Fachartikel

Psychologische Mechanismen hinter Social Engineering

Die Entwicklung technologischer IT-Sicherheitsmaßnahmen ist weit fortgeschritten: Anti-Viren-Programme, Next Generation Firewalls, Intrusion Prevention-Systeme und Advanced Threat Defense Appliances. Doch eine Kette ist bekanntlich immer nur so stark wie ihr schwächstes Glied: der Mensch. Auf welche kognitiven Schwächen Hacker dabei abzielen, verrät dieser Artikel.
Angreifer machen sich beim Social Engineering die Eigenheiten des menschlichen Gehirns zu Nutzen.
All die schönen Marketing-Versprechen der Gerätehersteller sind nahezu wertlos, sobald sich ein Anwender dazu überreden lässt, wertvolle Informationen von sich aus preis zu geben. Als Social Engineering bezeichnet man dabei die gezielte und verdeckte Einflussnahme auf den Entscheidungsprozess eines menschlichen Ziels. In einem plausiblen Kontext findet eine Konfrontation mit einem fiktiven Problem statt, doch der "ideale" Lösungsweg wird freundlicherweise gleich mitgeliefert.

Phising-Mails immer professioneller
Dank vieler Security Awareness-Programme und Aufklärungskampagnen fühlen sich nur noch die Wenigsten von solch einer Aufforderung dazu veranlasst, die vermutlich mit Malware verseuchte Webseite zu besuchen. Aber nicht nur die Sicherheitsmaßnahmen entwickeln sich weiter, sondern auch die Angriffsmuster. Phishing-Mails weisen zum Beispiel immer häufiger korrekte Rechtschreibung und Grammatik auf, enthalten das richtige Firmenlogo und begrüßen die Adressaten mit direkter persönlicher Anrede.

Im Netz kursieren dafür unvorstellbar große Listen, auf denen E-Mail-Adressen den entsprechenden Klarnamen zugeordnet sind. Diese stammen etwa von gehackten Foren oder sogar kommerziellen Webseiten. Wenn Sie beispielsweise im Mai 2014 bereits ein Konto bei Ebay hatten, befindet sich Ihr Name dort wahrscheinlich ebenfalls. Denn wie der bekannte Auktionsseitenbetreiber einräumen musste, hatten Unbekannte damals Zugriff auf alle 145 Millionen Kundendaten.

Die Phishing-Mail im Bild links verdeutlicht, wie ausgefeilt die technischen Möglichkeiten bereits sind. Die Social Engineers hinter dieser E-Mail haben wirklich alles richtig gemacht. Der Empfänger wird mit direkter Anrede begrüßt, das Firmenlogo ist enthalten und auch sonst entspricht das Erscheinungsbild einer echten Benachrichtigung von PayPal. Bemerkenswert ist, dass sogar die Absenderadresse gefälscht werden konnte. Der wirklich einzige Hinweis, dass es sich hierbei um einen Täuschungsversuch handelt, offenbart sich bei einem genaueren Blick auf den Link hinter der Grafik: www.paypal.de-3d-process.com.

Sogar hier wurde noch versucht, die tatsächliche Domäne de-3d-process.com zu verschleiern. Dem flüchtigen Blick eines wenig versierten Internet-Benutzers wird hier nur in den seltensten Fällen etwas Unnatürliches auffallen. Die Webseite hinter dieser Verknüpfung ist glücklicherweise längst entfernt worden. Bei einem Aufruf hätten vermutlich eine ganze Reihe von Exploits versucht, Schadcode auf den Rechner zu schleusen. Im harmlosesten Fall hätte der Anwender eine exakte Kopie der PayPal-Login-Seite vorgefunden, die die Benutzerdaten nach deren Eingabe per E-Mail an die Drahtzieher sendet.

Die Tricks der Human Hacker
Auf dieser Ebene wurden Phishing-Mails bereits in vielen Blogs und FAQs betrachtet. Doch anstatt immer neue Versionen unter die Lupe zu nehmen, sollten wir besser nach dem Prinzip suchen, das diesen Täuschungen zugrunde liegt, um auch vor zukünftigen Varianten geschützt zu sein. Denn um ihr Opfer in die Falle zu locken, bedienen sich Social Engineers ausgefeilter psychologischer Tricks. Sie bezeichnen sich selbst als Human Hacker.

Doch wie kann man einen Menschen überhaupt hacken? Dies würde ja bedeuten, dass es in unserem Denkprozess(or) ausnutzbare Sicherheitslücken gibt. Doch wie sieht dann ein Exploit dafür aus? Und was noch viel wichtiger ist: Wie können wir uns davor patchen?

Für ein besseres Verständnis laden wir Sie zu einem kleinen Experiment ein. Berechnen Sie dafür ohne Hilfsmittel die Aufgabe 3 mal 4. Die Antwort fällt Ihnen sicherlich ziemlich schnell und ohne jede Anstrengung ein. Das liegt daran, dass Sie sich kleine Zahlen noch sehr gut vorstellen können und das kleine Einmaleins irgendwann einmal auswendig gelernt haben. Sie wussten die Lösung fast schon automatisch und wären wohl auch in dichtem Straßenverkehr in der Lage gewesen das Ergebnis zu liefern. Dann berechnen Sie jetzt ohne Hilfsmittel 17 mal 24. Die Antwort lässt vermutlich länger auf sich warten. Viele zerlegen diese Rechenaufgabe in Teilschritte wie zum Beispiel 10 mal 24 plus 7 mal 24. Doch während Sie die zweite Rechenoperation ausführen, müssen Sie das Ergebnis der ersten noch in Ihrem Cache belassen, um diese später addieren zu können. Das Ergebnis ist übrigens 408.

