Lade Inhalt...

Social Engineering. Psychologische Faktoren der sozialen Manipulation

Psychologische Faktoren der sozialen Manipulation

Masterarbeit 2017 54 Seiten

Psychologie - Arbeit, Betrieb, Organisation und Wirtschaft

Leseprobe

Inhaltsverzeichnis

Tabellenverzeichnis

1. Einleitung

2. Social Engineering
2.1 Begriffsbestimmung
2.1.1 Computer-Based Social Engineering
2.1.2 Human-Based Social Engineering
2.1.3 Reverse Social Engineering
2.2 Social Engineers - eine Klassifikation
2.3 Schutzmaßnahmen
2.3.1 Schutz vor Computer-Based Social Engineering Angriffen
2.3.2 Schutz vor Human-Based Social Engineering Angriffen
2.3.2.1 Traditionelle Schutzkonzepte
2.3.2.2 Moderne Schutzkonzepte
2.3.2.2.1 Trainings- und Sensibilisierungsprogramme
2.3.2.2.2 Social Engineering Assessments

3. Manipulation
3.1 Zwei Systeme menschlichen Denkens
3.2 Heuristiken
3.2.1 Kognitive Heuristiken
3.2.1.1 Sure-Gain Heuristik
3.2.1.2 Optimismus
3.2.1.3 Heuristik der Kontrolle
3.2.1.4 Affekt-Heuristik
3.2.1.5 Verfügbarkeitsheuristik
3.2.1.6 Bestärkungs-Heuristik
3.2.2 Soziale Heuristiken
3.2.2.1 Reziprozität
3.2.2.2 Konsistenz und Commitment
3.2.2.3 Soziale Bestätigung
3.2.2.4 Sympathie
3.2.2.5 Autorität
3.2.2.6 Knappheit

6. Diskussion und Ausblick

Literaturverzeichnis

Tabellenverzeichnis

Tabelle 1: Übliche Angriffsrollen eines Social Engineers

Tabelle 2: Vorbereitung eines Social Engineering Assessments

1. Einleitung

Es gilt bereits als der größte Fernsehstreich des Jahres: Zwei TV-Moderatoren gelingt es im März 2017, ein Ryan Gosling-Double auf die Bühne der Goldenen Kamera, eine der renommiertesten Preisverleihungen im deutschen Fernsehen, zu bringen und stellvertretend für ihre eigene Show eine Auszeichnung zu empfangen. Wie konnte das passieren? Sie gründeten kurzerhand eine Booking-Agentur inklusive professionellem Web-Auftritt und gaben gegenüber der Redaktion der Goldenen Kamera vor, der Schauspieler würde zu der Veranstaltung kommen, wenn er einen Preis für einen seiner Filme erhielte. Die Veranstalter reagierten prompt und riefen dem besonderen Gast zu Ehren eine eigentlich nicht vorgesehene 13. Preiskategorie ins Leben: Bester Film International - die goldene Kamera erhielt in diesem Fall der falsche Ryan Gosling. Dieser, eigentlich ein Koch aus München mit nur marginaler Ähnlichkeit zu dem echten Hollywood-Star, konnte auf das Gelände der Veranstaltung und bis hinter die Bühne geschleust werden. Vorbei an Sicherheitsleuten und ohne dass jemand die Täuschung bemerkte, konnte der Doppelgänger dann tatsächlich auf die Bühne treten und den Preis entgegennehmen.

Dies konnte nur erreicht werden, da im Vorfeld seitens der angeblichen Star-Agentur immens hohe Forderungen an die Veranstalter der Goldenen Kamera gestellt wurden, die im Normalfall sicherlich abgelehnt worden wären. Dazu gehörte beispielsweise, dass Gosling ohne Gang über den roten Teppich, von eigenen Sicherheitsleuten begleitet und ohne Interview im Vorfeld von seinem Team bis hinter die Bühne eskortiert wird - nur so konnte der Coup gelingen. (Bremser, 2017) Die Veranstalter betonten im Nachhinein zwar, dieses Vorgehen sei nicht unüblich, doch die beiden Moderatoren, die sich selbst gewiss gut genug im Showbusiness auskennen, bezeichneten dies als „den dreistesten Anforderungskatalog aller Zeiten“ (Dittrich, 2017). Diesen akzeptierten die Verantwortlichen der Goldenen Kamera angesichts des weltberühmten Stars anstandslos, ohne dessen Identität im Vorfeld oder vor Ort wenigstens einmal nachzuprüfen.

