Written by 10:00 IT-Sicherheit

Social-Engineering: Menschen für Hacker-Angriffe manipulieren

soceng2

„Das BSI rechnet künftig mit einer weiteren Zunahme an gut umgesetzten, automatisierten Social-Engineering-Angriffen […], die für die Empfänger kaum noch als solche zu identifizieren sind.“

(BSI 2019, S. 14)

Social Engineering: soziale Hacker-Angriffe?

Social Engineering, Human hacking, social hacking & Co.: Das hiermit bezeichnete Phänomen ist keineswegs neu. Social Engineering wird seit Langem von Geheimdiensten und deren Geheimagenten eingesetzt und kann an sich sowohl in der direkten Kommunikation („Face-to-Face“) oder digital erfolgen; das Grundprinzip ist immer das Gleiche: Es geht um Informationsbeschaffung durch Menschen.

Die Digitalisierung und die hiermit verbundenen stetigen technischen Entwicklungen fördern jedoch neue, komplexe hybride Formen von Social Engineering zutage, in denen komplexe rein technische „Hacking-Skills“ mit „Social Engineering-Skills“ verbunden werden. Hierdurch können hochgradige, extrem schädigende kombinierte Hacker-Angriffe vollzogen werden.[1]

Ist die hochsichere, rational gesteuerte IT-Struktur nämlich nicht bzw. nur mit sehr hohem Aufwand zu knacken, muss eine andere Taktik her: Der Mensch handelt emotional und bildet somit der Risikofaktor Nr. 1. So begegnen vielerorts Bezeichnungen wie „Schwachstelle Mensch“, „Risikofaktor Mensch“ oder „Mensch als Sicherheitslücke“:[2] Die Maschinen lassen sich immer schwieriger manipulieren, also werden die neuesten KI-Errungenschaften kriminell umgedeutet und als Tatmittel benutzt, um Betrugsdelikte jeglicher Art zu begehen.

Der Mensch liefert das Einfallstor und bildet eine Möglichkeit, die besten Antiviren-Programme und die höchst sicheren Firewall-Einstellungen zu umgehen. So können beispielsweise Hacktivisten durch geschicktes Social Engineering in Social-Media-Plattformen zahlreiche Nutzer für ihre getarnten kriminellen Zwecke instrumentalisieren, um in der Folge verheerende DDoS-Angriffe auszuführen.[3] Andere Hacker wenden Social Engineering als Vorstufe zu „Tech-Hack“ an, um mit relativ wenig Aufwand, in das anvisierte IT-System einzudringen.[4] Die angewandten Methoden werden immer raffinierter, was die Strafverfolgung deutlich erschwert und zu erheblichem Schadenspotenzial führt.

Doch wie funktioniert eigentlich Social Engineering? Was sind die beliebtesten angewandten Techniken? Welche Delikte werden vorzugsweise hiermit begangen? Welche Schutzmaßnahmen können ergriffen werden? Wir liefern ein paar Fakten.

Hacker-Angriffe durch geschickte Manipulationstechniken

Social Engineering kann als eine Art „psychisches Hacking“ umschrieben werden: Es geht bei dieser Art von Hacking nicht mehr darum, die Kontrolle über IT-Geräte zu übernehmen, um sie dann für weitere kriminelle Zwecke auszunutzen. Nein: Nun fungiert der Mensch als Mittel zum Zweck und ist somit zunächst das erste Angriffsziel, das in der Folge ungewollt zum Mittäter werden kann. Durch die gezielte Ausnutzung menschlicher Persönlichkeitsmerkmale, wird der Mensch zunächst zum Manipulationsobjekt. Die Social Media liefern hierfür eine riesige Quelle zur gezielten Vorbereitung eines auf die jeweilige Persönlichkeit perfekt abgestimmten Angriffs.

