Auch wenn die App-Store-Anbieter die angebotenen Tools bestimmten Tests unterziehen, um Malware entsprechend zu verhindern, schaffen es die Malware-Hersteller immer wieder, ihre Produkte zu tarnen. Insbesondere bei App-Stores für Android-basierte Systeme können Sie sich nicht immer darauf verlassen, dass die angebotenen Apps keine Malware enthalten.
20.1 Einführung in das Social Engineering
Kevin Mitnick (leider im Juli 2023 verstorben) gilt als einer der gefährlichsten Hacker aller Zeiten. Er wurde 1988 das erste Mal festgenommen und verurteilt, nachdem er diverse Male in das US-Verteidigungsministerium und in das Netz der NSA eingedrungen war. Weitere Festnahmen folgten. Nachdem er im Jahr 2000 freigelassen wurde, bekam er die Auflage, in den nächsten drei Jahren keinen Computer mehr anzufassen. Der Staatsanwalt bemerkte dazu, dass Kevin Mitnick einen Nuklearkrieg anzetteln könnte, wenn er ins Telefon pfeift.
Besagter Mitnick hat anschließend einige sehr lesenswerte Bücher geschrieben, unter anderem »Die Kunst der Täuschung«. In diesem Buch wird deutlich, dass sein Vorgehen nur zu einem sehr kleinen Teil aus dem klassischen, computerbasierten Hacking bestand, wie wir es bisher im Fokus hatten.
Stattdessen war er ein Meister in der Manipulation von Menschen. Wer die menschliche Psyche versteht und an den richtigen Fäden zieht, kann sein Opfer oftmals wie eine Marionette »tanzen« lassen – bildlich gesprochen. Letztlich hatte Mitnick es in vielen Fällen gar nicht nötig, auf umständlichen Wegen technische Lücken zu finden und diese über ausgeklügelte, nächtelang entwickelte Exploits auszunutzen, um an das Passwort des Administrators zu gelangen – stattdessen wurde es ihm gewissermaßen »frei Haus« geliefert, indem er jemanden mittels Social Engineering dazu bringen konnte, es ihm zu verraten. Genau das macht diesen Angriffsvektor so attraktiv und gefährlich zugleich – je nach Perspektive.
20.1.1 Welche Gefahren birgt Social Engineering?
Die ehrliche Antwort fällt ziemlich krass aus: so ziemlich alle Gefahren, die Hacking an sich mit sich bringt: angefangen von einem Image-Verlust für das Unternehmen bis hin zu existenzbedrohenden Szenarien! Social Engineering kann nicht gefährlich genug eingestuft werden. Die meisten Angriffsvektoren, die Sie bisher kennengelernt haben, können durch Social Engineering ergänzt, verschärft oder sogar ersetzt werden.
Passwortangriffe? Durch Social Engineering servieren die Benutzer dem Hacker die gewünschten Daten auf dem Silbertablett. Keylogging und Adware? Wozu, wenn die relevanten Informationen und Dokumente von autorisierten Personen höchstselbst übermittelt werden? Ransomware? Überflüssig, wenn der Benutzer seine Kreditkartendaten freiwillig übermittelt. Zugang zu Servern? Auch das ist oftmals kein Problem mit einem überzeugenden Auftreten und den richtigen Rahmenbedingungen. Session Hijacking? Wird nicht mehr benötigt, wenn der Benutzer seine Zugangsdaten freiwillig aushändigt.
Social Engineering bedroht also tatsächlich alle Bereiche der Unternehmenssicherheit. Dementsprechend ist es enorm wichtig, die Mechanismen dahinter zu verstehen und damit entsprechend sensibilisiert zu sein. Werfen wir also einen Blick auf die Psychologie hinter dem Social Engineering.
20.1.2 Verlustangst, Neugier, Eitelkeit – die Schwachstellen des Systems Mensch
Werden Schwachstellen und Programmierfehler bei Computersystemen entdeckt, können diese gepatcht werden. Im Zweifel hilft ein Update auf die nächste Version der Software. Beim Menschen ist das leider nicht so einfach: Unser Gehirn arbeitet nach bestimmten Mechanismen und bietet regelmäßig eine Reihe von Schwachstellen an, die die »Human Hacker«, wie Social Engineers sich auch nennen, ausnutzen können. Unbedarftheit bzw. ein Stück Naivität, gepaart mit einigen typischen Emotionen, bieten den Boden, auf dem Social Engineering wachsen und gedeihen kann.
