Social Engineering (Sicherheit): Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''Social Engineering''' - Beeinflussungen mit dem Ziel eine Person zum Beispiel zur Preisgabe von vertraulichen Informationen zu bewegen
'''Social Engineering''' - Beeinflussungen mit dem Ziel, jemanden zum Beispiel zur Preisgabe von vertraulichen Informationen zu bewegen


== Beschreibung ==
== Beschreibung ==
Social Engineering
; Social Engineering
* Englisch für „angewandte Sozialwissenschaft“, auch „soziale [[Manipulation]]“)  
* Englisch für „angewandte Sozialwissenschaft“, auch „soziale [[Manipulation]]“)


Zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen
Zwischenmenschliche Beeinflussungen mit dem Ziel, bestimmte Verhaltensweisen hervorzurufen
* Preisgabe von vertraulichen Informationen
* Preisgabe von vertraulichen Informationen
* Kauf eines Produktes
* Kauf eines Produktes
Zeile 11: Zeile 11:
* …
* …


Gleichzeitig steht Social Engineering für eine Praxis der politischen und gesellschaftlichen Steuerung bzw. Beeinflussung von Gesellschaften mittels [[Kommunikation]] und kann sowohl als positiv als auch als negativ wahrgenommene Ergebnisse erzielen.
Gleichzeitig steht Social Engineering für eine Praxis der politischen und gesellschaftlichen Steuerung bzw. Beeinflussung von Gesellschaften mittels [[Kommunikation]] und kann sowohl als positiv als auch als negativ wahrgenommene Ergebnisse erzielen
* Die stark negative Begriffsvariante dominiert jedoch aktuell das Begriffsbild, gleichfalls gibt es alternative Definitionen für [[Social Engineering (Politikwissenschaft)]].
* Die stark negative Begriffsvariante dominiert jedoch aktuell das Begriffsbild, gleichfalls gibt es alternative Definitionen für [[Social Engineering (Politikwissenschaft)]]


Social Engineers  
; Social Engineers
* spionieren das persönliche Umfeld ihres Opfers aus,
* Spionieren das persönliche Umfeld ihres Opfers aus
* täuschen Identitäten vor oder
* Täuschen Identitäten vor
* nutzen Verhaltensweisen wie Autoritätshörigkeit aus,
* Nutzen Verhaltensweisen wie Autoritätshörigkeit aus
um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen.
 
; Ziele
* Geheime Informationen
* Unbezahlte Dienstleistungen


; Social [[Hack]]ing
; Social [[Hack]]ing
Häufig dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen
Häufig dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen


== Geschichte ==
=== Geschichte ===
Eine frühe Form des Social Engineering wurde in den 1980er Jahren mit [[Phreaking]] praktiziert.
Eine frühe Form des Social Engineering wurde in den 1980er Jahren mit [[Phreaking]] praktiziert
* Phreaker riefen unter anderem bei [[Telekommunikationsnetzbetreiber|Telefongesellschaften]] an, gaben sich als [[Systemadministrator]] aus und baten um neue Passwörter, mit denen sie schließlich kostenlose Modemverbindungen herstellten.
* Phreaker riefen unter anderem bei [[Telekommunikationsnetzbetreiber|Telefongesellschaften]] an
* gaben sich als [[Systemadministrator]] aus und  
* baten um neue Passwörter,  
* mit denen sie schließlich kostenlose Verbindungen herstellen konnten


== Grundmuster ==
== Grundmuster ==
Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen:  
Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen:
* Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen.
* Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen
* Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben.
* Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben
* Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit [[Fachjargon]], baut mit [[Alltagsgespräch|Smalltalk]] über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen.
* Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit [[Fachjargon]], baut mit [[Alltagsgespräch|Smalltalk]] über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen
* Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet.
* Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet


