soceng2

Written by 10:00 IT & Technik

Social-Engineering: Das sind die Gefahren!

„Das BSI rechnet künftig mit einer weiteren Zunahme an gut umgesetzten, automatisierten Social-Engineering-Angriffen […], die für die Empfänger kaum noch als solche zu identifizieren sind.“

(BSI 2019, S. 14)

Social Engineering: soziale Hacker-Angriffe?

Social Engineering, Human hacking, social hacking & Co.: Das hiermit bezeichnete Phänomen ist keineswegs neu. Social Engineering wird seit Langem von Geheimdiensten und deren Geheimagenten eingesetzt und kann an sich sowohl in der direkten Kommunikation („Face-to-Face“) oder digital erfolgen. Aber das Grundprinzip ist immer gleich: Es geht um Informationsbeschaffung durch Menschen.

Die Digitalisierung und die hiermit verbundenen stetigen technischen Entwicklungen fördern jedoch neue, komplexe hybride Formen von Social Engineering zutage:

  • Komplexe, rein technische „Hacking-Skills“ treten mit „Social Engineering-Skills“ im Bündel auf.
  • Hierdurch können hochgradige, extrem schädigende kombinierte Hacker-Angriffe vollzogen werden.

Ist die hochsichere, rational gesteuerte IT-Struktur nämlich nicht bzw. nur mit sehr hohem Aufwand zu knacken, muss eine andere Taktik her. Hierbei kommt der Mensch ins Spiel. Warum? Ganz einfach: Der Mensch handelt emotional und bildet somit der Risikofaktor Nr. 1. So begegnen vielerorts Bezeichnungen wie:

  • Schwachstelle Mensch“,
  • Risikofaktor Mensch“ oder
  • Mensch als Sicherheitslücke“.

Logisch. Die Maschinen lassen sich immer schwieriger manipulieren. Also deuten Kriminelle die neuesten KI-Errungenschaften um und benutzen sie als Tatmittel. So können sie Betrugsdelikte jeglicher Art begehen.

Der Mensch liefert das Einfallstor und bildet eine Möglichkeit, die besten Antiviren-Programme und die höchst sicheren Firewall-Einstellungen zu umgehen.

  • So können beispielsweise Hacktivisten durch geschicktes Social Engineering in Social-Media-Plattformen zahlreiche Nutzerinnen und Nutzer für ihre getarnten kriminellen Zwecke instrumentalisieren – um in der Folge verheerende DDoS-Angriffe auszuführen (Quelle: BKA).
  • Andere Hacker*innen wenden Social Engineering als Vorstufe zu „Tech-Hack“ an, um mit relativ wenig Aufwand, in das anvisierte IT-System einzudringen.
  • Daber wenden sie immer raffiniertere Methoden an.
    • Das erschwert wiederum die Strafverfolgung deutlich und führt zu erheblichem Schadenspotenzial.

Doch wie funktioniert eigentlich Social Engineering? Was sind die beliebtesten angewandten Techniken? Welche Delikte werden vorzugsweise hiermit begangen? Welche Schutzmaßnahmen können ergriffen werden? Wir liefern ein paar Fakten.

Social-Engineering:
Hacking durch geschickte Manipulationstechniken

Social Engineering kann als eine Art „psychisches Hacking“ umschrieben werden: Es geht bei dieser Art von Hacking nicht mehr darum, die Kontrolle über IT-Geräte zu übernehmen, um sie dann für weitere kriminelle Zwecke auszunutzen. Nein: Nun fungiert der Mensch als Mittel zum Zweck und ist somit zunächst das erste Angriffsziel, das in der Folge ungewollt zur Mittäterin bzw. zum Mittäter werden kann. Durch die gezielte Ausnutzung menschlicher Persönlichkeitsmerkmale, wird der Mensch zunächst zum Manipulationsobjekt. Die Social Media liefern hierfür eine riesige Quelle zur gezielten Vorbereitung eines auf die jeweilige Persönlichkeit perfekt abgestimmten Angriffs.

