Was ist eigentlich

Social Engineering?

 

 

 

Sie ist hübsch, Single und ihre Nachrichten sind so aufregend wie ihre blonde Mähne. Und ehe sich der Empfänger ihrer Freundschaftsanfrage auf Facebook versieht, schreiben sie sich ununterbrochen kurze, verführerische Nachrichten. An manchen Tagen auch lange, sehr intime E-Mails. Es ist echt verrückt, wie viel er und seine zufällige Online-Bekanntschaft gemeinsam haben. Er fühlt sich geborgen und zum ersten Mal seit Jahren aufrichtig verstanden. Und das, obwohl sie sich noch nie persönlich begegnet sind. Manche Menschen führt das Schicksal zusammen – und andere fallen auf einen Betrüger herein. Das ist Social Engineering.

Ohne dass die Opfer auch nur einen Moment darüber nachdenken, geben sie vertrauliche Informationen von der Arbeit preis oder überweisen Geld an einen ihnen eigentlich völlig unbekannten Menschen. Social Engineering bringt Menschen dazu, etwas gerne zu tun, das sie eigentlich nie vorhatten. Anders als Sie nun vermuten könnten, ist Social Engineering jedoch keine Motivationstechnik, sondern eine besonders raffinierte Form des Betrugs. Wir erklären Ihnen, was Social Engineering ist, wen es treffen kann und wie Sie sich davor schützen können.

Wie ist Social Engineering entstanden?

Ursprünglich stammt die Idee des Social Engineerings aus der Philosophie. Karl Popper schuf den Begriff 1945 und bezeichnete damit zunächst soziologische und psychologische Elemente zur Verbesserung gesellschaftlicher Strukturen. Poppers Prinzip basiert im Wesentlichen darauf, dass der Mensch wie eine Maschine optimiert werden kann. In den 1970er Jahren ergänzten Poppers Nachfolger seine Theorie um einige psychologische Taschenspielertricks. Ihr Ziel war jedoch nicht der Datenraub – sie wollten die Menschen zu einem besseren Miteinander und einem größeren Gesundheitsbewusstsein bewegen. Auch hier handelt es sich genaugenommen um Manipulation – nur das Ziel ist ein anderes. Im allgemeinen Sprachgebrauch verstehen wir heute unter Social Engineering jedoch eher die betrügerische Form der unterschwelligen Beeinflussung. 

Wie funktioniert Social Engineering?

Auch wenn die Methode ihren philosophischen Wurzeln treu bleibt, haben sich die Motive der Social Engineers deutlich gewandelt. Wer versteht, wie Menschen ticken, kann sie mit etwas Fingerspitzengefühl – und etwas mehr kriminellem Potenzial – gezielt manipulieren. Oft schlüpfen die Betrüger in die Rolle eines Bekannten, eines vertrauenswürdigen Handwerkers oder täuschen vor, von einer Bank oder gar der Feuerwehr zu sein. So erschleichen sich die Täter das Vertrauen und oft auch sensible Daten.

Kurz: Social Engineers versuchen, Menschen für ihre Zwecke zu instrumentalisieren. Einer der bekanntesten Social Engineers ist der Hacker Kevin Mitnick. Durch die schiere Zahl der Einbrüche in fremde Computer wurde Mitnick bald zu einem der meist gesuchten Personen der Vereinigten Staaten. Er soll hunderte Male in einige der bestgesicherten Netzwerke der USA eingedrungen sein; auch das Verteidigungsministerium und sogar die NSA soll er ausspioniert haben. Mitnick schreibt in seinem Buch „Die Kunst der Täuschung“, dass Social Engineering deutlich schneller zu den gewünschten Informationen führt als rein technische Methoden. Statt Spionagesoftware zu entwickeln, programmiert Mitnick den Willen seiner Mitmenschen.

Wie sieht Social Engineering im Internet aus?

Im digitalen Zeitalter nutzen Betrüger diese Taktik auch im Internet: Oft fängt alles mit einer E-Mail an, manchmal auch mit einer Nachricht über ein soziales Netzwerk. Der Klassiker ist die Phishing-Mail, die auf eine perfekt gefälschte Webseite lockt. Wer dort seine Daten eingibt, der reicht sie direkt an die Kriminellen weiter. Manchmal spielen die Cyberkriminellen auch mit der Neugier ihrer Opfer und verschicken Mails mit einem Link, der angeblich zu einem Gruß von einem Bekannten führt. Statt einer netten Nachricht erwartet den Nutzer nach dem Klick ein Malware-Download.