Trotz ihrer scheinbaren [[Banal]]ität gelingen mit der Methode immer wieder spektakuläre [[Datendiebstahl|Datendiebstähle]].
Trotz ihrer scheinbaren [[Banal]]ität gelingen mit der Methode immer wieder spektakuläre [[Datendiebstahl|Datendiebstähle]]
* So gelang es einem amerikanischen Schüler 2015, den privaten E-Mail-Account des damaligen [[Central Intelligence Agency|CIA]]-Direktors [[John O. Brennan|Brennan]] zu öffnen und drei Tage lang darauf zuzugreifen.
* So gelang es einem amerikanischen Schüler 2015, den privaten E-Mail-Account des damaligen [[Central Intelligence Agency|CIA]]-Direktors [[John O. Brennan|Brennan]] zu öffnen und drei Tage lang darauf zuzugreifen


Beim automatisierten Social Engineering, auch Scareware genannt, kommen spezielle Schadprogramme zum Einsatz, die den Nutzer verängstigen und so zu bestimmten Handlungen bewegen sollen.
Beim automatisierten Social Engineering, auch [[Scareware]] genannt, kommen spezielle Schadprogramme zum Einsatz, die den Nutzer verängstigen und so zu bestimmten Handlungen bewegen sollen


== Weitere mögliche Formen ==
== Weitere mögliche Formen ==
=== Phishing ===
=== Phishing ===
[[Phishing]]
Eine bekannte Variante des Social Engineering ist das [[Phishing]]
* Bei dieser unpersönlichen Variante werden fingierte [[E-Mail]]s mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet
* Inhalt dieser Nachrichten kann zum Beispiel sein, dass ein bestimmter Dienst, den man nutzt, eine neue URL hat und man sich auf dieser von nun an einloggen soll, wenn man ihn in Anspruch nehmen will
* Bei dieser fingierten Seite handelt es sich, von Layout und Aufmachung her, um eine Kopie der originalen Webseite des Serviceanbieters
* Dies soll dazu beitragen, das Opfer in Sicherheit zu wiegen
* Fällt man darauf herein, so gelangen Kriminelle in den Besitz des Loginnamens und -passworts
* Eine weitere Möglichkeit besteht darin, dass das Opfer von einem vermeintlichen Administrator dazu aufgefordert wird, die Logindaten als Antwort zurückzusenden, da angeblich technische Probleme vorliegen
* Das Grundmuster ist ähnlich dem fingierten Telefonanruf, denn auch hier gibt sich der Social Engineer in der Regel als technischer Mitarbeiter aus, der zur Datenüberprüfung oder -wiederherstellung die Geheiminformation benötigt
* Anders als dort verfügt der Angreifer hier meist über nicht viel mehr als die E-Mail-Adresse des Empfängers, was die Attacke weniger persönlich und damit auch weniger wirkungsvoll macht


Eine bekannte Variante des Social Engineering ist das [[Phishing]].
Effizienter ist das ''Spear-Phishing'' (abgeleitet von der englischen Übersetzung des Begriffs ''Speer''), worunter ein gezielter Angriff zu verstehen ist
* Bei dieser unpersönlichen Variante werden fingierte [[E-Mail]]s mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet.
* Hierbei beschafft sich der Angreifer z. B. über die Studentenvertretung einer Hochschule die Mailadressen der dort eingeschriebenen Studenten, um an diese gezielt eine Phishing-Mail einer lokal ansässigen Bank oder Sparkasse zu übersenden
* Inhalt dieser Nachrichten kann zum Beispiel sein, dass ein bestimmter Dienst, den man nutzt, eine neue URL hat und man sich auf dieser von nun an einloggen soll, wenn man ihn in Anspruch nehmen will.
* Die „Trefferquote“ bei dieser Art von Phishing-Attacken ist höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass ein Student seine Bankverbindung bei diesem Institut unterhält, sehr groß ist
* Bei dieser fingierten Seite handelt es sich, von Layout und Aufmachung her, um eine Kopie der originalen Webseite des Serviceanbieters.
* Dies soll dazu beitragen, das Opfer in Sicherheit zu wiegen.
* Fällt man darauf herein, so gelangen Kriminelle in den Besitz des Loginnamens und -passworts.
* Eine weitere Möglichkeit besteht darin, dass das Opfer von einem vermeintlichen Administrator dazu aufgefordert wird, die Logindaten als Antwort zurückzusenden, da angeblich technische Probleme vorliegen.
* Das Grundmuster ist ähnlich dem fingierten Telefonanruf, denn auch hier gibt sich der Social Engineer in der Regel als technischer Mitarbeiter aus, der zur Datenüberprüfung oder -wiederherstellung die Geheiminformation benötigt.
* Anders als dort verfügt der Angreifer hier meist über nicht viel mehr als die E-Mail-Adresse des Empfängers, was die Attacke weniger persönlich und damit auch weniger wirkungsvoll macht.