Allein durch die (legale) Sichtung von Fotos, Posts, Likes, Followers etc. auf Social-Media-Plattformen wie Facebook, Instagram oder Twitter kann ein Social-Engineering Experte Muster erkennen, die anschließend dazu verwendet werden können, um scheinbar vorhandene Bedürfnisse oder Ängste zu bedienen. Hierbei können zum Beispiel menschliche Eigenschaften wie Naivität, Unerfahrenheit, Gier, Rache, Angst, Unsicherheit, oder der Wunsch nach Liebe, Zuneigung oder Sexualität, u. a.[5] herausgelesen werden, um dann „ideale“ Opfer auszumachen, über die verschiedene Delikt-Typen begangen werden können.

Welche Delikte werden im Zusammenhang mit Social Engineering begangen?

Social Engineering taucht im Kontext verschiedener Delikt-Formen auf. Darunter fallen beispielsweise Identitäts- und Informationsdiebstahl, aber auch Geldwäsche, Bankbetrug, Industriespionage, Erpressungsdelikte u. v. a. m.

Mit virtuellem Social Engineering werden vielfältige Betrugsdelikte begangen. 2016 bezeichnete der BSI Social Engineering als „virtuellen Haustür-Betrug“[6] – eine moderne Variante altbekannter Haustür-Betrugsfälle. So können Menschen dahingehend manipuliert werden, dass sie personenbezogene, hoch sensible Informationen herausgeben (Kontoverbindungen, Namen, Geburtsort, Geburtsdatum, Wohnort etc.), die im Nachgang missbraucht werden, um mit vorgetäuschter Identität weitere Delikte zu begehen (z. B. Betrugsdelikte, Geldwäsche). In dem Zusammenhang taucht auch der Begriff „Spoofing“ auf: Hierbei handelt es sich um eine Identitätstäuschung, die entweder eine erfundene Identität durch Täuschung des E-Mail-Servers simuliert, oder es wird eine durch Identitätsdiebstahl erlangte, existierende E-Mail-Adresse nachgeahmt, um beispielsweise im Namen des betreffenden Opfers E-Mails an weitere anvisierte Opfer zu versenden.

Durch Social-Engineering-Methoden können aber auch brisante Informationen über die Firma eines zunächst privaten Opfers erlangt werden (wie geheime Unternehmensdaten, Ideen usw.), die dann im Rahmen von Industrie-Spionage benutzt werden können. Je nach Art der gesammelten privaten Informationen, kann die Herausgabe von Unternehmensdaten mit durch Social-Engineering gewonnenen Druckmitteln beschleunigt werden: Beispielsweise können ausgetauschte oder durch „Sexting“ via Snapchat, Whatsapp o. Ä. erlangte Intimbilder oder -Videos dann zu Erpressungszwecken benutzt werden (s. „Sextortion“)[7].

Die begangenen Delikte werden umso komplexer, als Social Engineering eng mit technischem Hacking verwoben ist. So liefert Social Engineering ein „lukratives“ Einfallstor, um gezielte Hacking-Angriffe überhaupt erst zu ermöglichen. Das Schadenspotenzial solcher Angriffe hängt stark davon ab, ob das eigentliche Hackerangriffsziel eine Privatperson oder ein Unternehmen ist.

Social engineering gegen Privatpersonen

Als konkrete Beispiele für die Manipulation privater Personen können die bekannten „Enkel-Tricks“, sowie falsche Polizei-Anrufe, „Romance-Scams“, Heiratsschwindler, falsche Gewinnspiele oder „Job-Scamming“ genannt werden.