Beispiel: Robin Sage

Ein prominentes Beispiel für Social Engineering über soziale Netzwerke ist der Fall von Robin Sage: Sage war jung, hübsch – und frei erfunden. 2010 erstellte der US-IT-Experte Thomas Ryan ein Social Media-Profil mit dem Foto und den Interessen einer attraktiven jungen Frau. Ryans fiktive Figur wickelte Militärs, Industrielle und Politiker reihenweise um den Finger und entlockte ihnen vertrauliche und höchst sensible Informationen. Dabei hatte keiner der Betroffenen Sage je persönlich getroffen. Allein über die sozialen Medien verschickte Ryan derart glaubwürdige und verführerische Nachrichten, dass seine Opfer keinen Verdacht schöpften – und offen drauflos plauderten. Ryan ging es dabei aber weniger um die erbeuteten Daten. Er wollte den Menschen als Sicherheitslücke entlarven, was ihm eindrucksvoll gelungen ist.

Was bedeutet Human Hacking?

Da die Social Engineers die Beeinflussbarkeit des Menschen als Sicherheitslücke erkannt haben, sprechen IT-Experten auch von Human Hacking. Statt eines Computers wird dabei die Psyche eines Menschen gehackt und ihm werden so unbemerkt Informationen entlockt, die er eigentlich nicht preisgeben wollte. Außerdem kann er durch die Manipulationen auch zu Taten gebracht werden, die er eigentlich nicht ausgeführt hätte. Plakativ gesprochen ist der Mensch also ein ernstzunehmendes Sicherheitsrisiko: Während Virenscanner und Firewalls das IT-System sehr gut schützen können, bleiben die Anwender weiterhin manipulierbar. Das Bundeskriminalamt spricht deshalb auch von der „Schwachstelle Mensch“. Während ein Computer rein rational arbeitet, wird der Mensch auch von seinen Emotionen geleitet. Manche Forscher nehmen an, dass fast 80 Prozent unserer Entscheidungen gefühlsbasiert getroffen werden. Unser Verstand hat demnach in vielen Fällen wenig Mitspracherecht. Und genau das nutzt das Human Hacking aus.

Wen bedroht Social Engineering?

Deshalb tritt Social Engineering praktisch überall dort auf den Plan, wo Menschen der Schlüssel zu Geld oder interessanten Informationen sind. So können staatliche Einrichtungen und Behörden genau so wie Konzerne oder Privatpersonen manipuliert und ausspioniert werden. Laut einer Studie des IT-Branchenverbands Bitkom verursachen digitale Wirtschaftsspionage, Sabotage oder Datendiebstahl deutschen Unternehmen jedes Jahr ein Schaden von rund 51 Milliarden Euro. 19 Prozent der befragten Unternehmen haben in diesem Zusammenhang Social Engineering registriert. Neben Geld werden nicht selten auch Ideen oder geheime Daten erbeutet. Und das alles, ohne dass der Herausgebende etwas von dem Betrug ahnt. 

Warum fallen Menschen auf die Betrüger herein?

Mit Blick auf die teils horrenden Summen, die sich die Betrüger erschwindeln, drängt sich eine Frage auf: Was bringt einen Menschen dazu, sich derart hinters Licht führen zu lassen? Eines vorneweg: Um Opfer von Social Engineering zu werden, muss man keineswegs naiv sein. 2015 gaukelte ein US-amerikanischer Schüler einigen CIA-Mitarbeitern vor, ein IT-Experte zu sein und gelangte so an wichtige Zugangsdaten. Drei Tage lang hatte er so Zugriff auf das E-Mail-Konto des CIA-Direktors. Das Ironische dabei: Im Gegensatz zur National Security Agency (NSA) liegt einer der Schwerpunkte der CIA auf der Beschaffung von Informationen durch Menschen. Entsprechend sind CIA-Mitarbeiter mit dem Prinzip des Social Engineerings bestens vertraut.

Welche psychischen Mechanismen stecken dahinter?

Das Social Engineering so erfolgreich sein kann, liegt an der relativen Berechenbarkeit des menschlichen Denkens und Verhaltens. Im Wesentlichen nutzt Social Engineering bestimmte Grundeigenschaften aus: Die Psychologen Myles Jordan und Heather Goudey haben in einer Studie 12 Faktoren herausgefiltert, auf denen die erfolgreichsten Fälle von Social Engineering zwischen 2001 und 2004 beruhten. Darunter sind unter anderem: Unerfahrenheit, Neugier, Gier oder der Wunsch nach Liebe. Es sind also sehr grundlegende Emotionen und Persönlichkeitsmerkmale, die sich teilweise sogar gegenseitig verstärken können. So haben die Täter leichtes Spiel. Wichtige Basis für das Social Engineering ist es, dass der Mensch bei seinen Emotionen gepackt wird und der Verstand keinen Anteil an der Entscheidung hat.

