Phising-Mails…worauf achten!

Sozi­al­in­ge­nieurs­tä­tig­keiten

Nein, das klingt irgendwie nicht so rund wie Social Engi­neering. Wahr­scheinlich ist das einer der vielen Gründe (neben Faulheit, zum Bei­spiel), warum sich in deut­schen Texten häufig kaum jemand die Mühe macht, “Social Engi­neering” zu über­setzen. In diesem Text bleibe ich auch mal bei dem eng­li­schen Aus­druck; viel wich­tiger ist ja eigentlich auch, um was es dabei geht. Ganz ver­ein­facht gesagt handelt es sich dabei um Mani­pu­lation von Men­schen, indem man sich Kultur, Bräuche, Sozi­al­ver­halten und andere softe Aspekte unseres Zusam­men­lebens zunutze macht, um ein Ziel zu erreichen.

Social Engi­neering in Ver­bindung mit tech­ni­schen Aspekten wie eMails und Exploits sind beim Phishing ver­breitet. Im Zusam­menhang mit ein paar Tele­fon­an­rufen und Mails findet man es bei der Chef­masche oder CEO-Fraud, einer Betrugsart, welche manchen Firmen wie Google Schaden in zwei­stel­liger Mil­lio­nenhöhe ein­ge­bracht hat. Nicht immer muss Social Engi­neering jedoch böse Absichten ver­folgen; es kann auch auf eine Ver­hal­tens­än­derung aus­ge­richtet sein, welche prin­zi­piell als positiv ange­sehen würde; grund­legend ist es ein Versuch, jemanden zu beeinflussen.

Wenn man in der Geschichte der IT zurück­blickt auf die frühen Hacks und Angriffe, die es bis in die Medien geschafft haben (das war im letzten Jahr­tausend noch schwierig, als IT-Security glück­li­cher­weise noch nicht jeden Tag ein Thema war), findet man einige Erfolgs­bei­spiele, die auf Social Engi­neering beruhen. Kevin Mitnick, der sich selbst ganz demütig als “berühm­tester Hacker der Welt” bezeichnet, hat seine größten Erfolge mit Social Engi­neering erzielt. Wiki­pedia schreibt über ihn: “Social Engi­neering wurde später seine wich­tigste Methode, um Infor­ma­tionen zu erhalten, ein­schließlich Benut­zer­namen und Pass­wörter und Modem-Telefonnummern.”.

Aber nicht nur Mitnick, auch viele andere beschaffen Infor­ma­tionen oder mani­pu­lieren Men­schen durch Tech­niken aus dem Social Engi­neering. Men­schen sind eben viel schwerer zu patchen als Server, unab­hängig davon was Ihnen Ser­ver­admins erzählen.

Das ganze Feld ist aller­dings auch sehr weit, und sowohl der Skill als auch die Intention der Social Engi­neers ist sehr unter­schiedlich. Nehmen wir mal Phishing als Bei­spiel. Vor zehn Jahren bekam man eine schlecht über­setzte Mail ohne Gra­fiken a la “Hallo, ich bin die Banke-Manager und Sie mussen soffort Ein­logging!”, und heute ist die Phishing-Mail korrekt geschrieben, lädt die Logos und Schriftart dyna­misch von der Ori­gi­nal­seite nach und ist für viele auf den ersten Blick optisch nicht von einer legi­timen Mail unter­scheidbar. Natürlich hat eine solche Mail wesentlich höhere Klick­raten als eine sehr schlechte, einfach zu erken­nende Fälschung.

Dem­entspre­chend kon­zen­triert sich der böse Unter­grund (das orga­ni­sierte Ver­brechen und andere Betrüger) natürlich auf mög­lichst gut gemachte Phishing-Mails. Qua­lität zu liefern ist eben auch ein Erfolgs­faktor von Kri­mi­nellen. Social Engi­neering hat aber viele Facetten. Sie möchten in ein Büro­ge­bäude, zu dem Sie keinen Zutritt haben? Stellen Sie sich zu den Rau­chern (sofern diese außerhalb des Gebäudes im öffent­lichen Raum sind), und wenn eine kleine Gruppe zurück ins Gebäude geht, schließen Sie sich einfach an.

Oder man hat einen großen Karton und mehrere Tüten in den Händen und eilt zur Tür, während jemand durchgeht. Die meisten Men­schen sind höflich genug und werden die Tür auf­halten. Höf­lichkeit und Eti­kette aus­nutzen ist in manchen Fällen wirksam, in anderen sind es Dro­hungen und Autorität.

Social Engineer Kieren Lovell hat erzählt, wie er eine groß auf­ge­zogene NATO-Übung zweimal innerhalb von Minuten beendet hatte. Dabei ging es um das Auf­spüren eines U‑Boots und Ermitteln der genauen Position; die Suche nach einer Nadel im Heu­haufen, nur dass der Heu­haufen ein Ozean ist. Er hat einfach im Maschi­nenraum des U‑Boots ange­rufen, sich als Mit­ar­beiter des­je­nigen Generals aus­ge­geben, der als Stratege und Koor­di­nator die Übung initiiert hatte, und nach der aktu­ellen Position gefragt.

Und die Übung war vorbei.

Der Kom­man­dostab des U‑Boots und alle hoch­ran­gigen Sol­daten hatten eine Stand­pauke erhalten, und wurden zu bes­serer Arbeit ver­donnert. Die Übung konnte ein zweites Mal starten und war genauso schnell beendet; mit dem gleichen Trick. Kieren hat einfach wieder ange­rufen; und niemand hatte daran gedacht, dem Maschi­nenraum mit­zu­teilen, dass der letzte Anruf nicht wirklich von dem Büro des Generals kam, und so ermit­telte er erneut die exakte Position des U‑Boots in kür­zester Zeit.

In jedem Fall aber haben Angreifer eine Absicht. Bei Phishing-Mails geht es meistens darum, ent­weder User­namen und Pass­wörter zu erschleichen, ver­steckt Malware zu instal­lieren oder plump um Geld. Tat­sächlich sind Geld, “Liebe/Romantik” (im wei­testen Sinne), Dro­hungen und vor allem Dring­lichkeit Merkmale, die sie unab­hängig vom Qua­li­tätsgrad einer viel­leicht gefälschten Mail auf­horchen lassen sollten.

Und selbst wenn Sie denken, die Mail ist echt und PayPal (oder Ihre Bank.. oder Amazon… etc.) hat ein Sicher­heits­problem fest­ge­stellt, zum Abschluss noch ein kleiner Tipp: klicken Sie den Link in der Mail nicht. Gehen Sie in Ihren Browser, surfen Sie zu der betrof­fenen Seite, loggen Sie sich ein und veri­fi­zieren das Ganze. Sie zum Klicken auf den Link zu bewegen, ist hier das Ziel der Social Engi­neers; und selbst wenn deren Mani­pu­la­ti­ons­tech­niken dazu geführt haben, dass Sie nervös wurden, können Sie sich dadurch wieder Gewissheit verschaffen.

Ganz ohne auf einen mög­li­cher­weise bös­ar­tigen Link zu klicken.