Social Engineering

Gratuliere, Sie befinden sich mitten auf der Zielscheibe!

Ein vermeintlicher Millionengewinn, ein scheinbar harmloser Anruf oder eine angeblich zufällige Begegnung: Wir alle könnten jederzeit Ziel eines Social-Engineering-Angriffs sein. Ob on- oder offline, die grösste Gefahr dabei sind Sie selber. Ja, Sie! Aber weshalb bloss?

Luk von Bergen (Text), 12. April 2018

Wir beginnen ausnahmsweise wirklich bei Adam und Eva. Die beiden wussten es haargenau, denn Gott hatte es ihnen eingeschärft: Esst keine Früchte von diesem einen Baum im Garten Eden, sonst Abflug und damit «finito paradiso». Nun, Adam und Eva taten es trotzdem, die hinterlistige Schlange hatte sie unter falschen Versprechungen von Macht und Unverwundbarkeit dazu verführt. Das war damals Social Engineering «at its best» - und zwar bereits zu Beginn der Menschheit. An den Konsequenzen haben wir immer noch zu beissen, sofern man der Geschichte Glauben schenkt.

 

 

Die Masche à la Adam und Eva hat auch ausserhalb globaler Gotteshäuser kaum an Aktualität eingebüsst.

 

 

Die Masche à la Adam und Eva hat auch ausserhalb globaler Gotteshäuser kaum an Aktualität eingebüsst. Die Angreifer nutzen laut Melde- und Analysestelle Informationssicherung MELANI des Bundes «die Hilfsbereitschaft, Gutgläubigkeit oder die Unsicherheit von Personen aus, um beispielsweise an vertrauliche Daten zu gelangen oder die Opfer zu bestimmten Aktionen zu bewegen.»

In einem Wort: Bei Social Engineering geht es – ob on- oder offline – um Manipulation.

In einem Wort: Bei Social Engineering geht es – ob on- oder offline – um Manipulation. Die Schlangen sind heute falsche Polizisten, die vornehmlich ältere Personen kontaktieren. Die Äpfel sind Vorwände, um beispielsweise aus Sicherheitsgründen an die Wertsachen der Opfer zu kommen, wie die Kantonspolizei Zürich warnt. Oder Anrufe von falschen Microsoft-Mitarbeitern, die technische Systemprobleme vorgaukeln, um sich Zugriff auf Computer von Ahnungslosen zu verschaffen.

 

Oder ganz einfach E-Mails, in denen zum plötzlichen Lotteriegewinn gratuliert wird. Natürlich werden die Millionen erst nach konkreter Kontaktaufnahme und nach «Anzahlung fälliger Gewinnsteuern» überwiesen, sprich: gar nicht. Oder wer kennt ihn nicht? Den sogenannten «four-one-niner», den «Nigeria Scam», den reichen afrikanischen Geschäftsmann, der für die Transaktion einer astronomisch hohen Geldsumme Hilfe benötigt. Ihre Hilfe.

 

Klar, dass dabei für Sie auch etwas rausspringt. Nämlich ganz viel Ärger. Denn ein paar Klicks später werden Sie möglicherweise finanziell unter Druck gesetzt, ausgebeutet oder gar bedroht. Nur, wer fällt denn auf sowas Offensichtliches rein? Die Antwort ist simpel: wir alle. Denn kaum jemand ist gänzlich vor entsprechenden Fehltritten gefeit. Aber weshalb bloss?

 

 

Der digitale Garten Eden des Social Engineering

 

Um unsere menschlichen (Fehl-)Reaktionen im Zusammenhang mit Social Engineering zu verstehen, müssen wir erst die Motive der Angreifer durchleuchten. Zu einem grossen Teil finden diese Manipulationsversuche heute online statt, das Internet bietet paradiesische Zustände für Attacken aller Art. Als digitale Teildisziplin fungiert das sogenannte «Phishing», indem sich die Angreifer via E-Mail persönliche Daten und Passwörter ihrer Opfer zu «angeln» versuchen. «Sie tarnen sich oft als grosse Firmen oder Banken, um beim Empfänger Glaubwürdigkeit zu erzeugen», sagt Michel Grädel, Security Analyst bei der Swisscom. «Sie formulieren oft fehlerhaft und unpersönlich und wollen, dass man beispielsweise einen präparierten Link klickt, um seine E-Mail-Adresse zu bestätigen, den Lieferstatus eines Pakets zu überprüfen oder dass man ein vordergründig relevantes Attachment öffnet.»

«Sie tarnen sich oft als grosse Firmen oder Banken, um beim Empfänger Glaubwürdigkeit zu erzeugen.»

