 |
# taz.de -- Sicherheitsexpertin über Social Engineering: „Jeder hat eine Sch… |
|
|
|
> Betrüger bauen Vertrauen auf, um an Daten oder Geld zu kommen. Welche |
|
> Tricks sie dafür nutzen, erklärt Sicherheitstrainerin Christina Lekati. |
|
|
|
taz am wochenende: Frau Lekati, Betrüger, die sich das Vertrauen ihrer |
|
Opfer erschleichen, gibt es im digitalen Zeitalter häufiger, man nennt die |
|
Masche Social Engineering. Was ist ein Angriff im Rahmen des sogenannten |
|
Social Engineering? |
|
|
|
Christina Lekati: Angriffe auf Menschen durch soziale Fähigkeiten, um etwas |
|
von Wert zu gewinnen. Jeder Angriff besteht aus den gleichen Schritten. Der |
|
Angreifer, den wir Social Engineer nennen, sammelt Informationen, sucht ein |
|
Opfer, denkt sich eine Cover-Story aus, also einen Grund, um mit dem Opfer |
|
in Kontakt zu treten und kontaktiert es. Er baut dann Vertrauen zu dem |
|
Opfer auf, um es anschließend auszubeuten. |
|
|
|
Wie geht das? |
|
|
|
Ein Beispiel: Der Social Engineer hat herausgefunden, dass die Sekretärin |
|
eines Unternehmenschefs gerade Mutter geworden ist. Er stellt sich als |
|
Bewerber für einen Job vor und behauptet dann, dass sein Kind über die |
|
Bewerbungsunterlagen gekotzt habe. Ob die Sekretärin die Unterlagen nochmal |
|
ausdrucken könne? Sie müsse nur seinen USB-Stick kurz einstecken. Als |
|
frische Mutter kann die Sekretärin einen Bezug dazu herstellen, sie weiß ja |
|
selber, wie es mit den Kindern ist, darum steckt sie ohne Sorgen den |
|
USB-Stick mit der Schadsoftware in ihren PC. Die Hilfsbereitschaft von |
|
Menschen wird oft von den Social Engineers ausgenutzt. Der letzte Schritt: |
|
Flüchten, ohne verdächtig zu werden. |
|
|
|
Was sind die Motive der [1][Social Engineers]? |
|
|
|
Bei den meisten Attacken von Social Engineers geht es um Informationen und |
|
Geld. Auch Unternehmen nutzen diese Technik, um zum Beispiel durch |
|
Industriespionage an Informationen zu kommen, die für ihre Unternehmen |
|
einen Wettbewerbsvorteil verschaffen. |
|
|
|
Warum wird das Phänomen Social Engineering mit einem technischen Begriff |
|
bezeichnet? |
|
|
|
Eine Maschine besteht aus verschiedenen Bestandteilen – und in diesem Fall |
|
baut jemand verschiedene psychologische Prinzipien und Arten von |
|
Manipulation zu einer Technik zusammen, mit der Menschen attackiert werden |
|
sollen. Es ist eine Technik, die ein spezifisches menschliches Verhalten |
|
auslösen soll. Und es ist vor allem eine Kombination von sozialen und |
|
technischen Skills. |
|
|
|
Wer kann ins Visier von Social Engineering geraten? |
|
|
|
Es kann Einzelne oder Massen treffen, Systemadministratoren oder Zuständige |
|
im Finanzbereich einer Firma. Jedes Zielobjekt hat seine Schwachstelle. |
|
|
|
Sind wir also alle ein potentielles Opfer für Social Engineers? |
|
|
|
Es ist egal, wie schlau oder gebildet man ist. Die Social Engineers jagen |
|
Ignoranten. Es kann jedem passieren, der nicht hellwach ist und die |
|
erzählte Geschichte glaubt. Ärzten, Anwälten, arme Leute, alle Milieus und |
|
Klassen sind schon mal Opfer von Social Engineering geworden. |
