Social Engineering: Die gefährliche Täuschungskunst der sanften Verführer
Bei der Verleihung der OSPA (Outstanding Security Performance Awards), die der ASW Nord im Jahr 2022 im Zoo von Hannover ausgerichtet hat, stand ASW Nord-Geschäftsführer Markus Wagemann mit Michael Willer von Human Risk Consulting auf der Bühne. Kurz vorher hatte dieser das Publikum über die Grundlagen des Social Engineerings informiert. Was das Publikum nicht wusste: Ein Mitarbeiter Michael Willers hatte sich schon als ungebetener Gast eingeschlichen. Zutritt obwohl er nicht auf der Gästeliste stand? Kein Problem, ein Badge wurde schnell beim Einlass für ihn nachgedruckt, nachdem er sich höflich (und unter falscher Identität) vorgestellt hatte... Ein Beitrag von Markus Wagemann, Geschäftsführer bei der Allianz für Sicherheit in der Wirtschaft Norddeutschland e. V., ASW Nord, und Michael Willer von Human Risk Consulting.
Die Legende des ungebetenen Gasts war denkbar einfach: Er hatte sich als Fotograf der Location ausgegeben, obgleich wir zu Beginn der Veranstaltung das offizielle Fototeam vorgestellt hatten. Der zusätzliche Fotograf kam trotzdem niemandem verdächtig vor. Er erzählte den Gästen, dass er sich unter anderem darauf spezialisiert habe, tolle Fotos für Social-Media-Profile zu schießen. Die Fotografierten sollten ihm „ganz einfach“ ihre Visitenkarte geben und er würde Ihnen dann einen Dropbox-Link per Mail schicken, mit dem Betreff „Deine OSPA-Fotos 2022“. Als wir diesen Pen-Test schlussendlich auflösten, hatte der falsche Fotograf etwas mehr als 30 Visitenkarten gesammelt, nahezu ausnahmslos von Sicherheitsmitarbeitern. Die meisten nahmen es mit Humor und viele haben geschworen, dass sie natürlich niemals eine fremde Mail geöffnet hätten.
Das Einmaleins des Social Engineerings
Das Beispiel zeigt eindrucksvoll, wie leicht es ist, Menschen zu täuschen, selbst diejenigen, die die Gefahren kennen. Der Fotograf hatte das richtige Auftreten, passende Kleidung und einen augenscheinlichen Grund da zu sein. Er erschien sympathisch, bewusst harmlos sogar. Ein ganz wichtiger Aspekt: Indem er ihnen tolle Linkedin-Fotos anbot, appellierte er an die Eitelkeit der Menschen. Die vertraute, geschlossene Umgebung mit vielen bekannten Gesichtern und zeitigem Ausschank taten ihr Übriges. Die Anwesenden fühlten sich sicher, waren weniger auf der Hut – das Einmaleins des Social Engineerings.
Der Social Engineer nutzt grundlegende psychologische Mechanismen bewusst aus. Er schafft blitzschnell Vertrauen, erzeugt selten eine Bedrohung und weiß genau, wie 97 von 100 Menschen in bestimmten Situationen reagieren. Ein netter Plauderton, überzeugendes authentisches Auftreten und schon sagt das Gehirn: Keine Bedrohung! Warum? Weil sozusagen alles passt.
Um zu verstehen, warum wir reagieren wie wir reagieren, müssen wir in eine Zeit zurückgehen, in der es noch keine Sprache gab. Unser Gehirn ist darauf getrimmt, auch wenn wir es manchmal nicht mehr merken, blitzschnell zu kategorisieren: Freund oder Feind? Anzeichen für Bedrohung oder Aggressivität? Diesen Radar weiß der Social Engineer zu umgehen, indem er das Gehirn mit genau den Signalen füttert, die es zur Beruhigung braucht.
Spoofing und Vishing
Die Anekdote mit dem falschen Fotografen zeigt nur eine von vielen Methoden auf, die im Rahmen des Social Engineering eingesetzt werden. Weitere Angriffsmöglichkeiten beinhalten technische Hilfsmittel bzw. Tricks wie den Einsatz einer bekannten Telefonnummer durch sogenanntes „Spoofing“. In so einem Fall spricht man von einer Vishing-Attacke (Voice Phishing).
Michael Willer von Human Risk Consulting betont bei seinen Vorträgen immer: Der Social Engineer manipuliert die Menschen so, dass sie in seinem Sinne handeln und verführt damit seine Opfer zu einem unzulässigen Verhalten.