Michel Grädel, Security Analyst bei Swisscom

Klickt man tatsächlich, installiert sich im Hintergrund sogenannte Malware - schädliche Programme also, die sich wiederum Zugang auf den gesamten Computer verschaffen können. Die Programme protokollieren dann die Tastaturanschläge und zeichnen so beispielsweise sämtliche Passwörter mit auf. Wer klickt, verliert. Vor allem die Kontrolle über das eigene Tun. Denn ist der eigene Computer erst mit sogenannten Trojanern verseucht und damit von Cyberkriminellen gekapert, können diese theoretisch nach Belieben wüten. Sie können die Identität des Opfers stehlen und beispielsweise in dessen Namen weitere Viren verbreiten, Konten plündern, Drohungen aussprechen oder illegale Geschäfte abschliessen. Michel Grädel: «Im schlimmsten Fall - und sofern die Angreifer wirklich raffiniert vorgegangen sind - könnte es sein, dass die Polizei vor der Tür steht und jemand zu Unrecht verurteilt wird.» Vielleicht werden aber auch «nur» Ihre Daten gesammelt und an Dritte weiterverkauft. Das Resultat: noch mehr Spam oder Phishing-Attacken. Was tun, wenn der PC bereits mit Malware infiziert ist? «Eigentlich müsste man das Gerät komplett neu aufsetzen», rät Michel Grädel, «nur macht das kaum jemand.»

 

 

 

Wir, die Sicherheitslücken

 

Security Analyst Michel Grädel gehört innerhalb der Swisscom zur «Cyber-Defence». Sein Team überwacht, dass sich Schadprogramme im firmeneigenen System oder bei Grosskunden nicht einnisten können. Im Grunde eine Sisyphusarbeit: «Täglich kommt zum Beispiel zehntausendfach neue Malware in Umlauf. Wenn unsere Antivirusprogramme, die oft erst verzögert reagieren, versagen, müssen wir eingreifen.» Rund um die Uhr. Ähnlich aufwändig ist die Arbeit bei der E-Mail-Plattform Bluewin, wo Thomas Lademann als Spezialist für Missbrauchsbekämpfung arbeitet.

«Täglich kommt zum Beispiel zehntausendfach neue Malware in Umlauf.»

Michel Grädel, Security Analyst bei Swisscom

«Wir sind auf die Feedbacks der Kunden angewiesen, um sie effizient schützen zu können.» Der Kunde als Teil der Lösung, aber auch als Teil des Problems, das sich im Fachjargon PEBCAK (Problem Exists Between Chair And Keyboard) nennt. Kurzum: Das grösste Risiko geschützter Konten ist also nicht per se die Verletzlichkeit eines Passworts oder ein ineffizientes Antivirusprogramm, sondern die Psyche des Menschen. Deshalb geben Firmen heutzutage eine schöne Stange Geld aus, um ihre Unternehmungen auf menschliche Sicherheitslücken zu prüfen. Sogenanntes «Penetration Testing» - heisst: Informatiker attackieren auf Auftrag die Systeme von Konzernen, um potenziell verwundbare Angriffsziele aufzudecken. Oder falsche Mitarbeiter betreten im Anzug und am Sicherheitspersonal vorbei die Büroräumlichkeiten von Banken und stehlen sensitive Dokumente. Wie einfach das funktionieren kann, zeigt ein Artikel des Tages-Anzeigers.

 

 

Test der Business-Plattform CNN Money, die einen Hacker beauftragt hat, sich Zugang ins Computersystem einer Firma zu verschaffen. (Video: YouTube/CNN)

 

 

Warum die Schlange schier unwiderstehlich züngelt

Frei nach Herbert Grönemeyer könnte man die Thematik folgendermassen auf den Punkt bringen: «Der Mensch heisst Mensch, weil er hofft und weil er giert, weil er vergisst, weil er verliert.» Ein zweifelhaftes Zeugnis für ein unvollkommenes Wesen, das allerdings nicht weit an der Realität vorbeizielt. «Der Mensch hat sich eben doch noch nicht ganz an eine digitalisierte Welt angepasst», sagt Sozial- und Wirtschaftspsychologe Prof. Dr. Christian Fichter, «wir sind - einfach ausgedrückt - von Natur aus gierig und darauf angelegt zu profitieren, Vorteile zu suchen, Schnäppchen zu finden.» Programmiert auf Jäger und Sammler.

«Wir sind - einfach ausgedrückt - von Natur aus gierig und darauf angelegt zu profitieren, Vorteile zu suchen, Schnäppchen zu finden.»

