HERZLICHEN GLÜCKWUNSCH – Sie haben gewonnen!

Social Engineering / Hacking

Viele Nutzer denken, sie sind sicher im Internet unterwegs. Einfach, weil man ja nichts zu verbergen hat. Wer sollte sich denn für die eigenen Daten interessieren? Die meisten Menschen wollen sich sowieso gar keine Gedanken über das Thema machen. Zu groß ist die Angst vor dem, was man erfahren könnte. Ganz nach dem Motto: “Dann kann man ja gleich gar nichts mehr machen.”

Und auch wenn da ein Fünkchen Wahrheit dran sein mag, gibt es doch ein paar Themen, mit denen man sich auseinandersetzen sollte, um sich mit einfachen Mitteln und Methoden zu schützen. Denn viele Gefahren des Internets sind eng mit dem normalen Leben verknüpft.

Was ist Social Engineering?

Auf gut Deutsch bedeutet Social Engineering Manipulation von Menschen. Wie bringe ich jemanden dazu, das zu tun, was ich möchte. Es geht nicht unbedingt um eine böswillige Intention des Gegenübers. Jedoch sollte man sich vor Augen halten, dass die Person / das Unternehmen immer aus egoistischen Gründen handelt.

Werbung

Das wahrscheinlich einfachste Beispiel für Social Engineering ist Werbung. Der Grund, um Werbung zu schalten ist zum Beispiel klassisch kapitalistisch Umsatzsteigerung: “Kauf mein Produkt!”. Vielleicht verbirgt sich aber auch der Gedanke dahinter, die Welt zu retten, indem man Spendengelder sammelt. Oder ganz aktuell: Die Welt so zu formen, wie sie einem selbst am besten gefällt; in Form von Politik und Wahlwerbung. Letztendlich geht es darum, die Zuschauer so zu manipulieren, dass sie nach dem Willen des Werbenden handeln.

Gefährlich wird es, wenn man blind auf das vertraut, was man angezeigt bekommt. So gibt es zum Beispiel keine genauen Regeln, welche Inhalte Wahlwerbung haben darf (anwalt.org/wahlwerbung/). Große Unternehmen wie Facebook und Google kontrollieren nach eigenen Angaben die Werbung, welche über die Portale geschaltet werden. Außerdem können Verstöße abgemahnt werden (rosepartner.de/irrefuehrende-werbung-abmahnung.html). Jedoch ist die schiere Masse verschiedener Werbung so groß, dass es letzten Endes am Nutzer selbst hängt.

Der Knackpunkt, an dem Social Engineering zu der Gefahr wird, die es sein kann, ist die Menge an Informationen, die mein Gegenüber über mich besitzt. Personalisierte Werbung durch Cookies sind ein alter Hut. Es ist kein Zufall, dass mir nach dem Betrachten eines Bierbrausets auf Amazon, enorm viel Amazon-Werbung zu allem um das Thema Craftbeer gezeigt wird.

Da stellt sich schon mal die Frage, Google, Facebook und Co eigentlich alles über mich wissen, um so passende Werbung zu schalten. Dem Messengerdienst Signal, scheint Datenschutz und Aufklärung der Nutzer wichtiger zu sein als anderen. So versuchte das Unternehmen Nutzern von Instagram zu zeigen, welche Daten ihnen zur Verfügung stehen, um ihre Werbung perfekt auf einen Nutzer zuzuschneiden.

Personalisierte “Werbung” von Signal (Signal / The Instagram ads Facebook won’t show you)

Natürlich gefiel das Instagram (bzw. Mutter Facebook) gar nicht und die Werbung sowie Accounts wurden gesperrt.

Aber, wenn ich doch nun keine personalisierte Werbung möchte, kann ich natürlich einfach die entsprechenden Cookies ablehnen. Jedoch kommt es bereits bei der Zustimmung der Cookies zur Manipulation. Wer eine gute Erfahrung möchte, ist beinahe dazu gezwungen alles zu akzeptieren inklusive Werbecookies. Am Beispiel von Google hat man nicht mal die Möglichkeit direkt abzulehnen.

