Fachartikel

Psychologische Mechanismen hinter Social Engineering

Die Entwicklung technologischer IT-Sicherheitsmaßnahmen ist weit fortgeschritten: Anti-Viren-Programme, Next Generation Firewalls, Intrusion Prevention-Systeme und Advanced Threat Defense Appliances. Doch eine Kette ist bekanntlich immer nur so stark wie ihr schwächstes Glied: der Mensch. Auf welche kognitiven Schwächen Hacker dabei abzielen, verrät dieser Artikel.
Angreifer machen sich beim Social Engineering die Eigenheiten des menschlichen Gehirns zu Nutzen.
All die schönen Marketing-Versprechen der Gerätehersteller sind nahezu wertlos, sobald sich ein Anwender dazu überreden lässt, wertvolle Informationen von sich aus preis zu geben. Als Social Engineering bezeichnet man dabei die gezielte und verdeckte Einflussnahme auf den Entscheidungsprozess eines menschlichen Ziels. In einem plausiblen Kontext findet eine Konfrontation mit einem fiktiven Problem statt, doch der "ideale" Lösungsweg wird freundlicherweise gleich mitgeliefert.

Phising-Mails immer professioneller
Dank vieler Security Awareness-Programme und Aufklärungskampagnen fühlen sich nur noch die Wenigsten von solch einer Aufforderung dazu veranlasst, die vermutlich mit Malware verseuchte Webseite zu besuchen. Aber nicht nur die Sicherheitsmaßnahmen entwickeln sich weiter, sondern auch die Angriffsmuster. Phishing-Mails weisen zum Beispiel immer häufiger korrekte Rechtschreibung und Grammatik auf, enthalten das richtige Firmenlogo und begrüßen die Adressaten mit direkter persönlicher Anrede.

Im Netz kursieren dafür unvorstellbar große Listen, auf denen E-Mail-Adressen den entsprechenden Klarnamen zugeordnet sind. Diese stammen etwa von gehackten Foren oder sogar kommerziellen Webseiten. Wenn Sie beispielsweise im Mai 2014 bereits ein Konto bei Ebay hatten, befindet sich Ihr Name dort wahrscheinlich ebenfalls. Denn wie der bekannte Auktionsseitenbetreiber einräumen musste, hatten Unbekannte damals Zugriff auf alle 145 Millionen Kundendaten.

Die Phishing-Mail im Bild links verdeutlicht, wie ausgefeilt die technischen Möglichkeiten bereits sind. Die Social Engineers hinter dieser E-Mail haben wirklich alles richtig gemacht. Der Empfänger wird mit direkter Anrede begrüßt, das Firmenlogo ist enthalten und auch sonst entspricht das Erscheinungsbild einer echten Benachrichtigung von PayPal. Bemerkenswert ist, dass sogar die Absenderadresse gefälscht werden konnte. Der wirklich einzige Hinweis, dass es sich hierbei um einen Täuschungsversuch handelt, offenbart sich bei einem genaueren Blick auf den Link hinter der Grafik: www.paypal.de-3d-process.com.

Sogar hier wurde noch versucht, die tatsächliche Domäne de-3d-process.com zu verschleiern. Dem flüchtigen Blick eines wenig versierten Internet-Benutzers wird hier nur in den seltensten Fällen etwas Unnatürliches auffallen. Die Webseite hinter dieser Verknüpfung ist glücklicherweise längst entfernt worden. Bei einem Aufruf hätten vermutlich eine ganze Reihe von Exploits versucht, Schadcode auf den Rechner zu schleusen. Im harmlosesten Fall hätte der Anwender eine exakte Kopie der PayPal-Login-Seite vorgefunden, die die Benutzerdaten nach deren Eingabe per E-Mail an die Drahtzieher sendet.

Die Tricks der Human Hacker
Auf dieser Ebene wurden Phishing-Mails bereits in vielen Blogs und FAQs betrachtet. Doch anstatt immer neue Versionen unter die Lupe zu nehmen, sollten wir besser nach dem Prinzip suchen, das diesen Täuschungen zugrunde liegt, um auch vor zukünftigen Varianten geschützt zu sein. Denn um ihr Opfer in die Falle zu locken, bedienen sich Social Engineers ausgefeilter psychologischer Tricks. Sie bezeichnen sich selbst als Human Hacker.

Doch wie kann man einen Menschen überhaupt hacken? Dies würde ja bedeuten, dass es in unserem Denkprozess(or) ausnutzbare Sicherheitslücken gibt. Doch wie sieht dann ein Exploit dafür aus? Und was noch viel wichtiger ist: Wie können wir uns davor patchen?

Für ein besseres Verständnis laden wir Sie zu einem kleinen Experiment ein. Berechnen Sie dafür ohne Hilfsmittel die Aufgabe 3 mal 4. Die Antwort fällt Ihnen sicherlich ziemlich schnell und ohne jede Anstrengung ein. Das liegt daran, dass Sie sich kleine Zahlen noch sehr gut vorstellen können und das kleine Einmaleins irgendwann einmal auswendig gelernt haben. Sie wussten die Lösung fast schon automatisch und wären wohl auch in dichtem Straßenverkehr in der Lage gewesen das Ergebnis zu liefern. Dann berechnen Sie jetzt ohne Hilfsmittel 17 mal 24. Die Antwort lässt vermutlich länger auf sich warten. Viele zerlegen diese Rechenaufgabe in Teilschritte wie zum Beispiel 10 mal 24 plus 7 mal 24. Doch während Sie die zweite Rechenoperation ausführen, müssen Sie das Ergebnis der ersten noch in Ihrem Cache belassen, um diese später addieren zu können. Das Ergebnis ist übrigens 408.