Emotionen als Schwachstelle
Insbesondere Verlustangst, aber auch Gier, Neugier, Eitelkeit oder Autoritätshörigkeit sowie Hilfsbereitschaft sind gern genutzte Schwachstellen im System »Mensch«, gegen die leider kein Patch existiert. Schauen Sie sich z.B. auf Abbildung 20.1 die recht gut gestaltete Phishing-Mail an.
Hier erkennen Sie bereits einige typische Merkmale: Zunächst einmal wird in der Überschrift Angst und Schrecken erzeugt: »Ihr Konto wurde eingeschränkt!« Damit wird ein fiktives Problem erzeugt, auf das unbedarfte Benutzer emotional – nämlich mit Verlustangst – reagieren: »Oh nein, ich brauche doch mein PayPal-Konto! Was muss ich tun, um das Problem möglichst schnell zu beseitigen?«
![[Bild]](../Images/Kap20_Paypal-Spam.jpg)
Abb. 20.1: Eine PayPal-Phishing-Mail
Problemlösung anbieten
An dieser Stelle kommt natürlich auch gleich die vermeintliche Problemlösung: Nämlich einfach auf den Button klicken, um die scheinbar notwendige Verifizierung vorzunehmen. Und zur Verstärkung der Glaubwürdigkeit wird das Ganze auch noch in einen Security-Kontext eingebettet, sodass es durchaus nachvollziehbar ist, warum das Konto eingeschränkt wurde und die Verifizierung notwendig ist. Als Obolus wird im Anschluss an die Verifizierung sogar noch ein kostenloses (hier wird die Gier angesprochen) Sicherheitsupdate angeboten.
Glaubwürdig wird die Mail darüber hinaus auch durch zwei weitere Faktoren: Zum einen ist das Deutsch mittlerweile in vielen Phishing-Mails fast fehlerfrei und zum anderen wird die Mail noch mit Nebensächlichkeiten, wie Werbung von PayPal garniert, wodurch die Echtheit unterstrichen werden soll.
Wer nun seinem inneren Drängen nachgibt und auf den Button zur Verifizierung klickt, wird auf eine Webseite geleitet, die nicht nur eine höfliche Einladung zur Eingabe der persönlichen Anmeldedaten bei PayPal enthält, sondern vermutlich auch gleich eine ganze Reihe von Exploits beherbergt, die auf den Browser losgelassen werden und versuchen, Schadcode zu injizieren. Spätestens bei dem kostenlosen »Sicherheitsupdate« wird es sich in diesem Szenario um einen Trojaner handeln.
Woran erkenne ich eine Phishing-Mail?
Man möchte meinen, dass es mittlerweile nur noch wenige Menschen gibt, die auf derartige Mails hereinfallen – aber das Gegenteil ist der Fall: Die Phisher, das sind diejenigen, die die Phishing-Mails versenden, kommen kaum hinterher mit der Abarbeitung bzw. dem Verkauf der eingesammelten Anmeldedaten! Und woran liegt das? Nun, objektiv gesehen, können wir an einigen Punkten erkennen, dass diese Mail nicht wirklich von PayPal kommt:
Zunächst wird ein Kunde in fast allen Fällen mit dem Namen angesprochen – ist dies nicht der Fall, so sollten schon einmal die Alarmglocken schrillen. Aber Achtung: Mittlerweile werden die Kunden oftmals sogar in Phishing-Mails mit Namen angesprochen, sodass dies kein alleiniges Sicherheitskriterium ist (siehe Spear-Phishing-Angriffe in Abschnitt 20.3.3).
Hinzu kommt, dass seriöse Unternehmen ungefragt keine Links versenden, die zu Anmeldeseiten führen, um die Anmeldedaten zu verifizieren.
Auch der Absender der Mail ist in der Regel nicht der Anbieter (auch wenn sich dies einfach fälschen lässt).
Schließlich – und das ist die wertvollste Waffe – bringt eine Überprüfung des Hyperlinks hinter dem Verifizieren-Button zutage, dass das Ziel keineswegs die Website des Anbieters ist, sondern in der Regel auf eine Webseite in Russland, China oder ein anderes fernes Land führt. Wichtig ist dabei immer die Endung: Mit einer Adresse wie www.paypal.de-3d-process.com wird sogar noch versucht, die Domain
de-3d-process.comzu verschleiern.Und auch wenn dieses Kriterium langsam ausstirbt: Achten Sie auf offensichtliche und gehäufte Rechtschreibfehler und Fehler in der Grammatik.
