Social Engineering nennt man Methoden der zwischenmenschlichen Beeinflussung mit dem Ziel, bei Menschen vorwiegend manipulativ ein bestimmtes Verhalten hervorzurufen, dieseetwa zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen. Der Begriff unterstellt ein wissenschaftliche, insbesondere psychologische und soziologische Erkenntnisse einbeziehendes, zweckorientiertes und eher technokratisches Vorgehen der jeweiligen Akteure. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen, sodass man dann auch von Social Hacking spricht.
Auch Cyberkriminelle nutzen im Sinne von Social Engineering klassische Methoden der Psychologie und beeinflussen die Menschen, denn auch Phishing-Mails gehen mit dem Wissen um die Schwächen der menschlichen Psyche auf Beutezug durchs Web. Solche Emails arbeiten mit Sensationslust, etwa auf Berühmtheiten, oder stellen einen lukrativen Gewinn in Aussicht. Für Social Engineering greifen Cyberkriminelle auf daher grundlegende Muster der menschlichen Psyche zurück, und bringen sie unter anderem beim Phishing (siehe unten) zum Einsatz, denn Cyberkriminelle wissen, wie Menschen denken und fühlen, was diese angreifbar macht. Insbesondere das Bedürfnis nach Zugehörigkeit und Vertrauen, aber auch Hilfsbereitschaft, Neugier oder Respekt vor Autoritäten machen Menschen anfällig für Social Engineering.
In einer Untersuchung haben Wissenschafter belegt, wie einfach es ist, trotz Firewalls, Virenscanner oder Antispyware Menschen dazu zu bringen, ihre Passwörter aus freien Stücken zu verraten. Happ et al. (2016) brachten in einer einer Umfrage mit 1200 Teilnehmern diese dazu, ihr Passwort gegen Schokolade einzutauschen, wobei fast jeder zweite Proband (47,9 Prozent) sein persönliches Passwort verriet, wenn er unmittelbar vor der Bitte eine Tafel Schokolade bekommen hatte. Wenn es das Geschenk direkt zu Beginn gab und bis zur Bitte einige Zeit verging, waren es immerhin noch 39,9 Prozent. Aus der Kontrollgruppe, deren Teilnehmer die Schokolade erst nach der Umfrage bekamen, gaben immerhin noch 29,8 Prozent ihr Passwort heraus. Insbesondere jüngere Menschen waren für diese Form der Manipulation anfällig, was daran liegen könnte, dass auch die Interviewer ebenfalls eher jung waren. Die Ähnlichkeit der eigenen Lebenswelt ist offensichtlich ein Faktor, der manche dazu neigen lässt, die Bitten anderer eher zu erfüllen. Die Ergebnisse der Studie zeigen, so die Autoren, dass viele Menschen offensichtlich den Herausforderungen des Informationszeitalters noch nicht gewachsen sind.
Vertrauen geht auf das Grundvertrauen zurück, das sich jeder Mensch in den ersten zwei Jahren seines Lebens erwirbt, d. h., man vertraut etwa seinen Freunden, und einer bekannten Person bringt man, auch wenn man sie nicht näher kennt, mehr Vertrauen entgegen als einer unbekannten. Daher ist auch das Akzeptieren von angeblichen Facebook-Freunden, die man gar nicht richtig kennt, oft ein Fehler sein, denn als Freund erhält diese Person Zugriff auf zahlreiche wertvolle Informationen. Nutzer sollten sich auf Facebook daher nur mit Menschen anfreunden, die sie persönlich und wirklich gut kennen.
Ein weiterer Angriffspunkt der menschlichen Psyche ist die Autorität, die vor allem beim Phishing zum Tragen kommt, wobei manche Attacken so professionell sind, dass sie selbst für erfahrene InternetnutzerInnen schwer als solche zu erkennen sind. Phishing-Mails, die sich als offizielle Email einer Bank tarnen und sensible Zugangsdaten abfragen, zählen mittlerweile zum Standardrepertoire Cyberkrimineller. Anders als Phising-E-Mails sind Pretexting-Angriffe gerade auf das Vertrauen einer Zielperson ausgerichtet und erfordern eine genaue Recherche zum Hintergrund der Betroffenen und eine vertrauenswürdige Geschichte. Für gewöhnlich geben Betrüger vor, dass sie gewisse Informationen benötigen, um die Identität zu bestätigen, um eine Transaktion durchzuführen oder um ein Problem zu lösen. Ein Beispiel war das Hacking der Ethereum Classic-Website, bei der sich Hacker sich die Erstellung eines falschen Kontos und durch die Pretexting-Methode als Eigentümer von Classic Ether Wallet ausgaben. Sie erhielten Zugriff auf das Domain-Register und leiteten es an ihren eigenen Server weiter. Cyberkriminelle extrahierten die Kryptowährung Ethereum von den Leuten, nachdem sie einen Code auf der Website eingegeben hatten, der ihnen ermöglichte, private Passwörter für Transaktionen einzusehen.
