Social Engineering (Hacking)

Social Engineering ist eine spezielle Methode im Rahmen der Computermanipulation, bei der sich HackerInnen der sozialen Manipulation bedienen.

Beim Social Engineering geht es darum, nicht technische, sondern menschliche Schwächen auszunutzen, um Computersysteme anzugreifen. Diese Technik ist häufig der erste und oft auch der erfolgversprechendste Schritt, um als Angreifer Zugriff auf Systeme zu erlangen. Dahinter steht die Ausnutzung sozialer Verhaltensweisen wie Neugier, Hilfsbereitschaft oder auch Obrigkeitshörigkeit.

Die Besonderheit beim Social Engineering im Vergleich zu anderen Hacker-Methoden: Das Computersystem selbst muss nicht verwundbar sein, keine Schwachstellen haben – die Schwachstelle sitzt vor dem Bildschirm. Einige Beispiele zur Verdeutlichung:

Jemand findet auf dem Firmenparkplatz einen USB-Stick. Neugier und Hilfsbereitschaft sorgen dafür, dass dieser am Arbeitsplatz eingesteckt wird, um den Inhaber oder die Inhaberin zu identifizieren und das Speichermedium zurückgeben zu können. Doch der Stick wurde von einem Angreifer ausgelegt, dessen Programm nun möglicherweise auf einem unternehmensinternen Rechner mit dem Rechner des Finders ausgeführt wird. Die eigentliche Herausforderung des Hackers, Zugang zu den internen Systemen zu erlangen und eine gültige Benutzerkennung zu erhalten, hat unwissentlich der Finder für ihn übernommen. Eine der einfachsten Formen de Social Engineerings.
In der Buchhaltung geht eine Mail ein, die offenbar von einer hohen Führungskraft stammt. Sie bittet, mit persönlicher Ansprache und unter der Auflage strengster Verschwiegenheit darum, einen Geldbetrag auf ein fremdes Konto zu überweisen. Es gehe um ein wichtiges Auslandsprojekt oder eine Übernahme, von der noch niemand wissen darf. Zum Teil wird die Story auch in verschiedenen, aufeinander aufbauenden Mails von verschiedenen Stellen aufgebaut. Auch hier sind Betrüger am Werk, die sich des Social Engineerings bedienen: Stellt der Empfänger oder die Empfängerin die Anweisung infrage, dann wird sie möglicherweise zur Ordnung gerufen und ihr wird vorgeworfen, dass sie die notwendige Geheimhaltung unterlaufe. Überweist sie das Geld, ist es weg, denn natürlich kam die Mail nie von dem Vorgesetzten. Alle benötigten Informationen dazu finden sich bei vielen Unternehmen auf öffentlich zugänglichen Webseiten oder Firmeninformationen.
Jemand erhält einen Anruf aus der IT-Abteilung, dass sein Rechner Störungen im Unternehmensnetz verursache. Der Anrufer bittet, einige Diagnosebefehle auszuführen und die Ergebnisse auf dem Bildschirm vorzulesen. Anschließend soll man vielleicht noch eine Seite aufrufen, die sich aber nur nach Eingabe der Zugangsdaten öffnet. “Kein Problem, geben Sie einfach Ihre Daten ein.” Wenn sich die Seite dann noch immer nicht öffnet, heißt es vom Anrufer: “Ja, eindeutig ein Problem. Ich schicke jemanden vorbei.” Allerdings stammt der Anruf nicht von der IT-Abteilung und man wird nie wieder etwas zu dem vermeintlichen Problem hören. Die eingegebenen Befehle helfen dem Angreifer, wertvolle Informationen über das Unternehmensnetz abzugreifen oder gar eine Verbindung nach außen aufzubauen und die eingegebenen Zugangsdaten zu kapern. Social Engineering.

In allen Fällen sind es eben nicht die Systeme selbst, die angegriffen werden, sondern oft ahnungslose Mitarbeiter und Mitarbeiterinnen, die im Erkennen und der Abwehr solcher Attacken nicht geschult sind. Aber es geht noch viel raffinierter, wie das nachstehende Video zeigt. Eine offenbar gestresste Mutter und Ehefrau, die ohne Legitimation den Account des vermeintlichen Ehemanns übernimmt, indem die Hackerin einfach Babygeschrei abspielt, Hilflosigkeit mimt und um Verständnis und Unterstützung bittet, ist dabei nur ein Beispiel, wie auch ohne eigenes Fehlverhalten genutzte Dienste und Services gehackt und Identitäten per Social Engineering gestohlen werden können. Das große Problem zeigt sich im zweiten Beispiel: Hat der Angreifer – wie auch immer – die erste Hürde genommen, kann er sich der übernommenen Identität bedienen und in deren Namen weitere Angriffe starten, Services übernehmen und Schaden anrichten. Und alles mit Hilfe von Social Engineering.

Dieses Video auf YouTube ansehen.
Durch das Abspielen des Videos erfolgt eine Verbindung zum externen YouTube-Server.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Social Engineering (Hacking)

Related Posts

Consent Management

SLAM: Simultaneous Localization and Mapping

RPA und RDA