|
|
|
Ob jemand reinfällt, hängt vor allem davon ab, ob das Opfer einem Betrüger |
|
glaubt. Wie ergaunern sich Social Engineers unser Vertrauen? |
|
|
|
Es gibt universelle Tricks, die bei jedem von uns funktionieren. Die Social |
|
Engineers versuchen, sympathisch rüberzukommen. Wenn du jemanden magst, |
|
bist du offener dafür, ihm zu helfen. Sie versuchen, eine Bindung zu dir |
|
herzustellen. Meistens beginnt es mit etwas nettem, einem schmeichelnden |
|
Kommentar, vielleicht einem Witz. |
|
|
|
Bindung zu jemanden Fremden herstellen, geht das so einfach? |
|
|
|
Ja, wenn man gute soziale Fähigkeiten hat. Zum Beispiel: Jemand sagt, dass |
|
sie Julia heißt – und der Social Engineer antwortet: Wie toll, meine |
|
Ehefrau heißt auch Julia! Danach beginnen sie eine angeregte Unterhaltung |
|
und es kommt das zweite Prinzip in Spiel: Konsistenz. Sobald Vertrauen |
|
aufgebaut ist, wollen wir in unserer Rolle konsequent bleiben und geben |
|
weiter Antworten, um nicht die Stimmung zu vermiesen. Das ist menschlich |
|
und das nutzen Social Engineers bewusst schamlos aus. Daher sind Fragen |
|
anfangs harmlos und alltäglich und zielen später auf sensible Themen ab. |
|
Und weil wir alles brav beantworten, fällt uns nicht auf, dass wir |
|
zwischendurch wichtige Informationen verraten. |
|
|
|
Und wenn ich doch einmal Zweifel äußere? |
|
|
|
Wenn Social Engineers merken, dass ihre Gesprächspartner misstrauisch |
|
werden, hören sie sofort auf oder wenden andere Tricks an, um dir |
|
Schuldgefühle zu machen. Schuld ist eine sehr starke Emotion. Eine weitere |
|
Taktik: Angst ausnutzen und mit Zeitdruck verbinden. Das Opfer kann nicht |
|
klar urteilen und über die Situation nachdenken. Sehr oft arbeiten Social |
|
Engineers auch mit Ehrfurcht vor Autorität, in Deutschland ist darum der |
|
CEO-Fraud sehr verbreitet, die Betrugsmasche, bei der sich Social Engineers |
|
als Chefs ausgeben. Deutsche respektieren Autorität. |
|
|
|
Ist Social Engineering ein neues Phänomen? |
|
|
|
Nein. Es ist aber in den vergangenen Jahren immer präsenter, weil mit der |
|
digitalen Entwicklung mehr möglich geworden ist. Solange es Menschen gibt, |
|
die Zugang zu wertvollen Ressourcen haben, wird es immer auch Betrüger |
|
geben. In den Dreißiger Jahren gab es zum Beispiel den Österreicher Victor |
|
Lustig. Er hat den Eiffelturm verkauft. Zwei Mal. Frankreich hatte damals |
|
finanzielle Probleme. Lustig hatte vorgespielt, für die Regierung zu |
|
arbeiten. Er ging zu Bauunternehmen und verkündete, die Regierung habe |
|
entschieden, den Bau an den höchsten Bieter zu verkaufen. Das klappte. Die |
|
Opfer haben das aus Scham nicht weitererzählt und darum hat er den Trick |
|
später ein zweites Mal angewendet. |
|
|
|
Gibt es eine Typologie oder Charakteristik für Social Engineerer? |
|
|
|
Über ihren sozialen Hintergrund ist wenig bekannt, manche sind arm und |
|
smart, andere hochgebildet. Sie schauen nicht verdächtig aus, sondern wie |
|
du und ich. Sie sind charmant, haben Charisma und viele soziale Fähigkeiten |
|
und verstehen die menschliche Psyche sehr gut. Es macht Spaß, mit ihnen zu |