Die Macht des Bauchgefühls
Während der Berechnung wäre es im Gegensatz zum ersten Beispiel nicht ratsam gewesen gleichzeitig riskante Tätigkeiten durchzuführen. Sie mussten sich auf eine Sache konzentrieren und waren stark abgelenkt. Dieses Beispiel verdeutlicht, wie wir auf zwei unterschiedliche Arten Informationen verarbeiten und Lösungen für unsere Probleme erdenken. Der Nobelpreisträger und Psychologe Daniel Kahneman schreibt in seinem Buch "Schnelles Denken, langsames Denken" ausführlich über diesen Sachverhalt.

Da wir täglich mit einer schier endlosen Flut von Informationen umgehen müssen, werden die meisten Entscheidungen von einem kleinen mentalen Smartphone übernommen. Der Umgang damit fällt nicht schwer und es ist immer und überall einsatzbereit. Es lässt sich intuitiv bedienen und kann sich mit Leichtigkeit mehreren Aufgaben widmen. Gleichzeitig im Supermarkt an der Kasse stehen, Musik hören und dabei E-Mails checken? Kein Problem. Zwar lassen sich damit keine ernsten Zweifel abarbeiten, aber dafür haben Sie ja immer noch Ihren mentalen PC-Boliden. Der steht allerdings in Ihrem Gedanken-Büro und Sie müssen sich zunächst einmal bewusst dorthin begeben und den Rechner überhaupt booten.

Während Ihr mentales Smartphone aktuelle Problemstellungen mit ähnlichen Entscheidungen aus der Vergangenheit vergleicht, beruft es sich auf Ihr Bauchgefühl. Ob es sich dabei um ein gutes oder schlechtes handelt, hängt von der Erinnerung ab und zu welchem Ergebnis die Entscheidung in der Vergangenheit geführt hat. Emotionen sind einfach viel schneller als eine wohl überdachte Beleuchtung von allen Seiten. Zudem fördern sie ein großes Maß an Überzeugtheit, die sich im Allgemeinen besser anfühlt, als ein von Zweifeln geplagter Zustand in der Schwebe. Diese Smartphone-Methode ist daher besonders geeignet für Situationen unter Zeitdruck und emotionaler Erregtheit, wie zum Beispiel Verlustangst, Scham oder Wut.

    Seite 1: Die Tricks der Human Hacker
    Seite 2: Beobachten Sie sich selbst


Seite 1 von 2 Nächste Seite >>
8.06.2015/of/ln/Marco Krause

Nachrichten

T-Online-Kundendaten tauchen im Darknet auf [27.06.2016]

Im Darknet sollen aktuell Kundendaten von mehr als einem Dutzend Unternehmen angeboten werden - unter anderem auch von Kunden der Telekom. Eine Stichprobe von rund 90 Datensätzen hätte ergeben, dass die Daten der Telekom-Kunden zumindest teilweise echt und aktuell seien. Konkret gehe es um die T-Online-Mailadresse sowie das zugehörige Passwort. [mehr]

Schutz vor Netzwerk-Fallen [22.06.2016]

Lookout erweitert sein 'Mobile Threat Protection' um das Feature 'Network Protection', das eine automatische, gerätebasierte Analyse von Netzwerkverbindungen bietet. Damit möchte Lookout mobile Anwender vor Man-in-the-Middle-Angriffen schützen und dafür sorgen, dass Unternehmensdaten sicher übermittelt werden. [mehr]

Tipps & Tools

VMware Host Client richtig nutzen [24.06.2016]

Mit dem Update 2 für VMware vSphere 6.0 wurde ein HTML5-basierender Webclient für ESXi-Standalone-Hosts eingeführt - der VMware Host Client. Im Gegensatz zum vSphere Client unterstützt der VMware Host Client auch die neuesten VM-Hardwareversionen. Nicht jedem Nutzer ist jedoch der Weg zu dessen Anmeldeseite bekannt. Unser Tipp zeigt, wie Sie hier vorgehen müssen. [mehr]

Erstes virtuelles IT Camp [23.06.2016]

Im Rahmen der IT Innovation Series fanden dieses Jahr bereits viele der von Microsoft organisierten IT Camps zu den Themenkomplexen Modern Datacenter, Windows 10 und Hybrid IT statt. Rund um den letzten Bereich dreht sich am 23. Juni das erste virtuelle IT Camp. Tanken Sie bequem aus dem Büro oder von Zuhause aus Fachwissen rund um Microsoft Azure und hybride Infrastrukturen. Peter Kirchner, Technologieberater bei Microsoft Deutschland, wird dann die Bereiche Storage, Compute, virtuelle Netzwerke, Azure Active Directory, Kostenberechnung, Automatisierung von Ressourcen oder Azure Backup genauer beleuchten. Der Livestream wird an dieser Stelle in Echtzeit zu verfolgen sein. [mehr]

Buchbesprechung

Monitoring mit Zabbix

von Thorsten Kramm

Anzeigen