Fachartikel

Psychologische Mechanismen hinter Social Engineering

Die Entwicklung technologischer IT-Sicherheitsmaßnahmen ist weit fortgeschritten: Anti-Viren-Programme, Next Generation Firewalls, Intrusion Prevention-Systeme und Advanced Threat Defense Appliances. Doch eine Kette ist bekanntlich immer nur so stark wie ihr schwächstes Glied: der Mensch. Auf welche kognitiven Schwächen Hacker dabei abzielen, verrät dieser Artikel.
Angreifer machen sich beim Social Engineering die Eigenheiten des menschlichen Gehirns zu Nutzen.
All die schönen Marketing-Versprechen der Gerätehersteller sind nahezu wertlos, sobald sich ein Anwender dazu überreden lässt, wertvolle Informationen von sich aus preis zu geben. Als Social Engineering bezeichnet man dabei die gezielte und verdeckte Einflussnahme auf den Entscheidungsprozess eines menschlichen Ziels. In einem plausiblen Kontext findet eine Konfrontation mit einem fiktiven Problem statt, doch der "ideale" Lösungsweg wird freundlicherweise gleich mitgeliefert.

Phising-Mails immer professioneller
Dank vieler Security Awareness-Programme und Aufklärungskampagnen fühlen sich nur noch die Wenigsten von solch einer Aufforderung dazu veranlasst, die vermutlich mit Malware verseuchte Webseite zu besuchen. Aber nicht nur die Sicherheitsmaßnahmen entwickeln sich weiter, sondern auch die Angriffsmuster. Phishing-Mails weisen zum Beispiel immer häufiger korrekte Rechtschreibung und Grammatik auf, enthalten das richtige Firmenlogo und begrüßen die Adressaten mit direkter persönlicher Anrede.

Im Netz kursieren dafür unvorstellbar große Listen, auf denen E-Mail-Adressen den entsprechenden Klarnamen zugeordnet sind. Diese stammen etwa von gehackten Foren oder sogar kommerziellen Webseiten. Wenn Sie beispielsweise im Mai 2014 bereits ein Konto bei Ebay hatten, befindet sich Ihr Name dort wahrscheinlich ebenfalls. Denn wie der bekannte Auktionsseitenbetreiber einräumen musste, hatten Unbekannte damals Zugriff auf alle 145 Millionen Kundendaten.

Die Phishing-Mail im Bild links verdeutlicht, wie ausgefeilt die technischen Möglichkeiten bereits sind. Die Social Engineers hinter dieser E-Mail haben wirklich alles richtig gemacht. Der Empfänger wird mit direkter Anrede begrüßt, das Firmenlogo ist enthalten und auch sonst entspricht das Erscheinungsbild einer echten Benachrichtigung von PayPal. Bemerkenswert ist, dass sogar die Absenderadresse gefälscht werden konnte. Der wirklich einzige Hinweis, dass es sich hierbei um einen Täuschungsversuch handelt, offenbart sich bei einem genaueren Blick auf den Link hinter der Grafik: www.paypal.de-3d-process.com.

Sogar hier wurde noch versucht, die tatsächliche Domäne de-3d-process.com zu verschleiern. Dem flüchtigen Blick eines wenig versierten Internet-Benutzers wird hier nur in den seltensten Fällen etwas Unnatürliches auffallen. Die Webseite hinter dieser Verknüpfung ist glücklicherweise längst entfernt worden. Bei einem Aufruf hätten vermutlich eine ganze Reihe von Exploits versucht, Schadcode auf den Rechner zu schleusen. Im harmlosesten Fall hätte der Anwender eine exakte Kopie der PayPal-Login-Seite vorgefunden, die die Benutzerdaten nach deren Eingabe per E-Mail an die Drahtzieher sendet.

Die Tricks der Human Hacker
Auf dieser Ebene wurden Phishing-Mails bereits in vielen Blogs und FAQs betrachtet. Doch anstatt immer neue Versionen unter die Lupe zu nehmen, sollten wir besser nach dem Prinzip suchen, das diesen Täuschungen zugrunde liegt, um auch vor zukünftigen Varianten geschützt zu sein. Denn um ihr Opfer in die Falle zu locken, bedienen sich Social Engineers ausgefeilter psychologischer Tricks. Sie bezeichnen sich selbst als Human Hacker.

Doch wie kann man einen Menschen überhaupt hacken? Dies würde ja bedeuten, dass es in unserem Denkprozess(or) ausnutzbare Sicherheitslücken gibt. Doch wie sieht dann ein Exploit dafür aus? Und was noch viel wichtiger ist: Wie können wir uns davor patchen?

Für ein besseres Verständnis laden wir Sie zu einem kleinen Experiment ein. Berechnen Sie dafür ohne Hilfsmittel die Aufgabe 3 mal 4. Die Antwort fällt Ihnen sicherlich ziemlich schnell und ohne jede Anstrengung ein. Das liegt daran, dass Sie sich kleine Zahlen noch sehr gut vorstellen können und das kleine Einmaleins irgendwann einmal auswendig gelernt haben. Sie wussten die Lösung fast schon automatisch und wären wohl auch in dichtem Straßenverkehr in der Lage gewesen das Ergebnis zu liefern. Dann berechnen Sie jetzt ohne Hilfsmittel 17 mal 24. Die Antwort lässt vermutlich länger auf sich warten. Viele zerlegen diese Rechenaufgabe in Teilschritte wie zum Beispiel 10 mal 24 plus 7 mal 24. Doch während Sie die zweite Rechenoperation ausführen, müssen Sie das Ergebnis der ersten noch in Ihrem Cache belassen, um diese später addieren zu können. Das Ergebnis ist übrigens 408.