Social Engineering durch Enkel-Trick und falsche Polizeianrufe

Beim Enkel-Trick bilden wohlhabende Senioren die Zielgruppe. Sie werden durch direkte Ansprache auf der Straße, Spontan-Besuche zu Hause oder fingierte Telefonanrufe entweder dazu gebracht, Geldbeträge zu überweisen, oder sie werden vor Ort ausgeraubt. Hierbei werden hauptsächlich die Einsamkeit und der Wunsch nach Zuneigung gezielt ausgenutzt.[8]

Falsche Polizei-Anrufe haben häufig auch die gleiche Zielgruppe: Ahnungslose Senioren, deren Einsamkeit, Unsicherheit und Angst überfallen zu werden manipuliert werden, um sie dazu zu bringen ihr vollständiges Vermögen falschen Polizisten an der Haustür zu übergeben. Bei solchen Fällen wird das Internet nicht immer zur Durchführung der eigentlichen Straftat benutzt (außer bei der Manipulation der Display-Anzeige, um anhand der Durchwahl 110 das unwissende Opfer zu manipulieren oder wenn die Kontaktaufnahme über Social Media erfolgt), dient aber häufig zur Tatvorbereitung durch gezielte Analyse von im Web verfügbaren Informationen.[9]

Social Engineering durch Romance-Scams und Heiratsschwindler

Bei Romance-Scams und Heiratsschwindler-Fällen erfolgt die Manipulation des Menschen auf virtueller Ebene. Opfer solcher Delikte sind meistens Personen mit einem hohen Grad an Gutgläubigkeit und einem großen Wunsch nach Liebe. So wird über Privatnachrichten oder Chats in Social Media geschickt eine emotionale Bindung zum Opfer aufgebaut, bis Letzteres so stark emotional gesteuert wird, dass er vollkommen irrationale Bitten und Handlungen als solche nicht mehr erkennt. So werden große Geldsummen ins Ausland überwiesen, um dem zukünftigen Ehemann die Anreise zu ermöglichen, oder es werden auch über diesen Weg nutzbare dienstliche Informationen über das Unternehmen des Opfers gewonnen. Angesichts der heutzutage existierenden zahlreichen Online-Dating-Portale (wie beispielsweise tinder, lovoo oder parship) werden Kriminellen potenzielle Opfer auf dem silbernen Tablett serviert.[10]

Social Engineering durch fingierte Gewinnspiele

Eine weitere Masche, die aufgrund der aktuellen hohen Beliebtheit von Social Media aus krimineller Sicht äußerst erfolgsversprechend ist, besteht darin, den Wunsch nach Erfolg oder Komfort zu bedienen. Hierfür werden fingierte Gewinnspiele[11] beispielsweise auf Instagram gepostet, oder es werden glückliche Gewinner erfundener Werbeaktionen ausgesprochen, die mit teuren Gewinnen „angelockt“ (bspw. neueste i-Phone- oder i-Pad-Geräte), für die Versendung ihres angeblichen Gewinns zur Vorkasse gebeten, oder zur Herausgabe eigener Konten-Informationen in Verbindung mit sensiblen Daten wie Adresse, Vor- und Nachnamen gebracht werden.

Je nach Tatmotiv ist das Endziel die Sammlung von privaten Informationen, die dann zur Begehung weiterer Delikte durch Identitätstäuschung benutzt werden – oder die „Gewinne“ sind eigentlich illegal erlangte Produkte, die durch als Gewinnspiel getarnte Hehlerei unters Volk gebracht werden. Die zu bezahlenden Lieferkosten können bei großen gestohlenen Beständen zu hohen Profiten für die TäterInnen führen. In vielen Fällen existiert die gewonnene Ware nicht mal, und der „Gewinner“ zahlt die Lieferkosten, ohne jemals etwas dafür zu erhalten.

Social Engineering rund um die Arbeitssuche und Arbeitsvermittlung

Auch „Job-Scamming“ ist eine weitere Art von Social Engineering, die im Rahmen von Identitätsdiebstahl und Bankbetrug angewandt wird. Hier geht es darum, die aktuelle Jobsuche für kriminelle Zwecke auszunutzen. Mithilfe von Webdefacement und gefälschter, authentisch wirkender Webseiten werden Menschen dazu gebracht, sich auf ein fingiertes Online-Bewerbungsverfahren einzulassen, das eigentlich nicht zur Jobvermittlung, sondern zur Sammlung sensibler Daten bzw. zu einer Kontoeröffnung via Video-Ident-Verfahren dient, die dann im Anschluss zum Beispiel für Bankbetrug, Geldwäsche u. a. verwendet werden.[12]