Die Macht des Bauchgefühls
Während der Berechnung wäre es im Gegensatz zum ersten Beispiel nicht ratsam gewesen gleichzeitig riskante Tätigkeiten durchzuführen. Sie mussten sich auf eine Sache konzentrieren und waren stark abgelenkt. Dieses Beispiel verdeutlicht, wie wir auf zwei unterschiedliche Arten Informationen verarbeiten und Lösungen für unsere Probleme erdenken. Der Nobelpreisträger und Psychologe Daniel Kahneman schreibt in seinem Buch "Schnelles Denken, langsames Denken" ausführlich über diesen Sachverhalt.

Da wir täglich mit einer schier endlosen Flut von Informationen umgehen müssen, werden die meisten Entscheidungen von einem kleinen mentalen Smartphone übernommen. Der Umgang damit fällt nicht schwer und es ist immer und überall einsatzbereit. Es lässt sich intuitiv bedienen und kann sich mit Leichtigkeit mehreren Aufgaben widmen. Gleichzeitig im Supermarkt an der Kasse stehen, Musik hören und dabei E-Mails checken? Kein Problem. Zwar lassen sich damit keine ernsten Zweifel abarbeiten, aber dafür haben Sie ja immer noch Ihren mentalen PC-Boliden. Der steht allerdings in Ihrem Gedanken-Büro und Sie müssen sich zunächst einmal bewusst dorthin begeben und den Rechner überhaupt booten.

Während Ihr mentales Smartphone aktuelle Problemstellungen mit ähnlichen Entscheidungen aus der Vergangenheit vergleicht, beruft es sich auf Ihr Bauchgefühl. Ob es sich dabei um ein gutes oder schlechtes handelt, hängt von der Erinnerung ab und zu welchem Ergebnis die Entscheidung in der Vergangenheit geführt hat. Emotionen sind einfach viel schneller als eine wohl überdachte Beleuchtung von allen Seiten. Zudem fördern sie ein großes Maß an Überzeugtheit, die sich im Allgemeinen besser anfühlt, als ein von Zweifeln geplagter Zustand in der Schwebe. Diese Smartphone-Methode ist daher besonders geeignet für Situationen unter Zeitdruck und emotionaler Erregtheit, wie zum Beispiel Verlustangst, Scham oder Wut.

    Seite 1: Die Tricks der Human Hacker
    Seite 2: Beobachten Sie sich selbst


Seite 1 von 2 Nächste Seite >>
8.06.2015/of/ln/Marco Krause

Nachrichten

BSI zertifiziert sicheren E-Mail-Transport [8.12.2016]

Das Bundesamt für Sicherheit in der Informationstechnik hat Technische Richtlinie 'Secure E-Mail Transport' finalisiert und die dazugehörige Prüfspezifikation veröffentlicht. Als erster E-Mail-Diensteanbieter konnte Posteo erfolgreich die Konformität zur Richtlinie des BSI nachweisen. [mehr]

Neue Identität [7.12.2016]

CA Technologies hat eine neue Version der 'CA Identity Suite' vorgestellt, die neben dem 'CA Privileged Access Manager' zur Überwachung von privilegierten Accounts neue Funktionen für das Identitätsmanagement bereitstellt. Die Integration des CA Privileged Access Managerermöglicht stetige Governance-Prozesse und einen ganzheitlichen Überblick über Benutzerzugriffe – egal, ob es sich dabei um privilegierte Nutzer handelt oder nicht. [mehr]

Tipps & Tools

IT-Administrator Intensiv-Seminar 'Hyper-V' [5.12.2016]

War VMware über lange Zeit hinweg unbestrittener Marktführer bei der Servervirtualisierung, hat Microsofts Hypervisor in den letzten Jahren mächtig aufgeholt. Unser neues, fünftägiges Intensiv-Seminar im März und Mai 2017 zeigt deshalb optimale Vorgehensweisen bei der Einführung von Hyper-V, behandelt anschließend die Themen Cluster und Hochverfügbarkeit und verschafft Einblicke in die Möglichkeiten, die sich Administratoren zum Beispiel mit Hyper-V Replica bieten. Das alles anhand der neuesten Ausgabe der Virtualisierungstechnologie, eingeführt mit Windows Server 2016. [mehr]

Citrix Storefront reparieren [27.11.2016]

In Citrix-Umgebungen kann es vorkommen, dass nach einem Update des Storefronts auf der Webseite keine Applikationen mehr zu sehen sind sondern lediglich ein leerer Bildschirm. Lediglich der User-Name rechts sowie das Unternehmenslogo links tauchen dort auf. Es handelt sich aber um keinen Event-Viewer-Fehler. Individuelle Anpassungen des Storefronts, die vor dem Update vorgenommen wurden, sind nicht mehr vorhanden. Das Problem lässt sich aber recht einfach beheben. [mehr]

Buchbesprechung

SQL Hacking

von Justin Clarke et al.

Anzeigen