Fachartikel

Psychologische Mechanismen hinter Social Engineering

Die Entwicklung technologischer IT-Sicherheitsmaßnahmen ist weit fortgeschritten: Anti-Viren-Programme, Next Generation Firewalls, Intrusion Prevention-Systeme und Advanced Threat Defense Appliances. Doch eine Kette ist bekanntlich immer nur so stark wie ihr schwächstes Glied: der Mensch. Auf welche kognitiven Schwächen Hacker dabei abzielen, verrät dieser Artikel.
Angreifer machen sich beim Social Engineering die Eigenheiten des menschlichen Gehirns zu Nutzen.
All die schönen Marketing-Versprechen der Gerätehersteller sind nahezu wertlos, sobald sich ein Anwender dazu überreden lässt, wertvolle Informationen von sich aus preis zu geben. Als Social Engineering bezeichnet man dabei die gezielte und verdeckte Einflussnahme auf den Entscheidungsprozess eines menschlichen Ziels. In einem plausiblen Kontext findet eine Konfrontation mit einem fiktiven Problem statt, doch der "ideale" Lösungsweg wird freundlicherweise gleich mitgeliefert.

Phising-Mails immer professioneller
Dank vieler Security Awareness-Programme und Aufklärungskampagnen fühlen sich nur noch die Wenigsten von solch einer Aufforderung dazu veranlasst, die vermutlich mit Malware verseuchte Webseite zu besuchen. Aber nicht nur die Sicherheitsmaßnahmen entwickeln sich weiter, sondern auch die Angriffsmuster. Phishing-Mails weisen zum Beispiel immer häufiger korrekte Rechtschreibung und Grammatik auf, enthalten das richtige Firmenlogo und begrüßen die Adressaten mit direkter persönlicher Anrede.

Im Netz kursieren dafür unvorstellbar große Listen, auf denen E-Mail-Adressen den entsprechenden Klarnamen zugeordnet sind. Diese stammen etwa von gehackten Foren oder sogar kommerziellen Webseiten. Wenn Sie beispielsweise im Mai 2014 bereits ein Konto bei Ebay hatten, befindet sich Ihr Name dort wahrscheinlich ebenfalls. Denn wie der bekannte Auktionsseitenbetreiber einräumen musste, hatten Unbekannte damals Zugriff auf alle 145 Millionen Kundendaten.

Die Phishing-Mail im Bild links verdeutlicht, wie ausgefeilt die technischen Möglichkeiten bereits sind. Die Social Engineers hinter dieser E-Mail haben wirklich alles richtig gemacht. Der Empfänger wird mit direkter Anrede begrüßt, das Firmenlogo ist enthalten und auch sonst entspricht das Erscheinungsbild einer echten Benachrichtigung von PayPal. Bemerkenswert ist, dass sogar die Absenderadresse gefälscht werden konnte. Der wirklich einzige Hinweis, dass es sich hierbei um einen Täuschungsversuch handelt, offenbart sich bei einem genaueren Blick auf den Link hinter der Grafik: www.paypal.de-3d-process.com.

Sogar hier wurde noch versucht, die tatsächliche Domäne de-3d-process.com zu verschleiern. Dem flüchtigen Blick eines wenig versierten Internet-Benutzers wird hier nur in den seltensten Fällen etwas Unnatürliches auffallen. Die Webseite hinter dieser Verknüpfung ist glücklicherweise längst entfernt worden. Bei einem Aufruf hätten vermutlich eine ganze Reihe von Exploits versucht, Schadcode auf den Rechner zu schleusen. Im harmlosesten Fall hätte der Anwender eine exakte Kopie der PayPal-Login-Seite vorgefunden, die die Benutzerdaten nach deren Eingabe per E-Mail an die Drahtzieher sendet.

Die Tricks der Human Hacker
Auf dieser Ebene wurden Phishing-Mails bereits in vielen Blogs und FAQs betrachtet. Doch anstatt immer neue Versionen unter die Lupe zu nehmen, sollten wir besser nach dem Prinzip suchen, das diesen Täuschungen zugrunde liegt, um auch vor zukünftigen Varianten geschützt zu sein. Denn um ihr Opfer in die Falle zu locken, bedienen sich Social Engineers ausgefeilter psychologischer Tricks. Sie bezeichnen sich selbst als Human Hacker.

Doch wie kann man einen Menschen überhaupt hacken? Dies würde ja bedeuten, dass es in unserem Denkprozess(or) ausnutzbare Sicherheitslücken gibt. Doch wie sieht dann ein Exploit dafür aus? Und was noch viel wichtiger ist: Wie können wir uns davor patchen?

Für ein besseres Verständnis laden wir Sie zu einem kleinen Experiment ein. Berechnen Sie dafür ohne Hilfsmittel die Aufgabe 3 mal 4. Die Antwort fällt Ihnen sicherlich ziemlich schnell und ohne jede Anstrengung ein. Das liegt daran, dass Sie sich kleine Zahlen noch sehr gut vorstellen können und das kleine Einmaleins irgendwann einmal auswendig gelernt haben. Sie wussten die Lösung fast schon automatisch und wären wohl auch in dichtem Straßenverkehr in der Lage gewesen das Ergebnis zu liefern. Dann berechnen Sie jetzt ohne Hilfsmittel 17 mal 24. Die Antwort lässt vermutlich länger auf sich warten. Viele zerlegen diese Rechenaufgabe in Teilschritte wie zum Beispiel 10 mal 24 plus 7 mal 24. Doch während Sie die zweite Rechenoperation ausführen, müssen Sie das Ergebnis der ersten noch in Ihrem Cache belassen, um diese später addieren zu können. Das Ergebnis ist übrigens 408.