Effizienter ist das ''Spear-Phishing'' (abgeleitet von der englischen Übersetzung des Begriffs ''Speer''), worunter ein gezielter Angriff zu verstehen ist.
siehe auch [[Phishing]]
* Hierbei beschafft sich der Angreifer z. B. über die Studentenvertretung einer Hochschule die Mailadressen der dort eingeschriebenen Studenten, um an diese gezielt eine Phishing-Mail einer lokal ansässigen Bank oder Sparkasse zu übersenden.
* Die „Trefferquote“ bei dieser Art von Phishing-Attacken ist höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass ein Student seine Bankverbindung bei diesem Institut unterhält, sehr groß ist.


=== Dumpster Diving ===
=== Dumpster Diving ===
Hierbei wird der Müll des Opfers durchwühlt und nach Hinweisen und Anhaltspunkten über das soziale Umfeld gesucht.
Hierbei wird der Müll des Opfers durchwühlt und nach Hinweisen und Anhaltspunkten über das soziale Umfeld gesucht
* Diese können dann in einem darauf folgenden Anruf dazu verwendet werden, um das Vertrauen des Opfers zu erschleichen.
* Diese können dann in einem darauf folgenden Anruf dazu verwendet werden, um das Vertrauen des Opfers zu erschleichen


=== USB Drop ===
=== USB Drop ===
Die Sicherheitsfirma [[Kaspersky Lab]] deckte auf, dass eine unbekannte Hackergruppe seit 2001 rund 500 Firmen mit USB Drops angegriffen hatte.
Die Sicherheitsfirma [[Kaspersky Lab]] deckte auf, dass eine unbekannte Hackergruppe seit 2001 rund 500 Firmen mit USB Drops angegriffen hatte
* Dabei erhielten zufällige Mitarbeiter infizierte USB-Sticks, deren Verwendung ihren PC infizierte und den Hackern Zugriff auf das interne Netzwerk der Firma gewährte.
* Dabei erhielten zufällige Mitarbeiter infizierte USB-Sticks, deren Verwendung ihren PC infizierte und den Hackern Zugriff auf das interne Netzwerk der Firma gewährte
* Eine Möglichkeit für Angreifer ist es, die infizierten USB-Sticks vor dem Firmengelände als Werbegeschenk zu verteilen.
* Eine Möglichkeit für Angreifer ist es, die infizierten USB-Sticks vor dem Firmengelände als Werbegeschenk zu verteilen


== Abwehr ==
== Abwehr ==
Die Abwehr von Social Engineering ist nicht einfach zu bewerkstelligen, da der Angreifer im Grunde positive menschliche Eigenschaften ausnutzt: Den Wunsch etwa, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren.
; Die Abwehr von Social Engineering ist nicht einfach zu bewerkstelligen
* Generelles Misstrauen zu schüren, würde auch die Effektivität und die vertrauensvolle Zusammenarbeit in Organisationen negativ beeinflussen.
Angreifer nutzen im Grunde positive menschliche Eigenschaften aus
* Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert deshalb im konkreten Fall das Opfer selbst, indem es Identität und Berechtigung eines Ansprechenden zweifellos sicherstellt, bevor es weitere Handlungen vornimmt.
* Den Wunsch etwa, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren
* Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen.
* Höflich um Geduld zu bitten, wenn eine heikle Anfrage auch noch so dringend vorgetragen wird, sollte deshalb gezielt trainiert werden.
* Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offengelegt werden, denn sie könnten in folgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Angaben zum Abgrenzen eines größeren Sachverhalts dienen.
* Wichtig ist eine schnelle Warnung aller potenziellen weiteren Opfer; erste Ansprechpartner sind die Sicherheitsabteilung des Unternehmens, die Kontaktadresse des E-Mail-Providers und Mitmenschen und Institutionen, deren Angaben zur Vorspiegelung falscher Tatsachen missbraucht wurden.


