26.03.2018

Social Engineering: Wie Nutzer „gehackt“ werden

Was sind die besonders erfolgreichen Social-Engineering-Methoden der Datendiebe? Neue Studien geben Einblick. Nutzen Sie diese Erkenntnisse für Ihre Datenschutzunterweisung, damit der Mensch nicht zum Hacker-Ziel Nummer 1 wird.

Social Engineering: neue Studie

Social Engineering ist eine Angriffsmethode, die das Vertrauen der Nutzer ausnutzt und die Anwender zu einer Datenweitergabe verleitet. Sie erfreut sich unter den Datendieben einer immer größeren Beliebtheit.

Der Grund: Nutzer lassen sich nicht einfach automatisch absichern, wie dies bei Hard- und Software zumindest teilweise möglich ist.

Greifen Sie in Ihrer Datenschutzunterweisung daher immer wieder das Thema Social Engineering auf.

Wie das Hacking von Nutzern funktioniert

Social Engineering mag also einigen Teilnehmern Ihrer Datenschutz-Schulung bekannt sein. Doch es existieren viele falsche Vorstellungen.

Das beginnt damit, dass viele Nutzer glauben, die Hacker versuchten nur über E-Mails und Webseiten, Daten zu stehlen. Sie setzten also auf Phishing-E-Mails und gefälschte Log-in-Seiten. In Wirklichkeit nutzen die Datendiebe jede Form der Kommunikation, um ihre Täuschung anzubringen.

Social Engineering funktioniert nicht nur über E-Mails und Webseiten, sondern auch

  • über Chat-Dienste,
  • über das Telefon,
  • über Fax-Nachrichten,
  • mit der klassischen Briefpost und sogar
  • von Angesicht zu Angesicht.

Angreifer könnten die Mitarbeiter also auch am Telefon oder per Brief dazu verleiten, vertrauliche Daten oder Wege dorthin preiszugeben.

Datenschutzunterweisung als „Fehlerbehebung“

Viele IT-Sicherheitsforscher halten die Nutzer für die größte Schwachstelle überhaupt. Beheben lässt sich die Sicherheitslücke nicht technisch. Sondern nur, indem Sie die Beschäftigten sensibilisieren.

Anzeige

Social Engineering Tipp der Redaktion: Mitarbeiterschulung Grundlagen des Datenschutzes 2018Sie haben keine Zeit, die Mitarbeiter per Präsenz-Schulung zu unterweisen? Dann testen Sie doch einmal ein Computer based Training zum Datenschutz!

Kostenlos testenJetzt kostenlos testen!


Die Psychologie des Social Engineering verstehen

Machen Sie den Nutzern zunächst deutlich: Die Täuschung  ist weitaus facettenreicher als die gefälschte E-Mail der Bank. Der Klassiker: Man müsse sich wegen bestimmter Probleme umgehend auf der Online-Banking-Seite anmelden, die gefälscht ist und dazu dient, die Anmeldedaten abzugreifen.

Es kann auch der angebliche Pizza-Bote am Empfang sein. Das Fax des scheinbar neuen Vertriebspartners. Oder die Chat-Nachricht des angeblichen Freundes.

Die Zahl der Beispiele ist endlos. Deshalb ist es wichtig, die Methode hinter der Täuschung zu verstehen, die psychologischen Tricks der Datendiebe.

Social-Engineering-Taktiken

Der Report „Exploring the Psychological Mechanisms used in Ransomware Splash Screens“ von Cyber-Psychologe Dr. Lee Hadlington von der De Montfort Universität veranschaulicht, wie Cyberkriminelle Social-Engineering-Taktiken einsetzen, um Menschen zu manipulieren. Die Methoden reichen von Angst über Autorität bis zu Zeitdruck und Humor.

Dabei hat Dr. Hadlington unter anderem die sprachliche Ausdrucksweise und die Optik von 76 Angriffen analysiert.

Hier die wichtigsten Ergebnisse der Analyse zusammengefasst:

  • Kritischer Faktor Zeit: Bei mehr als der Hälfte der Stichproben (57 Prozent) setzte eine ablaufende Uhr die User unter Druck. Die Fristen beliefen sich auf Zeitspannen zwischen zehn und 96 Stunden.
  • Negative Folgen: In den meisten Fällen wurde den Opfern angedroht, dass sie den Zugang zu ihren Daten verlieren und diese gelöscht werden, sollten sie nicht bezahlen beziehungsweise die Zahlfristen nicht einhalten. Hin und wieder wurde auch die Veröffentlichung der verschlüsselten Daten im Internet angekündigt.
  • „Anwenderfreundlichkeit“: 51 Prozent der Mitteilungen über die Attacke waren dabei recht anwenderfreundlich gestaltet. Sie gaben den Opfern etwa genaue Instruktionen oder enthielten eine Liste häufig gestellter Fragen (FAQ). In einem Fall wurde den Opfern sogar angeboten, mit „einem Mitarbeiter“ zu sprechen.
  • Bildsprache: Beim Bildmaterial fiel auf, dass in einigen Fällen offizielle Markenzeichen und Embleme eingesetzt werden. So auch das Wappen des FBI, das Autorität und Glaubwürdigkeit vermitteln soll.