Beispiel: Die Russian-Bride-Masche

Besonders deutlich wird das am Beispiel der sogenannten Russian Bride-Masche: Sie hat gezielt west- und mitteleuropäische Single-Männer im Visier. In Spam-E-Mails verführen junge, meist sehr attraktive Russinnen Männer dazu, Waren oder fremdes Geld weiterzuleiten oder sich mit ihnen zu treffen. In der Hoffnung auf die große Liebe oder zumindest ein schnelles Liebes-Abenteuer beteiligen sich die Männer unwissentlich an Geldwäsche und Schmuggel. Viele Opfer verlieren auf diese Weise sogar ihr Vermögen.

Mit Bitten wie „Ich kann Dich nur besuchen, wenn ich die passenden Papiere bekomme, aber hier sind alle korrupt. Schick mir Geld für die Dokumente und Anwälte.“ schmeicheln sich die Täter direkt in die Brieftaschen ihrer Opfer. Später bitten sie zusätzlich um Geld für die Reise oder neue Kleidung. Sie bedienen sich solange am Vermögen ihrer Opfer, bis diese Verdacht schöpfen – oder mittellos sind. Doch nicht nur die Absichten der jungen Frauen, sondern auch deren Existenz sind oft eine Täuschung: Statt einer heiratswilligen Russin sind nicht selten auch Männer jeden Alters aus unterschiedlichsten Herkunftsländern Absender der verführerischen Nachrichten.

Was wissen die Angreifer über die potentiellen Opfer?

Um jemanden zum unwissenden Mittäter zu machen, gehen die Betrüger sehr unterschiedlich vor. Auch die Kenntnis über das zukünftige Opfer variiert. Beim klassischen Spam wissen die Betrüger nichts über ihre Opfer. Diese Methode basiert auf der reinen Masse an Mails, die wie ein riesiges Treibnetz funktioniert. Bei der Vielzahl von Adressaten gehen den Tätern mit hoher Wahrscheinlichkeit einige Opfer ins Netz. Andere Methoden erinnern dagegen eher an das Angeln einer ganz bestimmten Fischart: gezielt und mit dem Wissen darüber, bei welchem Köder der Fisch anbeißen wird. Solche spezialisierten Phishing-Aktionen nennen sich auch Spear-Phishing, da die Täter ihr Opfer dabei wie beim Speerfischen ganz gezielt aussuchen. Wenn der Fisch etwas größer ist, beispielsweise ein ranghoher Mitarbeiter eines internationalen Unternehmens, sprechen Experten auch von Whaling – der Jagd auf einen Wal. Das Wissen über die Opfer hängt also vor allem von der erhofften Beute ab.

Wie finden die Täter etwas über ihre Opfer heraus?

Eine Mischung aus Offline- und Onlinebemühungen ist das so genannte Dumpster Diving: Die Betrüger durchsuchen den Abfall der Zielperson, um möglichst viel über deren Verhalten, Interessen und die Lebenssituation herauszufinden. Babywindeln, Medikamentenschachteln oder Boxen vom Pizzalieferanten? Aus solchen vermeintlichen Kleinigkeiten können Social Engineers wichtige Informationen ableiten. Viel bequemer als das Durchwühlen von Mülltonnen ist das Durchleuchten eines Menschen auf Social Media-Plattformen. In öffentlichen Posts, Likes oder Fotos präsentieren unbedachte Nutzer den Tätern ihre Persönlichkeit auf dem Silbertablett und machen es Betrügern leicht, sich mit vorgetäuschten Gemeinsamkeiten bei ihnen einzuschmeicheln. 

Weitere Informationen und Quellen

  • G DATA Whitepaper: Gefährliche E-Mails

  • G DATA rät zur Vorsicht bei Mails von Amazon

  • G DATA Internet Security

  • Jordan, M., Goudey, H. (2005) "The Signs, Signifiers and Semiotics of the Successful Semantic Attack". In: Proceedings of the EICAR 2005 Conference, S. 344-364.

  • Mitnick, Kevin D., Simon, William (2003) "Die Kunst der Täuschung". mitp-Verlag