Verführung? In seinem Sinne handeln? Unzulässiges Verhalten? Viele von uns denken direkt an das Thema Hochstapelei. Catch Me If You Can, Suits, Der Clou, White Collar oder noch zahlreiche weitere Filme und Serien erzählen davon. Wir mögen alle den smarten Gentleman-Verbrecher, der gewitzt und ohne Gewalt Menschen überlistet, smart, fast schon gerecht wie ein Robin Hood. Sucht man bei Google nach Viktor Lustig – einem der größten Hochstapler aller Zeiten – so findet man rasch 2.560.000 Einträge über den böhmischen Hochstapler, der zwei Mal den Eifelturm verkauft hat. Bis heute weiß niemand wie sein wirklicher Name lautet; er hatte unter anderem 46 verschiedene Aliase auf mehreren Kontinenten. Eine Suche nach „Catch me if you can“ erreicht insgesamt 2.560.000.000 Einträge. Betrug und Hochstapelei haben Hochkonjunktur.
Betrug als Dienstleistung
Abgesehen von harmlosen Hollywood-Anekdoten ist Betrug nicht witzig oder charmant. „Fraud as a service“ erfreut sich als illegale Dienstleistung großer Beliebtheit. Man bestellt es wie eine Pizza. Beispielsweise als harmlose Anrufe bei einem Opfer nach einer Cyber-Attacke. Unschuldige Fragen wie: „Ist Ihr IT-Leiter in der Nähe?“ „Funktionieren denn eure Drucker noch?“ sind auf den ersten Blick nicht schädlich, geben aber dem ursprünglichen Angreifer viele nützliche Informationen. Die Täter sitzen in Callcentern und tätigen solche Anrufe von morgens bis abends oder sie bedienen instant Messenger – alles nach vorgefertigten Mustern und Textplänen.
Mittlerweile eine bekannte Methode, vor einigen Jahren jedoch eine geschickte Methode um Menschen dazu zu bringen, Geld an Betrüger zu überweisen, ist die des sogenannten Smishing (SMS-Phishing). Die Texte waren dabei immer recht ähnlich:
Und so nimmt das Smishing seinen Lauf. Am Ende steht immer die Forderung nach einer Sofortüberweisung, meist ein paar Tausend Euro für ein neues Macbook und oder Handy. Diese Methode ist – wenn man so will – die digitale Variante des Enkeltricks. Leider fallen immer noch unzählige Opfer darauf herein.
Schnell geklickt – Betrug geglückt
Stellen wir uns folgende Situation vor: Sie befinden sich auf Dienstreise, mitten im Stress und zwischen den Meetings erhalten Sie einen Anruf von der IT-Abteilung Ihres Arbeitgebers. Zwar kennen Sie die Person am anderen Ende der Leitung nicht, aber die Nummer stimmt. Ein kurzer Austausch am Telefon, der vermeintliche Kollege erklärt einen kleinen IT-Vorfall, nichts Großes, aber es sollte schon unbedingt gehandelt werden. Sie erhalten gleich eine E-Mail, müssen lediglich auf den Link klicken bzw. ein Programm ausführen und schon ist alles erledigt. Klick, klick, Doppelklick – erledigt, im wahrsten Sinne.
Was genau ist passiert? Mit Hilfe von Spoofing haben die Angreifer die Telefonnummer der IT-Abteilung simuliert. Dadurch wächst das Vertrauen und die Awareness sinkt. Es gibt noch zahlreiche andere Angriffsmethoden, die der Social Engineer benutzt, um sich Zugang zu gesicherten Bereichen zu verschaffen (Tailgating) – bis hin zum Dumpster Diving. Auch Großevents wie Fußballmeisterschaften, Olympiade und dergleichen, sind übrigens Spielplätze für den geübten Social Engineer. Seien Sie also wachsam!
Kleines Social-Engineering-Glossar
- Vishing (Voice Phishing): Social Engineering Angriff über das Telefon, meist mit dem Ziel des Datendiebstahls bzw. der Informationsgewinnung über einen Anruf.
- Spear Phishing: Ganz gezielter, auf eine Person oder ein Zielunternehmen abgestimmter Mailbetrug, bei dem meist ein anderer Absender vorgetäuscht und der Empfänger dazu verleitet werden soll, vertrauliche Informationen preiszugeben oder bestimmte Handlungen (z. B. Linkklicks) auszuführen.
- Spoofing: Das Vortäuschen einer anderen Telefonnummer (Anrufer-ID-Spoofing) oder Mailadresse durch technische Simulation.
- Smishing: Beim Smishing (SMS Phishing) erhält das Opfer eine SMS oder Textnachricht über einen Messenger. In dieser Nachricht befindet sich meistens ein schädlicher Link.
- Shoulder Surfing: Ein Blick über die Schulter einer Person, welche gerade an einem Handy, Laptop etc. arbeitet kann dem Angreifer nützliche Informationen liefern.
- Dumpster Dive: Der Blick in den Papiermüll eines Unternehmens kann dem Angreifer nützliche Informationen liefern, um dann im nächsten Schritt einen Angriff darauf aufzubauen.
- Social Engineering: Beeinflussen und Manipulieren von menschlichem Verhalten, um ein bestimmtes Ziel zu erreichen, z. B. vertrauliche Informationen zu gewinnen oder eine Person zum gewünschten Handeln zu verleiten.