  • Allein durch die (legale) Sichtung von Fotos, Posts, Likes, Followers usw. auf Social-Media-Plattformen wie Facebook, Instagram oder Twitter kann eine bzw. ein Social-Engineering-Experte Muster erkennen.
  • Diese können anschließend dazu verwendet werden, um scheinbar vorhandene Bedürfnisse oder Ängste zu bedienen.
  • Hierbei können zum Beispiel menschliche Eigenschaften wie Naivität, Unerfahrenheit, Gier, Rache, Angst, Unsicherheit, oder der Wunsch nach Liebe, Zuneigung oder Sexualität, u. a. herausgelesen werden, um dann „ideale“ Opfer auszumachen, über die verschiedene Delikt-Typen begangen werden können.

Welche Delikte werden im Zusammenhang mit Social Engineering begangen?

Social Engineering taucht im Kontext verschiedener Delikt-Formen auf. Darunter fallen beispielsweise Identitäts- und Informationsdiebstahl, aber auch Geldwäsche, Bankbetrug, Industriespionage, Erpressungsdelikte u. v. a. m.

Mit virtuellem Social Engineering werden vielfältige Betrugsdelikte begangen. 2016 bezeichnete der BSI Social Engineering als „virtuellen Haustür-Betrug“ – eine moderne Variante altbekannter Haustür-Betrugsfälle. So können Menschen dahingehend manipuliert werden, dass sie personenbezogene, hoch sensible Informationen herausgeben (Kontoverbindungen, Namen, Geburtsort, Geburtsdatum, Wohnort etc.), die im Nachgang missbraucht werden, um mit vorgetäuschter Identität weitere Delikte zu begehen (z. B. Betrugsdelikte, Geldwäsche).

Good to know: In dem Zusammenhang taucht auch der Begriff „Spoofing“ auf: Hierbei handelt es sich um eine Identitätstäuschung, die entweder eine erfundene Identität durch Täuschung des E-Mail-Servers simuliert, oder es wird eine durch Identitätsdiebstahl erlangte, existierende E-Mail-Adresse nachgeahmt, um beispielsweise im Namen des betreffenden Opfers E-Mails an weitere anvisierte Opfer zu versenden.

Durch Social-Engineering-Methoden können Kriminelle aber auch brisante Informationen über die Firma eines zunächst privaten Opfers erlangen (wie geheime Unternehmensdaten, Ideen usw.). Letztere können sie dann beispielsweise im Rahmen von Industrie-Spionage benutzen. Je nach Art der gesammelten privaten Informationen, können sie die Herausgabe von Unternehmensdaten mit durch Social-Engineering gewonnenen Druckmitteln beschleunigen: Beispielsweise können ausgetauschte oder durch „Sexting“ via Snapchat, Whatsapp o. Ä. erlangte Intimbilder oder -Videos dann zu Erpressungszwecken benutzt werden (s. „Sextortion“).

Die begangenen Delikte werden umso komplexer, als Social Engineering eng mit technischem Hacking verwoben ist. So liefert Social Engineering ein „lukratives“ Einfallstor, um gezielte Hacking-Angriffe überhaupt erst zu ermöglichen. Das Schadenspotenzial solcher Angriffe hängt stark davon ab, ob das eigentliche Hackerangriffsziel eine Privatperson oder ein Unternehmen ist.

Social engineering gegen Privatpersonen

Als konkrete Beispiele für die Manipulation privater Personen können die bekannten „Enkel-Tricks“, sowie falsche Polizei-Anrufe, „Romance-Scams“, Heiratsschwindler, falsche Gewinnspiele oder „Job-Scamming“ genannt werden.

Social Engineering durch Enkel-Trick und falsche Polizeianrufe

Beim Enkel-Trick bilden wohlhabende Senioren die Zielgruppe. Sie werden durch direkte Ansprache auf der Straße, Spontan-Besuche zu Hause oder fingierte Telefonanrufe entweder dazu gebracht, Geldbeträge zu überweisen, oder sie werden vor Ort ausgeraubt. Hierbei werden hauptsächlich die Einsamkeit und der Wunsch nach Zuneigung gezielt ausgenutzt.

