{"id":20593,"date":"2021-09-25T17:15:27","date_gmt":"2021-09-25T15:15:27","guid":{"rendered":"https:\/\/blog.mi.hdm-stuttgart.de\/?p=20593"},"modified":"2021-09-28T15:21:43","modified_gmt":"2021-09-28T13:21:43","slug":"herzlichen-gluckwunsch-sie-haben-gewonnen","status":"publish","type":"post","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2021\/09\/25\/herzlichen-gluckwunsch-sie-haben-gewonnen\/","title":{"rendered":"HERZLICHEN GL\u00dcCKWUNSCH – Sie haben gewonnen!"},"content":{"rendered":"\n

\u00dcber Social Engineering und wie man sich sch\u00fctzen kann<\/strong>.<\/p>\n\n\n\n

Jeder kennt E-Mails mit Titeln wie diesem. Eine wildfremde Person verspricht Gewinne in Millionenh\u00f6he. Und alles, was daf\u00fcr ben\u00f6tigt wird, sind ein paar pers\u00f6nliche Daten. Ein Traum vieler Menschen wird wahr und man will dem Titel glauben. Doch was passiert, wenn man der E-Mail nachgeht? Ist es so leicht, Millionen zu kassieren? Und was gibt es noch f\u00fcr M\u00f6glichkeiten meine Daten gegen fantastische Tr\u00e4ume einzutauschen?<\/p>\n\n\n\n

Dieser Artikel soll die Gefahren des Alltags aufdecken und einfache Wege zeigen sich zu sch\u00fctzen.<\/p>\n\n\n\n

\"\"<\/a>
Quelle: Instagram @coderhumor<\/figcaption><\/figure><\/div>\n\n\n\n\n\n\n\n

Social Engineering \/ Hacking<\/h2>\n\n\n\n

Viele Nutzer denken, sie sind sicher im Internet unterwegs. Einfach, weil man ja nichts zu verbergen hat. Wer sollte sich denn f\u00fcr die eigenen Daten interessieren? Die meisten Menschen wollen sich sowieso gar keine Gedanken \u00fcber das Thema machen. Zu gro\u00df ist die Angst vor dem, was man erfahren k\u00f6nnte. Ganz nach dem Motto: “Dann kann man ja gleich gar nichts mehr machen.”<\/p>\n\n\n\n

Und auch wenn da ein F\u00fcnkchen Wahrheit dran sein mag, gibt es doch ein paar Themen, mit denen man sich auseinandersetzen sollte, um sich mit einfachen Mitteln und Methoden zu sch\u00fctzen. Denn viele Gefahren des Internets sind eng mit dem normalen Leben verkn\u00fcpft.<\/p>\n\n\n\n

Was ist Social Engineering?<\/h3>\n\n\n\n

Auf gut Deutsch bedeutet Social Engineering<\/a> Manipulation von Menschen. Wie bringe ich jemanden dazu, das zu tun, was ich m\u00f6chte. Es geht nicht unbedingt um eine b\u00f6swillige Intention des Gegen\u00fcbers. Jedoch sollte man sich vor Augen halten, dass die Person \/ das Unternehmen immer aus egoistischen Gr\u00fcnden handelt.<\/p>\n\n\n\n

Werbung<\/h4>\n\n\n\n

Das wahrscheinlich einfachste Beispiel f\u00fcr Social Engineering ist Werbung. Der Grund, um Werbung zu schalten ist zum Beispiel klassisch kapitalistisch Umsatzsteigerung: “Kauf mein Produkt!”. Vielleicht verbirgt sich aber auch der Gedanke dahinter, die Welt zu retten, indem man Spendengelder sammelt. Oder ganz aktuell: Die Welt so zu formen, wie sie einem selbst am besten gef\u00e4llt; in Form von Politik und Wahlwerbung. Letztendlich geht es darum, die Zuschauer so zu manipulieren, dass sie nach dem Willen des Werbenden handeln.<\/p>\n\n\n\n