|
reden, aber natürlich ist das fake. |
|
|
|
Weiß man mehr darüber, woher die Engineers wissen, wie sie vorgehen müssen? |
|
|
|
Sehr viele sind Autodidakten, sie haben sich das selber beigebracht und mit |
|
Opfern experimentiert. Oft haben sie auch Psychologie studiert. In |
|
kriminellen Kreisen gibt es manchmal auch Veteranen, die ihr Wissen |
|
weitergeben. Wir kennen die kriminellen Netzwerke etwa aus Foren im Dark |
|
Web. Es gibt einzelne Akteure oder ganze kriminelle Organisationen, die zum |
|
Beispiel Callcenter betreiben. |
|
|
|
Das heißt, ich könnte das auch lernen und meinen Chef manipulieren? |
|
|
|
Absolut. In Bewerbungsgesprächen, im professionellen Verkauf, beim Kampf um |
|
eine Gehaltserhöhung – Social Engineering gibt es überall, die Prinzipien |
|
werden zum Beispiel in Werbung und Marketing ausgenutzt, oder von |
|
Politikern, die ihre Ideen verkaufen wollen. Es gibt aber auch Social |
|
Engineering zu einem guten Zweck. Ärzte nutzen die Tricks, damit Patienten |
|
ihre Therapie machen. Wir vergleichen die Technik immer mit einem Messer: |
|
Du kannst damit Essen für deine Familie zubereiten, oder damit jemanden |
|
töten. |
|
|
|
Was ist das Werkzeug der Betrüger? |
|
|
|
Gute soziale und kommunikative Fähigkeiten. Ein Mann raubte einmal eine |
|
Bank aus und benutzte dabei nur seinen Charme und Schokolade. Er konnte die |
|
Diamanten stehlen, weil die Sicherheitsleute ihm vertrauten und ihn |
|
unbeaufsichtigt im Tresorraum zurückließen. Heutzutage werden meist auch |
|
technische IT-Kenntnisse benötigt, wenn Social Engineers Attacken online |
|
durchführen. |
|
|
|
Wie finden Engineers heraus, welche Schwachstellen eine Person hat? |
|
|
|
Sie recherchieren zunächst unter anderem Verfehlungen, unbefriedigte |
|
Bedürfnisse, Ängste oder auch Hobbies von Personen von Interesse. |
|
Emotionale Bedürfnisse zählen für uns mehr als alles andere, auch mehr als |
|
finanzielle Bedürfnisse. Der Engineer befriedigt unsere Bedürfnisse und |
|
unser Hirn blendet deswegen automatisch aus, welche Bedrohung der Engineer |
|
eigentlich darstellt. Selbst wenn sie Dinge thematisieren, die unangenehm |
|
sind: Bietet jemand etwas an, was man emotional brauchen kann, ändert man |
|
seine Haltung zu ihm nicht, sondern ignoriert wohlwissend jegliche |
|
Warnhinweise. Daher suchen sie nach Leuten, die naiv oder generell ignorant |
|
sind. Aber auch wenn du introvertiert bist, kann es dich treffen. Solange |
|
du unbefriedigte Bedürfnisse hast, ist man ein gutes Opfer. |
|
|
|
Was ist die häufigste Strategie, die Engineers anwenden? |
|
|
|
[2][Phishing Mails.] Zirka 80 Prozent der Cyberangriffe sind im ersten |
|
Schritt Social Engineering Attacken. |
|
|
|
Gerade die Gefahr von Phishing-Mails ist doch seit Jahren bekannt? |
|
|
|
Die Sicherheitstechnologien haben sich zwar verbessert, aber die |
|
menschliche Psyche ist die gleiche geblieben. Alle Menschen sagen sich |
|
immer: Mir passiert das nicht. Hinzu kommt, dass Unternehmen ihr Geld |
|
lieber in Technologien investieren, anstatt in Schulungen der Mitarbeiter, |
|
