Social Engineering

Social Engineering nennt man Methoden der zwischenmenschlichen Beeinflussung mit dem Ziel, bei Menschen vorwiegend manipulativ ein bestimmtes Verhalten hervorzurufen, dieseetwa zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen. Der Begriff unterstellt ein wissenschaftliche, insbesondere psychologische und soziologische Erkenntnisse einbeziehendes, zweckorientiertes und eher technokratisches Vorgehen der jeweiligen Akteure. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen, sodass man dann auch von Social Hacking spricht.

Auch Cyberkriminelle nutzen im Sinne von Social Engineering klassische Methoden der Psychologie und beeinflussen die Menschen, denn auch Phishing-Mails gehen mit dem Wissen um die Schwächen der menschlichen Psyche auf Beutezug durchs Web. Solche Emails arbeiten mit Sensationslust, etwa auf Berühmtheiten, oder stellen einen lukrativen Gewinn in Aussicht. Für Social Engineering greifen Cyberkriminelle auf daher grundlegende Muster der menschlichen Psyche zurück, und bringen sie unter anderem beim Phishing zum Einsatz, denn Cyberkriminelle wissen, wie Menschen denken und fühlen, was diese angreifbar macht. Insbesondere das Bedürfnis nach Zugehörigkeit und Vertrauen, aber auch Hilfsbereitschaft, Neugier oder Respekt vor Autoritäten machen Menschen anfällig für Social Engineering.
In einer Untersuchung haben Wissenschafter belegt, wie einfach es ist, trotz Firewalls, Virenscanner oder Antispyware Menschen dazu zu bringen, ihre Passwörter aus freien Stücken zu verraten. Happ et al. (2016) brachten in einer einer Umfrage mit 1200 Teilnehmern diese dazu, ihr Passwort gegen Schokolade einzutauschen, wobei fast jeder zweite Proband (47,9 Prozent) sein persönliches Passwort verriet, wenn er unmittelbar vor der Bitte eine Tafel Schokolade bekommen hatte. Wenn es das Geschenk direkt zu Beginn gab und bis zur Bitte einige Zeit verging, waren es immerhin noch 39,9 Prozent. Aus der Kontrollgruppe, deren Teilnehmer die Schokolade erst nach der Umfrage bekamen, gaben immerhin noch 29,8 Prozent ihr Passwort heraus. Insbesondere jüngere Menschen waren für diese Form der Manipulation anfällig, was daran liegen könnte, dass auch die Interviewer ebenfalls eher jung waren. Die Ähnlichkeit der eigenen Lebenswelt ist offensichtlich ein Faktor, der manche dazu neigen lässt, die Bitten anderer eher zu erfüllen. Die Ergebnisse der Studie zeigen, so die Autoren, dass viele Menschen offensichtlich den Herausforderungen des Informationszeitalters noch nicht gewachsen sind.

Vertrauen geht auf das Grundvertrauen zurück, das sich jeder Mensch in den ersten zwei Jahren seines Lebens erwirbt, d. h., man vertraut etwa seinen Freunden, und einer bekannten Person bringt man, auch wenn man sie nicht näher kennt, mehr Vertrauen entgegen als einer unbekannten. Daher ist auch das Akzeptieren von angeblichen Facebook-Freunden, die man gar nicht richtig kennt, oft ein Fehler sein, denn als Freund erhält diese Person Zugriff auf zahlreiche wertvolle Informationen. Nutzer sollten sich auf Facebook daher nur mit Menschen anfreunden, die sie persönlich und wirklich gut kennen.
Ein weiterer Angriffspunkt der menschlichen Psyche ist die Autorität, die vor allem beim Phishing zum Tragen kommt, wobei manche Attacken so professionell sind, dass sie selbst für erfahrene InternetnutzerInnen schwer als solche zu erkennen sind. Phishing-Mails, die sich als offizielle Email einer Bank tarnen und sensible Zugangsdaten abfragen, zählen mittlerweile zum Standardrepertoire Cyberkrimineller.

Auch das Grundmotiv Neugierde machen sich Cyberkriminelle zunutze, indem sie Emails, SMS oder Nachrichten in versenden, die gefährliche Links oder infizierte Anhänge wie pdf-Dokumente enthalten. Neugierige Nutzer steigern die Chance, dass ein schädlicher Anhang geöffnet und der Rechner infiziert wird, wobei die Neugierde besonders beim Spear-Phishing ausgenutzt wird, indem die Interessen der Anwender vor dem Angriff ausgekundschaftet und anschließend entsprechende Spear-Phishing-Mails zielgerichtet an das potenzielle Opfer je nach individuellem Interesse versendet werden.

Ein weiteres Grundmotiv menschlichen Handelns, das sich Cyberkriminelle zu nutze machen ist die Hilfsbereitschaft, denn Kriminelle gaben sich etwa als Mitglieder des Internationalen Roten Kreuzes im Zusammenhang mit einem aktuellen Konflikt oder einer aktuellen Katastrophe aus und appellieren per Email an die Hilfsbereitschaft der Anwender.

Literatur
Happ, C., Melzer, A. & Steffgen, G. (2016). Trick with treat – Reciprocity increases the willingness to communicate personal data. Computers in Human Behavior, 61, 372–377.
Psychologie als Basis für Social Engineering.
WWW: http://www.itseccity.de/markt/studien/kaspersky-lab121214.html (14-11-30)
http://de.wikipedia.org/wiki/Social_Engineering_%28Sicherheit%29 (12-11-21)





Falls Sie in diesem Beitrag nicht fündig geworden sind, können Sie mit der folgenden Suche weiter recherchieren:


Das Lexikon in Ihren Netzwerken empfehlen:

You must be logged in to post a comment.

Diese Seiten sind Bestandteil der Domain www.stangl.eu

© Werner Stangl Linz 2017