Gef\u00e4hrlich wird es, wenn man blind auf das vertraut, was man angezeigt bekommt. So gibt es zum Beispiel keine genauen Regeln, welche Inhalte Wahlwerbung haben darf (anwalt.org\/wahlwerbung\/<\/a>). Gro\u00dfe Unternehmen wie Facebook und Google kontrollieren nach eigenen Angaben die Werbung, welche \u00fcber die Portale geschaltet werden. Au\u00dferdem k\u00f6nnen Verst\u00f6\u00dfe abgemahnt werden (rosepartner.de\/irrefuehrende-werbung-abmahnung.html<\/a>). Jedoch ist die schiere Masse verschiedener Werbung so gro\u00df, dass es letzten Endes am Nutzer selbst h\u00e4ngt.<\/p>\n\n\n\n

Der Knackpunkt, an dem Social Engineering zu der Gefahr wird, die es sein kann, ist die Menge an Informationen, die mein Gegen\u00fcber \u00fcber mich besitzt. Personalisierte Werbung durch Cookies sind ein alter Hut. Es ist kein Zufall, dass mir nach dem Betrachten eines Bierbrausets auf Amazon, enorm viel Amazon-Werbung zu allem um das Thema Craftbeer gezeigt wird.<\/p>\n\n\n\n

Da stellt sich schon mal die Frage, Google, Facebook und Co eigentlich alles \u00fcber mich wissen, um so passende Werbung zu schalten. Dem Messengerdienst Signal, scheint Datenschutz und Aufkl\u00e4rung der Nutzer wichtiger zu sein als anderen. So versuchte das Unternehmen Nutzern von Instagram zu zeigen, welche Daten ihnen zur Verf\u00fcgung stehen, um ihre Werbung perfekt auf einen Nutzer zuzuschneiden. <\/p>\n\n\n\n

\"\"<\/a>
Personalisierte “Werbung” von Signal (Signal \/ The Instagram ads Facebook won’t show you<\/a>)<\/figcaption><\/figure><\/div>\n\n\n\n

Nat\u00fcrlich gefiel das Instagram (bzw. Mutter Facebook) gar nicht und die Werbung sowie Accounts wurden gesperrt.<\/p>\n\n\n\n

Aber, wenn ich doch nun keine personalisierte Werbung m\u00f6chte, kann ich nat\u00fcrlich einfach die entsprechenden Cookies ablehnen. Jedoch kommt es bereits bei der Zustimmung der Cookies zur Manipulation. Wer eine gute Erfahrung m\u00f6chte, ist beinahe dazu gezwungen alles zu akzeptieren inklusive Werbecookies. Am Beispiel von Google hat man nicht mal die M\u00f6glichkeit direkt abzulehnen.<\/p>\n\n\n\n

\"\"<\/a>
Auswahl im Cookie Banner (google.com<\/a>)<\/figcaption><\/figure><\/div>\n\n\n\n

Eine einfache L\u00f6sung um Cookies und personalisierte Werbung zu verhindern ist der Inkognito-Modus des Browsers.
M\u00f6chte man sich etwas Komfort bewahren, k\u00f6nnen Tools wie https:\/\/ninja-cookie.com\/de\/<\/a> helfen. Und sollte man ganz auf Werbung verzichten wollen, bieten sich Adblocker an (z.B. https:\/\/adblockplus.org\/<\/a>).<\/p>\n\n\n\n

Der Enkeltrick<\/h4>\n\n\n\n

Bei Social Engineering in Form von Werbung bleibt der Schaden f\u00fcr das Individuum zum Gl\u00fcck recht gering. Anders sieht das aus, wenn Social Engineering gezielt daf\u00fcr verwendet wird, um Personen zu schaden.<\/p>\n\n\n\n

In diesem Zusammenhang h\u00f6rt man immer wieder vom sogenannten Enkeltrick: Senioren erhalten Anrufe von vermeintlichen Enkeln in Geldnot. Die Opfer werden dazu gebracht, hohe Geldsummen an die T\u00e4ter zu \u00fcberweisen. Das Geld werden sie nat\u00fcrlich nie wieder sehen. Hierbei wird die Unsicherheit der Senioren ausgenutzt, die unter Umst\u00e4nden senil, oder einfach mit der Situation \u00fcberfordert sind. (https:\/\/www.polizei.hamburg\/falsche-polizeibeamte\/6675402\/enkeltrick-a\/<\/a>)<\/p>\n\n\n\n