wie sie sich schützen und verhalten sollen. |
|
|
|
Wie soll ich mit einem Engineer umgehen, wenn ich ihn an der Strippe habe? |
|
|
|
Bleiben Sie standhaft. Niemals eine Debatte darüber beginnen, wieso Sie |
|
eine Information nicht weitergeben wollen. Wenn Ihnen etwas verdächtig |
|
vorkommt, sagen Sie den Satz: „Es tut mir leid, so sehr ich dich mag/ Sie |
|
schätze, aber ich kann dir/ Ihnen diese Informationen nicht geben“. Drohen |
|
Sie damit, den Anruf polizeilich oder im Unternehmen zu melden, das |
|
verscheucht den Anrufer. Werden Sie nach einem Passwort gefragt, weigern |
|
sie sich. Versuchen Sie, die Identität des Anrufers so weit wie möglich zu |
|
verifizieren. Trauen Sie niemals der Nummer, die ist leicht zu fälschen. |
|
|
|
Sie arbeiten für eine Sicherheitsfirma. Wie können sich Unternehmen |
|
schützen? |
|
|
|
Aufmerksamkeit und Bewusstsein kann man trainieren. Wir bieten Unternehmen |
|
dazu Trainings an. Wir untersuchen auch, welche Social |
|
Engineering-Schwachstellen Mitarbeiter und Unternehmen haben könnten, damit |
|
die Firmen besser vorbereitet sind. Ich habe auch selber schon Attacken |
|
ausprobiert und weiß, wie das funktioniert. Jede Firma hat unterschiedliche |
|
Bedürfnisse und Schwächen und diese arbeiten wir gemeinsam in deren |
|
Verteidigungsstrategien ein. |
|
|
|
Woher kommt Ihr Interesse an Engineering? |
|
|
|
Bereits als ich ein Kind war, hat mein Vater in der |
|
Cyber-Sicherheitsindustrie gearbeitet und mich regelmäßig mit seinen |
|
Geschichten fasziniert. Aus diesem Grund handelte vermutlich mein erstes |
|
selbstgekauftes Buch von Profiling. Ich liebe es einfach, herauszufinden, |
|
wie das menschliche Gehirn und Social Engineering funktioniert. Menschen |
|
dabei zu helfen, sich selbst zu schützen, macht mich zudem glücklich. |
|
|
|
Und wurden Sie selber schon attackiert? |
|
|
|
Ja! Es hat jedoch nicht geklappt. Aber das muss nichts heißen, auch |
|
Sicherheitsexperten können reinfallen. Niemand ist gegen „Social |
|
Engineering“ komplett immun. |
|
|
|
13 Sep 2020 |
|
|
|
## LINKS |
|
|
 |
[1] /Provinz-Aceh-in-Indonesien/!5502766&s=Social+Engineering/ |
|
[2] /Unterschaetzte-Cyberkriminalitaet/!5685254&s=Phishing+Mails/ |
|
|
|
## AUTOREN |
|
|
|
Simon Schramm |
|
|
|
## TAGS |
|
|
|
IT-Sicherheit |
|
Betrug |
|
Wirtschaftskriminalität |
|
Enkeltrick |
|
Günter Grass |
|
Wirecard |
|
Wirecard |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Prozess um Veruntreuung in Bremen: Betrügerpaar darf sich bewähren |
|
|
|
Vielfach sollen ein Juraprofessor und die Vorsitzende der Grass-Stiftung |
|
Geld veruntreut haben. Opfer waren die Stiftung – und die eigenen Kinder. |
|
|
|
Aufarbeitung des Wirecard-Skandals: Sondersitzungen zum Bilanzbetrug |
|
|
|
Der Finanzausschuss will Kanzleramtsvertreter zu dem Bilanzskandal |
|
befragen. Ein Untersuchungsausschuss wird immer wahrscheinlicher. |
|
|
|
Konsequenzen aus dem Wirecard-Skandal: Finanzminister Scholz muss liefern |
|
|
|
Am Mittwoch muss Olaf Scholz vor dem Finanzausschuss zu Wirecard aussagen. |
|
Er muss erklären, wie die Finanzwirtschaft wirksam zu kontrollieren ist. |
