Social Engineering – Wie es funktioniert und wie Sie sich davor schützen
Beim Social Engineering erschleichen Angreifende das Vertrauen der Opfer, indem sie eine falsche Identität vortäuschen und verfügbares Wissen über die Opfer ausnutzen. Die Opfer geben im guten Glauben vertrauliche Daten oder den Zugang zu den Daten weiter. Rein technische Datenschutz-Maßnahmen reichen als Gegenreaktion nicht aus. Die psychologischen Tricks der Angreifenden zu kennen, muss hinzukommen.
Was bedeutet Social Engineering?
Beim Social Engineering sollen Opfer so manipuliert werden, dass diese geheime Informationen (zum Beispiel Passwörter, Bankdaten oder Daten von Unternehmen) preisgeben oder ahnungslos kritische Aktivitäten starten, die das jeweilige Unternehmen schädigen können. Viele IT-Systeme sind heutzutage bereits gut gesichert.
Deshalb ist das Ziel von Kriminellen häufig Menschen mit psychologischen Mitteln zu überlisten. Hacker versuchen dabei durch private Informationen und vorgetäuschte Identitäten in Kontakt mit dem Opfer zu treten. Das Hintergrundwissen über die Opfer wird oft durch Profile im Internet (soziale Netzwerke) gesammelt.
Wie sieht Social Engineering aus?
Social Engineering kommt immer wieder in einem neuen Gewand daher. Im Extremfall geben sich Kriminelle als vermeintliche Dienstleister, Kollegen oder Verwandte aus. Die meisten Angriffe finden im Internet statt, zum Beispiel in Form von sogenannten Phishing Mails:
- die angebliche E-Mail vom eigenen Systemadministrator, der alle Passwörter zurücksetzen muss und dafür das aktuelle haben will
- der gefälschte Urlaubsgruß des Freunds, der gleich einige (verseuchte) Bilddateien mitschickt
- die scheinbare Nachricht des tatsächlich zuständigen Finanzamts mit Fragen zur finanziellen Situation, die über einen Einblick in das Online-Konto überprüft werden soll
- der vorgetäuschte Vorsitzende des eigenen Sportvereins, der die Spielberichte des letzten Monats schickt. In Wirklichkeit aber ist die Word-Datei ein Trojaner, der Daten stehlen soll.
Wie funktioniert Social Engineering?
Der Report „Exploring the Psychological Mechanisms used in Ransomware Splash Screens“ von Cyber-Psychologe Dr. Lee Hadlington von der De Montfort Universität veranschaulicht eindrücklich, wie Cyberkriminelle Social-Engineering-Taktiken – von Angst über Autorität bis zu Zeitdruck und Humor – einsetzen, um Menschen zu manipulieren und Informationen einzuholen.
Dabei haben die Wissenschaftler unter anderem die sprachliche Ausdrucksweise und die Optik von 76 Angriffen analysiert.
Die wichtigsten Ergebnisse der Analyse:
- Kritischer Faktor Zeit: Bei mehr als der Hälfte der Stichproben (57 %) setzte eine ablaufende Uhr die betroffenen User unter Druck. Die gewährten Fristen beliefen sich dabei auf Zeitspannen zwischen zehn und 96 Stunden.
- Negative Folgen: In den meisten Fällen drohten die Angreifer den Opfern an, dass sie den Zugang zu ihren Daten verlieren und die Daten für immer gelöscht werden.
- „Anwenderfreundlichkeit“: 51 Prozent der Mitteilungen über die Attacke waren dabei relativ anwenderfreundlich gestaltet. Sie gaben den Opfern etwa genaue Anweisungen oder enthielten eine Liste häufig gestellter Fragen (FAQ). In einem Fall bekamen die Opfer sogar angeboten, mit „einem Mitarbeiter“ zu sprechen.
- Bildsprache: Bei der Untersuchung des eingesetzten Bildmaterials fiel auf, dass in einigen Fällen offizielle Markenzeichen und Embleme zum Einsatz kommen. So auch das Wappen des FBI. Das soll den betroffenen Personen Autorität und Glaubwürdigkeit vermitteln.
Welche Tricks nutzen die Angreifer?
Auch die Studie „Hacking die Human OS“ von McAfee gibt hilfreiche Hinweise für mehr IT-Sicherheit.
Zum einen ist wichtig, zu wissen, dass die Angreifenden sich zunehmend Mühe geben, die Opfer kennenzulernen, also Angriffspunkte und Zugangswege zu finden.
Hier bieten die Profile in den sozialen Netzwerken meist genug Informationen, um eine für das Opfer passende Geschichte zu erfinden. Sie bildet die Basis der Phishing-Attacke.
