Social Engineering: Die psychologischen Tricks von Cyberkriminellen und wie man sich schützt

Die sichersten Passwörter und die hochentwickeltsten IT-Sicherheitstechnologien sind nur wenig wert, wenn sich ihr Nutzer dazu hinreißen lässt, wertvolle Daten und Informationen von sich aus preiszugeben.  Und genau darauf sind Social Engineers aus – ihre Methoden werden immer kreativer und sie bedienen sich raffinierter, psychologischer Tricks zur Manipulation ihrer Opfer. Aber wie funktioniert Social Engineering genau und wie kann man sich davor schützen?

Zunächst eine kurze Definition von Social Engineering: Der Ausdruck bezeichnet die gezielte Manipulation von Menschen unter Einsatz verschiedener Methoden, um verdeckt Einfluss auf ihre Entscheidungsprozesse zu nehmen und sie so freiwillig zu bestimmten Handlungen zu bewegen. Häufig werden dazu psychologische Tricks verwendet, die menschliche Schwächen und Emotionen ausnutzen.

Social Engineers oder Social Hacker machen sich grundlegende menschliche Eigenschaften und Verhaltensweisen – sowohl positive als auch negative – geschickt zunutze. Sie spielen mit Vertrauen, Sympathie, Hilfsbereitschaft, aber auch mit Angst, Unsicherheit, Gehorsam oder Neugierde. So wird es von unseren Mitmenschen beispielsweise gerne gesehen, wenn wir nett und hilfsbereit agieren. Vielen fällt es daher schwer, besonders in einer vermeintlichen Notsituation, eine Bitte abzulehnen. Andere haben wiederum Angst, etwas falsch zu machen und tappen so in die Falle. Oft verleitet auch die Tendenz, Konflikte vermeiden zu wollen, zum Ausführen von sicherheitskritischen Handlungen – obgleich man es oft besser weiß.

Erschwerend kommt hinzu, dass sich Social Engineers das Vertrauen ihrer Opfer erschleichen, indem sie das persönliche Umfeld ausspionieren oder andere Identitäten wie jene eines Arbeitskollegen, Bekannten oder einer Autoritätsperson vortäuschen.

Häufig geht Social Engineering mit einer aufwändigen Recherche einher, die sich dank sozialer Medien, in denen bereitwillig private Einblicke geteilt werden, aber auch Unternehmensseiten, LinkedIn oder Xing heute mitunter recht einfach gestaltet. Nicht immer greifen Social Hacker im Sinne einer einmaligen Kontaktaufnahme gleich an. Mitunter bauen sie sich zuerst eine Vertrauensbasis auf, indem sie über einen gewissen Zeitraum hinweg zu ihrem auserwählten Opfer Kontakt halten.

Die Social Engineering Attacke erfolgt erst, wenn der Angreifer genügend Informationen gesammelt bzw. Vertrauen aufgebaut hat, um das Opfer zu täuschen. Beim eigentlichen Angriff wird das Opfer schließlich in einem für diesen überzeugenden Kontext mit einem fiktiven Problem konfrontiert – häufig in einer emotionalen Stresssituation oder unter Zeitdruck – und damit ein Schreckszenario konzipiert. Ein praktischer Lösungsvorschlag für dieses Problem wird dabei gleich mit serviert. Die wahren Absichten werden daher häufig nicht erkannt. Wie erfolgreich dieses Vorgehen funktioniert, hat nicht zuletzt die Netflix-Doku „Der Tinder Schwindler“ eindrucksvoll gezeigt.

Die Kunst des Human Hacking versteht sich folglich darauf, geschickt mit Emotionen zu spielen und Opfer mithilfe psychologischer Tricks wie den Folgenden unter Druck zu setzen:

• Angreifer geben sich oft als autoritäre Person aus oder verweisen auf eine solche, in deren Namen sie um die Ausführung einer Handlung bitten oder dringend Informationen benötigen.
• Es wird „Insiderwissen“ vorgetäuscht.
• Es wird Zeitdruck ausgeübt. Etwas muss sofort geschehen.
• Es werden bewusst Fachtermini verwendet, die das Opfer verunsichern sollen.
• Leistet das Opfer Widerstand, wird mitunter auf Konsequenzen verwiesen oder sogar gedroht. 

