Seite wählen

Einleitung

Social Engineering Angriffe zielen darauf ab durch zwischenmenschliche Beeinflussungen bei natürlichen Personen bestimmte Verhaltensweisen hervorzurufen. Dies können z. B. die Preisgabe vertraulicher Informationen sein oder auch die Freigabe von Finanzmitteln. In den meisten Fällen haben die Angreifer nicht vor die Geheimnisse zu bewahren oder das Geld zurückzugeben, was die Tätigkeit von „Social Engineers“ dann zu einer Strafftat qualifiziert. Primäres Ziel der Kriminologie ist der Erkenntnisgewinn, über die Ursachen und Erscheinungsformen von Kriminalität. Die Zentralen Betrachtungspunkte sind das Verbrechen (Phänomenologie), das Verbrechensopfer (Viktimologie), der Verbrecher sowie die Verbrechenskontrolle. Der Fokus des Textes ist deshalb auf die Betrachtung und Angriffstypologien der verschiedenen Social Engineering Formen gelegt. Deshalb werden zuerst Angriffstaktiken und Beispiele dargelegt. In der Auswertung sind weitere Betrachtungspunkte, wie Opfertypologien und Tätermotivation aufgezeigt. Anschließen werden Schlussfolgerungen gezogen, um die Frage zu beantworten, ob Social Engineering Angriffe ein Alltagsrisiko darstellen.

Angriffstaktiken

Baiting

Wie der Name erahnen lässt, werden Köder verwendet, um an die Gier oder Neugier des Nutzers zu appellieren. Dies kann online als auch in der physischen Welt angewendet werden. Online wird man etwa durch verlockende Anzeigen oder einen scheinbaren Gewinn auf bösartige Websites geführt oder zum Herunterladen von Malware verführt die dann persönliche Daten stiehlt oder das System mit Malware infiziert. In der physischen Welt sind Werbegeschenke oder scheinbar verlorene/vergessene Datenträger beliebt, um die Malware einzuschleusen. Die Köder sind vom herkömmlichen Datenträger nicht zu unterscheiden. Um die Neugier zu wecken werden z. B. Etiketten mit der Aufschrift „Gehaltsliste“ oder eine Cryptowährungssumme angebracht. Die Opfer nehmen den Köder aus Neugierde auf und stecken ihn in einen Arbeits- oder Heimcomputer, was zur automatischen Installation von Malware auf dem System führt.

Scareware

Auch als Täuschungssoftware, Rogue Scanner Software und Fraudware bezeichnet. Dabei wird der Nutzer mit falschen Alarmen, fiktiven Bedrohungen oder scheinbaren Zugriffssperren bombardiert. Den Benutzern wird vorgegaukelt, dass ihr System mit Malware infiziert ist, was sie dazu veranlasst, Software zu installieren oder zu kaufen, die keinen Nutzen haben oder selbst Malware ist. Ein gängiges Beispiel für Scareware ist der legitim aussehenden Popup-Banner, die beim Surfen im Internet in dem Browser erscheinen und einen Text wie „Ihr Computer ist möglicherweise mit schädlichen Spyware-Programmen infiziert.“ anzeigen. Es bietet entweder an, dass oft mit Malware infizierte Tool für Sie zu installieren oder leitet Sie auf eine bösartige Website weiter, auf der Ihr Computer infiziert wird.

Scareware kann auch über Scam-E-Mails verbreitetet werden. Die Angreifer geben sich dann als Microsoft/Apple Support aus und teilen den Benutzer mit, dass sein System infiziert sei und bieten ihn ein zum Verkauf stehendes Antivirus-Programm an, welches wertlos oder selbst schädlicher Natur ist.

Phishing

Als eine der beliebtesten Social-Engineering-Angriffsarten sind Phishing-Betrügereien E-Mail- und SMS-Kampagnen (SMiShing), die darauf abzielen, bei den Opfern ein Gefühl der Dringlichkeit, Neugierde oder Angst zu erzeugen. Sie werden dann dazu gebracht, sensible Informationen preiszugeben, auf Links zu bösartigen Websites zu klicken oder Anhänge zu öffnen, die Malware enthalten.

Ein Beispiel ist eine E-Mail, die an Benutzer eines Online-Dienstes gesendet wird und sie auf einen Richtlinienverstoß hinweist, der sofortiges Handeln erfordert, wie z. B. eine erforderliche Passwortänderung. Die E-Mail enthält einen Link zu einer gefälschten Website, die identisch wie die originale Seite aussieht und fordert den ahnungslosen Benutzer auf, seine aktuellen Anmeldedaten und sein neues Kennwort einzugeben. Nach dem Absenden des Formulars werden die Informationen an den Angreifer gesendet.