Was als unterhaltsamer und medienwirksam aufbereiteter Scherz anmutet, ist in Wahrheit ein Glanzstück für eine Technik der Manipulation, die in Fachkreisen Social Engineering genannt wird und sowohl im Alltag, als auch in Unternehmen zu immens hohen materiellen wie immateriellen Schäden führen kann. Allgemein wird unter Social Engineering die Manipulation Anderer unter Ausnutzung bestimmter Charakteristika der menschlichen Natur verstanden - im Kontext der IT-Sicherheit bezeichnet Social Engineering die Ausbeutung menschlicher Schwachstellen der Informations- und Datensicherheit, bei der Nutzer von Computersystemen mit psychologischen Tricks zur Herausgabe sensibler Informationen veranlasst werden. Historisch betrachtet gibt es Social Engineering schon, seit es Menschen gibt - die dahinterliegenden psychologischen Mechanismen sind evolutionär tief im Menschen verankert und bieten Kennern seit jeher effiziente Angriffspunkte zur Manipulation ihrer Mitmenschen. So gelang es den TV-Moderatoren in dem aktuellen Beispiel, über die Annahme falscher Identitäten sowie Ausspielung vorgetäuschter Macht und Autorität, die Veranstalter einer seit 1966 stattfindenden Preisverleihung derartig für ihre Zwecke zu manipulieren, dass eine völlig unbekannte und letztlich unautorisierte Person auf die Bühne treten und den Preis entgegennehmen konnte. Das Ergebnis waren bloßgestellte Veranstalter, ein peinlich berührtes Publikum sowie zahlreiche empörte Beiträge in den Medien.

Unternehmen haben vor allem mit den im Zuge eines Social Engineering Angriffs entstehenden, enormen finanziellen Schädigungen zu kämpfen. Der deutsche Digitalverband Bitkom bat im Rahmen der Spezialstudie Wirtschaftsschutz im Januar 2016 349 betroffene Industrieunternehmen, die dadurch entstandenen finanziellen Schäden zu schätzen. Das Ergebnis: 44,7 Milliarden Euro Schadenssumme allein in den letzten zwei Jahren und nur innerhalb der befragten Stichprobe (Bitkom, 2016). Die Dunkelziffer dürfte diese Zahl um einiges übersteigen, denn Social Engineers arbeiten mit dem Ziel der absoluten Diskretion, sodass Vorfälle oftmals gar nicht oder erst sehr spät entdeckt werden. Neben immensen finanziellen Einbußen sind typische Folgen von Social Engineering in Unternehmen der Verlust von Wettbewerbsvorteilen und innovativen Ideen durch Diebstahl von Geschäftsgeheimnissen, Imageverlust bei Kunden und Lieferanten oder Probleme aufgrund gestohlener personenbezogener Daten von Mitarbeitern oder Kunden. Das Thema ist somit vor allem in Zeiten der Digitalisierung von höchster Relevanz und wird daher in der vorliegenden Arbeit näher beleuchtet.

Das Phänomen Social Engineering und die dabei genutzten Techniken der sozialen Manipulation werden vorgestellt. Im ersten Teil erfolgt eine Begriffsbestimmung, die auch die Darstellung unterschiedlicher Angriffstechniken, Anwenderkreise und Schutzmaßnahmen beinhaltet. Der zweite Teil beschäftigt sich mit dem Thema der Manipulation und deckt die psychologischen Mechanismen menschlicher Denkprozesse auf, welche Social Engineers bei ihrem Vorgehen nutzen.

2. Social Engineering

Social Engineering ist eine Angriffstechnik, die sich im Laufe der Zeit und analog zu den kontinuierlichen Fortschritten in der Technologie verändert, anpasst und wächst. Bereits im 18. Jahrhundert arbeiteten Trickbetrüger mit der Gier ihrer Mitmenschen und bereicherten sich daran, indem sie sich z. B. gegenüber Edelmännern als Kammerdiener reicher Adeliger ausgaben und um die Finanzierung einer niemals stattfindenden Schatzsuche baten, die schließlich mehrfach zurückgezahlt werden sollte. Später, mit der Entwicklung des Internets, wurden Social Engineering Angriffe vor allem via E-Mail durchgeführt. Eine typische Vorgehensweise bestand darin, sich als Finanzberater eines reichen Kunden auszugeben, dessen gesamte Familie bei einem Unfall ums Leben gekommen ist und viel Geld hinterlassen hat, auf das der angebliche Bankangestellte Zugriff benötigt. Er bittet sein Opfer in einer E-Mail um die Darlegung der eigenen Kontodaten, damit er das Geld dahin überweisen kann und verspricht, der getäuschten Person einen Teil des Geldes als Provision zu überlassen. Auch diese Technik arbeitet mit der menschlichen Gier nach Geld und stellte sich gegen Ende des 20. Jahrhunderts, als noch kaum Aufklärung auf dem Gebiet des E- Mail Betruges betrieben wurde, als besonders erfolgreich heraus. (Conheady, 2011)

Heute schöpfen Social Engineers aus einem breiten Spektrum von Möglichkeiten: Sie führen Angriffe per Telefon, E-Mail oder am Zielort selbst durch und bedienen sich dabei teils einfacher, teils fortgeschrittener IT-Kenntnisse auf dem Gebiet der Computernetzwerke und Programmierung. Hauptwerkzeug ihrer Arbeit liegt allerdings in der Kommunikation mit ihren Opfern, die sie unter Berücksichtigung gewisser grundlegender, psychologisch konstituierter Charakteristika menschlichen Denkens gezielt auf den Erhalt der Einwilligung für eine Bitte oder Forderung abstimmen. Die Grundlage für den Erfolg ihres Vorgehens bildet zumeist die Thematik betreffende Unwissenheit der Zielpersonen. Daher wird zunächst eine Analyse und damit auch Definition des Begriffs Social Engineering vorgenommen, von der ausgehend schließlich über unterschiedliche Angriffstechniken aufgeklärt wird.

