Social Engineering

Social Engineering

Die meisten Computernutzer werden schon einmal auf irgendeine Weise mit "Social Engineering" zu tun gehabt haben, auch wenn Sie es vielleicht nicht wissen werden. Spätestens seit dem Auftauchen des Wurmes "Sober" ist das massenweise Nutzen dieser Technik weiten Kreisen bekannt, wenn auch sicher der Begriff für dieses Vorgehen nicht sehr bekannt ist.

Allgemein versteht man unter dem Begriff "Social Engineering" das Erschleichen vertraulicher Informationen oder des Zugangs zu einem Computersystem bzw. zu einem Sicherheitsbereich durch geschickte Vorspiegelung falscher Tatsachen.

Sehr erfolgreich nutzte der Wurm Sober.P das Social Engineering, indem er sich selbst als Anhang von EMails verschickte, die dem Empfänger vorgaukelte, er hätte den Zuschlag für Eintrittskarten zu Spielen der Fussball-Weltmeisterschaft 2006 erhalten.

Auch die regelmäßig aufgetauchten gefälschten Abrechungen, die von der Deutschen Telekom zu stammen scheinen, nutzen das Prinzip des Social Engineering, um den Anwender dazu zu bringen, den mit einem Trojaner infizierten Anhang der EMail zu öffnen. Der Schädling verbirgt sich dabei in einer Datei, welche unter anderem "rechnung.pdf.exe" heißen kann. Auf nicht korrekt eingestellten Windows-Systemen erscheint die Datei lediglich als "rechnung.pdf".

Eine besonders clevere Form eines solchen Angriffs ist das Versenden von wurmverseuchten EMails, die sich als Fehlermeldungen oder "nicht-erreichbar"-Nachrichten tarnen. Der Betreff einer solchen EMail lautet meistens "Mail Delivery Error" oder ähnlich.
Normalerweise werden Sie so eine EMail nur dann erhalten, wenn Sie selbst vorher eine EMail versendet haben und der von Ihnen angegebene Empfänger nicht erreicht und die EMail also nicht erfolgreich zugestellt werden konnte.
Bei Anwendern, die sehr viele EMails versenden, hat dieses Prinzip durchaus Erfolg. Darum sollten Sie bei Erhalt einer solchen EMail genauestens Prüfen, ob Sie wirklich an die angegebene Adresse eine EMail versendet haben.

Sehr beliebt bei Virenautoren sind auch Katastrophen oder Terroranschläge wie beispielsweise der Terroranschlag in London im Jahre 2005. Wenige Tage nach den Anschlägen verbreitete sich eine EMail, die anscheinend von "breakingnews@cnnonline.com" stammte. Ungeachtet der Tatsache, dass es "cnnonline.com" nicht gibt, forderte der Text der EMail zum Öffnen des Anhangs auf, in dem sich mutmaßlich ein Video von den Anschlägen verbarg. Kurz : der Anhang enthielt natürlich einen Trojaner, der die befallenen Computer zum massenhaften Versenden von Spam-EMails nutzt.

Ebenso eine Art der so genannten "Social Engineering Attack" ist das Zusenden einer EMail, die Ihnen mitteilt, dass Nachrichten fälschlicherweise an jemand anderen geschickt wurden und dieser "andere" Ihnen nun die Nachrichten zusammengefasst als Anhang sendet. Der gleiche Trick funktioniert übrigens auch mit Fotos. Ignorieren Sie solche EMails bitte immer!

Eine weitere Form des Social Engineering ist das direkte Erschleichen von vertraulichen Informationen über den direkten Kontakt von Mensch zu Mensch. In solchen Fällen kontaktieren die Angreifer ihre Opfer meist telefonisch und geben vor, Mitarbeiter einer bestimmten Abteilung oder eines Telekommunikationsunternehmens zu sein, um so an Informationen wie etwa Zugangsdaten zu gelangen.

Und auch die massiv auftretenden Phishing-Versuche machen Gebrauch von Methoden den Social Engineering. Genau genommen kommen erfolgreiche Angriffe auf Computersysteme von Privatanwendern fast nicht mehr ohne dieses Prinzip aus.

Gegenmaßnahmen

Die wirkungsvollste Gegenmaßnahme gegen derartige Angriffe ist eine gesunde Portion Paranoia. Einer EMail mit einem Anhang sollten Sie stets mit einem gewissen Mißtrauen begegnen, ungeachtet des noch so verlockenden oder provokanten Inhalts. Dies gilt auch für EMails, die augenscheinlich von bekannten Personen stammen, die Sie an Fotos der letzten Betriebsfeier teilhaben lassen möchten.
Ebenso sollten Sie niemals persönlich oder über das Telefon oder ein anderes Kommunikationsmittel wichtige oder vertrauliche Informationen wie Passworte weitergeben.

Selbstverständlich sollten Sie auch Offensichtliches erkennen lernen. Wenn Sie etwa Kunde der Sparkasse sind, wird Ihnen die Deutsche Bank keine Aufforderung per EMail zukommen lassen, Ihre Kundendaten auf irgendeiner Webseite zu bestätigen. Ihnen bekannte Menschen werden auch nicht von heute auf morgen damit beginnen, Ihnen EMails in solidem Englisch oder gebrochenem Deutsch zu schreiben, an denen Dateien hängen.

Ebenso werden Sie niemals eine EMail von einem Fernsehsender erhalten, in welcher Ihnen freundlicherweise ein Video zugeschickt wird. Naturgemäß sind Videodateien auch immer etwas größer, so dass sie mehr Zeit benötigen, um auf Ihren Computer geladen zu werden und meistens auch viel zu groß, um mit einer EMail versendet zu werden.

Sie werden vielleicht jetzt sagen, dass dies alles selbstverständlich ist und keiner Erwähnung bedarf. Die Verbreitungszahlen aktueller Computerschädlinge sprechen jedoch eine ganz andere Sprache. Offensichtlich gibt es - ungeachtet der breiten Aufklärung - genügend Anwender, die auf derartige Tricks hereinfallen.