Spear Phishing ist eine gezieltere Version des Phishing-Betrugs, bei der ein Angreifer bestimmte Personen oder Unternehmen auswählt. Sie passen dann ihre Nachrichten auf der Grundlage von Eigenschaften, beruflichen Positionen und Kontakten ihrer Opfer an, um ihren Angriff unauffälliger zu gestalten. Spear-Phishing erfordert einen viel größeren Aufwand seitens des Täters. Die Planungsphase und das Sammeln von teils sehr persönlichen Hintergrundinformationen (z. B. Dumpster Diving) stellt dabei den größten Zeitaufwand dar, weil sie auf den Benutzer angepasst sind.

Smishing setzt sich aus den Worten „SMS“ und „Phishing“ zusammen, und verwendet Textnachrichten anstelle von E-Mails. Die meisten Menschen haben schon einmal von den Risiken des E-Mail-Betrugs gehört oder werden von ihrem Arbeitgeber dahingehen sensilibisiert. Deshalb sind sie beim E-Mail verarbeiten achtsamer als bei der Smartphone Nutzung. Viele gehen davon aus, dass ihre Smartphones sicherer sind als ihre Computer. Aber auch die Smartphone-Sicherheit hat Grenzen und kann nicht direkt vor Smishing schützen. So sind auch iPhone- und iPad-Benutzer gefährdet. Obwohl die Sicherheit der Apple iOS-Technologie einen guten Ruf hat, kann sie nicht vollumfänglich vor Phishing-ähnlichen Angriffen schützen.

Das Smartphone wird sehr häufig benutzt und meist in Situationen in dem man nicht sehr aufmerksam ist: morgens vor dem Aufstehen, auf dem Weg zur Arbeit, in der Mittagspause, auf dem Weg nach Hause, während des Essens zu Hause oder im Homeoffice. Müdigkeit und Unachtsamkeit durch Ablenkung und Stress begünstigen die Erfolgschance des SMiShing-Angriffs.

In Zeiten des BYOD (Bring Your Own Device), in denen immer mehr Personen ihre privaten Geräte für die Arbeit nutzen, entwickelt sich Smishing schnell vom Verbraucher- zum Unternehmensrisiko.

Impersonating (der Social Engineering-Angriff)

Dies ist wohl die gefährlichste Social Engineering Angriffsform für beide Seiten. Angreifer als auch das Angriffsziel sind physischen Gefahren ausgesetzt. Der Social Engineer ist direkt am Unternehmensstandort und greift Informationen ab, verschafft sich Zugang zum Gebäude und sensiblen Bereichen, nutzt menschliche Schwachstellen aus, um die sicherheitstechnische Infrastruktur zu umgehen und verdeckt seine Identität durch eine falsche. Tailgaiting, Pretexting, Elizitieren und Manipulieren sind alles Hilfsmittel und Werkzeuge des Social Engineers, um seine Erfolgschancen zu steigern.

Das Thema ist so umfassend, dass es den Rahmen dieser Analyse, auch als Form eines Exkurses, sprengen würde. Falls Sie mehr dazu erfahren möchten haben wir hier eine Prozessdarlegung in Form einer Schwachstellenanalyse erarbeitet.

Die aufgelisteten Angriffsbeispiele sind nicht auf Vollständigkeit abgezielt. Die Angriffe entwickeln sich weiter und erleben durch den dynamischen Prozess eine ständige Veränderung und Erweiterung. Der CEO-Fraud zum Beispiel ist eine Kombination aus Spear Phishing und Impersonating.

Beispiele:

Beispiel 1
Das erste Beispiel findet hauptsächlich in den USA statt. Die Betrüger geben sich dabei als Mitarbeiter der US-Sozialversicherungsbehörde (SSA) aus und kontaktieren zufällig ausgewählte Personen. Den Zielpersonen wird mitgeteilt, dass es auf Seiten der Behörde Computerprobleme gibt und nun die Sozialversicherungsnummer bestätigt werden müsse. Dies kann dann sogar online über „die Website der Behörde“ durchgeführt werden. Bei einer abgewandelten Form die von der Federal Trade Commission (FTC) aufgedeckt wurde, richteten böswillige Akteure gefälschte SSA-Websites ein, die vorgaben, Benutzern bei der Beantragung neuer Sozialversicherungskarten zu helfen. Das einzige Ziel dieser Angriffer bestand darin, persönliche Daten zu stehlen. Mit diesem Identitätsdiebstahl versuchte man sich finanziell zu bereichern. Am 04.03.2021 wurde ein Artikel, unter anderem zu diesem Beispiel, in der aus Washington stammenden Zeitung „The Hill“ veröffentlicht. Der Social Security Commisioner Andrew Saul lieferte dabei Zahlen: „Betrügerische Anrufe während der Pandemie, als Millionen von Amerikanern zu Hause waren, stiegen von weniger als 6.000 im April auf mehr als 100.000 im September. Seit dem 1. Oktober gab es mehr als 300.000 Berichte über Betrügereien. Das sind 60 Prozent mehr, im Vergleich zum Vorjahr 2019. Die Agentur erhielt im Geschäftsjahr zum 30. September mehr als 718.000 Berichte über Telefonbetrug, was einen Verlust von fast 45 Millionen US-Dollar entspricht.“ Die Zahlen beziehen sich dabei auf Telefonbetrug allgemein.

