Das schwächste Glied
Anders als erwartet begegnen uns die Grundlagen für Social Engineering jeden Tag. Ob beim Einkaufen im Supermarkt, der Arbeit oder beim abendlichen Treffen mit Freunden. Wir befolgen Anweisungen von Vorgesetzten, sympathisieren mit Menschen die uns ähnlich sind und vergelten Gleiches mit Gleichem. Selbst unsere Sprache ist davon nicht unverschont geblieben: „Eine Hand wäscht die andere“, sagt der Volksmund.
All diese sozialen Fähigkeiten versucht ein Social Engineer gegen uns zu verwenden. Unsere Gutgläubigkeit, Hilfsbereitschaft und Autoritätshörigkeit werden dabei ausgenutzt.
Im Gegensatz zu Computersystemen, deren Schwachstellen sich durch einen neuen Patch beheben lassen, ist dies bei Menschen nur bedingt möglich.
Die Gefahren
In einer Studie an der Université du Luxembourg wurde 2016 die Wirkung unserer Neigung zur Reziprozität (Prinzip der Gegenseitigkeit) im Bereich Social Engineering analysiert. Hierbei wurden Passanten auf offener Straße zur Computersicherheit befragt. Im Laufe des Gesprächs wurden die Probanden auch aufgefordert ihr Passwort auf den Umfragebogen zu schreiben.
Die Probanden wurden während der Studie in drei Gruppen unterteilt. Dem ersten Drittel wurde zu Beginn der Umfrage Schokolade gegeben, dem zweiten Drittel vor der eigentlichen Frage nach dem Passwort und dem letzten Drittel erst nach der Umfrage. Während beim letzten Drittel trotzdem noch knapp 30% ihr Passwort aufschrieben, ließ sich dies durch die Schokolade direkt vor der Frage auf fast 50% steigern.
Die Studie zeigt ganz gut das Vorgehen eines Social Engineers. Durch die Vortäuschung bestimmter Tatsachen (z.B. die Teilnahme an einer Umfrage) wird versucht ein gewisses Vertrauen zur Zielperson aufzubauen. Die wichtige Frage nach Informationen (z.B. Passwörter, Nutzerdaten, Kundennummern) wird dabei mitten in das Gespräch eingestreut und ohne große Relevanz behandelt.
Ein Beispiel
Stellen Sie sich vor, ihr Festnetztelefon klingelt. Am anderen Ende der Leitung ist ein freundlicher Mitarbeiter der Stadtwerke, sie machen gerade eine Umfrage zur Kundenzufriedenheit. Sie willigen ein und nachdem er Ihnen ein paar Fragen gestellt hat nennt er Ihnen noch einmal Ihren Namen und Ihre Anschrift. Außerdem benötigt er noch Ihre Kundennummer, damit die Stadtwerke die Daten abgleichen können. Der Gesprächspartner weist darauf hin, dass Sie ihre Nummer nicht unbedingt heraus suchen müssen, wenn ein paar Nummern fehlen würde dies dem Chef schon nicht auffallen. Sie suchen ihm natürlich trotzdem schnell Ihre Nummer heraus, nervige Chefs kennen Sie selbst zur Genüge und ihretwegen soll der nette Mitarbeiter doch keinen Ärger bekommen, oder?
Wenn Sie jetzt denken, wie wichtig denn Ihre Kundennummer der Stadtwerke ist und was ein böswilliger Mensch damit machen könnte, dann versuchen sie einmal herauszufinden über welches Konto Ihre Stromrechnung abgebucht werden. Sie werden staunen wie weit Sie mit Ihrem Namen und Ihrer Adresse aus dem Telefonbuch kommen, wenn Sie zusätzlich noch Ihre Kundennummer angeben können.
Es geht auch ohne Telefon
In einer Studie von Google und der University of California, Berkeley wurden ein Jahr verschiedene Zugänge zu gestohlene Zugangsdaten gesammelt, analysiert und ausgewertet.
Innerhalb ihres Untersuchungszeitraums identifizierten die Forscher 788.000 potentielle Opfer gebrauchsfertiger Keylogger, 12,4 Millionen potentielle Opfer von Phishing Kits und 1,9 Milliarden Benutzernamen und Passwörter aus Datenlecks, die auf Schwarzmarkt Foren gehandelt wurden.
Fazit
Solange es soziale Interaktion zwischen Menschen gibt, solange wird es auch Social Engineering geben. Daran lässt sich nichts patchen, upgraden oder umschreiben.
Trotzdem können wir uns darauf vorbereiten und etwas dagegen tun. Achtsamkeit bei der Benutzung von Mails oder der Herausgabe von wichtigen Informationen ist ein erster Schritt.
Mit unserem Angebot zur Cyber Security Awareness versuchen wir unseren Teil dazu beizutragen Unternehmen sicherer zu machen.