Hackerangriff auf menschliche Schwächen: Social Engineering

Doch auf die berühmten Spam-Mails, in denen nigerianische Geschäftsleute Millionen versprechen, fällt heute kaum noch jemand herein. Die Gefahr lauert inzwischen bei Bodenständigerem: zum Beispiel Gratisguthaben für Gutscheinprogramme oder Onlineshops, das im Netz angeboten wird. Oder bei vorgeblichen Fotos oder Videos von Promis oder aktuellen Ereignissen. Klickt der Nutzer auf einen Link zu den zweifelhaften Angeboten, holt er sich Viren und Trojaner auf den Rechner.

Doch nicht alle Tricks beim Social Engineering zielen auf menschliche Schwächen ab: Viele Betrüger appellieren an positive Eigenschaften wie Höflichkeit, Hilfsbereitschaft oder Respekt vor Autoritäten. Letzterer kommt zum Beispiel bei Phishing-Mails oder -Webseiten ins Spiel, der bekanntesten Variante von Social Engineering. "Die Opfer sehen eine Mail, die so aussieht wie die von ihrer Bank und denken 'Das wird schon alles seine Richtigkeit haben'", erklärt Volkamer. Ein folgenschwerer Fehler: Denn der angeforderte PIN- oder TAN-Code landet bei Betrügern.

Tipps zum Schutz vor Phishing

Die Arbeitsgruppe Identitätsschutz im Internet (A-I3) hat Tipps zum Schutz vor Phishing zusammengefasst: so sollte man bei verlinkten Seiten das Sicherheitszertifikat prüfen. Das zeigt der Browser nach einem Klick auf das Vorhängeschloss in der Adressleiste an. Deutlich sicherer surft es sich zudem mit abgeschaltetem Javascript im Browser - allerdings funktionieren viele Seiten dann nicht mehr. Wem eine E-Mail oder Seite verdächtig vorkommt, sollte eine kurze Internetsuche mit dem Betreff der Mail oder einem anderen Schlüsselbegriff starten. Oft findet man dann im Netz Warnungen.

Neue Social-Engineering-Methoden erschweren es aber selbst erfahrenen Nutzern, böse Absichten zu erkennen. "Viele Phishingmails sind inzwischen personalisiert", sagt Prof. Volkamer. Die Betrüger nutzen dabei persönliche Informationen, die im Internet verfügbar sind. Solche Daten machen die Kontaktaufnahme glaubwürdiger, weil die Webseite oder Mail zum Beispiel den richtigen Namen des Opfers enthält. Wissen wie der Name der Eltern oder des Haustiers kann Angreifern aber auch dazu dienen, Passwörter zu erraten oder Sicherheitsfragen richtig zu beantworten.

Hacker nutzen verschiedenste Tricks

Es gibt sogar Programme, die eBay-Versteigerungen analysieren, erklärt Prof. Tobias Scheffer vom Institut für Informatik der Universität Potsdam. "Sie bekommen dann Spam-Mails mit ihrem richtigen Namen, die sie auf ein neues Gebot in einer Versteigerung hinweisen, die tatsächlich gerade läuft." Auch dahinter steckt klassisches Phishing: Der Nutzer soll auf einen Link klicken und dann schädliche Software herunterladen oder persönliche Daten eingeben.

Ein weiterer Trick: Falsche Konten in sozialen Netzwerken. Dabei prüft ein Hacker die Freundesliste seines Ziels bei einem Netzwerk. Dann schaut er, ob alle diese Freunde auch bei anderen Netzwerken auftauchen. Ist das nicht der Fall, gibt er sich dort als einer der Freunde aus und versucht, seinem Opfer so persönliche Informationen zu entlocken. Ziel solcher Angriffe kann jeder werden, warnt Melanie Volkamer. "Die Leute machen sich falsche Vorstellungen, wer angegriffen wird und wer nicht."

Ein vorrangiges Ziel von Social-Engineering-Attacken sind Firmen und ihre Mitarbeiter. Denn vor allem in der Industriespionage werde inzwischen viel mit Social Engineering gearbeitet, erklärt Volkamer.
"Da bekommt dann zum Beispiel ein IT-Azubi einen Anruf von einem vermeintlichen Mitarbeiter", erklärt Melanie Volkamer. "Er wäre im Urlaub und käme nicht an seine Mails, ob der Kollege bitte kurz das Passwort zurücksetzen könnte?"

Ungeduld spielt Betrügern in die Hände

Eine zentrale menschliche Schwäche, die beim Social Engineering ausgenutzt wird, ist Ungeduld. "Wir wollen vor allem im Internet immer, dass es sofort weitergeht", erklärt Prof. Melanie Volkamer vom Center für Advanced Security Research Darmstadt (CASED). Deshalb werden Warnhinweise oft einfach ignoriert, Mails nicht richtig gelesen, Links einfach angeklickt. Zudem erzeugen Hacker bei ihren Opfern bewusst Stress und täuschen Dringlichkeit vor. "Lassen Sie sich davon nicht unter Druck setzen", rät Volkamer. "Auf die zwei Sekunden, die man zum Nachdenken braucht, kommt es nie an."