Falsche Polizei-Anrufe haben häufig auch die gleiche Zielgruppe: ahnungslose Senioren, deren Angst, überfallen zu werden, sowie deren Einsamkeit und Unsicherheit manipuliert werden. Somit werden sie dazu gebracht, ihr vollständiges Vermögen falschen Polizisten an der Haustür zu übergeben. Und diese Masche hat in der Corona-Zeit erheblich zugenommen. Doch wie gehen die Täterinnen bzw. Täter genau vor?

  • Bei solchen Fällen wird das Internet nicht immer zur Durchführung der eigentlichen Straftat benutzt – außer bei der Manipulation der Display-Anzeige, um anhand der Durchwahl 110 das unwissende Opfer zu manipulieren oder wenn die Kontaktaufnahme über Social Media erfolgt.
  • Das Internet dient aber häufig zur Tatvorbereitung, und zwar durch gezielte Analyse von im Web verfügbaren Informationen.

Social Engineering durch Romance-Scams und Heiratsschwindler

Bei Romance-Scams und Heiratsschwindler-Fällen erfolgt die Manipulation des Menschen auf virtueller Ebene. Opfer solcher Delikte sind meistens Personen mit einem hohen Grad an Gutgläubigkeit und einem großen Wunsch nach Liebe. So wird über Privatnachrichten oder Chats in Social Media geschickt eine emotionale Bindung zum Opfer aufgebaut – bis Letzteres so stark emotional gesteuert wird, dass er vollkommen irrationale Bitten und Handlungen als solche nicht mehr erkennt.

  • So werden große Geldsummen ins Ausland überwiesen, um dem zukünftigen Ehemann die Anreise zu ermöglichen.
  • Oder es werden auch über diesen Weg nutzbare dienstliche Informationen über das Unternehmen des Opfers gewonnen.
  • Angesichts der heutzutage existierenden zahlreichen Online-Dating-Portale (wie beispielsweise tinder, lovoo oder parship) werden Kriminellen potenzielle Opfer auf dem silbernen Tablett serviert.

Social Engineering durch fingierte Gewinnspiele

Eine weitere Masche, die aufgrund der aktuellen hohen Beliebtheit von Social Media aus krimineller Sicht äußerst erfolgsversprechend ist, besteht darin, den Wunsch nach Erfolg oder Komfort zu bedienen.

  • Hierfür werden fingierte Gewinnspiele beispielsweise auf Instagram gepostet.
  • Oder es werden glückliche Gewinner erfundener Werbeaktionen ausgesprochen, die mit teuren Gewinnen „angelockt“ (bspw. neueste i-Phone- oder i-Pad-Geräte) werden.
  • Für die Versendung ihres angeblichen Gewinns werden sie ordentlich zur Vorkasse gebeten, oder zur Herausgabe eigener Konten-Informationen in Verbindung mit sensiblen Daten wie Adresse, Vor- und Nachnamen gebracht werden.

Je nach Tatmotiv ist das Endziel die Sammlung von privaten Informationen, die dann zur Begehung weiterer Delikte durch Identitätstäuschung benutzt werden. Oder die „Gewinne“ sind eigentlich illegal erlangte Produkte, die durch als Gewinnspiel getarnte Hehlerei unters Volk gebracht werden. Die zu bezahlenden Lieferkosten können bei großen gestohlenen Beständen zu hohen Profiten für die Täterinnen bzw. Täter führen. In vielen Fällen existiert die gewonnene Ware nicht mal, und die „Gewinnerin“ bzw. der „Gewinner“ zahlt die Lieferkosten, ohne jemals etwas dafür zu erhalten.

Social Engineering rund um die Arbeitssuche und Arbeitsvermittlung

Auch „Job-Scamming“ ist eine weitere Art von Social Engineering, die im Rahmen von Identitätsdiebstahl und Bankbetrug angewandt wird.

  • Hier geht es darum, die aktuelle Jobsuche für kriminelle Zwecke auszunutzen.
  • Mithilfe von Webdefacement und gefälschter, authentisch wirkender Webseiten werden Menschen dazu gebracht, sich auf ein fingiertes Online-Bewerbungsverfahren einzulassen.
  • Dieses dient aber eigentlich nicht zur Jobvermittlung, sondern zur Sammlung sensibler Daten bzw. zu einer Kontoeröffnung via Video-Ident-Verfahren – die dann im Anschluss zum Beispiel für Bankbetrug, Geldwäsche u. a. verwendet werden.