2.1 Begriffsbestimmung

Kevin Mitnick, in den achtziger Jahren der meistgesuchte Hacker der Welt und Vorreiter sowie Experte im Bereich Social Engineering definiert die Angriffstechnik folgendermaßen:

„Social Engineering benutzt Techniken der Beeinflussung und Überredungskunst zur Manipulation oder zur Vortäuschung falscher Tatsachen, über die sich ein Social Engineer eine gefälschte Identität aneignet. Damit kann der Social Engineer andere zu seinem Vorteil ausbeuten, um mit oder ohne Verwendung von technischen Hilfsmitteln an Informationen zu gelangen.“ (Mitnick & Simon, 2011, S. 4)

Diese Definition enthält wesentliche Bausteine, deren inhaltliche Beleuchtung zu einem umfassenden Verständnis des Phänomens führen. Zunächst spricht Mitnick von Techniken der Beeinflussung und Ü berredungskunst. Wie diese Techniken in der Praxis ausgestaltet werden ist ganz dem Einfallsreichtum des Social Engineers überlassen, wobei ihm hier nahezu keine Grenzen gesetzt sind. Bezeichnend ist deren gemeinsame psychologische Grundlage, nämlich das gezielte Ansprechen und Ausnutzen von tief im menschlichen Denken und Verhalten verankerten Konstanten, die verhindern, dass eine fundierte Entscheidung aufgrund rationaler Überlegungen und Abwägen von Vor- und Nachteilen zustande kommt. Anders als beim Hacking über technische Maßnahmen, beispielsweise mit Hilfe spezieller Software-Tools zur Dechiffrierung von Passwörtern, nutzt ein Social Engineer gezielt menschliche Schwachstellen, um an die gewünschten Informationen zu gelangen, weswegen alternativ auch von „Social Hacking“ gesprochen werden kann (DATEV- Gesamtsicherheitsgremium & Deutschland sicher im Netz e.V., 2015).

Dieses Vorgehen dient dem Angreifer laut Mitnick zur Manipulation oder zur Vortäuschung falscher Tatsachen, wobei im Kontext dieser Arbeit Manipulation gemäß dem Lexikon der Psychologie als „(...) Begriff für versch. Formen der Einflussnahme“ (Wirtz, 2017) definiert wird. Diese Einflussnahme führt in finaler Konsequenz dazu, dass die manipulierte Person eine Handlung ausführt, die nicht zwingender Weise in ihrem Interesse liegt. An dieser Stelle ist eine Einschränkung zu machen bezüglich der Bewertung der Auswirkungen von Social Engineering, denn diese sind keineswegs ausschließlich negativ. Die vom Angreifer ausgenutzten menschlichen Eigenschaften sind schließlich nicht grundlos so tiefgreifend in jedem von uns verwurzelt; sie dienen letztlich dem Erhalt der menschlichen Gemeinschaft und dem Überleben in einer zunehmend komplexen Lebensumwelt. So werden die selben Techniken der Beeinflussung nicht nur von Social Engineers, sondern z. B. auch von Psychologen, Ärzten und sogar Eltern genutzt, um andere Personen zu Handlungen zu bewegen, die für sie positive Folgen nach sich ziehen. Ein Psychologe kann also eine Reihe gut überlegter Fragen nutzen, um seinen Patienten zu der Überzeugung zu bringen, dass zum Wohl der eigenen psychischen Gesundheit eine Verhaltensänderung notwendig ist, während ein Social Engineer ebenso eine Reihe geschickt formulierter Fragen stellen kann, um ein Angriffsopfer zu Handlungen mit z. T. schwerwiegenden negativen Folgen zu bewegen (Hadnagy, 2011).

Der nächste Baustein in Mitnicks Definition von Social Engineering ist die Annahme einer falschen Identität durch den Angreifer. Tatsächlich bildet die Grundlage jedes Social Engineering Angriffs eine gut recherchierte und eingeübte Rolle, in die der Social Engineer schlüpfen kann, um Handeln und Argumentation während des Angriffs gegenüber dem Opfer zu legitimieren. Auch hier sind Social Engineers praktisch keine Grenzen gesetzt, wenn es um die Vortäuschung falscher Tatsachen geht. Allerdings lassen sich einige besonders gebräuchliche Rollen identifizieren, die sich gut für die Erzeugung manipulativer Szenarien und schrittweise Annäherung an eine bestimmte Zielperson eignen. Diese lassen sich in die Kategorien „intern“, innerhalb der Organisation, in der das Angriffsopfer tätig ist und „extern“, außerhalb der betroffenen Organisation unterteilen. Bei den internen Rollen kann ein Social Engineer auch die Identität einer Person aus einer anderen Zweigstelle bzw. Niederlassung des Unternehmens annehmen. Eine Übersicht über die gängigsten Rollen eines Social Engineers bietet Tabelle 1.