Folgende Punkte sollten unbedingt beachtet werden:
; Generelles Misstrauen
* Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein.
* Würde die Effektivität und die vertrauensvolle Zusammenarbeit in Organisationen negativ beeinflussen
* Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können.
* Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanzielle Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint.
* Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen.
* Stattdessen die URL selbst im Browser eingeben.
* Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen.


Der US-Sicherheitsspezialist [[Bruce Schneier]] zweifelt angesichts der Komplexität und der möglichen Nebenwirkungen von präventiven Maßnahmen gegen Social Engineering sogar generell an deren Wert und schlägt stattdessen Strategien vor, die auf Schadensbegrenzung und schnelles Recovery bauen.
; Bekämpfung von Social Engineering
Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert deshalb im konkreten Fall das Opfer selbst, indem es Identität und Berechtigung eines Ansprechenden zweifellos sicherstellt, bevor es weitere Handlungen vornimmt
* Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen
* Höflich um Geduld zu bitten, wenn eine heikle Anfrage auch noch so dringend vorgetragen wird, sollte deshalb gezielt trainiert werden
* Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offengelegt werden, denn sie könnten in folgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Angaben zum Abgrenzen eines größeren Sachverhalts dienen


Schulungen der Mitarbeiter sind zwar notwendig, aber nur begrenzt hilfreich, wie Studien an der [[United States Military Academy|US-Militärakademie West Point]] gezeigt haben.
; Schnelle Warnung
* Im Vorfeld können sogenannte [[Penetrationstest (Informatik)#Social-Engineering-Penetrationstest|Social-Engineering-Penetrationstests]] durchgeführt werden.
Wichtig ist eine schnelle Warnung aller potenziellen weiteren Opfer; erste Ansprechpartner sind die Sicherheitsabteilung des Unternehmens, die Kontaktadresse des E-Mail-Providers und Mitmenschen und Institutionen, deren Angaben zur Vorspiegelung falscher Tatsachen missbraucht wurden
 
; Folgende Punkte sollten unbedingt beachtet werden
* Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein
* Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können
* Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanzielle Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint
* Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen
* Stattdessen die URL selbst im Browser eingeben
* Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen
 
; Komplexität und Nebenwirkungen von präventiven Maßnahmen
Der US-Sicherheitsspezialist [[Bruce Schneier]] zweifelt angesichts der Komplexität und der möglichen Nebenwirkungen von präventiven Maßnahmen gegen Social Engineering sogar generell an deren Wert und schlägt stattdessen Strategien vor, die auf Schadensbegrenzung und schnelles Recovery bauen
 
; Schulungen der Mitarbeiter
* Notwendig, aber nur begrenzt hilfreich, wie Studien an der [[United States Military Academy|US-Militärakademie West Point]] gezeigt haben
* Im Vorfeld können sogenannte [[Penetrationstest (Informatik)#Social-Engineering-Penetrationstest|Social-Engineering-Penetrationstests]] durchgeführt werden


== Bekannte Social Engineers ==
== Bekannte Social Engineers ==
Öffentlich bekannt wurde die Methode vor allem durch den [[Hacker]] [[Kevin Mitnick]], der durch seine Einbrüche in fremde Computer eine der meistgesuchten Personen der Vereinigten Staaten war.
Öffentlich bekannt wurde die Methode vor allem durch den [[Hacker]] [[Kevin Mitnick]], der durch seine Einbrüche in fremde Computer eine der meistgesuchten Personen der Vereinigten Staaten war
* Mitnick selbst meinte, Social Engineering sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlage rein technische Ansätze in Sachen Geschwindigkeit um Längen.
* Mitnick selbst meinte, Social Engineering sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlage rein technische Ansätze in Sachen Geschwindigkeit um Längen