Auch das Grundmotiv Neugierde machen sich Cyberkriminelle zunutze, indem sie Emails, SMS oder Nachrichten in versenden, die gefährliche Links oder infizierte Anhänge wie pdf-Dokumente enthalten. Neugierige Nutzer steigern die Chance, dass ein schädlicher Anhang geöffnet und der Rechner infiziert wird, wobei die Neugierde besonders beim Spear-Phishing ausgenutzt wird, indem die Interessen der Anwender vor dem Angriff ausgekundschaftet und anschließend entsprechende Spear-Phishing-Mails zielgerichtet an das potenzielle Opfer je nach individuellem Interesse versendet werden. Diese Neugier nutzen auxh Baiter aus. Baiting bezeichnet eine Art des Social Engineering mit der geringsten menschlichen Interaktion, wobei die Baiters den NutzerInnen kostenlose Downloads für Filme, Musik oder Software anbieten. In manchen Fällen nutzen sie auch Medien wie USB-Sticks, indem sie einen infizierten USB-Stick in einem Café, einem Flur in einem Bürogebäude oder einem ähnlichen Ort liegen lassen, wo eine hohe Wahrscheinlichkeit besteht, dass ihn jemand findet. Wenn diesen Stick jemand mitnimmt, in den Computer steckt, dann wird Malware installiert. Untersuchungen zeigen, dass man auf diese Weise sogar in Firmennetzwerke eindringen kann, wenn man etwa mehrere Sticks auf dem Firmenparkplatz als Köder auslegt.
Ein weiteres Grundmotiv menschlichen Handelns, das sich Cyberkriminelle zu nutze machen ist die Hilfsbereitschaft, denn Kriminelle gaben sich etwa als Mitglieder des Internationalen Roten Kreuzes im Zusammenhang mit einem aktuellen Konflikt oder einer aktuellen Katastrophe aus und appellieren per Email an die Hilfsbereitschaft der Anwender.
Die Psychologie von Phishing-E-Mails
Unter dem Begriff Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Nach einem Jahresbericht von Verizon ist Phishing die häufigste Ursache für Datenschutzverletzungen. Phishing-Betrüger verschicken dabei unter Nutzung von Massenwerbungskampagnen, E-Mails an Tausende von Firmen-Mitarbeitern innerhalb nur weniger Stunden mit dem Ziel, dass wenigstens eine der angeschriebenen Personen auf den infizierten Link in der E-Mail klickt, der auf eine vorher präparierte, schädliche Website weiterleitet. Diese Aktion ermöglicht es dem Angreifer, die völlige Kontrolle über den betreffenden Rechner oder persönliche Informationen, wie Passwörter, zu erhalten.
Aktuell stehen auch Klage-E-Mails hoch im Kurs, wobei diese Art von E-Mail vorgibt, dass der Empfänger verklagt werden würde. Man wird in einer Mail dazu angehalten, die angehängten Dokumente zu öffnen, durchzulesen und die E-Mail innerhalb von sieben Tagen zu beantworten. Gemäß diesen gefälschten Klage-E-Mails wird der Empfänger verklagt, sofern er nicht die Anweisungen befolgt.
In einer Studie zur Psychologie von Phishing von Daniela Oliveira und Natalie Ebner erhielten während eines dreiwöchigen Experiments 158 Teilnehmer einmal täglich eine Phishing-E-Mail zugesandt. Ihnen wurde dabei mitgeteilt, sie wären an einer Erforschung der Internetnutzung beteiligt und die Forscher würden nachverfolgen, ob sie darauf geklickt haben, wobei die E-Mails auf echten Phishing-Kampagnen basierten. Man fand dabei heraus, dass Phishing so ausgefeilt ist, dass die meisten Menschen entsprechend anfällig für Angriffe sind: Phishing-E-Mails werden so erstellt, dass sie die menschliche Natur ausnutzen, wobei Phisher sich darauf verlassen, dass Menschen schnelle Entscheidungen treffen, ohne nachzudenken. Menschen sind offenbar anfällig für Phishing, weil es auf die Art und Weise Einfluss nimmt, auf welcher Basis das menschliche Gehirn Entscheidungen fällt. Wenn es um Entscheidungsfindung geht, kann das Gehirn nach der Dualprozesstheorie auf zwei Arten reagieren: entweder automatisch wie bei alltäglichen Aktivitäten, oder wie bei großen Entscheidungen, die hingegen größere Überlegungen und vermehrtes Nachdenken erfordern. Das Klicken auf E-Mail-Links fällt offenbar in die erste Kategorie, d. h., die Hacker verlassen sich auf eine schnelle Entscheidungsfindung bei Phishing-Opfern. Allerdings sind Menschen, die großen Belastungen, wie Stress, ausgesetzt sind, besser in der Lage, Täuschungen, wie Phishing-E-Mails, zu erkennen und sie stehen Online-Betrügereien skeptischer gegenüber. Deshalb verwenden manche Phishing-Kampagnen psychologische Auslöser, um die Menschen in gute Stimmung zu versetzen, da bei Menschen die Wachsamkeit nachlässt, sobald diese gute Laune haben.
[Quelle: https://www.youtube.com/embed/7cm_TZJ5NXg]
Literatur
Happ, C., Melzer, A. & Steffgen, G. (2016). Trick with treat – Reciprocity increases the willingness to communicate personal data. Computers in Human Behavior, 61, 372–377.
Psychologie als Basis für Social Engineering.
WWW: http://www.itseccity.de/markt/studien/kaspersky-lab121214.html (14-11-30)
http://de.wikipedia.org/wiki/Social_Engineering_%28Sicherheit%29 (12-11-21)
https://www.ahadesign.eu/9-news/2298-social-engineering-wie-cyberkriminelle-die-menschliche-psychologie-ausnutzen.html (19-09-05)