Bevor wir starten, was ist eigentlich Social Engineering, manchmal auch als Human Hacking bezeichnet.

Als Social Engineering bezeichnet man heute, die Manipulation von Nutzern im Web. Dabei versucht der Hacker über psychologische Tricks, das Opfer so zu manipulieren, dass diese z.B. persönlich Daten von sich gibt oder gewisse Sachen für eine Person macht.

Beispiele von Social Engineering

Es gibt bekannte aber auch fast unbekannte Methoden, die die Hacker benutzen, um an ihr Ziel zu kommen. Einige Beispiele habe ich aufgelistet, damit es verständlicher ist, worauf man achten muss.

Beispiele in der Natur

Warte mal? Was hat denn die Natur damit zutun? Vieles, denn wir sind auch keine Roboter, sondern Menschen die aus Fleisch und Blut gebaut sind. Wir finden uns zwar super schlau, doch sind wir doch wie viele anderen Tiere und machen Fehler. Das hat damit zutun, dass wir nicht über jede Sache nachdenken können, da wir sonst komplett überfordert wären. Deswegen hat unser Gehirn einige Tricks auf Lager, die das Denken vereinfachen. Doch das kann man leider ausnutzten!

Das Truthahn

Das Gehirn des Vogels ist so programmiert, dass wenn die Kinder des Vogels anfangen zu schreien, ein Instinkt vom Truthahn geweckt wird und es dann anfängt die Kinder zu füttern. Soweit so normal. Nun haben Wissenschaftler ein Feind des Truthahn an die Leine gebunden und zum Truthahn geführt. Da es ein Feind ist, hat der Truthahn also aggressiv reagiert, um den Feind zu verscheuchen. Hat man aber das Geräusch der schreienden Kinder dabei abgespielt, fing der Truthahn an, den Feind füttern zu wollen.

Beispiele bei Menschen

Drucker in der Universität

Das Versuchsfeld war so aufgebaut. Man hat ein Drucker in der Universität gesucht, wovor eine lange Schlage stand. Das Ziel war es, sich nach vorne zu schleichen. Aber so, dass die Leute nicht verärgert wurden. Dabei hat man viele Sätze probiert, drei davon waren sehr interessant.

Entschuldige, ich habe 5 Seiten zu kopieren. Kann ich bitte den Drucker nutzten?

Das überraschende ist, bereits jetzt haben 60% der Leute dem zugestimmt, da sie wahrscheinlich davon ausgehen, dass man nicht ohne Grund fragt. Das wirklich interessante kommt aber noch!

Entschuldige, ich habe 5 Seiten zu kopieren. Kann ich bitte den Drucker nutzten, weil ich in Eile bin?

Ich denke, das ist nicht sehr überraschend. 94% der Leute haben ok gesagt. 6% waren wohl selber in Eile oder waren Egoisten, wer weiß. Da wir eine soziale Gesellschaft sind, helfen wir uns gegenseitig. Jetzt wird es interessant.

Entschuldige, ich habe 5 Seiten zu kopieren. Kann ich bitte den Drucker nutzten, weil ich kopieren muss?

Hast du es gemerkt? Der Grund ist eigentlich offensichtlich und irrelevant. Doch für die Erfolgsquote in dem Beispiel hat es eine sehr große Rolle gespielt. Denn alleine das Wort „weil“, macht den Unterschied aus. Denn das Ergebnis war fast gleich wie bei dem zweiten Beispiel mit guten Grund.

Was heißt das also? Reicht wirklich allein die Begründung aus, egal wie offensichtlich und dumm sie manchmal ist? Leider ja… Wir sind auch nur Menschen, die wie oben beschrieben, bei vielen Sachen nicht aktiv nachdenken können. Wir hören nur das „weil“ und schon wissen wir, was danach kommt, zumindest denken wir das.

Autorität ausnutzten

Dabei hat man folgenden Versuchsaufbau gehabt. Eine Person hat sich als Sicherheitspersonal verkleidet und beim anderen Mal nicht. Um zu messen, in wie weit die Personen der Person vertrauten und Befehle von ihm befolgten, zählten die Wissenschaftler, wie oft die fremden Passanten an der Straße den Anweisungen von dem vermeintlichen Sicherheitspersonal befolgten. Wenig überraschend war das Ergebnis und zugleich etwas beunruhigend. Denn die Anzahl derer die den Anweisungen der Person befolgten, war viel höher, wenn die Person sich verkleidet hatte, als mit normaler Kleidung. Ist ja soweit auch richtig, da Autoritäten zu respektieren sind und meistens auch mehr Wissen. Doch können Betrüger dies ausnutzten und sich z.B. als Polizist, Sicherheitspersonal, Arzt usw. verkleiden und dies ausnutzten.

Was können wir also dagegen tun?

Im Prinzip kaum was, da wir nicht jedes Mal nachdenken können. Vor allem wissen wir nicht, wann es an uns angewandt wird. Doch gibt es ein paar Dinge, die man generell beachten sollte. Auch ist es natürlich gut, wenn man von gewissen Methoden gehört hat, da man somit bei gewissen Situationen sich besser verhalten kann.

