Social Engineering: Mit diesen Tricks bewegen Hacker uns zum “Klick”

Autor/Redakteur: Dietmar Kenzle, Area Vice President DACH & Eastern Europe bei Imperva/gg

Social Engineering ist eines der mächtigsten Hacker-Werkzeuge überhaupt und spielt bei den meisten großen (öffentlich bekannten) Cyber-Attacken eine entscheidende Rolle. Allerdings besteht ein breites Missverständnis darüber, was bei diesen Angriffen im Detail abläuft. Wenn wir von Social Engineering sprechen, denken wir oft an eine Technik mit der Cyberattacken auf bestimmte Organisationen durchgeführt werden. Wir stellen uns vor, dass Angreifer sich eine bestimmte Organisation ausgucken und alle möglichen Informationen und Details über diese Organisation, seine Struktur und seine Mitarbeiter sammeln. Dabei bedienen sie sich aller digitaler Spuren, die die Mitarbeiter im Cyber-Universum zurücklassen um im nächsten Schritt mit diesen Daten eine magische, unwiderstehliche E-Mail zu erstellen, deren Inhalt ein oder gleich mehrere Mitarbeiter zum Opfer fallen. Und schon hat der Angreifer den Schlüssel zum Unternehmen auf dem Silbertablett serviert bekommen – Willkommen im Königreich!  Die Realität ist weit weniger glamourös, sondern viel banaler aber gleichzeitig auch furchteinflößender.

Ein Großteil aller cyber-kriminellen Handlungen besteht aus breit angelegten Infektionskampagnen, die auf Social Engineering basieren, sprich auf der Verwendung des Gesetzes der großen Zahlen und sehr grundlegender Elemente des menschlichen Verhaltens. Wenn diese an eine ausreichend große Anzahl an Menschen verteilt werden, finden sie zwangsläufig ihre Opfer und entfalten Ihr volles Schädigungspotential. Mit einer etwas durchdachten Verbreitung dieser Mails, zum Beispiel Auswahl von Adressen wie info@someorg.com oder hr@someorg.com und kleineren Verteilerlisten (diese machen es schwieriger eine Mail als Spam zu erkennen) und dergleichen werden Kampagnen noch effektiver. Während viele dieser Kampagnen Heimcomputer und private Geräte infizieren, hat es auch ein guter Teil auf die großen Unternehmen abgesehen. So bekommen Angreifer in vielen Organisationen einen Fuß in die Tür und können unbemerkt und dauerhaft Angriffe auf das Netzwerk ausüben.

Um meinen Erläuterungen von oben etwas Leben einzuhauchen, sind hier einige Beispiele von Nachrichten, die ich vor kurzem aus meinem eigenen Postfach abgeholt habe. Das erste Beispiel ist eine E-Mail von einer Anwaltskanzlei mit der ich vor einiger Zeit zusammengearbeitet habe. Der E-Mail-Header-Informationen konnte ich entnehmen, dass die Nachricht tatsächlich von dem Account eines Anwalts dieser Firma gesendet wurde (viele “normale” Empfänger würden diesen Schritt bereits überspringen). Jeder der sich im Phishing auskennt konnte allerdings erkennen, dass die Empfängerliste zu viele Personen umfasste – nämlich jeden aus der Kontaktliste des Anwalts.