Manchmal kann man einfach nicht „Nein“ sagen. Wenn die Spenden sammelnden Rettungskräfte vor der Wohnungstüre stehen oder sich in der Vorweihnachtszeit die Möglichkeiten häufen, um noch einmal eine gute Tat in diesem Jahr zu vollbringen. Natürlich helfen wir gerne, schließlich sind wir soziale Wesen. Diese humanitäre Ader in uns wird jedoch immer häufiger und zunehmend gerne missbraucht. Social Engineering zielt darauf ab, Menschen zu Handlungen zu motivieren, die sie unter gewöhnlichen Umständen nicht ausüben würden. Diese Beeinflussung geschieht allgegenwärtig – digital, wie auch im realen Lebensumfeld.
In unserem heutigen Beitrag erklären wir euch, was es mit dem „bösen“ Social Engineering auf sich hat, worauf ihr vor allem im World Wide Web achten solltet und, wann es sich lohnt doch nochmal „Nein“ zu sagen.
Das trojanische Pferd – damals, wie auch heute
Eines der ältesten Beispiele für Social Engineering findet ihr in Homers „Odyssee“ und Virgils „Aeneis“. Hier nutzten die Griechen das sogenannte Trojanische Pferd, in dem sie sich verstecken, um in die Stadt zu gelangen. Odysseus konnte die Stadt Troja einnehmen, indem er ihre Bewohnerinnen und Bewohner dazu brachte, das schöne und unglaublich große Holzpferd – mit samt seiner Füllung – in die Stadt zu ziehen.
Die List des Trojanischen Pferdes ist heute noch präsent und wird als Metapher für schädliche Software (Malware) genutzt, die wir als „Trojaner“ kennen. Auch heutzutage funktioniert Social Engineering noch genauso gut und das stetig. Wenn sich zum Beispiel jemand mit einer Ausrede an der Supermarktkasse vordrängelt, die so gut ist, dass du ihn vorbeilässt oder Rabatte einen zum Kauf verleiten. Das gleiche Prinzip funktioniert auch online.
Die psychologische Manipulation zielt hier darauf ab, an vertrauliche Informationen zu gelangen, zum Kauf eines Produktes anzuregen oder zur Freigabe von Finanzmitteln zu bewegen. Das Opfer ist stets davon überzeugt, harmlose und gutartige Inhalte zu öffnen, während die eingesetzte Malware darauf abzielt, Daten auf einem Gerät zu stehlen und/oder zu zerstören.
Social Engineering und der Faktor Menschlichkeit
Social Engineering nutzt somit unsere Menschlichkeit aus. Zum Beispiel spielt es unsere Neigung aus, anderen Menschen zu vertrauen, Konflikte zu vermeiden und, besonders in einer öffentlichen Umgebung, höflich und hilfsbereit zu sein. Auch reagieren die meisten von uns mit mehr Freundlichkeit, sobald man sich um jemanden oder etwas sorgt. Wir geben auch wahrscheinlicher Informationen preis, wenn wir für bestimmte Eigenschaften oder Taten gelobt werden.
Im Kontext Internet verhält es sich ähnlich. Der Hacker-Angriff auf die Twitter Accounts vieler Prominenter ist ein anschauliches Beispiel. Hier posteten Hacker im Namen von Prominenten Tweets, die zu Spendenaktionen aufriefen. Die Hacker ließen sich die Beträge in Bitcoins überweisen. Der Schaden war doppelt so groß: Twitter-Benutzer verloren 140.000 Dollar, während die Konten der Prominenten aufgebrochen, ihre Kontaktliste gestohlen und wahrscheinlich auch ihre persönlichen Daten kompromittiert wurden.
Prinzipien des Social Engineering
Cyberkriminelle wissen, wie Social Engineering am besten funktioniert. Wie Emotionen genutzt werden können, um Cyber-Angriffe zu begehen, verdeutlichen die folgenden Beispiele:
1) Autorität
Menschen folgen Anweisungen, selbst, wenn diese abwegig erscheinen. Gleiches gilt für die Angst vor Schwierigkeiten oder die Stiftung von Panik. Ein Beispiel hierfür sind E-Mails, die vor einem Virus warnen und einen entsprechenden Lösungslink parat halten. Solche Links verleiten zum Klicken.
2) Knappheit oder Gier
Rabattaktionen verleiten zu ähnlichem Verhalten – ganz gleich, ob online oder im Supermarkt. Ein Betreff wie „Es sind nur noch 2 Traum-Locations für deinen nächsten Urlaub übrig… Jetzt oder nie!“ und „Geben Sie mir 10 Euro und ich gebe Ihnen 100€ zurück“ oder „Sie haben im Lotto gewonnen“ verleiten zum Öffnen von entsprechenden E-Mails und Links bzw. ziehen entsprechende Handlungen nach sich.
Social Engineering und Phishing
Eine der geläufigsten Arten von Social Engineering-Vorkommen ist das so genannte Phishing. Es handelt sich dabei um einen systematischen Angriff, bei dem betrügerische E-Mails verwendet werden. Hierbei sollen die Nutzenden dazu motiviert werden etwas zu tun oder sachdienliche Informationen preiszugeben. Näheres zum Phishing könnt ihr in unserem Beitrag von Mittwoch, 04.11.2020 lesen.
Also: Bleibt wachsam bei vermeintlich verlockenden Angeboten und Co. – vor allem im Netz. Dennoch häufig sind Angebote, E-Mails und Webseiten so authentisch gestaltet, dass man den Betrug im ersten Augenblick nicht vermutet und oftmals erst zu spät realisiert.
Verantwortlich für die Inhalte dieses Beitrags sind Jens Hektor und Julia-Elena Runkel.