Fachartikel

Psychologische Mechanismen hinter Social Engineering

Die Entwicklung technologischer IT-Sicherheitsmaßnahmen ist weit fortgeschritten: Anti-Viren-Programme, Next Generation Firewalls, Intrusion Prevention-Systeme und Advanced Threat Defense Appliances. Doch eine Kette ist bekanntlich immer nur so stark wie ihr schwächstes Glied: der Mensch. Auf welche kognitiven Schwächen Hacker dabei abzielen, verrät dieser Artikel.
Angreifer machen sich beim Social Engineering die Eigenheiten des menschlichen Gehirns zu Nutzen.
All die schönen Marketing-Versprechen der Gerätehersteller sind nahezu wertlos, sobald sich ein Anwender dazu überreden lässt, wertvolle Informationen von sich aus preis zu geben. Als Social Engineering bezeichnet man dabei die gezielte und verdeckte Einflussnahme auf den Entscheidungsprozess eines menschlichen Ziels. In einem plausiblen Kontext findet eine Konfrontation mit einem fiktiven Problem statt, doch der "ideale" Lösungsweg wird freundlicherweise gleich mitgeliefert.

Phising-Mails immer professioneller
Dank vieler Security Awareness-Programme und Aufklärungskampagnen fühlen sich nur noch die Wenigsten von solch einer Aufforderung dazu veranlasst, die vermutlich mit Malware verseuchte Webseite zu besuchen. Aber nicht nur die Sicherheitsmaßnahmen entwickeln sich weiter, sondern auch die Angriffsmuster. Phishing-Mails weisen zum Beispiel immer häufiger korrekte Rechtschreibung und Grammatik auf, enthalten das richtige Firmenlogo und begrüßen die Adressaten mit direkter persönlicher Anrede.

Im Netz kursieren dafür unvorstellbar große Listen, auf denen E-Mail-Adressen den entsprechenden Klarnamen zugeordnet sind. Diese stammen etwa von gehackten Foren oder sogar kommerziellen Webseiten. Wenn Sie beispielsweise im Mai 2014 bereits ein Konto bei Ebay hatten, befindet sich Ihr Name dort wahrscheinlich ebenfalls. Denn wie der bekannte Auktionsseitenbetreiber einräumen musste, hatten Unbekannte damals Zugriff auf alle 145 Millionen Kundendaten.

Die Phishing-Mail im Bild links verdeutlicht, wie ausgefeilt die technischen Möglichkeiten bereits sind. Die Social Engineers hinter dieser E-Mail haben wirklich alles richtig gemacht. Der Empfänger wird mit direkter Anrede begrüßt, das Firmenlogo ist enthalten und auch sonst entspricht das Erscheinungsbild einer echten Benachrichtigung von PayPal. Bemerkenswert ist, dass sogar die Absenderadresse gefälscht werden konnte. Der wirklich einzige Hinweis, dass es sich hierbei um einen Täuschungsversuch handelt, offenbart sich bei einem genaueren Blick auf den Link hinter der Grafik: www.paypal.de-3d-process.com.

Sogar hier wurde noch versucht, die tatsächliche Domäne de-3d-process.com zu verschleiern. Dem flüchtigen Blick eines wenig versierten Internet-Benutzers wird hier nur in den seltensten Fällen etwas Unnatürliches auffallen. Die Webseite hinter dieser Verknüpfung ist glücklicherweise längst entfernt worden. Bei einem Aufruf hätten vermutlich eine ganze Reihe von Exploits versucht, Schadcode auf den Rechner zu schleusen. Im harmlosesten Fall hätte der Anwender eine exakte Kopie der PayPal-Login-Seite vorgefunden, die die Benutzerdaten nach deren Eingabe per E-Mail an die Drahtzieher sendet.

Die Tricks der Human Hacker
Auf dieser Ebene wurden Phishing-Mails bereits in vielen Blogs und FAQs betrachtet. Doch anstatt immer neue Versionen unter die Lupe zu nehmen, sollten wir besser nach dem Prinzip suchen, das diesen Täuschungen zugrunde liegt, um auch vor zukünftigen Varianten geschützt zu sein. Denn um ihr Opfer in die Falle zu locken, bedienen sich Social Engineers ausgefeilter psychologischer Tricks. Sie bezeichnen sich selbst als Human Hacker.

Doch wie kann man einen Menschen überhaupt hacken? Dies würde ja bedeuten, dass es in unserem Denkprozess(or) ausnutzbare Sicherheitslücken gibt. Doch wie sieht dann ein Exploit dafür aus? Und was noch viel wichtiger ist: Wie können wir uns davor patchen?