Prof. Dr. Christian Fichter, Sozial- und Wirtschaftspsychologe  

Zudem seien wir nur ungenügend in der Lage, Situationen langfristig richtig einzuschätzen. «Die Leute rauchen, auch wenn man ihnen mögliche Langzeitschäden aufzeigt, dasselbe Muster greift bei ungesunder Nahrung oder Alkohol.» Und beim Sicherheitsverhalten im Internet. Die drohende Gefahr, von Cyberkriminellen ausgebeutet zu werden, scheint dem Menschen nicht plastisch genug, deshalb schwierig zu erfassen und damit vernachlässigbar. «Dafür fürchten sich viele vor dem Fliegen, obwohl die Anfahrt zum Flughafen statistisch gesehen gefährlicher ist», sagt Fichter.

 

 

Prof. Dr. Christian Fichter, Sozial- und Wirtschaftspsychologe  

 

 

Als weitere wunde Punkte, die uns Menschen angreif- und damit manipulierbar machen, sieht der Verhaltensforscher eine gewisse Faulheit, wenn es zum Beispiel darum geht, sich komplizierte Passwörter einfallen zu lassen. Das empfänden viele als mühsam, auch wenn es um die persönliche Sicherheit geht. Und: Der Mensch sei im Grunde ein Herdentier, deshalb seien wir «von Natur aus sozial und kooperativ veranlagt, weil man früher oft nur in der Gemeinschaft überleben konnte.» Besonders anfällig auf Manipulation sind wir offenbar dann, wenn unser Gegenüber oder der Absender eine autoritäre Rolle einnimmt: «Dem Techniker muss man doch das Passwort geben, aufs gefälschte E-Mail der echten Bank sollte man doch reagieren, sonst machen sie womöglich den Geldhahn zu.»

 

«Wir sind von Natur aus sozial und kooperativ veranlagt, weil man früher oft nur in der Gemeinschaft überleben konnte.»

Prof. Dr. Christian Fichter, Sozial- und Wirtschaftspsychologe

 

Klar, Menschen können auch vernünftig sein und handeln, doch Social-Engineering-Angriffe seien psychologisch eben genauso aufgebaut, dass sie bei vielen mitten ins Zentrum der menschlichen Verletzlichkeit zielen. Und oftmals auch treffen. Und seien wir ehrlich: Auf dem falschen Fuss erwischt, kurz unachtsam, gerade etwas überlastet, überrumpelt, unwissend oder schlicht und einfach naiv - nennen Sie es, wie Sie wollen: Es gibt zig Situationen, in denen wir im täglichen Leben Gefahr laufen, uns falsch zu entscheiden oder manipulieren zu lassen. Neugierde versus Vernunft, Hoffnung versus Wahrscheinlichkeit. Innerpsychologische Duelle selbst dann, wenn Situationen förmlich danach schreien, als Social-Engineering-Angriff entlarvt zu werden.

 

 

Lass das, Adam – du auch, Eva!

 

Nun, solange es Menschen gibt, werden wohl Social-Engineering-Angriffe aller Art stattfinden. Ob im direkten Kontakt oder am Telefon: Gehen Sie sorgfältig mit Ihren Auskünften um, bleiben Sie skeptisch, denn ein gesundes Misstrauen kann Ihnen viel Ärger ersparen. Am Computer ist das erste Gebot ein intaktes Antivirusprogramm mit regelmässigen Updates. Dazu sichere Passwörter für alle Ihre Zugänge. Trotzdem: Saure Digital-Äpfel werden auch künftig an all Ihren Sicherheitsvorkehrungen vorbei den Weg in Ihre und Abermillionen weitere Postfächer finden. Meist lassen sich solche Angriffe ziemlich schnell als Phishing-Versuche identifizieren. Hier gilt: entlarven, melden, löschen. Denn, lieber Adam, liebe Eva, falls es noch nicht klar sein sollte: Sie sind es, die sich zwischen Bürostuhl und Tastatur befinden. Geben Sie acht und stellen Sie sicher, dass Sie dabei nicht in der Phishing-Hölle landen.

 

 

 

Sind Sie sicher?

Die «Swiss Internet Security Alliance», der auch die Swisscom angehört, hat das Ziel, die Schweiz zum «saubersten» Internet-Land der Welt zu machen. Dies indem die Infektionsrate von Geräten im Internet reduziert und möglichst tief gehalten werden soll. Im kostenlosen Security-Check überprüfen Sie Ihren Computer auf Sicherheitsrisiken.

 

Mehr Informationen unter: www.swiss-isa.ch

 

 

Diskutieren Sie mit

 

 

Nutzungsbedingungen

Vielen Dank für Ihren Beitrag. Wir publizieren Leserkommentare von Montag bis Freitag.