Zur Werkzeugleiste springen
The hand of a puppet master using an office worker as a puppet.

Was ist Social Engineering?

Allgemein steht Social Engineering für „die gezielte Beeinflussung von menschlichem Verhalten“. Dabei kann die beeinflussende Person sowohl positive als auch negative Absichten bezüglich der beeinflussten Person – oder durch die veranlassten Handlungen betroffener Dritter – besitzen. Im Speziellen befasst sich hackproofinghumans mit der Rolle von Social Engineering im Bereich Cybersecurity. In diesem Fall wir Social Engineering auch häufig als „Human Hacking“ bezeichnet. Hierbei kombinieren Hacker Hochtechnologie mit wissenschaftlichen Erkenntnissen aus Sozialwissenschaften und Psychologie, um Mitarbeiter und Eigentümer von Unternehmen zu täuschen oder zu manipulieren und so Zugang zu IT-Systemen, Gebäuden oder Grundstücken zu erhalten.  Der Vorteil der Angreifer hierbei: Während das technische Hacken von Geräten und Netzwerken immer komplexer und anspruchsvoller wird, reicht es beim Social Engineering häufig aus, einen einzelnen Mitarbeiter zu täuschen. Gleichzeitig werden die für Social Engineering verwendeten Tools immer effizienter und können so auch im großen Stil vergleichsweise günstig eingesetzt werden –  nicht zuletzt durch die zunehmende Automatisierung der Angriffe.

Ziele von Social Engineering

Human Hacker verfolgen in der Regel eines oder mehrere der folgenden 4 Ziele. Diese Ziele können sich überschneiden, voneinander abhängig sein und auch aufeinander aufbauen.

kritische Informationen erfragen

Die Angreifer nutzen verschiedene Werkzeuge, um kritische Informationen zu gewinnen. Zu diesen zählen insbesondere Passwörter und andere Informationen, die genutzt werden können, um höchst sensible Prozesse - beispielsweise Überweisungen - zu veranlassen und zu autorisieren. Genauso können hier personenbezogene Daten betroffen sein.

Zugang erhalten

Häufig ist Social Engineering elementarer Bestandteil eines größeren technischen Angriffs, für den aber Zugang zum anvisierten IT-Systemen notwendig ist. Deshalb versuchen Angreifer, Personen dazu zu bringen solchen Zugang unbewusst - zum Beispiel durch das versteckte Installieren einer Backdoor - zu ermöglichen.

Erpressungen ermöglichen

In diesem Fall werden Personen durch gezielte Manipulation dazu gebracht, Ransomware zu installieren. Diese macht das betroffene Gerät oder System anschließend unbrauchbar. Das ermöglicht den Angreifern, die betroffenen Personen oder Unternehmen zu erpressen und Lösegeld für die Freigabe der Systeme zu verlangen.

Schaden verursachen

Leider gibt es Personen und Gruppierungen, welche aus ideologischen Überzeugungen oder auch nur zur Unterhaltung gezielt Schaden anrichten möchten. Diese Art der Angriffe ist besonders schwerwiegend, da sie in der Regel keine klare Agenda verfolgt. Das macht sie besonders unberechenbar.

Beweggründe von Angreifern1

Es ist wichtig, nicht nur zu verstehen, wie Human Hacker arbeiten, sondern auch, warum sie so handeln.

Allen voran ist hierbei der Faktor Ethik zu nennen. Während die überwiegende Menge eines Kulturkreises ähnliche Vorstellungen von Recht und Unrecht vertritt, gibt es dennoch einzelne Personen oder Gruppen, die andere Ansichten vertreten. So sehen sie sich selbst häufig nicht im Unrecht, da Social Engineering und Hacking nicht gegen moralischen Kompass verstößt.

Auf einer tieferen Ebene lassen sich insbesondere 5 konkrete Beweggründe identifizieren.

Geld

Die erzielbare finanzielle Ausbeute von Hackingangriffen kann durchaus sehr hoch sein.

Beispiel

Ideologie

Einflussreichen Personen oder Institutionen zu schaden gehört für manche zur ihrer Überzeugung.

Beispiel

Unterhaltung

Tarnen, Täuschen und sich Überlegen fühlen - Social Engineering kann durchaus Spaß machen.

Beispiel

Ego

Social Engineering vermittelt ein Gefühl von Macht. Manche nutzen dies für ihr Selbstwertgefühl.

Beispiel

Rache

Rache am Arbeitgeber oder einem ehemaligen Partner kann ein sehr starker Motor sein.

