Zur Werkzeugleiste springen

Warum funktioniert Social Engineering?

Vereinfacht gesagt funktioniert Social Engineering, weil Menschen menschlich sind.

Human Hacker nutzen Erkenntnisse aus Sozialwissenschaften und insbesondere Psychologie, um Strategien und Methoden zu entwickeln, welche zwar nicht bei allen Menschen gleich, aber bei einer kritischen Menge ausreichend, wirkungsvoll sind.

Die Angriffsvektoren1

In „Psychological Based Social Engineering“ identifiziert  der Autor Charles E. Lively, Jr. vier Angriffsvektoren:

Sorglosigkeit

Komfortzone

Hilfstendenz

Angst

Dabei sind solche Strategien häufig nicht eindeutig einem Angriffsvektor zuordenbar, sondern kombinieren mehrere dieser Vektoren.

1. Sorglosigkeit

Dieser Angriffspunkt entsteht, weil manche Personen sich nicht genügend um die Implementierung, Durchführung oder Einhaltung von Sicherheitsmaßnahmen bemühen – insbesondere da sie die Gefahr unterschätzen. Darunter fallen unter anderem Argumentationen wie „Darum kümmere ich mich irgendwann“ oder „Das betrifft nur andere“, aber auch Fehleinschätzungen bei der Vernichtung von Unterlagen. Fehler aus Sorglosigkeit können oft als Basis für komplexere Angriffe benutzt werden.

Sorglosigkeit eröffnet insbesondere Möglichkeiten für

  • Dumpster Diving: Das Durchsuchen von Müll nach nützlichen Informationen, insbesondere nicht sachgerecht vernichteten sensiblen Informationen
  • Passwortdiebstahl: Das Stehlen von physisch niedergeschriebenen Passwörtern aus Containern am Arbeitsplatz oder am heimischen Schreibtisch

2. Komfortzone

In diesem Fall nutzen Angreifer aus, dass Zielpersonen in ihrer vertrauten Umgebung, in der sie sich wohlfühlen, unvorsichtiger verhalten. Typische Beispiele sind das Büro oder die Wohnung der Zielperson, die Cafeteria, das Stammlokal, usw. Häufig müssen Angreifer hier bereits andere Angriffspunkte bedient haben, um auf diesen Vektor zugreifen zu können.

Für diesen Angriffsvektor eignen sich vor allem:

  • Impersonation: Das Vorgeben, jemand anderes zu sein - insbesondere jemand, der in der Komfortzone keinen Verdacht erweckt, im Büro beispielsweise der IT-Support oder eine Reinigungskraft.
  • Shoulder Surfing: Geschickte Angreifer beobachten unbemerkt die Eingabe von Login-Daten oder Pinnummern
  • Diebstahl: Das unbemerkte Entwenden von Zugangskarten, EC- oder Kreditkarten
  • Insider Threat: Angreifer geben sich als vermeintlich vertrauenswürdige, neue Kollegen aus. Unter Umständen handelt es sich auch um frustrierte Mitarbeiter, die nach Rache sinnen.

3. Hilfstendenz

Hast du schon mal ein Paket für einen ihnen unbekannten Nachbarn angenommen? Falls ja, wieso?  Soweit du weißt, könnte es sich um einen Fremden handeln, der nicht im selben Haus wohnt, aber sich als Nachbar ausgibt, um unbemerkt Rauschgiftsendungen per Post erhalten zu können. Trotzdem nehmen die meisten Menschen mehrmals im Monat Pakete für mehr oder weniger bekannte Nachbarn an. Menschen neigen dazu, anderen Menschen helfen und vertrauen zu wollen. Genau diese Tendenz nutzen Human Hacker in diesem Vektor aus.

Es werden zwei Arten unterschieden:

  • Piggybacking: Angreifer hängen sich an andere Personen, um Zugang zu Gebäuden zu erhalten - beispielsweise indem sie sich vom Mitarbeiter eines Unternehmens die Tür aufhalten lassen, nachdem dieser diese mittels ID-Karte, über die der Angreifer nicht verfügt, entsperrt hat.
  • Impersonation: Ein Angreifer gibt sich als andere Person aus, deren Hilfegesuch durch ihre Eigenschaften legitimiert ist - beispielsweise als Mitarbeiter, der den IT-Support anruft. Die Nummer des IT-Supports wurde vorab mittels Dumpster Diving akquiriert.

4. Angst

Dabei handelt es sich um die mit Abstand aggressivste Art des Angriffs. Zielpersonen werden mittels Einschüchterung, Stress, Angst oder künstlichem Zeitdruck in ihrer Entscheidungsfähigkeit eingeschränkt. Dieser Angriffsvektor arbeitet in den meisten Fällen mit Impersonation und Elementen aus den verbleibenden drei Vektoren.