Tabelle 1: Ü bliche Angriffsrollen eines Social Engineers

Abbildung in dieser Leseprobe nicht enthalten

Laut Mitnick kann ein Social Engineer durch sein Vorgehen andere zu seinem Vorteil ausbeuten. Dieser Baustein der Definition legt die Frage nach den potenziellen Opfern von Social Engineering Angriffen nahe. Grundsätzlich stellt jeder Mitarbeiter eines Unternehmens, der nicht explizit für das Thema sensibilisiert wurde, ein mögliches Ziel für einen Social Engineer dar. Dabei gibt es Personengruppen, die aufgrund bestimmter Charakteristika besonders leicht zu beeinflussen sind und bevorzugt ins Visier genommen werden. Dies sind einerseits neue Mitarbeiter, die mit den Abläufen und Verantwortlichkeiten im Unternehmen noch nicht besonders vertraut sind. Es ist nicht unwahrscheinlich, dass ein Social Engineer nach ausgiebiger Recherche im Rahmen der Ausgestaltung der vorzutäuschenden Identität besser über Verantwortlichkeiten und Abläufe innerhalb des Unternehmens informiert ist, als ein erst kürzlich hinzugekommener Mitarbeiter, was dem Angreifer einen erheblichen Vorteil bei der Beeinflussung seines Opfers gibt. Andererseits handelt es sich dabei um Mitarbeiter ohne großen Berührungspunkt zu technischen Themen bzw. solche, die einfach nicht besonders technikaffin sind. Darüber hinaus sind stets jene Mitarbeiter interessant, die sich in einer Position befinden, an der viele für den Social Engineer relevante Informationen zusammenlaufen und somit eine vielversprechende Quelle darstellen. Dabei handelt es sich zumeist um Manager oder generell um Personen in höhergestellten Positionen sowie um Mitarbeiter (oft in Service und Vertrieb) mit regelmäßigem Kontakt zu externen Geschäftspartnern. Letztere stellen auch deshalb ein beliebtes Angriffsziel dar, weil sich ein Social Engineer bei Bedarf als Mitarbeiter eines Geschäftspartners ausgeben und die Zielperson auf diese Weise entsprechend täuschen kann. Auch Assistenten, meist von Top-Managern oder Geschäftsführern, werden mit erhöhter Wahrscheinlichkeit von Social Engineers als Angriffsopfer ausgewählt. Sie verfügen in den meisten Fällen nur über unausgereifte technische Fähigkeiten; gleichzeitig besitzen und verwalten sie eine Vielzahl an für den Social Engineer hochinteressanten Informationen, vor allem was wichtige Termine, Pläne und Unternehmensabläufe angeht.

Ziel eines Social Engineering Angriffs ist laut Mitnick die Erlangung von Informationen. Von Informations diebstahl kann allerdings nur in den seltensten Fällen gesprochen werden, da die betroffenen Personen entsprechende Informationen zumeist - unter Annahme der vom Social Engineer vorgetäuschten Identität - vollkommen freiwillig herausgeben. Es handelt sich dabei üblicherweise um Passwörter (beispielsweise für den E-Mail Account, Bezahldienste wie Paypal oder andere Internet- und Telekommunikationsdienste), Kreditkarteninformationen sowie andere Bankinformationen zur Transaktion von finanziellen Mitteln und häufig auch um sensible Firmeninformationen und -geheimnisse wie z. B. Algorithmen, Produktpläne oder Kundendaten.

Weiterhin kann ein Social Engineer mit oder ohne Verwendung von technischen Hilfsmitteln zum erklärten Ziel kommen, worin auch die Unterscheidung zweier Arten von Social Engineering besteht. Beim „Computer-Based Social Engineering“ findet die Informationsbeschaffung unter Verwendung technischer Hilfsmittel statt, wohingegen beim „Human-Based Social Engineering“ der Weg über soziale Annäherung an die Zielperson führt. Verschiedene Angriffstechniken für die beiden Ausprägungen werden in den folgenden Kapiteln besprochen.

2.1.1 Computer-Based Social Engineering

Übertragungsmedium von Computer-Based Social Engineering Angriffen ist das Internet. Bei den meisten Angriffen ist das angestrebte Ziel die Verbreitung von Schadprogrammen (auch „Malware“ genannt), welche auf dem Computer des Opfers unerwünschte und meist schädliche Aktionen ausführen. Die Folgen sind weitreichend und variieren in ihrer Schwere von Störungen oder Verlangsamungen des Computersystems, über Zerstörung einzelner Systemkomponenten, bis hin zum unautorisierten Sammeln persönlicher Daten des Opfers oder Fernsteuerung des Computers. Eine andere Form von Malware, sogenannte „Scareware“, sendet Meldungen an den Computer und verunsichert den Anwender mit alarmierenden Nachrichten über Sicherheitslücken oder die Infizierung des Systems mit gefährlichen Viren. Um das Problem zu beseitigen, muss das Opfer den Computer gegen Bezahlung bereinigen lassen oder ein (u. U. sogar kostenpflichtiges) Tool installieren, welches faktisch ein getarnter Virus ist.