Betrugsdelikte im Rahmen von Bewerbungsverfahren können jedoch auch durch die Bewerberseite begangen werden, indem zum Beispiel mit Malware infizierte Bewerbungsunterlagen an Unternehmen versendet werden, die nach deren Öffnung erhebliche Schäden im IT-Netzwerk verursachen können.[13]

Wenn Unternehmen Opfer von Social-Engineering werden, bilden häufig Angestellte die „Schwachstelle Mensch“, die Social-Engineers zu manipulieren versuchen. In solchen Fällen ist der angerichtete Schaden erheblich größer.[14]

Das besonders hohe Schadens-Potenzial von Social Engineering in der Wirtschaft

Für die Wirtschaft gehört Social Engineering aktuell zu den größten Bedrohungen:[15] „74 % der Unternehmen weltweit werden mindestens einmal jährlich Opfer einer gezielten Social Engineering-Attacke“.[16] Durch gezielte Phishing-Aktionen verschiedenster Art werden präzise Informationen über MitarbeiterInnen und Unternehmensabläufe gesammelt, die dann wiederum genutzt werden, um sehr professionell wirkende Spam-E-Mails an gezielte Personen zu schicken. Letztere werden dann in die Irre geführt und treiben dann beispielsweise ahnungslos das Unternehmen durch Überweisungen an falsche Identitäten in den Ruin – oder schleusen (durch Öffnen von Anhängen oder durch Anklicken seriös wirkender Links) ungewollt Malware in das Firmennetz ein.[17]

Besorgniserregend ist hierbei die gestiegene Anzahl maliziöser HTTPS-Seiten, die dem vielleicht noch etwas verunsicherten Nutzer Vertrauen einflößen und ihn dazu verleiten, dort seine Login-Daten, Kreditkartendaten o. Ä. zu hinterlassen: Laut Webroot 2019 gab es im Berichtszeitraum einen Anteil von 24% HTTPS-maliziösen URLs.[18] Der aktuellste BSI-Bericht zur IT-Sicherheitslage in Deutschland ist weitaus unerfreulicher: „[…] [F]ür Phishing-Angriffe [kann] in Deutschland von einem Verhältnis von ca. 55 HTTP zu 45 % HTTPS ausgegangen werden.“[19]

Anlagen-Betrug durch Social Engineering

Laut BKA (2019)[20] wurde in letzter Zeit zunehmend Social Engineering in Anlagen-Betrugsfällen beobachtet: Hierbei wurden gezielt Menschen dazu gebracht, hohe Geldbeträge in spekulativen Anlagen in Form von Differenzkontrakten (CFD) zu investieren. Im Digitalisierungszeitalter sind solche Taktiken umso effektiver, als immer mehr Menschen sich Vorabinformationen im Netz einholen und dadurch zur leichten Beute für Cyberkriminelle werden: Sehr seriös wirkende Internetseiten bieten beste Anlagen-Konditionen ein, die durch Anlegung eines Benutzerkontos und anschließende „persönliche“ Beratung per Telefon bequem vom PC angenommen werden. Durch gefälschte Entwicklungsformen des ersten Anlagen-Betrags sowie weitere vermeintliche „Bonus-Zahlungen“ wird der Kunde dazu ermutigt immer größere Summen zu investieren – nur das investierte Vermögen und den angeblichen Ertrags-Gewinn wird er nie (zurück)bekommen…

Social Engineering mit Social Bots und Voice Bots

In dem Zusammenhang werden die sog. „Social Bots“ immer kritischer angesehen, da sie zweckentfremdet werden können, um breit angelegte Social Engineering-Kampagnen zu ermöglichen: So können riesige Menschenmengen zeitgleich durch zwischenmenschliche Kommunikation fingierende Roboter dazu gebracht werden, höchst sensible Informationen preiszugeben.[21]