Die Hebel, die die Angreifer dann auf das Opfer anwenden, sind insbesondere
- ein angeblicher Gefallen, den der Absender dem Opfer gegenüber erweist,
- eine künstliche Verknappung der Zeit, damit der Empfänger schnelle, unüberlegte Entscheidungen trifft,
- ein Hinweis auf eine angebliche Verpflichtung des Opfers,
- das Ausnutzen von scheinbarer Attraktivität und Sympathie,
- das Vorspielen von Autorität gegenüber dem Opfer und
- der Hinweis darauf, dass alle anderen etwas Bestimmtes tun, das das Opfer ebenfalls tun sollte.
Übersicht: Tricks und Methoden der Datendiebe im Social Engineering
Psychologischer Hebel der Datendiebe | Beispiel |
Methode „Herdentrieb“: Alle machen dies, Du musst dies auch tun. | Angebliche E-Mail des Administrators: Alle anderen Mitarbeiter haben fristgerecht ihr Passwort geändert. Machen Sie dies nun auch (endlich)! |
Methode „Autorität“: Du musst gehorchen. Dabei setzen die Angreifer auch entsprechende Logos und Bilder ein. | Angebliches Fax der Bank: Es gibt ein Problem mit einer Überweisung. Rufen Sie eine (gefälschte) Nummer an und wiederholen Sie den Zahlungsvorgang. |
Methode „Attraktivität“: Ich mag Dich, vertrau mir. | Angebliche E-Mail einer Verehrerin: Ich habe Dein Facebook-Profil gesehen und will Dich heiraten. Aber ich brauche Deine Hilfe … |
Methode „Pflichtbewusstsein“: Als guter Bürger musst Du dies tun | Angeblicher Brief der Stadtverwaltung: Jeder Bürger muss auf Bankeinzug umstellen, mailen Sie uns die Bankverbindung mit diesem Formular. |
Methode „Keine Zeit“: Du musst sofort reagieren. | Angebliche Gewinn-Benachrichtigung: Melden Sie sich sofort als Gewinner zurück, sonst ist es zu spät. |
Methode „In der Schuld sein“: Ich habe Dir geholfen, nun bist Du dran. | Angebliche Nachricht des Schulkameraden: Ich habe Dir in der Schule geholfen, jetzt brauche ich Deine Hilfe. |
Methode „Drohung“: Ich veröffentliche Vertrauliches über Dich. | Nachricht des Angreifers, dass er vertrauliche Daten über das Opfer verbreiten werde, wenn es nicht dieses oder jenes tut (Online-Erpressung, Ransomware-Attacken). |
Methode „Hilfsbereitschaft“: Mache das, ich zeige Dir, wie es geht. | Nachricht des Angreifers, die eine genaue Anleitung und sogar eine FAQ-Liste enthält, die es dem Opfer leichter machen soll. |
Bessere Täuschungen durch KI
Durch den Einsatz von Methoden der Künstlichen Intelligenz (KI) wird Social Engineering für die Angreifenden leichter und auch erfolgreicher. So warnt das BSI (Bundesamt für Sicherheit in der Informationstechnik), dass auf Seiten der Internetkriminalität mit KI zum Beispiel Phishing-Mails optimiert werden können: Die in den betrügerischen E-Mails enthaltenen Texte könnten mittels KI automatisch und in hoher sprachlicher Qualität erzeugt werden, so das BSI. Es sei dabei möglich, den Schreibstil der Texte so anzupassen, dass er dem einer bestimmten Organisation oder Person ähnelt.
Wie hängen Social Media und Social Engineering zusammen?
Wer sich bei einem sozialen Netzwerk oder in mehreren sozialen Netzwerken anmeldet, muss erstaunlich viele Informationen zu seiner Person und Persönlichkeit beantworten.
Diese Angaben im Online-Profil helfen nicht nur dabei, passende Kontakte oder Gruppen zu finden. Sie dienen auch als Grundlage für Angriffe.
Neben den Online-Profilen lassen sich dabei auch die bestehenden Kontakte und die Angaben zu persönlichen Vorlieben (wie „Gefällt mir“ bei Facebook) auswerten.
Das soziale Netzwerk X (ehemals Twitter) liefert ein Beispiel für die zusätzliche Kategorisierung von Statusinformationen , mit einer Methode, die auch in anderen sozialen Netzwerken Einzug gehalten hat.
Mit sogenannten Hashtags, die mit „#“ beginnen, lassen sich die Nachrichten einem bestimmten Thema zuordnen. Die Nutzer wählen also die passenden Keywords oder Schlagworte zu der Nachricht aus.