Die am weitesten verbreitete Angriffstechnik des Computer-Based Social Engineerings ist das Versenden von Spam Mails, in denen das Opfer unter dem Vorwand einer Belohnung (kostenlose Software-Programme, Geschenke, exklusive Fotos/Videos) oder der Bereitstellung wichtiger Informationen, wie z. B. Versandbestätigungen oder Kaufinformationen, zum Öffnen eines E-Mail-Anhangs angeleitet wird, über den bösartige Computerprogramme wie Trojaner, Viren o. ä. auf dem Computer installiert werden.

Beim Phishing wird dem Nutzer über gefälschte Websites, E-Mails oder andere technische Methoden wie z. B. Pop-Up Fenster eine dringliche Nachricht von einer vermeintlich vertrauenswürdigen Quelle übermittelt. Meistens handelt es sich dabei um Banken, Kreditkarteninstitute oder bekannte Unternehmen wie Amazon, eBay oder PayPal, welche den User zur Preisgabe von Login-Daten oder anderen vertraulichen Informationen bzw. zum Herunterladen von schädlicher Software auffordern. Die Angreifer verleihen ihrem Anliegen die nötige Glaubwürdigkeit, indem sie den Aufbau von Firmenwebsites oder -E-Mails möglichst identisch nachzuahmen versuchen und dem Nutzer bei ausbleibender Reaktion mit schwerwiegenden Folgen drohen. Obwohl sich die Täuschung bei genauem Hinsehen meist anhand des schlechten Sprachgebrauchs oder falscher E-Mail-Absenderadressen sowie URLs relativ leicht erkennen lässt, stellt dies vor allem bei älteren, weniger interneterfahrenen Personen eine oft erfolgreiche Angriffstechnik des Computer-Based Social Engineerings dar.

Eine besonders tückische Form des Phishings ist das Versenden von Nachrichten über gehackte Accounts auf sozialen Netzwerken, welche sich die Neugier und Gutgläubigkeit von Usern im Hinblick auf Nachrichten von vermeintlich bekannten Personen zunutze machen. Typischerweise enthalten derartige Nachrichten die Aufforderung, einen Link anzuklicken oder etwas herunterzuladen, was der mutmaßliche Freund im Internet gefunden hat und nun mit anderen teilen möchte. Wird dieser Aufforderung nachgekommen, wird der eigene Computer mit schädlicher Software infiziert. Eine weitere Angriffstechnik besteht darin, Hilferufe an die Kontakte eines gehackten Accounts zu senden, indem Angreifer unter Annahme der falschen Identität beispielsweise vorgeben, im Ausland und ausgeraubt worden zu sein und Freunde um die Überweisung eines Geldbetrages an ein bestimmtes Bankkonto bitten. Bei einer ähnlichen Methode werden die Kontakte im sozialen Netzwerk oder per Mail aufgefordert, Geld für einen wohltätigen Zweck oder die eigens initiierte Spendenaktion zur Verfügung zu stellen.

Voice Fishing, kurz Vishing, bezeichnet das Sammeln von sensiblen Daten über automatisierte Telefonanrufe mittels Internet-Telefonie (Voice over IP), welche über Computersysteme gesteuert werden können. Hierbei wird dem Opfer wie beim Phishing eine vertrauenswürdige Quelle suggeriert und das Vertrauen von Menschen in traditionelle Telefon-Services ausgenutzt.

Computer-Based Social Engineering Angriffe sind im Alltag weit verbreitet und mittlerweile werden Nutzer über Gefahren, die besonders von bösartigen E-Mails ausgehen, gut aufgeklärt. Zudem verfügt heutzutage jedes E-Mail-Postfach über bestimmte Filter, die verdächtige Nachrichten automatisch in einen gesonderten Spam- Ordner verschieben und E-Mail-Anhänge blockieren. Weitere technische Lösungen, wie Pop-Up Blocker, Firewalls oder Antivirenscanner, sollen das Sicherheitsrisiko weiter minimieren. Obgleich diese vielfältigen Angebote Nutzer gewiss vor einigen vom Internet ausgehenden Gefahren bewahren können, so liegt es schlussendlich doch im Ermessen des jeweiligen Menschen, die finalisierende Handlung auszuführen, z. B. eine bestimmte E-Mail zu öffnen oder persönliche Daten in ein Formular einzugeben. Technik ist bis zu einem gewissen Grad immer auch fehlbar - nicht selten landen ungefährliche Mails im Spam-Ordner und umgekehrt - weshalb der Mensch sich niemals vollkommen darauf verlassen kann, sondern die Situation zusätzlich mit logischen Überlegungen und Menschenverstand einzuschätzen versuchen sollte. Technische Lösungen können das bestehende Sicherheitsrisiko demnach niemals komplett beseitigen, da letztlich der Mensch die Handlungsgewalt besitzt - immerhin lässt sich Sicherheitssoftware auch abschalten. Hinzu kommt, dass Vorgehensweisen von Social Engineers sich mit der aktuellen Technik weiterentwickeln, was das Beispiel der Kontaktaufnahme über soziale Netzwerke verdeutlicht. Trotz umfassender Angebote zur Erhöhung der eigenen Sicherheit im Internet wird die Bedrohung daher immer bestehen bleiben. Schließlich liefern sich Angreifer und Schützer ein ewiges Wettrennen; durch umfassende Aufklärung und ein Handeln im Netz und am Computer, welches wohlüberlegt ist und sich durch Vernunft sowie Logik auszeichnet, kann sich jeder Mensch am besten vor Computer-Based Social Engineering Angriffen schützen.