Interessanterweise fallen auch viele Benutzer auf derartige Mails herein, die normalerweise eher skeptisch sind. Woran liegt das?
Verstand vs. Bauch
Lassen Menschen ihren Verstand sprechen – und nur diesen –, dürften die wenigsten Phishing-Mails Erfolg bei ihnen haben. Dass dennoch so viele intelligente und gebildete Menschen auf Phishing-Mails hereinfallen, liegt daran, dass der Verstand in vielen Fällen gar nicht zum Zug kommt.
Tatsächlich übernimmt nämlich der Bauch – ein anderes Wort für die Emotionen eines Menschen. Das Bauchgefühl drängt darauf, den Button anzuklicken, um das Problem möglichst schnell zu lösen. Dies passiert immer dann, wenn man glaubt, die Situation erfasst zu haben und alle Informationen zu besitzen, die für eine Entscheidungsfindung notwendig sind. Daher wird auch nur noch oberflächlich geprüft und der Warnmelder im Hinterkopf ist nicht mehr in der Lage, sich bemerkbar zu machen.
Dies liegt daran, dass Emotionen sehr viel schneller verfügbar sind als eine vom Verstand gesteuerte Analyse. In Zeiten, in denen wir fast ständig der totalen Reizüberflutung ausgesetzt sind, versuchen wir, die Informationen auf das vermeintlich Wesentliche zu reduzieren. Daher werden entsprechende Signale unterbewusst dankbar angenommen, die dazu führen, die Sicherheit der Entscheidungsfindung zu erhöhen. Und hier geht alles über Vertrauen.
Vertrauen schaffen und Glaubwürdigkeit erzeugen
Ein elementarer Bestandteil des Social Engineerings liegt darin, das Vertrauen des Leidtragenden zu erlangen. Möglichst arglos soll das Opfer dazu gebracht werden, die gewünschte Handlung auszuführen und damit die ersehnte Information preiszugeben. Der Human Hacker muss also eine Umgebung schaffen, der das Opfer vertraut. Das ist nicht nur beim Phishing essenziell, sondern bei so ziemlich allen Formen des Social Engineerings.
Wie schwierig es ist, das nötige Vertrauen bzw. Glaubwürdigkeit aufzubauen, hängt von der Situation ab. Beim E-Mail-Phishing muss die Mail möglichst vertraut aussehen, daher auch die passenden Logos und die Werbung. Die Anmeldeseite zur Eingabe der Benutzerkennung sollte ebenfalls möglichst vertraut erscheinen. Wie Sie noch sehen werden, ist es überhaupt kein Problem, eine solche Anmeldeseite zu erzeugen. Wie das geht, lernen Sie in Abschnitt 20.4.2.
In der hohen Kunst der persönlichen Interaktion mit dem Opfer muss der Social Engineer ebenfalls Vertrauen erwecken, zum Beispiel:
Besonders sympathisches Auftreten: Das Opfer neigt dazu, dem Human Hacker zu vertrauen, und gibt bereitwillig Informationen preis. Dies kann z.B. auch durch das Eingehen einer Liebesbeziehung herbeigeführt werden. Dieses Vorgehen kennen wir aus den Agentenfilmen und nennt sich Romance Scam bzw. Love Scam.
Aneignung einer vertrauten Identität: Der Angreifer kann auch persönliche Informationen vom Opfer in Gespräche mit einbinden, die er z.B. durch dessen Social-Media-Aktivitäten leicht erlangen kann.
Autoritäres Auftreten: Das Opfer ist verunsichert, weil es sich einer Autorität gegenüber wähnt, und gibt daher Informationen preis. Die Autorität kann in Form eines vermeintlichen Vorgesetzten oder Polizeibeamten oder Ähnlichem vorgetäuscht werden. Das wird insbesondere auch bei Rentnern gern ausgenutzt, um z.B. in die Wohnungen der Opfer zu gelangen – hat nicht unbedingt etwas mit IT zu tun, ist aber ein griffiges Beispiel.