Insbesondere sind hier zu nennen:

  • Impersonation & Autorität: Durch einen vermeintlichen Hirarchie-Unterschied wird Druck auf die Zielperson aufgebaut.
  • Impersonation & Zeitdruck: Der Angreifer erzeugt künstliche Dringlichkeit, was die Entscheidungsfähigkeit der Zielperson einschränken und sie unvorsichtig machen soll.
  • Impersonation & Wichtigkeit: Die Zielperson sieht sich durch eine vermeintliche, extrem hohe Wichtigkeit des Anliegens des Angreifers in einer Stresssituation.
  • Impersonation &Konformität : Angreifer bauen Druck durch Gruppenzwang auf.

Die Psychologie der Überzeugung2

Als Menschen treffen wir tagtäglich tausende Entscheidungen. Viele davon so intuitiv, dass es uns nicht einmal auffällt. Gleichzeitig werden wir mit Information überflutet – heute noch mehr als jemals zuvor. Aus diesem Grund ist es schlichtweg nicht möglich, bei jeder Entscheidung alle verfügbaren Informationen zu beachten, zu analysieren und abzuwägen. Aus diesem Grund treffen Menschen häufig Entscheidungen auf Basis von Teilinformationen, Bauchgefühlen und Faustregeln. Dr. Robert Cialdini – mittlerweile emeritierter Professor für Psychologie und Marketing an der Arizona State University – widmete sich 35 Jahre lang der Frage, wie diese Faustregeln beschrieben werden können. Als Ergebnis dieser Forschung benannte er sechs grundlegende Einflussfaktoren menschlicher Entscheidungsprozess, welche inzwischen auch als allgemein anerkannt gelten und er als „Prinzipien des Überzeugens“ bezeichnet. 

Quid pro quo

Knappheit

Autorität

Social Proof

Konsistenz

Sympathie

1. Quid pro quo

Menschen stehen nicht gerne in der Schuld von anderen. Sollte dies doch der Fall sein, so nehmen viele gerne die Chance war, eine vorab erbrachte Hilfe oder Unterstützung möglichst bald zu erwidern und somit auszugleichen. Beispielsweise fühlen sich  Gäste einer Veranstaltung in der Regel verpflichtet, den Gastgeber zu ihrer nächsten Veranstaltung ebenfalls einzuladen. Cialdini bezieht sich häufig auf eine Serie von Studien, die nahelegen, dass Gäste in der Regel ein weitaus höheres Trinkgeld geben, wenn ihnen vorher und ohne Aufforderung ein Minzbonbon gereicht wurde. Human Hacker können diesen „Wunsch nach einem Gleichgewicht“ nutzen, indem sie in „Vorleistung“ gehen und aktiv nach einer Gelegenheit suchen, der Zielperson zu helfen, so dass diese sich in der Schuld des Angreifers sieht.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

2. Knappheit

Menschen wollen mehr von dem, das sie weniger haben können. Als British Airways bekannt gab, aus wirtschaftlichen Gründen den zwei mal Täglichen Concorde-Flug zwischen London und New York aus wirtschaftlichen Gründen einstellen zu wollen, verdoppelten sich die Buchungen am nächsten Tag. Im Social Engineering kann das Vermitteln von Knappheit genutzt werden, um Dringlichkeit zu erzeugen – beispielsweise bei Phishing-Mails mit gefälschten Verkaufsangeboten.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

3. Autorität

Unter Autorität versteht man die Idee, dass Personen der Führung von glaubwürdigen Experten und vertrauenswürdigen Autoritätspersonen vertrauen. Human Hacker nutzen dies bei der Impersonation von Autoritätsfiguren – etwa um die oben bereits erklärte Angst zu erzeugen – oder beim Fälschen von E-Mails bekannter Versandhäuser bzw. Software-Dienstleister.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

4. Konsistenz

Konsistenz beschreibt das Bedürfnis, in Handlungen und Aussagen mit früheren Handlungen und Aussagen übereinzustimmen beziehungsweise nicht im Widerspruch zu stehen. Dies kann unter Umständen geschickt eingesetzt werden, indem Angreifer Zielpersonen zu einer Serie von in sich konsistenten Handlungen verleiten. Dabei beginnt der Attackierende mit kleinen Aussagen und Handlungen, welche anschließend weiter anwachsen, bis sie schlussendlich beim Ziel des Angreifers ankommen.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

5. Sympathie

Menschen sagen insbesondere „Ja“ zu anderen Menschen, wenn sie diese mögen. Baut die Zielperson eine emotionale Bindung zum Angreifer auf, so kann dieser die Zielperson leichter beeinflussen und manipulieren.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

6. Konformität

Sind Menschen unsicher, wie sie sich verhalten sollten, neigen sie dazu, das Verhalten zu beobachten und zumindest in Teilen zu imitieren. Allgemein ist dies auch als Gruppenzwang bekannt.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.

Zusammenfassung

  • Listenelement #1
  • Listenelement #2
  • Listenelement #3

Mehr Information

  • Listenelement #1
  • Listenelement #2
  • Listenelement #3

Quellen

1 Lively, Charles E. Jr. (2004), Psychological Based Social Engineering, https://www.giac.org/paper/gsec/3547/psychological-based-social-engineering/105780

2 Cialdini, Robert B. (2006), Influence: The Psychology of Persuasion