Eine weitere ähnliche kriminelle Umdeutung von Künstlicher Intelligenz bilden die sog. Voice-Bots, die hocheffiziente, mehrdimensionale „CEO-Fraud“[22]-Attacken ermöglichen: „Schon bald könnte ein Voice-Bot dazu dienen, eine E-Mail-Attacke zu legitimieren.“[23] So können Roboter darauf trainiert werden, durch Stimm-Analyse potenzieller hochrangiger Opfer, die Stimme eines CEOs so perfekt nachzuahmen, dass die entsprechenden, den Anruf zeitgleich erhaltenden Mitarbeiter und Mitarbeiterinnen keineswegs an der Authentizität der Stimme zweifeln. Die im Anschluss versendete E-Mail mit der bereits angekündigten Aufforderung, z. B. hohe Geldbeträge zu überweisen, wird dann nicht mehr als maliziöse Spam-E-Mail erkannt und der Täter gewinnt. Die Automatisierung der bereits länger existierenden CEO-Betrugs-Masche dürfte die kriminelle Erfolgschance und folglich den Schaden um ein Vielfaches erhöhen.[24]

Sicherheitsmaßnahmen ergreifen und angemessene Software-Produkte benutzen

Werden nur ahnungslose und naive Menschen Opfer von Social Engineering? Nein! Auch IT-Experten sind bereits Opfer solcher Angriffe geworden;[25] 2015 sind sogar hochspezialisierte CIA-Agenten in die Falle getappt und haben somit unbewusst einem Schüler den Zugang zu hoch vertraulichen Informationen gewährt.[26] Mit der Digitalisierung und den technischen Errungenschaften Künstlicher Intelligenz werden Social-Engineering-Methoden immer ausgefeilter und folglich immer schwieriger als solche zu entlarven.

„Schwachstelle Mensch“: Allgemeine Schutzmaßnahmen

Das heißt aber lange nicht, dass keine Schutzmaßnahmen ergriffen werden sollten: In jeder IT-Infrastruktur sollte auch „die Schwachstelle Mensch“ berücksichtigt werden. Hierfür rät das BSI, besonders vorsichtig mit Social Media umzugehen und dort sparsam mit der Preisgabe sensibler, personenbezogener Informationen umzugehen.

Allgemein sollten unerwarteten E-Mails oder hoher Druckausübung im Zusammenhang mit hohen Geldbeträgen mit Skepsis begegnet, und entsprechende Absicherungsschritte eingehalten werden.[27] Zusätzlich zu einer guten „Unternehmenskultur“, in der die internen Abläufe gut geregelt und strukturiert sind, ist eine regelmäßige Aktualisierung der benutzten Software-Produkte extrem wichtig: So kann das Einfallstor Mensch zumindest technisch so gut abgeriegelt werden, dass es Phishing oder Malware zu erkennen vermag und durch entsprechende Sicherheitswarnungen wachgerüttelt wird. Hierfür sind effiziente Antiviren-Programme und stabile Betriebssysteme mit aktuellen Updates unerlässlich.

Mit lizengo-Software aufrüsten

Bei lizengo bieten wir eine breite Palette an Softwareprodukten, mit der Sie die Stabilität Ihrer IT-Infrastruktur aufrechterhalten können. Das lizengo-Team berät Sie gerne bezüglich der aufgrund des anstehenden Windows 7-Supportendes notwendigen Umstellung auf Windows 10 und hilft Ihnen, die für Ihre Zwecke am besten geeigneten Betriebssysteme und Microsoft-Office-Pakete zu finden. Eine weitere Absicherung für Ihre Unternehmensdaten bieten unsere Server– und Antiviren-Produkte.

Fanden Sie den Beitrag interessant? Dann werden Ihnen die Beiträge „Hacker-Angriffe in Deutschland: Typen, Methoden & aktuelles Gefährdungspotenzial“ und „Cybercrime & Informationssicherheit im Digitalisierungszeitalter: Über Möglichkeiten und Grenzen der Strafverfolgung“ sicherlich auch gefallen!