Beispiel 2
Im Oktober 2020 gab sich eine Gruppe von Betrügern als Vertreter von Model-Agenturen und Escort-Services aus. Sie erfanden gefälschte Hintergrundgeschichten und Interview-Fragen, um Frauen und Teenager-Mädchen dazu zu bringen ihnen Nacktbilder von sich zu schicken. Später verkauften sie diese Bilder für große Geldbeträge an Unternehmen, die diese Aufnahmen zu Werbezwecken auf pornografischen Seiten veröffentlichten oder die Opfer wurden mit ihren eigenen Bildern erpresst. Um zu vermeiden, dass ihre Bilder veröffentlicht werden, müssen die Opfer den Tätern oft eine beträchtliche Summe an Geld zahlen. Dies ist kein Einzelfall. Die Zahl junger Mädchen und Frauen, die von angeblichen „Model-Scouts“ ausgenutzt und ausgetrickst werden, ist laut mehrerer Modelagenturen (Storm Model Management, BMA Models …) in den vergangenen Jahren stark angestiegen. Die Scammer nutzen Social Media Plattformen wie Instagram, Facebook und Snapchat.

Beispiel 3
Bei diesem Beispiel wurden von ca. 100 Banken aus über 30 Ländern darunter Russland, Ukraine, VR China, Deutschland, USA, Canada, Schweiz, Australien … insgesamt schätzungsweise eine Milliarde US-Dollar gestohlen. Dieser Betrugsfall ist nach der genutzten APT (Schadprogramm) „Carbernak“ benannt. Beim Carbanak-Betrug wurden Spear-Phishing-E-Mails an Mitarbeiter verschickt. Es war ein ziemliches Standardschema: Eine E-Mail mit einem Link, der aussah, als käme er von einem Kollegen, enthielt den Schadcode, der sich von dort aus wie ein digitales Rhinovirus verbreitete. Die Hacker zeichneten alles auf, was auf den infizierten Computern passierte, um zu lernen, wie die Organisation vorging. Von dort aus drangen die Hacker tiefer in die Systeme der Banken ein, bis sie die Mitarbeiterstationen kontrollierten, die es ihnen ermöglichten, Bargeldüberweisungen vorzunehmen, Geldautomaten aus der Ferne zu bedienen, Kontodaten zu ändern und administrative Änderungen vorzunehmen. Die Angreifer gingen teils sehr verdeckt vor. Mit den Master Accounts der Bankangestellten konnten z. B. Bankautomaten so umprogrammiert werden, dass höher notierte Geldscheine ausgegeben wurden, als die Software registrierte.

Carbernak fiel erstmals im Winter 2013 in Kiew auf. Die russische Cybersecurity Firma Kaspersky Lab sollte Geldautomatenautomaten in der Ukraine auf Systemfehler überprüfen, da es zu ungewöhnlichen Vorfällen mit der Auszahlfunktion kam. Am 16. Februar veröffentlichten Experten von Kaspersky einen Bericht zu diesen Vorfällen. Das ganze organisationale und technische System wurde von Hackern infiltriert, analysiert und aufgezeichnet. Schnell wurde klar, dass es nicht nur die Bank in Kiew betraf. Europol, FBI und Polizeien aus mehreren Ländern arbeiteten an der Aufklärung. 2018 wurden die ersten Tatverdächtigen der Cybercrime Gruppe „FIN7“ verhaftet.