Hilfsbereitschaft ausnutzen: Der Human Hacker täuscht z.B. eine Notlage vor und bittet das Opfer um Hilfe: »Bitte gib mir mal schnell dein Passwort für die Anmeldung, ich habe meins vergessen, und wenn ich den Bericht nicht in 30 Minuten fertig habe, werde ich gefeuert!«
Auftreten als autorisierte Person: Der Human Hacker ruft bei einem Benutzer an: »Hallo, mein Name ist Tanja Müller von der IT-Administration. Ich bräuchte bitte mal schnell Ihr Passwort, um den neuen Patch auf Ihrem System einspielen zu können.«
Schmeichelei: Dem Opfer wird geschmeichelt, bis es aus Eitelkeit bzw. Geltungsbedürfnis unbedarft sensible Informationen herausgibt oder Zugang zu geschützten Daten gewährt. Nicht selten erfordert dies zunächst die Aufnahme einer persönlichen Beziehung, um Vertrauen aufzubauen.
In allen Fällen geht es darum, die Kontrollmechanismen durch den Verstand mit Emotionen und eingefahrenen Verhaltensmustern zu umgehen.
20.1.3 Varianten des Social Engineerings
Sie haben bereits einige wichtige Beispiele für Social Engineering kennengelernt. Darüber hinaus gibt es noch weitere Formen. An dieser Stelle möchten wir die Varianten einmal kurz kategorisieren:
Human Based Social Engineering
Dieses stellt die klassische Form des Social Engineerings dar. Dabei interagiert der Angreifer direkt mit dem Opfer – über Chat, Telefon oder persönlich. Wie oben bereits beschrieben, ist die Glaubwürdigkeit essenziell, um Vertrauen beim Opfer zu erzeugen. Der Human Hacker muss sich also möglichst umfangreiche Informationen beschaffen, mit denen er glaubhaft machen kann, dass er die Person ist, die er zu sein vorgibt, und seine Absichten redlich und legitim sind.
Computer Based Social Engineering
Mittels entsprechender Technologien werden Benutzer dazu gebracht, sensible Daten (in der Regel Zugangskennungen oder Kreditkartendaten) preiszugeben. Hierzu zählen unter anderem:
Phishing: Der Benutzer wird in der Regel per E-Mail dazu gebracht, eine präparierte Webseite zu besuchen. Hier werden Anmeldedaten abgefragt und/oder Exploits gestartet, die den Browser mit Schadcode kompromittieren sollen.
Fake Websites/Popups: Auf präparierten Webseiten erscheinen plötzlich Popups oder andere Warnmeldungen, die eine dringende Reaktion vom Benutzer erfordern, um Schaden abzuwenden – in der Regel wurden vermeintlich Viren oder andere Malware erkannt, die nun über die Installation eines entsprechenden Tools entfernt werden können. Damit macht man den Bock zum Gärtner: Das Tool tut natürlich alles andere als Malware zu »entfernen« ...
Wir gehen in Abschnitt 20.3 detaillierter auf das Thema Computer Based Social Engineering ein.
Reverse Social Engineering
Diese Form ist besonders perfide. Sie beruht darauf, dass der Angreifer zunächst ein (in der Regel technisches) Problem verursacht und sich anschließend als Autoritätsperson zu erkennen gibt, die das Problem lösen kann (z.B. als Supportmitarbeiter oder Administrator). Aus Dankbarkeit für die schnelle Hilfe überlegt das Opfer nicht lange und händigt dem Human Hacker die sensiblen Informationen aus, die dieser vorgibt, zu benötigen, um das Problem zu beheben. Diese Variante ist sehr anspruchsvoll in der Umsetzung, da das Szenario genau geplant und auch das Hintergrundwissen des Angreifers sehr umfassend sein muss, damit die notwendige Glaubwürdigkeit erzeugt wird. Das Reverse Social Engineering wird teilweise auch dem Human Based Social Engineering zugeordnet.
Mobile Based Social Engineering
Wie nicht anders zu vermuten, werden hier die spezifischen Eigenheiten der Mobile-Technologie ausgenutzt. Dazu zählen bösartige Apps, die entweder im regulären App-Store platziert werden oder über andere Wege auf das Opfer-Smartphone oder -Tablet gelangen. Eine Variante hiervon ist das sogenannte »Repackaging« von legitimen Apps. Dabei werden beliebte Apps gefälscht, mit Malware versehen und z.B. unter demselben oder einem sehr ähnlichen Namen in den App-Store hochgeladen. Wie derartige Apps erstellt werden, zeigen wir Ihnen in Kapitel 29 Mobile Hacking. Außerdem gibt es auch hier Fake-Security-Apps, die vorgeben, Malware zu bekämpfen, obwohl sie diese verbreiten.