[1] BKA 2016, S. 6 (BKA 2016 = https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/Publikationsreihen/Forschungsergebnisse/2016HacktivistenZusammenfassung.pdf;jsessionid=AD02C09B3D288CEF46D70772097A1A31.live2291?__blob=publicationFile&v=4).
[2] https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html sowie https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Social_Engineering.html.
[3] Vgl. BKA 2016, S. 6 f.
[4] Bender 2019 (= Power-Point-Präsentation zum Vortrag von Markus Bender (2019), „Human Hacking: die Kunst des Social Engineering“, verfügbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Veranstaltungen/Grundschutz/1GS_Tag_2019/social_engineering.pdf?__blob=publicationFile&v=2).
[5] S. Bender 2019.
[6] S. https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/social_engineering_15112016.html.
[7] Vgl. https://www.presseportal.de/blaulicht/pm/58451/4046115.
[8] Siehe dazu https://polizei.nrw/artikel/trickbetrueger-zocken-immer-mehr-aeltere-menschen-ab-1.
[9] Siehe beispielsweise https://viersen.polizei.nrw/artikel/polizei-warnt-vor-anrufen-falscher-polizisten oder https://polizei.nrw/fahndungen/unbekannte-tatverdaechtige/bochum-betrug-falsche-polizeibeamte.
[10] Siehe dazu https://bielefeld.polizei.nrw/artikel/vorsicht-vor-romance-oder-love-scamming.
[11] Vgl. https://www.gdata.de/ratgeber/was-ist-eigentlich-social-engineering.
[12] S. dazu https://lka.polizei.nrw/artikel/job-scamming.
[13] Vgl. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/IT-Grundschutz-Modernisierung/BS_Schadprogramme.pdf?__blob=publicationFile&v=3.
[14] Vgl. https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html.
[15] https://www.cio.de/g/die-groessten-bedrohungen-fuer-unternehmen-2018,117034.
[16] Hellemann 2019 (= Vortrag von Dr. Niklas Hellemann (23.05.2019, 16. Deutscher IT-Sicherheitskongress), „Next Generation Phishing. Social Engineering in Zeiten von Voice Phishing, KI und Deepfake“, unter: https://sosafe.de/SoSafe_Next_Generation_Phishing.pdf).
[17] Webroot 2019 (= Webroot® Threat Report: Mid-Year Update (8.10.2019), unter: https://www.webroot.com/us/en/about/press-room/releases/webroot-finds-windows-7-even-riskier).
[18] Vgl. Webroot 2019.
[19] BSI 2009, S. 10 (BSI 2009 = „Die Lage der IT-Sicherheit in Deutschland 2019“, unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2019.pdf?__blob=publicationFile&v=6).
[20] Vgl. BKA 2019, S. 14–15 (BKA 2019 = „Bundeslagebild Wirtschaftskriminalität 2018“, veröffentlicht am 22.10.2019 unter: https://www.bka.de/SharedDocs/Downloads/DE/Publikationen/JahresberichteUndLagebilder/Wirtschaftskriminalitaet/wirtschaftskriminalitaetBundeslagebild2018.html).
[21] Vgl. BKA 2019, S. 20–22.
[22] Vgl. https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/Social_Engineering.html.
[23] S. Hellemann 2019.
[24] Vgl. Hellemann 2019.
[25] https://www.bsi.bund.de/SharedDocs/Newsletter/DE/BSIFB/BuergerCERT-Newsletter/14_Sicher-Informiert_27-06-2019.html und https://t3n.de/news/bitte-zahlen-gruss-chef-1140902/.
[26] Vgl. https://www.gdata.de/ratgeber/was-ist-eigentlich-social-engineering.
[27] Vgl. https://www.bsi-fuer-buerger.de/BSIFB/DE/DigitaleGesellschaft/IT_Sicherheit_am_Arbeitsplatz/SoEng/Social_Engineering_node.html.

(Visited 132 times, 1 visits today)
Last modified: 2. Januar 2020