Meist erfolgt Social Engineering per Mail oder Telefon. Aber auch auf Social Media oder an öffentlichen Orten – beispielsweise beim Telefonat mit einem Geschäftspartner in der U-Bahn oder beim Essen mit Kollegen – ist man nicht davor gefeit, unbeabsichtigt vertrauliche Informationen preiszugeben. Kreative Scammer nutzen jedenfalls unterschiedlichste Methoden für verschiedenste Angriffspunkte, um an die gewünschten Daten zu gelangen:  

• Pretexting: Hier erfinden Betrüger einen Vorwand oder ein Szenario, um das Opfer zu täuschen und so an sensible Daten zu gelangen. Häufig geben sich die Angreifer als Autoritätspersonen aus, die solche Informationen anfordern dürfen.
• Baiting: Dabei handelt es sich um einen Köderangriff, beispielsweise mit einem mit Malware infizierten USB-Stick. Dieser wird so geschickt platziert, dass er mit großer Wahrscheinlichkeit gefunden und aus Neugierde am PC angesteckt wird. Schon infiziert die Malware unbewusst den PC und alle damit verbundenen Server. Aber auch im Internet können Sie zum Download schadhafter Dateien verführt werden.
• Quid-pro-quo: Bei diesen Angriffen locken Cyberkriminelle mit einer Gegenleistung oder Entschädigung, wenn Sie im Gegenzug sensible Informationen teilen.
• Phishing: Phishing ist die wohl beliebteste Methode der Social Engineers. Dabei geben sich Betrüger als vertrauensvolle Quelle aus, um ihre Opfer zu verleiten, Schadsoftware zu installieren oder persönliche, finanzielle bzw. geschäftliche Daten preiszugeben. Meist werden hierfür E-Mails genutzt.

Spear-Phishing: Während Phishing-Mails häufig an hunderte Empfänger gleichzeitig gesendet werden, handelt es sich beim Spear-Phishing um eine besondere gezielte Art des Phishing-Angriffs, der häufig auf eine bestimmte Person oder Unternehmen gerichtet ist. Hierbei werden persönliche Informationen genutzt, um eine Beziehung zum Opfer, zumindest aber eine Vertrauensbasis zu schaffen, weshalb diese Angriffe häufig von Erfolg gekrönt sind.

Trotz ihrer scheinbaren Banalität sind Angriffe von Social Engineers immer wieder erfolgreich und das aus einem einfachen Grund: Wir sind Menschen und reagieren auf Reize und Emotionen, freuen uns über Komplimente, lassen uns von Autorität blenden und in Panik versetzen. Genau hier setzen Social Hacker an, indem sie ihre Opfer emotional involvieren und menschliche Eigenschaften und Verhaltensweisen gezielt ausnutzen – wie beispielsweise den Wunsch, in einer Notsituation zu helfen. Daher ist auch die Abwehr solcher Attacken gar nicht so einfach.

Wichtig ist, sowohl im privaten als auch im beruflichen Kontext ein Bewusstsein für die Thematik und Vorgehensweise zu schaffen und sich bewusst zu machen, wann und auf welche Weise Sie sich manipulieren lassen bzw. wie Sie die Warnsignale erkennen können. Den wichtigsten Beitrag zur Bekämpfung von Social Engineering liefern tatsächlich die potentiellen Opfer selbst, indem sie Kontaktaufnahmen kritisch hinterfragen, die Identität und das Anliegen des Anfragenden prüfen bzw. sicherstellen und dafür auch unter scheinbaren Zeitdruck höflich um Geduld bitten, bevor weitere Handlungen unternommen werden. Folgende Punkte sollten dabei immer beachtet werden:

• Seien Sie misstrauisch, wenn sich der Absender einer E-Mail nicht zweifelsfrei identifizieren lässt.
• Sensible Informationen sollten nicht am Telefon weitergegeben werden.
• Vorsicht ist auch bei Links und E-Mail-Anhängen geboten. Geben Sie in Mails niemals persönliche oder finanzielle Daten preis und verwenden Sie keine Links, die die Eingabe persönlicher Daten verlangen.
• Sind Sie nicht sicher, ob der Absender einer Mail oder eine Handlungsanweisung auch wirklich der Realität entsprechen, kontaktieren Sie die entsprechende Person telefonisch, um Ihre Authentizität zu überprüfen.
• Wenn Sie auf Social Media viele Informationen über sich teilen, machen Sie sich angreifbarer. Informieren Sie sich daher über die Möglichkeiten von Privatsphäre-Einstellungen und Datenschutz auf Social Media Plattformen. Im Beitrag Facebook Sicherheit: Wichtige Einstellungen und Tipps finden Sie hilfreiche Tipps.