Vorsicht: Anbieter können Malware nicht immer verhindern!
Manche Kettennachrichten in Messengern wie WhatsApp, Facebook und Co. fordern die Empfänger auf, die empfangene Nachricht innerhalb einer bestimmten Zeit an eine gewisse Anzahl an Personen weiterzusenden und im Anschluss auf einen Link zu klicken. Dabei werden meist durch eine dringende Falschmeldung (Hoax) Emotionen erzeugt. Diese Nachrichten sind nicht nur nervig, sondern auch sehr gefährlich, sollte sich hinter dem Link eine entsprechend präparierte Webseite verbergen.
Last, but not least existiert mit dem Smishing (SMS-Phishing) eine Phishing-Variante für den Kurznachrichten-Dienst SMS. Hier gibt es aktuell eine neue Taktik, bei der z.B. die vermeintliche Tochter ihren Vater darüber informiert, eine neue Handy-Nummer zu haben und ihn dazu auffordert, sie über die neue Nummer via WhatsApp zu kontaktieren. Anschließend wird Papa darum gebeten, ganz schnell eine wichtige Rechnung zu begleichen, weil Töchterchen in Not geraten ist. Ein studierter Lehrer aus unserem engeren Freundeskreis ist auf diese Masche schon fast hereingefallen, wir konnten ihn glücklicherweise rechtzeitig bremsen, bevor er das Geld überwiesen hat.
20.1.4 Allgemeine Vorgehensweise beim Social Engineering
Wie bei einem professionellen Hacking-Angriff unterscheiden wir auch beim Social Engineering bestimmte Schritte, die eine Reihenfolge in der Vorgehensweise definieren:
Reconnaissance: Das Recherchieren von Hintergrundinformationen ist essenziell für ein effektives Social Engineering. Hier kommen die üblichen Methoden und Tools zum Einsatz, wobei der Schwerpunkt auf der Recherche von Daten zu Mitarbeitern des Unternehmens liegt. Hierbei kommt den sozialen Medien natürlich eine besondere Bedeutung zu.
Auswählen der Zielperson(en): Je genauer bestimmt werden kann, wer in der Lage ist, die gewünschten Informationen zu liefern, und wie die Vorgehensweise ist, desto glaubwürdiger kann das Szenario aufgebaut und Vertrauen geschaffen werden.
Kontaktaufnahme und Aufbau einer Beziehung zur Zielperson: Die Interaktion mit der Zielperson kann entweder nur von kurzer Dauer sein (in der Regel, um das Überraschungsmoment zu nutzen) oder über einen längeren Zeitraum entwickelt werden (um deren Vertrauen zu erlangen).
Entlocken und Ausbeuten der sensiblen Informationen: Die beste Information ist nichts wert, wenn man sie nicht entsprechend einsetzt. Aber auch hier gilt, dass der Einsatz wohlüberlegt sein will, um möglichst unauffällig zu bleiben.
Abbildung 20.2 verdeutlicht noch einmal die Vorgehensweise.
![[Bild]](../Images/Kap20_Social-Engineering_Vorgehen.jpg)
Abb. 20.2: Vorgehen beim Social Engineering
Je nach Ausgangslage muss der Ansatz nach Bedarf angepasst werden. Unter dem Strich ist insbesondere das Human Based Social Engineering eine sehr individuelle Angelegenheit und erfordert nicht nur Raffinesse, sondern auch ein hohes Maß an Flexibilität, Kreativität und vor allem Empathie, um die psychologischen Gegebenheiten der Zielperson bestmöglich ausnutzen zu können. Schauen wir uns diesen Bereich einmal genauer an.
![[Bild]](../Images/Kap20_Fake-Meldung.jpg)
![[Bild]](../Images/Kap20_SET.jpg)
![[Bild]](../Images/Kap20_SET-Terminal.jpg)
![[Bild]](../Images/Kap20_SET-Menu-1.jpg)
![[Bild]](../Images/Kap20_Site-Cloner.jpg)
![[Bild]](../Images/Kap20_Fake-Webseite.jpg)
![[Bild]](../Images/Kap20_Credentials.jpg)