1. Persönliche Daten nie an Dritte weiter geben, nur wenn man weiß, was man tut.
2. Die URL der Webseite ganz genau anschauen. Ist das nicht die übliche Domain, also bei Amazon.de sondern udu3548.to/amazon, dann sollte man lieber nichts eingeben.
3. Keine Geräte also Speicherkarten, USB Sticks oder Festplatten die man findet einfach so in den PC hineinstecken.

Einige Fälle die mir bekannt sind

USB Stick, Speicherkarte oder Festplatte auf der Straße gefunden

Ist es nicht sehr verlockend, wenn man ein Speichermedium auf der Straße oder im Büro gefunden hat, diesen in den PC zu stecken um nachzugucken was drauf ist, um so die Neugier zu stillen und natürlich den Besitzer ausfindet zu machen? Mach das auf gar keinen Fall! Denn vor allem im Büro können Hacker mit dieser Methode in Systeme hinein, die eigentlich von außen gar nicht erreichbar sind. Außerdem können vor allem im Büro, sensible Daten gelöscht oder im schlimmsten Fall vom Hacker ausspioniert werden.

Autoritäten mit gesunden Menschenverstand misstrauen

Das heißt jetzt nicht, das man keine Polizisten oder Ärzte vertrauen soll. Das wäre nicht die Lösung. Man sollte vor allem im Ausland, bei Autoritäten etwas achten, da Betrüger sich machmal als diese verkleiden, um die ahnungslosen Touristen zu betrügen.

Ein Beispiel sind Geschwindigkeitsüberschreitungen. Wenn man sich sehr sicher war und die Strafe als unangemessen beachtet, sollte man z.B. den Dienstausweis sich zeigen lassen. Auch kann man, wenn man sich sehr sicher gehen möchte, auch zur nächsten Polizeistation fahren, dort würde man das klären können.

Im Internet gilt, die Polizei, dein Arzt oder deine Bank würde nie nach sensiblen Daten wie Passwörter, komplette Adressen oder Dokumenten fragen. Kommt also eine E-Mail in dieser Richtung, sollte man bei Skepsis die Firma / Behörde selber kontaktieren, indem man im Internet nach der Telefonnummer oder E-Mail sucht.

Haben sie sich gerade aus Pakistan eingeloggt?

Wir kennen es mittlerweile. Wenn man sich bei gewissen Anbietern von einem neuen PC oder Smartphone einloggt, bekommt man eine E-Mail oder Benachrichtigung auf das Handy, dass sich gerade jemand in dein Account eingeloggt hat. Das es in den meisten Fällen du bist ist es ja auch richtig. Auch bei einem Hacker Angriff, kann man seine persönlichen Daten schützten, indem man auf „Nein ist war das nicht“ klicken kann.

Doch was wäre, wenn das Hacker ausnutzten würden. Genau diesen Fall hatte ich vor 2 Monaten. Ich bekam also eine E-Mail von AirBnb, dort stand, dass sich einer in mein Account eingeloggt hat und das vor allem aus Pakistan. Ich war erstmal direkt sehr erschrocken, da ich tatsächlich ein AirBnb Account habe und wollte fast auf den Button von der Mail klicken, als ich dachte, da stimmt doch was nicht!

Zum Check, ob die E-Mail wirklich von AirBnb kam habe ich als erstes den Versender gecheckt, dieser war nicht XXXXXX@airbnb.com, also schon mal sehr verdächtig. Aber aufpassen, Hacker können auch den Versender manipulieren, sodass tatsächlich XXXXXX@airbnb.com steht. Als zweites habe ich noch aus Interesse den Link gecheckt ohne ihn anzuklicken. Das kann man machen, indem man mit der Maus auf den Link rüberfährt und Links unten den Link betrachtet. Dieser war ebenfalls nicht von airbnb.com. So wusste ich, die Mail kann ohne Probleme in den Spam.

Eine Mail von Strato unseren Server Anbieter

In dieser Mail hieß es, das wir mit über 200€ im Zahlungsrückstand sind und der Account dementsprechend gesperrt wurde. Wir sollen nach einem Link klick, die Zahlungsdaten erhalten und somit den Account wiedererhalten.

Also habe ich die zwei Tests wieder gemacht. Erstes Versender geguckt, wieder nicht Strato sondern eine Kryptische E-Mail. Auch der Link war sehr kryptisch und war nicht von dem Server Anbieter und zuletzt um sicher zu gehen, dass ich keine wichtige E-Mail lösche, habe ich mich in mein Account von Strato eingeloggt und die Zahlungen eingesehen. Alles vorbildlich bezahlt. Also kann die E-Mail auch weg.

Das gute an der E-Mail war, dass wir tatsächlich bei Strato sind und ein ahnungsloser, vielleicht wirklich auf den Link geklickt hätte. Man sollte solche Sachen nicht als Garantie sehen. Man kann mittlerweile mit einfachen Tricks über sehr viele Informationen kommen, auch welchen Server Anbieter man hat.

Quellen

• https://www.youtube.com/watch?v=yY-lMkeZVuY&list=WL&index=8&t=0s
• https://www.youtube.com/watch?v=siqk3xZqA0M&list=WL&index=7&t=0s