Für ein besseres Verständnis laden wir Sie zu einem kleinen Experiment ein. Berechnen Sie dafür ohne Hilfsmittel die Aufgabe 3 mal 4. Die Antwort fällt Ihnen sicherlich ziemlich schnell und ohne jede Anstrengung ein. Das liegt daran, dass Sie sich kleine Zahlen noch sehr gut vorstellen können und das kleine Einmaleins irgendwann einmal auswendig gelernt haben. Sie wussten die Lösung fast schon automatisch und wären wohl auch in dichtem Straßenverkehr in der Lage gewesen das Ergebnis zu liefern. Dann berechnen Sie jetzt ohne Hilfsmittel 17 mal 24. Die Antwort lässt vermutlich länger auf sich warten. Viele zerlegen diese Rechenaufgabe in Teilschritte wie zum Beispiel 10 mal 24 plus 7 mal 24. Doch während Sie die zweite Rechenoperation ausführen, müssen Sie das Ergebnis der ersten noch in Ihrem Cache belassen, um diese später addieren zu können. Das Ergebnis ist übrigens 408.

Die Macht des Bauchgefühls
Während der Berechnung wäre es im Gegensatz zum ersten Beispiel nicht ratsam gewesen gleichzeitig riskante Tätigkeiten durchzuführen. Sie mussten sich auf eine Sache konzentrieren und waren stark abgelenkt. Dieses Beispiel verdeutlicht, wie wir auf zwei unterschiedliche Arten Informationen verarbeiten und Lösungen für unsere Probleme erdenken. Der Nobelpreisträger und Psychologe Daniel Kahneman schreibt in seinem Buch "Schnelles Denken, langsames Denken" ausführlich über diesen Sachverhalt.

Da wir täglich mit einer schier endlosen Flut von Informationen umgehen müssen, werden die meisten Entscheidungen von einem kleinen mentalen Smartphone übernommen. Der Umgang damit fällt nicht schwer und es ist immer und überall einsatzbereit. Es lässt sich intuitiv bedienen und kann sich mit Leichtigkeit mehreren Aufgaben widmen. Gleichzeitig im Supermarkt an der Kasse stehen, Musik hören und dabei E-Mails checken? Kein Problem. Zwar lassen sich damit keine ernsten Zweifel abarbeiten, aber dafür haben Sie ja immer noch Ihren mentalen PC-Boliden. Der steht allerdings in Ihrem Gedanken-Büro und Sie müssen sich zunächst einmal bewusst dorthin begeben und den Rechner überhaupt booten.

Während Ihr mentales Smartphone aktuelle Problemstellungen mit ähnlichen Entscheidungen aus der Vergangenheit vergleicht, beruft es sich auf Ihr Bauchgefühl. Ob es sich dabei um ein gutes oder schlechtes handelt, hängt von der Erinnerung ab und zu welchem Ergebnis die Entscheidung in der Vergangenheit geführt hat. Emotionen sind einfach viel schneller als eine wohl überdachte Beleuchtung von allen Seiten. Zudem fördern sie ein großes Maß an Überzeugtheit, die sich im Allgemeinen besser anfühlt, als ein von Zweifeln geplagter Zustand in der Schwebe. Diese Smartphone-Methode ist daher besonders geeignet für Situationen unter Zeitdruck und emotionaler Erregtheit, wie zum Beispiel Verlustangst, Scham oder Wut.

    Seite 1: Die Tricks der Human Hacker
    Seite 2: Beobachten Sie sich selbst


Seite 1 von 2 Nächste Seite >>
8.06.2015/of/ln/Marco Krause

Nachrichten

Sicherer Login über die Telekom-Cloud [28.09.2016]

Die Identity and Access Management (IAM)-Lösung OneLogin ist ab sofort aus der Open Telekom Cloud verfügbar. Damit sollen Nutzer des Services nun auch die sichere und hochverfügbare Public Cloud der Telekom hierzulande verwenden können. [mehr]

Mitarbeiter als Einfallstor für Malware [26.09.2016]

Alle vier Sekunden laden Anwender in Unternehmen Malware herunter. Das ist das Ergebnis einer Studie von Check Point. Unternehmen sehen sich dabei einem neunfachen Anstieg bei der Anzahl unbekannter Malware ausgesetzt. Die flattert zu 75 Prozent per E-Mail ins Haus. [mehr]

Tipps & Tools

Letzte Plätze für Hyper-V-Training jetzt buchen [5.09.2016]

Spätestens mit dem Release von Windows Server 2012 R2 ist Microsofts Hypervisor für die meisten Einsatzgebiete ebenbürtig zu vSphere. Die neue Fassung von Hyper-V in Windows Server 2016 bringt Verbesserungen wie die neuen Snapshots und erhöhte Sicherheit in der Cloud. Diese Themen und die für die Virtualisierung relevanten Storage-Neuerungen bereitet unser neues Training auf. Einer der insgesamt drei Termine ist bereits ausgebucht, für Dortmund und Dietzenbach im September und Oktober gibt es noch Tickets. [mehr]

XenApp-Farm ohne Lastprobleme [1.09.2016]

Wir noch auf einer Citrix-XenApp-6.5-Farm arbeitet, stößt teilweise auf Probleme mit dem Last-Index. Manchmal meldet der Server einen Last-Index von 10000 beziehungsweise einen ungültigen Last-Index, selbst wenn keine Benutzer oder Sessions irgendeiner Art auf dem Server aktiv sind. Dieser Fehler lässt sich jedoch relativ leicht beheben. [mehr]

Anzeigen