„Hacking die Human OS“

Auch die Studie „Hacking die Human OS“ von McAfee gibt hilfreiche Hinweise, die Sie für eine Schulung nutzen können.

Machen Sie den Nutzern deutlich, dass die Angreifer sich zunehmend Mühe geben, die Opfer kennenzulernen, also Angriffspunkte und Zugangswege zu finden. Hier bieten die Profile in den sozialen Netzwerken meist genug Material. Die Profile dienen dazu, eine für das Opfer passende Geschichte zu erfinden. Sie bildet die Basis der Attacke.

Die Hebel, die die Angreifer dann auf den Nutzer anwenden, sind insbesondere

  • ein angeblicher Gefallen, den der Angreifer dem Opfer erweist,
  • eine künstliche Verknappung der Zeit, damit das Opfer schnelle, unüberlegte Entscheidungen trifft,
  • ein Hinweis auf eine angebliche Verpflichtung des Opfers,
  • das Ausnutzen von scheinbarer Attraktivität und Sympathie,
  • das Vorspielen von Autorität gegenüber dem Opfer und
  • der Hinweis darauf, dass alle anderen etwas Bestimmtes tun, das das Opfer ebenfalls nun tun sollte.

Die Arbeitshilfe liefert Ihnen eine Übersicht über diese Hebel und nennt Beispiele:


Download: Übersicht zu den Methoden im Social Engineering


Neue Erkenntnisse zur Manipulation des Nutzers

Zum Schluss noch ein wenig Zahlenmaterial. Damit können Sie beispielsweise gegenüber der Geschäftsleitung pro Mitarbeiterschulung argumentieren.

51,6 Prozent der befragten deutschen Unternehmen waren schon Opfer von organisierter Kriminalität.  Dabei kam vor allem Social Engineering zum Einsatz, so die Studie „Future Report“ des Bayerischen Verbands für Sicherheit in der Wirtschaft (BVSW) e.V.

Die Forscher von Airbus CyberSecurity sehen dies ähnlich. Sie sagten: 2017 war regelmäßig zu beobachten, dass Angreifer Social-Media-Plattformen nutzen, um gefälschte Nachrichten in Umlauf zu bringen oder die öffentliche Meinung zu manipulieren.

Eine Studie des Digitalverbands Bitkom unterstreicht die Gefahr: Rund jedes fünfte Unternehmen berichtete 2017 demnach von Social Engineering (Analoges Social Engineering 20 Prozent, Digitales Social Engineering 18 Prozent).

Dabei wurden Mitarbeiter manipuliert, um an sensible Informationen zu kommen. Damit konnten die Angreifer dann zum Beispiel Schadsoftware auf die Firmenrechner bringen.

Die Cisco Security Studie 2017 berichtet von Business Email Compromise (BEC-Angriffe): Diese Art der Social-Engineering-Angriffe verleitet Mitarbeiter dazu, über eine offiziell aussehende E-Mail Überweisungen an die Angreifer auszuführen. Zwischen Oktober 2013 und Dezember 2016 wurden laut Internet Crime Complaint Center über BEC-Angriffe insgesamt 5,3 Milliarden US-Dollar gestohlen.

Die Angreifer arbeiten gezielt: Vor allem die Personal- und Finanzabteilungen von Unternehmen sind Balabit zufolge durch Social-Engineering-Angriffe gefährdet. Bei solchen Attacken nutzen Angreifer beispielsweise Phishing-E-Mails und gefälschte Facebook-Nachrichten, um sich Zugang zu Log-in-Daten der Opfer zu verschaffen.

Die EclecticIQ-Umfrage auf der IT-Sicherheitsmesse it-sa 2017 zum Handlungsbedarf in der Datensicherheit ergab: Die dringlichste Maßnahme ist die Fort- und Weiterbildung von Mitarbeitern (81 Prozent).

Dabei geht es nicht nur um Grundlagenarbeit, wie etwa eine Aufklärung über sichere Passwörter oder Schulungen über den Umgang mit sensiblen Daten. Sondern es geht auch darum, Mitarbeiter zu erhöhter Vorsicht zu mahnen, wenn gezielte Kampagnen gegen ein Unternehmen oder eine Branche bekannt werden.

So lassen sich Spear Phishing und andere Social-Engineering-Methoden gezielt bekämpfen.

Autor: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)