Das ist recht praktisch, wenn andere Nutzer sich für gewisse Themen interessieren und alle Informationen dazu nachverfolgen möchten. Allerdings können auch Angreifer die Hashtags für Social Engineering gezielt auswerten.
Hashtags zeigen Interessen und Vorlieben
Ein Nutzer, der einem bestimmten Thema oder Hashtag folgt, interessiert sich dafür und ist wahrscheinlich für passende Werbung, aber auch für Angriffe, die dieses Thema bedienen, zugänglicher.
Deshalb sind die Hashtags nicht nur für die Nutzer hilfreich. Datendiebe füllen ihre Datenbanken mit Nutzernamen und bevorzugten Hashtags. Gerade für Social Engineering, also Attacken, die das Vertrauen der Opfer erschleichen, lässt sich dies nutzen.
Verfolgt ein Nutzer etwa alles zum Thema „Formel 1“, sind manipulierte Nachrichten (Post) in sozialen Netzwerken mit diesem Hashtag bei ihm besonders erfolgreich.
Die Wahrscheinlichkeit ist hoch, dass dieser Nutzer den Kurzlink im entsprechenden Post anklickt, der auf verseuchte Webseiten führt, aber ein tolles Formel-1-Foto verspricht.
Wie gegen Social Engineering schützen?
Anders als bei den meisten sonstigen Angriffsformen der Datendiebe ist ein Unternehmen bei Social Engineering auch dann gefährdet, wenn das Netzwerk sowie alle Server und Endgeräte vollständig und optimal durch ein IT-Security-Management abgesichert wären.
Das Ziel von Social Engineering ist eher das Ausnutzen menschlicher Eigenschaften als das von technischen Schwachstellen. Hacker konzentrieren sich häufig auf Eigenschaften und Reaktionen wie
- Neugierde,
- Hilfsbereitschaft,
- Kollegialität,
- Kundenfreundlichkeit und
Gegen die psychologischen Tricks der Datendiebe hilft deshalb in erster Linie, über die Methoden der Social Engineers aufzuklären.
Darüber hinaus ist es wichtig, Mitarbeitende dafür zu sensibilisieren, dass digitale Identitäten, gleich bei welchem Kommunikationskanal, grundsätzlich gefälscht sein könnten, sofern keine technischen Zusatzmaßnahmen die Identitäten kontrollieren. Das gilt auch bei Videokommunikation oder Telefonaten über das Internet (Einsatz sogenannter Deep Fakes).
Social Engineering nutzt zwar hauptsächlich die sogenannte Schwachstelle Mensch. Aber besteht die Gefahr, dass ein Angriff Rechner verseucht oder ein Lauschangriff personenbezogene Daten abgreift, kann zusätzlich die Technik helfen:
- Für Webbrowser und E-Mail-Clients gibt es Anti-Phishing-Filter.
- Online-Scanner überprüfen Links, bevor sie jemand öffnet.
Wie für Angriffe sensibilisieren?
Viele IT-Sicherheitsforschende halten die Nutzer für die „größte Schwachstelle“ überhaupt. Denn „Sicherheitslücken“ bei den Nutzern lassen sich nicht automatisch beheben, indem man Patches einspielt. Stattdessen ist es entscheidend, Nutzer beziehungsweise Mitarbeiter zu sensibilisieren und zu regelmäßig.
In eine Datenschutz-Unterweisung gehört deshalb unbedingt auch das Thema Social Engineering.
Die Angriffsmethode, das Vertrauen der Nutzenden zu missbrauchen, die Anwender ungewollt zu einer Datenweitergabe zu verleiten, wird immer beliebter unter den Datendieben. Und zwar deshalb, weil beim Nutzer kein IT-Security-System zwischen Angreifer und Ziel steht. Menschen lassen sich nicht so einfach automatisch absichern, wie dies bei Hardware und Software zumindest teilweise möglich ist.
Social Engineering funktioniert nicht nur über E-Mails und Webseiten, sondern auch über Chat-Dienste, über das Telefon, über Fax-Nachrichten, mit der klassischen Briefpost und sogar von Angesicht zu Angesicht. Angreifer könnten die Mitarbeiterinnen und Mitarbeiter also auch am Telefon oder per Brief dazu verleiten, vertrauliche Daten oder Wege zu diesen preiszugeben. |
Informieren Sie daher in Ihrer nächsten Schulung zum Datenschutz die Kolleginnen und Kollegen über die Tricks der Angreifenden.
Tipp: Datenschutzunterweisung kompakt Mehr Datenschutz durch clever geschulte Mitarbeiter: professionelle Präsentationen mit Referenten-Unterlagen und Teilnehmer-Handouts – mit einer speziellen Unterweisung zu Social Engineering.