Bekannt wurde 2010 der US-IT-Experte Thomas Ryan mit seiner Kunstfigur Robin Sage.
Bekannt wurde 2010 der US-IT-Experte Thomas Ryan mit seiner Kunstfigur Robin Sage
* Die virtuelle Internetschönheit stellte über [[Soziales Netzwerk (Internet)|soziale Netzwerke]] Kontakte zu Militärs, Industriellen und Politikern her und entlockte ihnen vertrauliche Informationen.
* Die virtuelle Internetschönheit stellte über [[Soziales Netzwerk (Internet)|soziale Netzwerke]] Kontakte zu Militärs, Industriellen und Politikern her und entlockte ihnen vertrauliche Informationen
* Ryan ging nach einem Monat mit den Ergebnissen des Experiments an die Öffentlichkeit, um vor allzu großer Vertrauensseligkeit in sozialen Netzwerken zu warnen.
* Ryan ging nach einem Monat mit den Ergebnissen des Experiments an die Öffentlichkeit, um vor allzu großer Vertrauensseligkeit in sozialen Netzwerken zu warnen


Der für die Computersicherheit tätige Hacker ''Archangel'' zeigte in der Vergangenheit, dass Social Engineering nicht nur bei der Offenlegung von Passwörtern wirksam ist, sondern auch bei der illegalen Beschaffung von Pizzen, Flugtickets und sogar Autos funktioniert.
Der für die Computersicherheit tätige Hacker ''Archangel'' zeigte in der Vergangenheit, dass Social Engineering nicht nur bei der Offenlegung von Passwörtern wirksam ist, sondern auch bei der illegalen Beschaffung von Pizzen, Flugtickets und sogar Autos funktioniert


Weitere bekannte Social Engineers sind der Scheckbetrüger [[Frank Abagnale]], Miguel Peñalver, [[David Bannon|David „Race“ Bannon]], der sich als Interpol-Agent ausgab, der Grundstücksbetrüger [[Peter Foster (Betrüger)|Peter Foster]], der Hochstapler [[Steven Jay Russell]] und der Hochstapler [[Gert Postel]], der mit einem weiteren Hochstapler, [[Reiner Pfeiffer]], eine Rolle in der [[Barschel-Affäre]] gespielt hat.
Weitere bekannte Social Engineers sind der Scheckbetrüger [[Frank Abagnale]], Miguel Peñalver, [[David Bannon|David „Race“ Bannon]], der sich als Interpol-Agent ausgab, der Grundstücksbetrüger [[Peter Foster (Betrüger)|Peter Foster]], der Hochstapler [[Steven Jay Russell]] und der Hochstapler [[Gert Postel]], der mit einem weiteren Hochstapler, [[Reiner Pfeiffer]], eine Rolle in der [[Barschel-Affäre]] gespielt hat


<noinclude>
<noinclude>
Zeile 108: Zeile 124:
# https://de.wikipedia.org/wiki/Social_Engineering_(Sicherheit)
# https://de.wikipedia.org/wiki/Social_Engineering_(Sicherheit)
# https://de.wikipedia.org/wiki/Kategorie:Hackertechnik_(Computersicherheit)
# https://de.wikipedia.org/wiki/Kategorie:Hackertechnik_(Computersicherheit)
[[Kategorie:Hackertechnik]]


</noinclude>
</noinclude>

Aktuelle Version vom 30. April 2024, 22:20 Uhr

Social Engineering - Beeinflussungen mit dem Ziel, jemanden zum Beispiel zur Preisgabe von vertraulichen Informationen zu bewegen

Beschreibung

Social Engineering
  • Englisch für „angewandte Sozialwissenschaft“, auch „soziale Manipulation“)

Zwischenmenschliche Beeinflussungen mit dem Ziel, bestimmte Verhaltensweisen hervorzurufen

  • Preisgabe von vertraulichen Informationen
  • Kauf eines Produktes
  • Freigabe von Finanzmitteln

Gleichzeitig steht Social Engineering für eine Praxis der politischen und gesellschaftlichen Steuerung bzw. Beeinflussung von Gesellschaften mittels Kommunikation und kann sowohl als positiv als auch als negativ wahrgenommene Ergebnisse erzielen