2.1.2 Human-Based Social Engineering

Human-Based Social Engineering Angriffe werden meist über das Telefon durchgeführt, wobei der Angreifer eine falsche Identität annimmt, um über direkte Kommunikation mit seinen Opfern an die gewünschten Informationen zu gelangen. Das zentrale Element aller Angriffstechniken ist der sogenannte Pretext, also der Vorwand, unter welchem der Social Engineer sein Opfer kontaktiert und welcher die Legitimation für sein Anliegen gegenüber der Zielperson bietet. Ein guter Pretext ist die Grundlage jedes erfolgreich durchgeführten Human-Based Social Engineering Angriffs und beinhaltet mehr als die Übernahme einer anderen Identität. Vielmehr muss die falsche Identität nicht nur ü bernommen, sondern für den Zeitraum des Angriffs auch vollkommen vom Social Engineer gelebt werden. Um dies zu gewährleisten, muss der Angreifer im Vorfeld umfassende Informationen sammeln und analysieren, wobei Art und Umfang abhängig von Hintergrund, Ausgestaltung und Ziel des Angriffs sind. Das im Rahmen der Sicherheitsinitiative „Deutschland sicher im Netz“ herausgegebene SAP Pocketseminar liefert eine gute Auflistung der typischerweise von Social Engineers zu beschaffenden Informationen. Es handelt sich hierbei um:

- Informationenüber die Unternehmenskultur:

Dazu gehören im Kontext von Social Engineering Angriffen vor allem die unternehmensinterne Sprache inklusive spezifischer Sprach-Codes sowie Fachbegriffe und Abkürzungen.

- Telefon- und Mitarbeiterlisten:

Verfügt ein Social Engineer über interne Telefonnummern und -durchwahlen sowie Mitarbeiterlisten mit privaten Adressen und Rufnummern, kann er bei einem Angriff überzeugend den Eindruck vermitteln, selbst Mitarbeiter des Unternehmens zu sein und Zielpersonen sogar in ihrem privaten Umfeld kontaktieren.

- Organigramme und Hierarchiestrukturen:

Die Kenntnis des hierarchischen Aufbaus eines Unternehmens erlaubt es dem Social Engineer, Mitarbeiter auf unteren Hierarchiestufen um die Freigabe von sensiblen Informationen im Namen eines höhergestellten Managers zu bitten und einen gewissen Handlungsdruck aufzubauen.

- Arbeitsanweisungen und Policies:

Diese kann der Angreifer nutzen, um seine Unternehmenszugehörigkeit gegenüber Mitarbeitern zu beweisen und sich im Vorfeld des Angriffs Argumente für den Verstoß gegen dieselben zu überlegen.

- Dienst- und Schichtpläne:

Kenntnis der Dienstzeiten bestimmter Mitarbeiter erlaubt es dem Social Engineer, Anfragen über die Herausgabe von Daten dann zu stellen, wenn der hierfür verantwortliche Kollege schon im Feierabend ist und somit nicht mehr zur Rückversicherung kontaktiert werden kann.

- Memos und Briefe:

Diese stellen eine nützliche Quelle für die Beschaffung unternehmensinterner Informationen, wie z. B. Abteilungsbezeichnungen oder Details zu Strategien und Maßnahmen dar.

- Prozessbeschreibungen, besonders aus dem Bereich des IT-Supports:

Der IT-Support stellt eine gute Quelle für die Beschaffung von sensiblen Informationen dar, weshalb ein Social Engineer umfassendes Wissen über Bezeichnungen, Funktionsweisen und Abläufe der IT des anzugreifenden Unternehmens benötigt.

- Netzpläne, Computernamen, Netzwerkadressen:

Derartige Informationen benötigt ein Social Engineer, um sich Zugang zum Unternehmensnetzwerk zu verschaffen, indem er sich beispielsweise als Mitarbeiter des IT-Supports ausgibt oder diesen mit einer Fehlermeldung kontaktiert und eine Änderung innerhalb des Systems bewirkt, die ihm den späteren Zugriff auf das Netzwerk erleichtert.

- Funktionsweise von Zugangskontrollsystemen:

Unerlässlich für die Durchführung eines Angriffs vor Ort sind Informationen über die Voraussetzungen zum Betreten des Unternehmensgeländes, z. B. mit Ausweis, Chipkarte, Code oder PIN sowie über die Sicherung des Gebäudes mit Kameras und Alarmanlagen.

- Raumpläne:

Diese helfen dem Social Engineer bei Angriffen vor Ort, sich im Unternehmen sicher zurechtzufinden und zwischen den anderen Mitarbeitern nicht aufzufallen oder enttarnt zu werden.

- Dienstleister und Zulieferer:

Diese Informationen kann ein Social Engineer nutzen, um sich unbefugten Zutritt zum Unternehmen zu verschaffen.