Die Macht des Bauchgefühls
Während der Berechnung wäre es im Gegensatz zum ersten Beispiel nicht ratsam gewesen gleichzeitig riskante Tätigkeiten durchzuführen. Sie mussten sich auf eine Sache konzentrieren und waren stark abgelenkt. Dieses Beispiel verdeutlicht, wie wir auf zwei unterschiedliche Arten Informationen verarbeiten und Lösungen für unsere Probleme erdenken. Der Nobelpreisträger und Psychologe Daniel Kahneman schreibt in seinem Buch "Schnelles Denken, langsames Denken" ausführlich über diesen Sachverhalt.

Da wir täglich mit einer schier endlosen Flut von Informationen umgehen müssen, werden die meisten Entscheidungen von einem kleinen mentalen Smartphone übernommen. Der Umgang damit fällt nicht schwer und es ist immer und überall einsatzbereit. Es lässt sich intuitiv bedienen und kann sich mit Leichtigkeit mehreren Aufgaben widmen. Gleichzeitig im Supermarkt an der Kasse stehen, Musik hören und dabei E-Mails checken? Kein Problem. Zwar lassen sich damit keine ernsten Zweifel abarbeiten, aber dafür haben Sie ja immer noch Ihren mentalen PC-Boliden. Der steht allerdings in Ihrem Gedanken-Büro und Sie müssen sich zunächst einmal bewusst dorthin begeben und den Rechner überhaupt booten.

Während Ihr mentales Smartphone aktuelle Problemstellungen mit ähnlichen Entscheidungen aus der Vergangenheit vergleicht, beruft es sich auf Ihr Bauchgefühl. Ob es sich dabei um ein gutes oder schlechtes handelt, hängt von der Erinnerung ab und zu welchem Ergebnis die Entscheidung in der Vergangenheit geführt hat. Emotionen sind einfach viel schneller als eine wohl überdachte Beleuchtung von allen Seiten. Zudem fördern sie ein großes Maß an Überzeugtheit, die sich im Allgemeinen besser anfühlt, als ein von Zweifeln geplagter Zustand in der Schwebe. Diese Smartphone-Methode ist daher besonders geeignet für Situationen unter Zeitdruck und emotionaler Erregtheit, wie zum Beispiel Verlustangst, Scham oder Wut.

    Seite 1: Die Tricks der Human Hacker
    Seite 2: Beobachten Sie sich selbst


Seite 1 von 2 Nächste Seite >>
8.06.2015/of/ln/Marco Krause

Nachrichten

Neues Werkzeug zur Endpoint-Absicherung [18.08.2016]

Von AppSense kommt mit der 'Endpoint Security Suite 2.0' das erste gemeinsame Produkt nach der Übernahme durch LANDESK auf den Markt. Die Software führt 'Shavlik Protect', den 'AppSense Application Manager' und 'AppSense Insight' in einem Werkzeug zusammen. Die Funktionen reichen von der Anwendungskontrolle über das Berechtigungs- und Patch-Management auf Endgeräten. [mehr]

Schutz vor ausgefeilten Angriffen [18.08.2016]

Angriffe mit der sogenannten CEO-Fraud-Masche häufen sich, bei der sich Unbekannte als hochrangige Mitarbeiter ausgeben, um Geldüberweisungen zu veranlassen oder Zugangsdaten zu erlangen. Verschlüsselungstrojaner sind ein weiteres stark zunehmendes Angriffsszenario. Allen diesen Angriffsformen ist gemein, dass sie sehr schwer zu entdecken sind und die meisten gängigen Schutzmaßnahmen unbemerkt passieren. Hornetsecurity will mit 'Advanced Threat Protection Service' Schutz speziell gegen solche hochkomplexen Angriffe bereitstellen. [mehr]

Tipps & Tools

Restplätze für Trainings im Herbst [23.08.2016]

Während die ersten Trainings direkt nach der Sommerpause bereits ausgebucht sind, stehen für zwei Ganztages-Veranstaltungen Ende September noch Restplätze bereit. Renommierte Dozenten wie Jürgen Haßlauer und Nils Kaczenski führen Sie zu den Themen Exchange 2016 und Hyper-V durch den Tag und versorgen Sie mit den wichtigsten Tipps rund um Ihren Arbeitsalltag. Für die Termine in Hamburg und Dortmund am 22. respektive 28. September ist die Anmeldung noch möglich. [mehr]

Neues VMware-Lizenzmodell verstehen [4.08.2016]

Bei VMware gibt es seit dem 1. Juli diverse Lizenzänderungen. Selbst manch erfahrener VMware-Administrator konnte sich bisher noch kein wirkliches Bild von den Änderungen machen und hat derzeit keinen wirklichen Überblick über die in den jeweiligen Lizenzen enthaltenen Funktionen. Wir geben einen kurzen Überblich und empfehlen eine Webseite von Thomas-Krenn, die sämtliche Unterschiede präzise in eine Tabelle fasst. [mehr]

Anzeigen