Social Engineers
  • Spionieren das persönliche Umfeld ihres Opfers aus
  • Täuschen Identitäten vor
  • Nutzen Verhaltensweisen wie Autoritätshörigkeit aus
Ziele
  • Geheime Informationen
  • Unbezahlte Dienstleistungen
Social Hacking

Häufig dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen

Geschichte

Eine frühe Form des Social Engineering wurde in den 1980er Jahren mit Phreaking praktiziert

Grundmuster

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen:

  • Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen
  • Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben
  • Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen
  • Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet

Trotz ihrer scheinbaren Banalität gelingen mit der Methode immer wieder spektakuläre Datendiebstähle

  • So gelang es einem amerikanischen Schüler 2015, den privaten E-Mail-Account des damaligen CIA-Direktors Brennan zu öffnen und drei Tage lang darauf zuzugreifen

Beim automatisierten Social Engineering, auch Scareware genannt, kommen spezielle Schadprogramme zum Einsatz, die den Nutzer verängstigen und so zu bestimmten Handlungen bewegen sollen

Weitere mögliche Formen

Phishing

Eine bekannte Variante des Social Engineering ist das Phishing

  • Bei dieser unpersönlichen Variante werden fingierte E-Mails mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet
  • Inhalt dieser Nachrichten kann zum Beispiel sein, dass ein bestimmter Dienst, den man nutzt, eine neue URL hat und man sich auf dieser von nun an einloggen soll, wenn man ihn in Anspruch nehmen will
  • Bei dieser fingierten Seite handelt es sich, von Layout und Aufmachung her, um eine Kopie der originalen Webseite des Serviceanbieters
  • Dies soll dazu beitragen, das Opfer in Sicherheit zu wiegen
  • Fällt man darauf herein, so gelangen Kriminelle in den Besitz des Loginnamens und -passworts
  • Eine weitere Möglichkeit besteht darin, dass das Opfer von einem vermeintlichen Administrator dazu aufgefordert wird, die Logindaten als Antwort zurückzusenden, da angeblich technische Probleme vorliegen
  • Das Grundmuster ist ähnlich dem fingierten Telefonanruf, denn auch hier gibt sich der Social Engineer in der Regel als technischer Mitarbeiter aus, der zur Datenüberprüfung oder -wiederherstellung die Geheiminformation benötigt
  • Anders als dort verfügt der Angreifer hier meist über nicht viel mehr als die E-Mail-Adresse des Empfängers, was die Attacke weniger persönlich und damit auch weniger wirkungsvoll macht

Effizienter ist das Spear-Phishing (abgeleitet von der englischen Übersetzung des Begriffs Speer), worunter ein gezielter Angriff zu verstehen ist

  • Hierbei beschafft sich der Angreifer z. B. über die Studentenvertretung einer Hochschule die Mailadressen der dort eingeschriebenen Studenten, um an diese gezielt eine Phishing-Mail einer lokal ansässigen Bank oder Sparkasse zu übersenden
  • Die „Trefferquote“ bei dieser Art von Phishing-Attacken ist höher als bei normalen Angriffen, da die Wahrscheinlichkeit, dass ein Student seine Bankverbindung bei diesem Institut unterhält, sehr groß ist

siehe auch Phishing

Dumpster Diving

Hierbei wird der Müll des Opfers durchwühlt und nach Hinweisen und Anhaltspunkten über das soziale Umfeld gesucht

  • Diese können dann in einem darauf folgenden Anruf dazu verwendet werden, um das Vertrauen des Opfers zu erschleichen

USB Drop

Die Sicherheitsfirma Kaspersky Lab deckte auf, dass eine unbekannte Hackergruppe seit 2001 rund 500 Firmen mit USB Drops angegriffen hatte

  • Dabei erhielten zufällige Mitarbeiter infizierte USB-Sticks, deren Verwendung ihren PC infizierte und den Hackern Zugriff auf das interne Netzwerk der Firma gewährte
  • Eine Möglichkeit für Angreifer ist es, die infizierten USB-Sticks vor dem Firmengelände als Werbegeschenk zu verteilen