- Entsorgung von Datenträgern:

Auch der Abfall eines Unternehmens stellt eine nützliche Quelle zur Informationsbeschaffung dar. Ein Social Engineer muss sich daher darüber informieren, wie und wo Datenträger und andere Unterlagen entsorgt werden. Dies kann beispielsweise auf dem Unternehmensgelände selbst oder durch einen externen Dienstleister erledigt werden. Es ist auch nützlich zu wissen, bis zu welchem Grad Daten zerstört und damit unlesbar gemacht werden und ob der Unternehmensabfall durch Überwachungskameras vor unerwünschten Eindringlingen geschützt wird. „Dumpster Diving“ bezeichnet das Durchsuchen des Unternehmensabfalls nach nützlichen Informationen als Teil der Vorbereitung auf einen Social Engineering Angriff.

Bei der Informationsbeschaffung spielen soziale Netzwerke eine besondere Rolle für den Social Engineer, denn hier geben potenzielle Angriffsopfer ganz freiwillig persönliche Daten preis, machen Angaben über ihre Arbeitsstelle und -position und vernetzen sich zudem mit ihren Kollegen und Freunden. Facebook, Instagram u. ä. stellen daher exzellente Informationsquellen für das Ausspähen von Zielpersonen zur Vorbereitung des Pretext und zur Übernahme ihrer Identität in späteren Angriffsszenarien dar. Soziale Netzwerke bieten außerdem den Vorteil, dass zur Registrierung i. d. R. keine Identifizierung benötigt wird, weshalb sich ein Social Engineer als praktisch jede beliebige Person ausgeben und mit seinem Opfer in direkten Kontakt treten kann.

Die konkrete Ausgestaltung von Human-Based Social Engineering Angriffen kann - je nach Ideenreichtum und Kreativität des Angreifers - zahllose verschiedene Formen annehmen, weshalb hier kein eindeutig definiertes Spektrum an voneinander abgrenzbaren Angriffstechniken, sondern einige gebräuchliche Vorgehensweisen aufzeigt werden sollen.

Social Engineers geben sich häufig als Mitarbeiter des IT-Supports des betroffenen Unternehmens aus und kontaktieren Zielpersonen unter dem Vorwand, gerade an einem Netzwerk- oder Systemfehler zu arbeiten. Indem sie insbesondere Mitarbeiter auf niedrigen Hierarchiestufen oder Personen, die während der Recherche als nicht besonders technikaffin identifiziert werden konnten unter Druck setzen, erfragen sie Passwörter oder andere Informationen, die sie sich später für den unautorisierten Zugriff auf das Unternehmensnetzwerk zu Nutze machen können. In diesem Angriffsszenario nutzen Social Engineers zumeist das Telefon, um mit ihren Opfern in Kontakt zu treten.

Der Angriffsweg über das Telefon bietet dem Social Engineer den entscheidenden Vorteil, die dem Opfer zur Verfügung stehenden Möglichkeiten der Identifizierung seines Gegenübers auf zwei Faktoren zu reduzieren - die Stimme des Angreifers und die Telefonnummer, von welcher der Anruf ausgeht. Der erste Aspekt stellt meist nur ein sehr kleines bzw. gar kein Hindernis für den Social Engineer dar, da er sich mit einem geeigneten Pretext als Mitarbeiter einer anderen Zweigstelle oder Niederlassung ausgeben kann, dessen Stimme dem Opfer gar nicht bekannt sein kann, da es die betroffene Person nicht kennt und diese faktisch auch nicht existiert. Ist ein Social Engineer an Informationen über eine bestimmte, dem Opfer bekannte Person, wie z. B. den Geschäftsführer des Unternehmens interessiert, so wird er sich im Vorfeld die benötigten Informationen beschaffen, um sich am Telefon mit großer Überzeugungskraft beispielsweise als guter Freund desselben ausgeben zu können. Doch auch das Problem der Rufnummernanzeige kann umgangen werden. „Call ID Spoofing“ bezeichnet die Manipulation der rufenden Nummer in eine beliebige andere Nummer. Obwohl in Deutschland durch das Telekommunikationsgesetz verboten, nutzen Social Engineers diese Technik vor allem seit der Einführung von InternetTelefonie über Voice over IP. (Wikipedia, 2017) Auf diese Weise können Angreifer einen Telefonanruf tätigen und dem Opfer dabei beispielsweise die Rufnummer eines Dienstleisters des Unternehmens anzeigen lassen, was neben dem Pretext die Authentizität des Anrufers bestätigt.

Stellt das Telefon ein sehr effizientes und damit beliebtes Mittel für Human-Based Social Engineering Angriffe dar, so scheuen Social Engineers jedoch nicht den Angriff auf Unternehmen über den Weg als Innentäter, d. h. mit physischer Präsenz auf dem Unternehmensgelände oder in den Räumlichkeiten selbst. Der Verein „Deutschland sicher im Netz e.V.“ unterscheidet in seinem Leitfaden zum Thema Social Engineering zwei Arten von Innentätern:

- Der Social Engineer ist kein Mitarbeiter des Unternehmens, verschafft sich jedoch unbefugten Zutritt, indem er sich beispielsweise als Mitglied des Gebäudepersonals oder der Reinigungstruppe ausgibt.
- Der Social Engineer ist (ehemaliger) Mitarbeiter des Unternehmens, hat allerdings illegitime Absichten, wie z. B. den Verkauf von unternehmensinternen Daten an die Konkurrenz oder das Ausspähen von Firmengeheimnissen für persönliche Zwecke.