Good to know: Betrugsdelikte im Rahmen von Bewerbungsverfahren können jedoch auch durch die Bewerberseite begangen werden. So werden zum Beispiel mit Malware infizierte Bewerbungsunterlagen an Unternehmen versendet, die nach deren Öffnung erhebliche Schäden im IT-Netzwerk verursachen können.

Wenn Unternehmen Opfer von Social-Engineering werden, bilden häufig Angestellte die „Schwachstelle Mensch“, die Social-Engineering-Affine zu manipulieren versuchen. In solchen Fällen ist der angerichtete Schaden erheblich größer.

Social Engineering in der Wirtschaft:
Hier ist das Schadens-Potenzial besonders hoch

Für die Wirtschaft gehört Social Engineering aktuell zu den größten Bedrohungen: „74 % der Unternehmen weltweit werden mindestens einmal jährlich Opfer einer gezielten Social Engineering-Attacke“.

  • Durch gezielte Phishing-Aktionen verschiedenster Art werden präzise Informationen über Mitarbeiterinnen und Mitarbeiter sowie über Unternehmensabläufe gesammelt.
  • Diese werden dann wiederum genutzt, um sehr professionell wirkende Spam-E-Mails an gezielte Personen zu schicken.
  • Letztere werden dann in die Irre geführt und treiben dann beispielsweise ahnungslos das Unternehmen durch Überweisungen an falsche Identitäten in den Ruin – oder schleusen (durch Öffnen von Anhängen oder durch Anklicken seriös wirkender Links) ungewollt Computerviren in das Firmennetz ein.

Besorgniserregend ist hierbei die gestiegene Anzahl maliziöser HTTPS-Seiten, die den vielleicht noch etwas verunsicherten Nutzenden Vertrauen einflößen und sie dazu verleiten, dort ihre Login-Daten, Kreditkartendaten o. Ä. zu hinterlassen.

  • Laut Webroot 2019 gab es im Berichtszeitraum einen Anteil von 24% HTTPS-maliziösen URLs.
  • Der aktuellste BSI-Bericht zur IT-Sicherheitslage in Deutschland ist weitaus unerfreulicher: „[…] [F]ür Phishing-Angriffe [kann] in Deutschland von einem Verhältnis von ca. 55 HTTP zu 45 % HTTPS ausgegangen werden.“

Anlagen-Betrug durch Social Engineering

Laut BKA (2019) wurde in letzter Zeit zunehmend Social Engineering in Anlagen-Betrugsfällen beobachtet: Hierbei wurden gezielt Menschen dazu gebracht, hohe Geldbeträge in spekulativen Anlagen in Form von Differenzkontrakten (CFD) zu investieren. Im Digitalisierungszeitalter sind solche Taktiken umso effektiver, als immer mehr Menschen sich Vorabinformationen im Netz einholen und dadurch zur leichten Beute für Cyberkriminelle werden:

  • Sehr seriös wirkende Internetseiten bieten beste Anlagen-Konditionen an, die durch Anlegung eines Benutzungskontos und anschließende „persönliche“ Beratung per Telefon bequem vom PC angenommen werden.
  • Gefälschte Entwicklungsformen des ersten Anlagen-Betrags sowie weitere vermeintliche „Bonus-Zahlungen“ ermutigen die Kundin bzw. den Kunden dazu, immer größere Summen zu investieren.
  • Das investierte Vermögen und den angeblichen Ertrags-Gewinn wird er allerdings nie (wieder) bekommen

Social Engineering mit Social Bots und Voice Bots

In dem Zusammenhang werden die sog. „Social Botsimmer kritischer angesehen, da sie zweckentfremdet werden können, um breit angelegte Social Engineering-Kampagnen zu ermöglichen. Damit können nämlich riesige Menschenmengen zeitgleich durch zwischenmenschliche Kommunikation fingierende Roboter dazu gebracht werden, höchst sensible Informationen preiszugeben.