Auswahl im Cookie Banner (google.com)

Eine einfache Lösung um Cookies und personalisierte Werbung zu verhindern ist der Inkognito-Modus des Browsers.
Möchte man sich etwas Komfort bewahren, können Tools wie https://ninja-cookie.com/de/ helfen. Und sollte man ganz auf Werbung verzichten wollen, bieten sich Adblocker an (z.B. https://adblockplus.org/).

Der Enkeltrick

Bei Social Engineering in Form von Werbung bleibt der Schaden für das Individuum zum Glück recht gering. Anders sieht das aus, wenn Social Engineering gezielt dafür verwendet wird, um Personen zu schaden.

In diesem Zusammenhang hört man immer wieder vom sogenannten Enkeltrick: Senioren erhalten Anrufe von vermeintlichen Enkeln in Geldnot. Die Opfer werden dazu gebracht, hohe Geldsummen an die Täter zu überweisen. Das Geld werden sie natürlich nie wieder sehen. Hierbei wird die Unsicherheit der Senioren ausgenutzt, die unter Umständen senil, oder einfach mit der Situation überfordert sind. (https://www.polizei.hamburg/falsche-polizeibeamte/6675402/enkeltrick-a/)

Beim Enkeltrick handelt es sich um eines der klassischen Beispiele von böswilligem Social Engineering. Die einzige Möglichkeit unsere älteren Mitmenschen zu informieren, Aufklärung betreiben, durch offene Gespräche. Ihnen mitteilen, dass niemand aus der Verwandtschaft so etwas in Anspruch nimmt.

Ähnliche Techniken werden auch beim Social Hacking verwendet.

Was ist Social Hacking?

Beim Hacking von Systemen geht es darum, die Schwachstellen eben jenes Systems zu nutzen, um an vertrauliche Informationen zu kommen. Dem Nutzer muss klar sein, dass er Teil dieses Systems ist. Ein Login zum Beispiel funktioniert nur durch die Eingabe von Nutzernamen und Passwort. Daten, die man selbst eingestellt hat.
Ein Hacker kann nun versuchen mit umfangreichem Wissen der IT dieses System zu hacken… oder er bringt den Nutzer dazu ihn einzuladen. Das ist Social Hacking. Methoden des Social Engineering dazu verwenden, um Zugriff zu einem System zu erhalten. (https://www.brandmauer.de/blog/it-security/social-hacking-definition-was-ist-social-hacking)

Mittels Social Engineering Techniken werden Informationen gesammelt. Denn Informationen sind Macht. Kenne ich den Namen deines ersten Haustiers, erhalte ich womöglich Zugriff zu deinem E-Mail-Konto. Mit dem Jahrestag oder Geburtstag der Partnerin/des Partners, kann ich vielleicht dein Smartphone entsperren.

Eine verbreitete Social Hacking Masche, die an den Enkeltrick angelehnt ist, sind sogenannte “Technical Support Scams”. Man wird angerufen. Der Anrufer gibt sich als Mitarbeiter eines Technikkonzerns aus. Es wurden Probleme mit dem Computer des Opfers erkannt, die sich mit etwas Hilfe beheben lassen. Um helfen zu können, muss das Opfer verschiedene Programme installieren, mit denen der Anrufer Zugriff auf das Endgerät des Nutzers erhält. Ist es erst einmal so weit gekommen, stehen dem Anrufer alle Türen offen.

Es mag banal klingen, aber solche Betrugsmaschen kommen häufig vor und funktionieren und scheinen sich zu lohnen. Microsoft, Telekom und andere warnen auf ihren Webseiten vor solchen Anrufen und klären auf. Aufklärung ist in allen bisher genannten Beispielen das Stichwort zum Schutz. Jeder sollte Personen im eigenen Umfeld über solche Techniken aufklären, um zu vermeiden, dass weiteren Personen zum Opfer werden. Denn ist das Unglück erst einmal geschehen, kann man wenig tun.