Die Kenntnis der Belegschaft, unternehmensinterner Abläufe sowie der Sicherheitsvorkehrungen erleichtert es aktuellen und ehemaligen Mitarbeitern, Social Engineering Angriffe vorzubereiten und durchzuführen. Vor allem in der Phase der Informationsbeschaffung können sie auf eigene Erfahrungen und persönliche Kontakte zurückgreifen. Oftmals haben sie in ihrer Zeit als Mitarbeiter Vertrauen zu einigen Schlüsselpersonen aufbauen können, welches sie in späteren Angriffsszenarien zu ihrem Vorteil ausnutzen.

Social Engineering Angriffe durch Innentäter können in drei Hauptkategorien unterteilt werden:

Spionage:

Hierbei versucht der Angreifer, durch geschickte Beobachtung von Mitarbeitern an Passwörter und andere sensible Informationen zu gelangen. Beim „Shoulder Surfing“ platziert er sich unauffällig hinter der Zielperson und beobachtet die Eingabe von Zugangscodes oder liest in vertraulichen Dokumenten mit. Mitarbeiter, die nicht für das Thema Informationssicherheit sensibilisiert wurden, können den Fehler begehen, Zugangsdaten auf Zetteln zu notieren und am Computer zu befestigen und bescheren potentiellen Angreifern somit leichtes Spiel.

Mithören:

Auch über das Mithören von Gesprächen zwischen Mitarbeitern kann ein Social Engineer an wichtige Informationen gelangen, beispielsweise über zukünftige Strategien, wichtige anstehende Termine oder arbeitsspezifische Zusammenhänge. Besonders interessant für einen Angreifer sind (meist telefonische) Gespräche von Mitarbeitern mit dem IT-Support, vor allem wenn es die Unternehmensrichtlinie erlaubt, Passwörter zur Identifikation und Bearbeitung von Problemen telefonisch weiterzugeben (Dalziel, 2015).

Hardware:

Scheinbar harmlose USB Sticks können enorme Sicherheitsrisiken darstellen, wenn ein Social Engineer diese mit Schadsoftware bespielt und anschließend unauffällig in den Räumlichkeiten des Unternehmens platziert. Dabei profitiert er von der Arglosigkeit und Neugier von Mitarbeitern, die einen gefundenen USB Stick an ihren Computer anschließen, um sich die darauf befindlichen Dateien anzusehen. Ältere PCs installieren bösartige Viren und Trojaner sogar automatisch, was das von derartiger Hardware ausgehende Sicherheitsrisiko wiederrum vergrößert. Diese Angriffstechnik ermöglicht es dem Social Engineer, auf dem betroffenen Rechner befindliche Daten zu sammeln oder über einen Fernzugang selbst darauf zuzugreifen. (DATEV- Gesamtsicherheitsgremium & Deutschland sicher im Netz e.V., 2015).

Beim Human-Based Social Engineering handelt es sich, auch im Sinne von Mitnicks eingangs angeführter Definition, um die klassischere Form des Social Engineerings. Jedoch sind beide Angriffstechniken miteinander verwoben und bauen aufeinander auf, denn kaum ein Human-Based Social Engineering Angriff kommt gänzlich ohne technische Maßnahmen aus. Oft wählen Angreifer eine Kombination aus beiden Techniken: Im Vorfeld wird z. B. eine Phishing E-Mail an das Opfer versandt, die von einem vermeintlich vertrauenswürdigen Unternehmensdienstleister kommt und den Pretext legitimiert, sowie über ein Kontaktformular bestimmte persönliche Informationen sammelt. Diese Informationen werden im eigentlichen Angriff genutzt, um das Opfer zur Freigabe weiterer sensibler Daten und Informationen zu bewegen.

2.1.3 Reverse Social Engineering

Bei Reverse Social Engineering handelt es sich um eine Angriffstechnik, die im Vergleich zu Computer- und Human-Based Social Engineering Angriffen ein gesteigertes Maß an Einfallsreichtum und Vorbereitung erfordert. Ziel ist, das Opfer dazu zu bringen, den Angreifer aktiv zu kontaktieren und ihm die gewünschten Informationen mitzuteilen.

[...]

Details

Seiten
54
Jahr
2017
ISBN (eBook)
9783668525184
ISBN (Buch)
9783668525191
Dateigröße
687 KB
Sprache
Deutsch
Katalognummer
v375847
Note
1,1
Schlagworte
Social Engineering Business Psychology Wirtschaftspsychologie Psychologie Manipulation Beeinflussung Sozialpsychologie Kevin MItnick Robert Cialdini Human Hacking Hacking Social Hacking Spionage

Autor

Teilen

Zurück

Titel: Social Engineering. Psychologische Faktoren der sozialen Manipulation