Beispiel

Arten von Social Engineering2

Im Allgemeinen unterscheiden wir zwischen 4 Arten von Social Engineering in Abhängigkeit der Art der Kommunikation zwischen Angreifer und Zielperson. Die hier aufgeführten Arten werden häufig miteinander verknüpft und sind in vielen Fällen elementarer Bestandteil einer größeren Cyberattacke.

Phishing

Unter Phishing versteht man das Versenden gefälschter E-Mails von vermeintlich seriösen Quellen. Gute Fälschungen sind dabei kaum von Originalen zu unterscheiden. Diese E-Mails verweisen dann häufig auf Fake-Webseiten, welche zur Eingabe von Login-Daten auffordern oder verdeckt Schadsoftware installieren.

Vishing

Vishing verfolgt ähnliche Ziele wie Phishing. Allerdings wird hier auf Telefone statt E-Mails zurückgegriffen. Angreifer geben sich häufig als Mitarbeiter des IT-Supports oder von Behörden aus. Durch den Preisverfall von VoIP-Diensten und Techniken wie Phone Spoofing ist die Anzahl von Vishing Angriffen in den letzten Jahren stark gestiegen.

SMiShing

SMiShing bezeichnet Phishing mittels SMS oder Messenger-Diensten. Die Gefahr von Phishing-Angriffen besteht vor allem in der relativ zur E-Mail geringeren Alarmbereitschaft bei SMS- / Messengernachrichten. Außerdem eignen sich SMiShing-Angriffe insbesondere für das Umgehen von 2-Factor-Authentification.

Inpersonation

Inpersonation gibt es wohl seit Anbeginn der Menschheit. Angreifer geben sich als beispielsweise als Autoritätspersonen, Angehörige, Kollegen aus, um das Vertrauen der Zielperson zu gewinnen. Durch durch Social Media ist es für Angreifer mittlerweile leicht, die notwendigen Informationen für eine erfolgreiche Impersonation zu sammeln.

Warum nutzen Angreifer Social Engineering?

Diese Frage kann man mit einer Gegenfrage beantworten: Wieso einbrechen, wenn man auch fragen kann?

Tatsächlich wird es mit der aktuellen Entwicklung von Software und Sicherheitstechnik immer schwieriger, mit entsprechenden technischen Mitteln in IT-Systeme oder Gebäude einzudringen. Deshalb ist Social Engineering nichts anderes als der Weg des geringsten Widerstandes. Zum Beispiel kann das Knacken von Passwörtern mit Brute-Force-Methoden Tage, Wochen, Monate dauern oder auch unmöglich sein. In jedem Fall ist es äußerst zeit- und ressourcenintensiv. Dahingehend sind Methoden aus dem Social Engineering äußerst kostengünstig und häufig stark automatisierbar. Außerdem spielen viele Human Hacker ein Zahlenspiel. Prinzipiell reicht es aus ihrer Sicht, einen einzigen Treffer zu landen. Gleichzeitig können sie aber bei geringem Risiko hunderte bis millionenfache Angriffsversuche durchführen. Die Chancen, einen Treffer zu landen, sind demzufolge äußerst hoch. Folglich sind die Zahlen auf der Seite der Hacker. 

Suchergebnisse

Webergebnisse

Zusammenfassung

  • Social Engineering bezeichnet die aktive Manipulation von Personen, um Zugang zu Informationen, IT-Systemen oder Gebäuden zu erhalten.
  • Zu den Zielen von Human Hacking gehören hauptsächlich das Stehlen kritischer Informationen, das Verschaffen von Zugängen zu Systemen und Gebäuden, das Ermöglichen von Erpressungen oder das Beschädigen von Systemen bis hin zu deren vollständigen Zerstörung.
  • Die häufigsten Beweggründen zählen: Geld, Ideologie, Unterhaltung, Ego, Rache
  • Typische Angriffe erfolgen über Kommunikationsmittel wie E-Mail, Telefon oder Textnachrichten. Abhängig von dem Kommunikationsweg spricht man von Phishing, Vishing oder SMishing. Häufig geben sich Angreifer als vertrauenswürdige Personen, Behörden oder Unternehmen aus.
  • Social Engineering erfreut sich bei Hackern hoher Beliebtheit, da es im Vergleich zu technischen Angriffen häufig deutlich günstiger ist - sowohl in finanzieller als auch in zeitlicher Hinsicht.

Mehr Information

Quellen

1  vgl.: The Social Engineering Framework: Typical Goals, social-engineer.org, https://www.social-engineer.org/framework/general-discussion/typical-goals/
2 vgl.: Social Engineering: The Science of Human Hacking, Cristopher Hadnagy, 2018