G 5.42 Social Engineering

Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch "Aushorchen" zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln. Ein typischer Fall von Angriffen mit Hilfe von Social Engineering ist das Manipulieren von Mitarbeitern per Telefonanruf, bei dem sich der Angreifer z. B. ausgibt als:

Wenn kritische Rückfragen kommen, ist der Neugierige angeblich "nur eine Aushilfe" oder eine "wichtige" Persönlichkeit.

Eine weitere Strategie beim systematischen Social Engineering ist der Aufbau einer längeren Beziehung zum Opfer. Durch viele unwichtige Telefonate im Vorfeld kann der Angreifer Wissen sammeln und Vertrauen aufbauen, das er später ausnutzen kann.

Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen erworben wurden.

Beispiel:

Viele Anwender wissen, dass sie Passwörter an niemanden weitergeben dürfen. Social Engineers wissen dies und müssen daher über andere Wege an das gewünschte Ziel gelangen. Beispiele hierfür sind:

Beim Social Engineering tritt der Angreifer nicht immer sichtbar auf, es gibt auch diverse Varianten, bei denen er im Hintergrund bleibt. Oft erfährt das Opfer niemals, dass es ausgenutzt wurde. Ist dies erfolgreich, muss der Angreifer nicht mit einer Strafverfolgung rechnen und besitzt außerdem eine Quelle, um später an weitere Informationen zu gelangen.

Die Nutzung von E-Mail und Internet-Diensten bietet viele Möglichkeiten, unter Vorspiegelung falscher Tatsachen an Informationen zu gelangen. Ist erst einmal das Vertrauen des Opfers gewonnen, ist es für den Angreifer leicht, dem Opfer eine E-Mail z. B. mit einem Trojanischen Pferd als Anhang zu übersenden. Da das Opfer den Angreifer kennt und als vertrauenswürdig einstuft, wird es meist auch die E-Mail und den Anhang als vertrauenswürdig einstufen und den Anhang öffnen.

Soziale Netzwerke

Soziale Netzwerke im Internet bieten eine gute Ausgangsbasis für Social Engineering. Über diese Plattformen können eine Vielzahl von Hintergrundinformationen über Personen gefunden werden. Die Informationen, die sie über ihr Profil preisgeben, können gesammelt und als Grundlage für die weitere Informationsbeschaffung genutzt werden.