-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

Social Engineering ist der Fachausdruck für das Ausnutzen menschlicher Schwächen, um bestimmte Reaktionen zu provozieren.

-Produktempfehlung: Kaspersky lab-

Also eine geschickte Manipulation von Personen. Im Internet sieht man sich dieser Manipulation ständig ausgesetzt, manche prallen einfach ab, andere wirken jedoch, ohne dass man es bemerkt.

shutterstock_290190206
Bildquelle: GlebStock @ Shutterstock.com

Aber Social Engineering ist schon wesentlich älter als das kommerzielle Internet und benötigt aus historischer Sicht auch nicht unbedingt das World Wide Web.

Das grundlegende Prinzip

Der ursprüngliche Gedanke hinter dem Social Engineering (zu Deutsch auch „angewandte Sozialwissenschaft“, auch „soziale Manipulation“ genannt) ist das Ziel, bestimmte Verhaltensweisen bei den Opfern hervorzurufen, indem man ihnen einen gewissen Umstand vorgaukelt.

Wichtig ist dabei, dass man Wissen aus dem persönlichen Umfeld der Zielperson hat und dieses vorher gesammelt hat. Mit diesem Hintergrundwissen und der Vorgabe, jemand spezielles zu sein, wird eine Zielperson manipuliert.

Ein Beispiel dafür sind fingierte Telefonanrufe. Das klassische Beispiel dabei: Der Betrüger ruft per Telefon bei einem Opfer an, gibt sich als Techniker oder Administrator eines bestimmten Systems aus und spielt dabei immer ein paar Informationen, welche im Vorfeld gesammelt wurden, in das Telefongespräch ein, so dass die Zielperson davon überzeugt ist, tatsächlich eine autorisierte Person am anderen Ende zu haben. Am Ende gibt die Zielperson sensible Daten frei.

So gaben sich zum Beispiel im letzten Jahr Betrüger als Mitarbeiter einer Lotteriegesellschaft aus, und baten telefonisch Mitarbeiter von Lottostellen, einen gewissen Systemcheck an den Terminals durchzuführen und einen Rückmeldecode zu nennen. Bei diesem Code handelte es sich jedoch um einen Guthabencode, welcher nun in den Händen der Betrüger war. Die Mitarbeiter bemerkten den Schaden nicht, da sie ja der Ansicht waren, mit einem Techniker von Lotto zu telefonieren.
Hilfreich für die Betrüger war in diesem Falle die Kenntnis des Systems am Terminal, so dass sie glaubhaft herüberkamen.

Phishing

Das Internet hat dem Social Engineering jedoch zu einer ganz anderen Dimension verholfen. Berühmtester Vertreter ist das Phishing, dem sich jeder Internetnutzer täglich ausgesetzt sieht.

Phishing ist die Methode, auf unpersönliche Art und Weise an persönliche Informationen zu gelangen. Dabei benötigt der Betrüger lediglich das Wissen um den Aufbau und der potentiellen Auftretensweise der Institution, für die er sich ausgibt.

Am weitesten Verbreitet sind die Mails, in denen sich Betrüger als Bank- oder Bezahldienste ausgeben. Der große Vorteil für die Empfänger: Phishing ist meist sehr durchschaubar. Man bekommt zumeist Mails von „Banken“ bei denen man kein Kunde ist oder die Mails sind durchsiebt mit Form- und Schreibfehlern.

Um diese Probleme zu umgehen, versenden Phisher ihre Mails einfach in großem Umfang und vertrauen darauf, dass zumindest einige wenige darauf hereinfallen. Diese Rechnung geht leider immer noch auf.

Phishing wird immer gefährlicher

Da Phishing ein Teil des Social Engineerings ist, bedient es sich logischerweise an dessen Methoden. Dies hat sich darin deutlich gezeigt, dass im Phishing immer mehr personalisierte Mails versendet werden. Dies geschieht mit Hilfe gekaufter Datensätze, welche anschließend dazu verwendet werden, um dem Empfänger glaubhaft darzustellen, dass man der sei, für den man sich ausgibt.

Dies, gepaart mit fehlerfreiem Aufbau der Mail, ist bisher das gefährlichste Massenphishing.

Spear Phishing

Das Spear Phishing ist eine besonders gefährliche Variante des Social Engineering – gefährlich zumindest für die Personen, welche betroffen sind. Im Gegensatz zum normalen Phishing ist das Spear Phishing stark personalisiert und gezielt auf eine Person geschrieben.

Bei dieser Variante soll immer eine bestimmte Person manipuliert werden, meist werden Führungspersonen oder Personen, welche an Schlüsselstellen arbeiten damit angegriffen werden.

Der Angreifer sammelt hierbei detaillierte Informationen über das anvisierte Opfer und baut eine vorgetäuschte Vertrauenswürdigkeit damit auf. Das Ziel ist es, am Ende eine stabile Vertrauensbasis aufzubauen, so dass das Opfer in seiner wichtigen Rolle vertrauenswürdige Daten herausgibt. Spear Phishing hat in der Regel eine recht hohe Erfolgsquote.

Social Engineering auf Facebook

Eine weitgehend praktizierte Variante des Social Engineerings auf Facebook ist der Nachbau von Nutzerprofilen. Dabei sammelt der Betrüger so viele Informationen wie möglich aus einem bestehenden Profil und baut kurzerhand ein völlig identisches Profil auf.

Mit diesem Profil wird im Anschluss ein identischer Freundeskreis aufgebaut, so dass die Freunde der Ansicht sind, es handle sich um die echte Person. Auf dieser Basis erschleicht sich der Betrüger das Vertrauen es Freundeskreises und nutzt dies im Anschluss aus. Das dies nicht nur gefährlich, sondern am Ende auch teuer ist, kann man hier nachlesen:
http://www.mimikama.at/allgemein/geflschte-facebookprofile-geprellte-freunde-teure-rechnungen/

Artikelvorschau Bildquelle: GlebStock @ Shutterstock.com