Abwehr

Die Abwehr von Social Engineering ist nicht einfach zu bewerkstelligen

Angreifer nutzen im Grunde positive menschliche Eigenschaften aus

  • Den Wunsch etwa, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren
Generelles Misstrauen
  • Würde die Effektivität und die vertrauensvolle Zusammenarbeit in Organisationen negativ beeinflussen
Bekämpfung von Social Engineering

Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefert deshalb im konkreten Fall das Opfer selbst, indem es Identität und Berechtigung eines Ansprechenden zweifellos sicherstellt, bevor es weitere Handlungen vornimmt

  • Bereits die Rückfrage nach Name und Telefonnummer des Anrufers oder dem Befinden eines nicht existierenden Kollegen kann schlecht informierte Angreifer enttarnen
  • Höflich um Geduld zu bitten, wenn eine heikle Anfrage auch noch so dringend vorgetragen wird, sollte deshalb gezielt trainiert werden
  • Auch scheinbar geringfügige und nutzlose Informationen sollten Unbekannten nicht offengelegt werden, denn sie könnten in folgenden Kontaktaufnahmen zum Aushorchen anderer missbraucht werden oder zusammen mit vielen anderen für sich genommen nutzlosen Angaben zum Abgrenzen eines größeren Sachverhalts dienen
Schnelle Warnung

Wichtig ist eine schnelle Warnung aller potenziellen weiteren Opfer; erste Ansprechpartner sind die Sicherheitsabteilung des Unternehmens, die Kontaktadresse des E-Mail-Providers und Mitmenschen und Institutionen, deren Angaben zur Vorspiegelung falscher Tatsachen missbraucht wurden

Folgende Punkte sollten unbedingt beachtet werden
  • Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein
  • Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können
  • Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanzielle Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint
  • Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen
  • Stattdessen die URL selbst im Browser eingeben
  • Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen
Komplexität und Nebenwirkungen von präventiven Maßnahmen

Der US-Sicherheitsspezialist Bruce Schneier zweifelt angesichts der Komplexität und der möglichen Nebenwirkungen von präventiven Maßnahmen gegen Social Engineering sogar generell an deren Wert und schlägt stattdessen Strategien vor, die auf Schadensbegrenzung und schnelles Recovery bauen

Schulungen der Mitarbeiter

Bekannte Social Engineers

Öffentlich bekannt wurde die Methode vor allem durch den Hacker Kevin Mitnick, der durch seine Einbrüche in fremde Computer eine der meistgesuchten Personen der Vereinigten Staaten war

  • Mitnick selbst meinte, Social Engineering sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlage rein technische Ansätze in Sachen Geschwindigkeit um Längen

Bekannt wurde 2010 der US-IT-Experte Thomas Ryan mit seiner Kunstfigur Robin Sage

  • Die virtuelle Internetschönheit stellte über soziale Netzwerke Kontakte zu Militärs, Industriellen und Politikern her und entlockte ihnen vertrauliche Informationen
  • Ryan ging nach einem Monat mit den Ergebnissen des Experiments an die Öffentlichkeit, um vor allzu großer Vertrauensseligkeit in sozialen Netzwerken zu warnen

Der für die Computersicherheit tätige Hacker Archangel zeigte in der Vergangenheit, dass Social Engineering nicht nur bei der Offenlegung von Passwörtern wirksam ist, sondern auch bei der illegalen Beschaffung von Pizzen, Flugtickets und sogar Autos funktioniert

Weitere bekannte Social Engineers sind der Scheckbetrüger Frank Abagnale, Miguel Peñalver, David „Race“ Bannon, der sich als Interpol-Agent ausgab, der Grundstücksbetrüger Peter Foster, der Hochstapler Steven Jay Russell und der Hochstapler Gert Postel, der mit einem weiteren Hochstapler, Reiner Pfeiffer, eine Rolle in der Barschel-Affäre gespielt hat


Anhang

Siehe auch

Links

Weblinks
  1. https://de.wikipedia.org/wiki/Social_Engineering_(Sicherheit)
  2. https://de.wikipedia.org/wiki/Kategorie:Hackertechnik_(Computersicherheit)