Good to know: Eine weitere ähnliche kriminelle Umdeutung von Künstlicher Intelligenz bilden die sog. Voice-Bots. Diese ermöglichen hocheffiziente, mehrdimensionale „CEO-Fraud“-Attacken. „Schon bald könnte ein Voice-Bot dazu dienen, eine E-Mail-Attacke zu legitimieren“ – so Hellemann im Jahr 2019. Roboter können darauf trainiert werden, durch Stimm-Analyse potenzieller hochrangiger Opfer, die Stimme eines CEOs so perfekt nachzuahmen, dass die entsprechenden, den Anruf zeitgleich erhaltenden Mitarbeiterinnen und Mitarbeiter keineswegs an der Authentizität der Stimme zweifeln. Die im Anschluss versendete E-Mail mit der bereits angekündigten Aufforderung, z. B. hohe Geldbeträge zu überweisen, wird dann nicht mehr als maliziöse Spam-E-Mail erkannt und der Täter gewinnt. Die Automatisierung der bereits länger existierenden CEO-Betrugs-Masche dürfte die kriminelle Erfolgschance und folglich den Schaden um ein Vielfaches erhöhen.

Social Engineering: Diese Sicherheitsmaßnahmen solltest du ergreifen

Fallen nur ahnungslose und naive Menschen Social Engineering zum Opfer? Nein! Auch IT-Expertinnen und Experten sind bereits Opfer solcher Angriffe geworden. 2015 sind sogar hochspezialisierte CIA-Agenten in die Falle getappt. Und haben somit unbewusst einem Schüler den Zugang zu hoch vertraulichen Informationen gewährt. Mit der Digitalisierung und den technischen Errungenschaften Künstlicher Intelligenz werden Social-Engineering-Methoden immer ausgefeilter und folglich immer schwieriger als solche zu entlarven.

„Schwachstelle Mensch“: Allgemeine Schutzmaßnahmen

Das heißt aber lange nicht, dass keine Schutzmaßnahmen ergriffen werden sollten: Jede IT-Infrastruktur sollte auch „die Schwachstelle Menschberücksichtigen. Hierfür rät das BSI, besonders vorsichtig mit Social Media umzugehen und dort sparsam mit der Preisgabe sensibler, personenbezogener Informationen umzugehen.

  • Allgemein solltest du unerwarteten E-Mails oder hoher Druckausübung im Zusammenhang mit hohen Geldbeträgen mit Skepsis begegnen, und entsprechende Absicherungsschritte einhalten.
  • Zusätzlich zu einer guten „Unternehmenskultur“, in der die internen Abläufe gut geregelt und strukturiert sind, ist eine regelmäßige Aktualisierung der benutzten Software extrem wichtig.
    • So kann das Einfallstor Mensch zumindest technisch so gut abgeriegelt werden, dass es Phishing oder Malware zu erkennen vermag und durch entsprechende Sicherheitswarnungen wachgerüttelt wird.
    • Hierfür sind effiziente Antiviren-Programme und stabile Betriebssysteme mit aktuellen Updates unerlässlich.

Mit lizengo-Software aufrüsten

In unserem Online-Shop bieten wir eine breite Palette an Software, mit der du die Stabilität deiner IT-Infrastruktur aufrechterhalten kannst. Das lizengo-Team berät dich gerne bezüglich der aufgrund des im Januar 2020 vollzogenen Windows 7-Supportendes notwendigen Umstellung auf Windows 10 und hilft dir dabei, die für deine Zwecke am besten geeigneten Betriebssysteme und Microsoft-Office-Pakete zu kaufen. Eine weitere Absicherung für deine Unternehmensdaten bieten unsere Server– und Antiviren-Produkte.

Jetzt bist du an der Reihe: Hast du schon das Gefühl gehabt, dass dich jemand im Netz manipuliert? Hast du bereits Erfahrungen mit Social Engineering gesammelt? Wir sind gespannt auf deinen Kommentar!

(Visited 274 times, 1 visits today)
Last modified: 27. August 2020