Sie sind hier:////Social Engineering
Social Engineering2017-07-12T19:54:14+01:00

Social Engineering

A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z

Social Engineering

Social Engineering nutzt die Psychologie der Menschen.

Social Engineering ist eine Manipulationstechnik, die oft aber nicht ausschließlich von Kriminellen genutzt wird, um Opfer dazu zu bringen, vertrauliche Informationen preiszugeben, oder Dinge zu tun, die sie freiwillig niemals tun würden. Im Endeffekt geht es darum, das Opfer mittels Social Engineering zu übervorteilen bzw. einen Vorteil aus dessen Handeln zu ziehen. Social Engineering kann sowohl online als auch offline stattfinden, jedoch bezieht sich der Begriff heute in der Regel auf die Cyberkriminalität.

Sicherheitslücke in der menschlichen „Software“

Anstatt Sicherheitslücken in einer Computersoftware auszunützen, wird beim Social Engineering auf „Sicherheitslücken“ im menschlichen Gefühlswesen gesetzt. Zwischenmenschliche Interaktionen werden sozusagen missbraucht, um an sensible Informationen zu gelangen. Beispielsweise wird eine beängstigende Situation simuliert, die das Opfer zum impulsartigen Handeln ohne nachzudenken bewegt. Das Opfer wird hereingelegt und merkt erst später, dass es einen Fehler begangen hat.

Beispiele für Social Engineering:

Handlungsdruck erzeugen

Social Engineering durch Handlungsdruck wird auf vielen Webseiten angewendet – wenn auch, in einer abgeschwächten, humaneren Art und Weise. Dem Leser wird beispielsweise suggeriert, dass er sich binnen fünf Minuten registrieren muss, um an eine bestimmte Information zukommen oder um ein besonders preisgünstiges Angebot in Anspruch nehmen zu können. Ein Counter zählt die Zeit sichtbar herunter. Dadurch wird der Leser zum sofortigen Handeln verleitet. Entweder er trägt sich sofort ein oder er kann auf die Information oder das Angebot zu einem späteren Zeitpunkt nicht mehr zugreifen.

Social Engineering mittels fingierter Telefonanrufe

Der Angriff erfolgt per Telefon. Der Angreifer ruft bei einem Unternehmen an und gibt sich als Techniker aus. Ergibt vor, dringende Arbeiten nur abschließen zu können, wenn ihm vertrauliche Zugangsdaten ausgehändigt werden. Im Normalfall würde der Mitarbeiter des Unternehmens sofort stutzig werden, doch weil der Angreifer seien technisch unerfahrenes Opfer mit Fachausdrücken und Smalltalk verwirrt, händigt ihm dieses die verlangten Daten ahnungslos aus. Dabei erzeugt der Angreifer beispielsweise Angst, indem er dem Opfer droht, seinen Vorgesetzten anrufen zu müssen, sollte der Mitarbeiter nicht zur Kooperation bereit sein.

Social Engineering mittels Phishing

Der Angreifer sendet eine fingierte E-Mail an sein Opfer, um beispielsweise an dessen PIN Nummer zu gelangen. Dabei gibt er vor, dass sich die Webadresse für das Online-Banking geändert hat und fordert das Opfer auf, auf einen bestimmten Link in der E-Mail zu klicken, worauf sich die vermeintlich neue Webseite der Bank öffnet, die von der Aufmachung her, der originalen Webseite zum Verwechseln ähnlich sieht. Um Zugang zu seinem Bankaccount zu bekommen, muss das Opfer dort seine PIN Nummer eingeben, die dann vom Angreifer abgefischt wird.

Social Engineering mittels Spear Phishing

Um Spear Phishing handelt es sich beispielsweise, wenn der Angreifer in den Social-Media-Profilen und Suchanfragen seines Opfers nach Interessen und persönlichen Informationen recherchiert. Wenn er genug Informationen über sein Opfer erhalten hat, beginnt der Angriff. Beispielsweise versendet er eine E-Mail an sein Opfer, die scheinbar persönlich relevante Informationen für das Opfer enthält. Dabei kann es sich um einen weiterführenden Link oder um einen Download handeln. Sobald das Opfer klickt oder sich etwas herunterlädt, wird Schadsoftware auf seinem Gerät installiert.

Social Engineering mittels Bating

Beim Baiting wird die Neugier des Opfers ausgenutzt. Beispielsweise lässt der Angreifer einen mit Schadstoffsoftware infizierten USB-Stick an einem öffentlichen Ort liegen. Das Opfer findet den Stick, steckt diesen aus Neugier in seinen Computer, worauf sich die darauf befindliche Schadstoffsoftware auf dem Computer überträgt.

Viele weitere Formen von Social Engineering

Bei diesen Beispielen handelt es sich um die häufigsten Formen von Social Engineering. Sie spiegeln nicht das volle Spektrum aller Möglichkeiten von Social Engineering wider. Social Engineering wird in vielen weiteren Formen angewandt. Dabei wird immer die Schwachstelle des Opfers ausgenutzt. Dies können beispielsweise Gier, Angst, Obrigkeitshörigkeit, persönliche Unsicherheit und weitere menschliche Schwächen sein.