Beispiel 4
Der IT-Sicherheitsberater Colin Greenless, führte bei einem FTSE-gelisteten Finanzunternehmen einen Penetrationstest durch. Er verschaffte sich, ohne technische Geräte oder aktive Hilfe von Innen durch Social Engineering Kenntnisse, physischen Zugang zu mehreren Stockwerken und den Datenraum. Es gelang ihm sogar, sich in einem Besprechungsraum im dritten Stock einzurichten und dort mehrere Tage lang zu arbeiten. Er gab zu bedenken: „Für jemanden, der weiß, was er tut, ist es einfach Zugang zu einem Büro zu erhalten. Alle Ausgaben für IT-Sicherheit sind verschwendet, wenn jemand nur mit einem Laptop ausgestattet vertrauliche Informationen abgreifen und das Objekt verlassen kann.“

Auswertung
Die Beispiele zeigen, dass die Angriffsmethoden erweitert und an Täter, Opfer, und Trends anpasst werden, um eine möglichst hohe Erfolgschance zu erreichen. Dabei machen sich die Täter den Fortschritt der Digitalisierung zunutze, bei der die Physische und die Online Welt in allen Lebensbereichen einhergehen. Die Trends werden in die Angriffsstrategien impliziert und so ist ein massiver Anstieg während der Coronapandemie zu verzeichnen. Dabei bleibt es nicht nur auf der virtuellen Ebene. Vor allem Firmen werden Zielobjekte. Unangemeldete Stromablesung, Besuche durch Mitarbeiter der Gas-/Strom-/Wasser-Wirtschaft, überraschend erscheinende und falsche Handwerker bis hin zu falschen Polizisten. Die verschieden Angriffsmethoden und „Verkleidungen“ ergänzen sich und sprechen verschiedene Zielgruppen an. Ältere alleinstehende Menschen sind zum Beispiel mit dem Enkeltrick konfrontiert, der Unsicherheit und Altruismus ausnutzt und auf emotionaler Ebene die Zielperson zum Kooperieren bewegt. Tierliebhaber bekommen niedliche, mit Computervieren angehängte, Tierbilder zugeschickt, wobei das reine Anschauen ausreicht, um Zugriff zum Endgerät zu erlangen. Bei Jugendlichen werden das Geschäftsinteresse und das Gelddefizit aufgegriffen. Die Charaktereigenschaften emotionaler Zustände und die Motivation der Opfer stehen dabei im Vordergrund und sind entscheidend für den Erfolg des Angriffs. Jede Information ist wertvoll und jeder Mensch hat einen Angriffspunkt, wie zum Beispiel: Gier, Neugier, Unwissenheit, Unsicherheit, Stress, Unaufmerksamkeit, zukünftige Termine, Anfälligkeit für Autoritäten. Vor allem während Krisenzeiten sind die Menschen abgelenkt, haben Geldprobleme, sind unter Stress und verunsichert über die Zukunft, zusammengefasst ein ideales Angriffsziel. Beispiel 3 verdeutlicht, dass auch Unternehmen bzw. dessen Mitarbeiter zum Opfer werden können. Dass zeigt, das Social Engineering Angriffe sich nicht nur auf Einzelpersonen beziehen, sondern auch für Konzerne ein Risiko darstellen. In Zeiten des Informationszeitalters, mit Social Media Plattformen und datenverarbeitenden Großkonzernen, ist der Schutz der Privatsphäre und Informationspreisgabe natürlicher Personen ein wichtiger Faktor zur Vermeidung von Straftaten und gesellschaftspolitisch ein ubiquitäres Thema.

Ein weiterer wichtiger Faktor ist die Abwägung des Täters seines eventuellen Strafmaßes mit dem potenziellen Gewinn. Die Motivation der Täter scheint dabei hauptsächlich Geld darzustellen. Die Verhaltensanalyse hat den Ansatz, dass jedes Verhalten auf Stimuli und Verstärkung zurückzuführen ist. Der Verstärker Geld spielt dabei eine essenzielle Rolle, da Geld zur Beschaffung fast jeder Bedürfnisbefriedigung genutzt werden kann. Das Interesse an Geld ist deshalb wahrscheinlich nur der Zwischenschritt zur wahren Motivation der Täter bzw. reiner Hygienefaktor (Zwei-Faktoren-Theorie von Herzberg).

Das Ausmaß der Schäden durch Social Engineering Angriffe ist durch den Dunkelfeldanteil schwer einzuschätzen. Das Risikopotenzial ist enorm. Von Identitätsdiebstahl, Personen- und Sachschäden, Geheimnisverlust bis hin zur Insolvenz ist alles möglich.

Beantwortung der Frage
Frage: Stellen Social Engineering Angriffe ein Alltagsrisiko dar?

Beantwortung: Social Engineering konfrontiert mit seinem breit aufgestellten Angriffsmethoden immer mehr Menschen und hat Einzug in den Alltag erhalten.