Social Engineering: Hackerangriff auf menschliche Schwächen
Darmstadt (dpa/tmn) - Höflichkeit und Hilfsbereitschaft sind eigentlich gute Eigenschaften. Im Internet können sie aber zum Problem werden. Denn Kriminelle nutzen oft die Gutmütigkeit und die Ängste anderer aus.
Blass sitzt er im Keller vor dem Computer, soziale Kontakte meidet er: So sieht das Klischee vom Hacker aus. Doch die Realität bietet ein anderes Bild. Internetkriminelle versetzen sich oft geschickt in den Nutzer hinein. Experten sprechen dann von Social Engineering. „Normale Hacker verlassen sich auf technische Schwächen“, erklärt Prof. Melanie Volkamer vom Center für Advanced Security Research Darmstadt (CASED). „Beim Social Engineering werden dagegen menschliche Schwächen ausgenutzt.“
Dazu gehören zum Beispiel Neugier oder Habgier. Doch auf die berühmten Spam-Mails, in denen nigerianische Geschäftsleute Millionen versprechen, fällt heute kaum noch jemand herein. Die Gefahr lauert inzwischen bei Bodenständigerem: zum Beispiel Gratisguthaben für Gutscheinprogramme oder Onlineshops, das im Netz angeboten wird. Oder bei vorgeblichen Fotos oder Videos von Promis oder aktuellen Ereignissen. Klickt der Nutzer auf einen Link zu den zweifelhaften Angeboten, holt er sich Viren und Trojaner auf den Rechner.
Doch nicht alle Tricks beim Social Engineering zielen auf menschliche Schwächen ab: Viele Betrüger appellieren an positive Eigenschaften wie Höflichkeit, Hilfsbereitschaft oder Respekt vor Autoritäten. Letzterer kommt zum Beispiel bei Phishing-Mails oder -Webseiten ins Spiel, der bekanntesten Variante von Social Engineering. „Die Opfer sehen eine Mail, die so aussieht wie die von ihrer Bank und denken 'Das wird schon alles seine Richtigkeit haben'“, erklärt Volkamer. Ein folgenschwerer Fehler: Denn der angeforderte PIN- oder TAN-Code landet bei Betrügern.
Die Arbeitsgruppe Identitätsschutz im Internet (A-i3) hat Tipps zum Schutz vor Phishing zusammengefasst: so sollte man bei verlinkten Seiten das Sicherheitszertifikat prüfen. Das zeigt der Browser nach einem Klick auf das Vorhängeschloss in der Adressleiste an. Deutlich sicherer surft es sich zudem mit abgeschaltetem Javascript im Browser - allerdings funktionieren viele Seiten dann nicht mehr. Wem eine E-Mail oder Seite verdächtig vorkommt, sollte eine kurze Internetsuche mit dem Betreff der Mail oder einem anderen Schlüsselbegriff starten. Oft findet man dann im Netz Warnungen.
Neue Social-Engineering-Methoden erschweren es aber selbst erfahrenen Nutzern, böse Absichten zu erkennen. „Viele Phishingmails sind inzwischen personalisiert“, sagt Prof. Volkamer. Die Betrüger nutzen dabei persönliche Informationen, die im Internet verfügbar sind. Solche Daten machen die Kontaktaufnahme glaubwürdiger, weil die Webseite oder Mail zum Beispiel den richtigen Namen des Opfers enthält. Wissen wie der Name der Eltern oder des Haustiers kann Angreifern aber auch dazu dienen, Passwörter zu erraten oder Sicherheitsfragen richtig zu beantworten.
Es gibt sogar Programme, die eBay-Versteigerungen analysieren, erklärt Prof. Tobias Scheffer vom Institut für Informatik der Universität Potsdam. „Sie bekommen dann Spam-Mails mit ihrem richtigen Namen, die sie auf ein neues Gebot in einer Versteigerung hinweisen, die tatsächlich gerade läuft.“ Auch dahinter steckt klassisches Phishing: Der Nutzer soll auf einen Link klicken und dann schädliche Software herunterladen oder persönliche Daten eingeben.
Ein weiterer Trick: Falsche Konten in sozialen Netzwerken. Dabei prüft ein Hacker die Freundesliste seines Ziels bei einem Netzwerk. Dann schaut er, ob alle diese Freunde auch bei anderen Netzwerken auftauchen. Ist das nicht der Fall, gibt er sich dort als einer der Freunde aus und versucht, seinem Opfer so persönliche Informationen zu entlocken. Ziel solcher Angriffe kann jeder werden, warnt Melanie Volkamer. „Die Leute machen sich falsche Vorstellungen, wer angegriffen wird und wer nicht.“
Ein vorrangiges Ziel von Social-Engineering-Attacken sind Firmen und ihre Mitarbeiter. Denn vor allem in der Industriespionage werde inzwischen viel mit Social Engineering gearbeitet, erklärt Volkamer. „Da bekommt dann zum Beispiel ein IT-Azubi einen Anruf von einem vermeintlichen Mitarbeiter“, erklärt Melanie Volkamer. „Er wäre im Urlaub und käme nicht an seine Mails, ob der Kollege bitte kurz das Passwort zurücksetzen könnte?“