Die Macht des Bauchgefühls
Während der Berechnung wäre es im Gegensatz zum ersten Beispiel nicht ratsam gewesen gleichzeitig riskante Tätigkeiten durchzuführen. Sie mussten sich auf eine Sache konzentrieren und waren stark abgelenkt. Dieses Beispiel verdeutlicht, wie wir auf zwei unterschiedliche Arten Informationen verarbeiten und Lösungen für unsere Probleme erdenken. Der Nobelpreisträger und Psychologe Daniel Kahneman schreibt in seinem Buch "Schnelles Denken, langsames Denken" ausführlich über diesen Sachverhalt.

Da wir täglich mit einer schier endlosen Flut von Informationen umgehen müssen, werden die meisten Entscheidungen von einem kleinen mentalen Smartphone übernommen. Der Umgang damit fällt nicht schwer und es ist immer und überall einsatzbereit. Es lässt sich intuitiv bedienen und kann sich mit Leichtigkeit mehreren Aufgaben widmen. Gleichzeitig im Supermarkt an der Kasse stehen, Musik hören und dabei E-Mails checken? Kein Problem. Zwar lassen sich damit keine ernsten Zweifel abarbeiten, aber dafür haben Sie ja immer noch Ihren mentalen PC-Boliden. Der steht allerdings in Ihrem Gedanken-Büro und Sie müssen sich zunächst einmal bewusst dorthin begeben und den Rechner überhaupt booten.

Während Ihr mentales Smartphone aktuelle Problemstellungen mit ähnlichen Entscheidungen aus der Vergangenheit vergleicht, beruft es sich auf Ihr Bauchgefühl. Ob es sich dabei um ein gutes oder schlechtes handelt, hängt von der Erinnerung ab und zu welchem Ergebnis die Entscheidung in der Vergangenheit geführt hat. Emotionen sind einfach viel schneller als eine wohl überdachte Beleuchtung von allen Seiten. Zudem fördern sie ein großes Maß an Überzeugtheit, die sich im Allgemeinen besser anfühlt, als ein von Zweifeln geplagter Zustand in der Schwebe. Diese Smartphone-Methode ist daher besonders geeignet für Situationen unter Zeitdruck und emotionaler Erregtheit, wie zum Beispiel Verlustangst, Scham oder Wut.

    Seite 1: Die Tricks der Human Hacker
    Seite 2: Beobachten Sie sich selbst


Seite 1 von 2 Nächste Seite >>
8.06.2015/of/ln/Marco Krause

Nachrichten

IT-Sicherheit auf dem Stundenplan [27.05.2016]

Im Rahmen der 'Kaspersky Security Intelligence Services' überarbeitet Kaspersky Lab sein Schulungsprogramm zur Cybersicherheit. Das ab sofort verfügbare Trainingsprogramm beinhaltet interaktive und auf verschiedene unternehmensinterne Zielgruppen angepasste Schulungsmodule, die sich an Geschäftsführer und Führungskräfte wie auch Mitarbeiter im Unternehmen richten. [mehr]

DLP unter Linux [27.05.2016]

CoSoSys hat die DLP-Lösung 'Endpoint Protector' erweitert. Das neue Modul 'Content Aware Protection' für Linux-Desktops prüft beim Datentransfer Inhalte, Semantiken und Dateiformate auf Rechnern mit Linux-Distributionen. Die Funktion soll so die Übermittlung von sensiblen Daten nach außen und damit Datenverluste durch interne Benutzer verhindern. [mehr]

DNS-Schützer [24.05.2016]

Tipps & Tools

ICA-Sessions fehlerfrei [29.05.2016]

Wenn ein Nutzer in einer Citrix-Umgebung in seinen ICA-Sessions mit dem Internet Explorer arbeitet, kann es manchmal zu Problemen kommen. So etwa ist es möglich, dass sich die Datei 'IExplore.exe' bei bestimmten Webseiten aufhängt, wenn das Mobility Pack zum Einsatz kommt. Der Fehler lässt sich jedoch auf mehreren Wegen beheben. [mehr]

Neues Training: vSphere 6 optimal betreiben [17.05.2016]

Mit über 650 neuen Features ist vSphere 6 eine Herausforderung für den Admin. Zumal die Neuerungen um Updates ergänzt werden, die manche Features wie vSAN erst jetzt reif für die Produktion machen. Das neue IT-Administrator Training, das im September in München und Hamburg stattfindet, führt durch die Verwaltung der neuen Features und Updates. Melden Sie sich zügig an, erfahrungsgemäß sind die Plätze schnell vergeben. [mehr]

Buchbesprechung

Datenschutz Cloud-Computing

von Karsten Schulz

Anzeigen