen und sich den Auftrag dort bestätigen zu lassen. In der Regel reicht die Ankündigung bereits aus, um den Versuch zu enttarnen. 

Wie man sieht gibt es zahlreiche Bereiche in unserem Leben und der menschlichen Psyche, die Angreifern als Einfallstor dienen können. Da diese Lücken von keiner Firewall oder Anti-Viren-Programm geschlossen werden können, ist der wichtigste Abwehrmechanismus der Anwender selbst.

Bleibt wachsam. 

Hier ein paar Quellen zum Thema:

  1. “The Art of Deception: Controlling the Human Element of Security” von Kevin Mitnick: Ein bekanntes Buch über Social Engineering und die Methoden, die Hacker verwenden, um menschliche Schwächen auszunutzen.
  2. “Social Engineering: The Science of Human Hacking” von Christopher Hadnagy: Ein weiteres bekanntes Buch, das die Methoden des Social Engineering beschreibt und wie man sich dagegen schützen kann.
  3. “Social Engineering Attacks: Common Techniques & How to Prevent Them” von Varonis: Ein Artikel, der verschiedene Methoden des Social Engineering beschreibt und wie man sich dagegen schützen kann.
  4. “The Social Engineering Framework” von Social-Engineer.org: Eine umfassende Ressource zum Thema Social Engineering, die verschiedene Methoden und Techniken beschreibt, sowie Schulungen und Zertifizierungen anbietet.
  5. “Social Engineering: How to Hack Humans” von Cisco: Ein Video, das die Grundlagen des Social Engineering erklärt und wie man sich dagegen schützen kann.

Diesen Beitrag teilen