Beim Enkeltrick handelt es sich um eines der klassischen Beispiele von b\u00f6swilligem Social Engineering. Die einzige M\u00f6glichkeit unsere \u00e4lteren Mitmenschen zu informieren, Aufkl\u00e4rung betreiben, durch offene Gespr\u00e4che. Ihnen mitteilen, dass niemand aus der Verwandtschaft so etwas in Anspruch nimmt.<\/p>\n\n\n\n

\u00c4hnliche Techniken werden auch beim Social Hacking verwendet.<\/p>\n\n\n\n

Was ist Social Hacking?<\/h3>\n\n\n\n

Beim Hacking von Systemen geht es darum, die Schwachstellen eben jenes Systems zu nutzen, um an vertrauliche Informationen zu kommen. Dem Nutzer muss klar sein, dass er Teil dieses Systems ist. Ein Login zum Beispiel funktioniert nur durch die Eingabe von Nutzernamen und Passwort. Daten, die man selbst eingestellt hat.
Ein Hacker kann nun versuchen mit umfangreichem Wissen der IT dieses System zu hacken… oder er bringt den Nutzer dazu ihn einzuladen. Das ist Social Hacking. Methoden des Social Engineering dazu verwenden, um Zugriff zu einem System zu erhalten. (https:\/\/www.brandmauer.de\/blog\/it-security\/social-hacking-definition-was-ist-social-hacking<\/a>)<\/p>\n\n\n\n

Mittels Social Engineering Techniken werden Informationen gesammelt. Denn Informationen sind Macht. Kenne ich den Namen deines ersten Haustiers, erhalte ich wom\u00f6glich Zugriff zu deinem E-Mail-Konto. Mit dem Jahrestag oder Geburtstag der Partnerin\/des Partners, kann ich vielleicht dein Smartphone entsperren.<\/p>\n\n\n\n

Eine verbreitete Social Hacking Masche, die an den Enkeltrick angelehnt ist, sind sogenannte “Technical Support Scams”<\/a>. Man wird angerufen. Der Anrufer gibt sich als Mitarbeiter eines Technikkonzerns aus. Es wurden Probleme mit dem Computer des Opfers erkannt, die sich mit etwas Hilfe beheben lassen. Um helfen zu k\u00f6nnen, muss das Opfer verschiedene Programme installieren, mit denen der Anrufer Zugriff auf das Endger\u00e4t des Nutzers erh\u00e4lt. Ist es erst einmal so weit gekommen, stehen dem Anrufer alle T\u00fcren offen.<\/p>\n\n\n\n

Es mag banal klingen, aber solche Betrugsmaschen kommen h\u00e4ufig vor und funktionieren und scheinen sich zu lohnen. Microsoft<\/a>, Telekom<\/a> und andere warnen auf ihren Webseiten vor solchen Anrufen und kl\u00e4ren auf. Aufkl\u00e4rung ist in allen bisher genannten Beispielen das Stichwort zum Schutz. Jeder sollte Personen im eigenen Umfeld \u00fcber solche Techniken aufkl\u00e4ren, um zu vermeiden, dass weiteren Personen zum Opfer werden. Denn ist das Ungl\u00fcck erst einmal geschehen, kann man wenig tun.<\/p>\n\n\n\n\n\n\n\n

Techniken des Social Engineering<\/h2>\n\n\n\n

Nat\u00fcrlich gibt es noch viel mehr Techniken des Social Engineering, wie zum Beispiel das seit Jahrzehnten bekannte Dumpster Diving, <\/a>bei dem versucht wird im M\u00fclleimer sensible Dokumente zu finden. Um sich hiervor zu sch\u00fctzen, gibt es zum Gl\u00fcck Aktenvernichter und Feuer, doch wie sieht es bei anderen Techniken aus?<\/p>\n\n\n\n

Eavesdropping und Shoulder Surfing<\/h3>\n\n\n\n

Als ich einmal in der Uni f\u00fcr meine bevorstehenden Pr\u00fcfungen gelernt habe, sa\u00df ein junger Mann in meiner N\u00e4he, der wohl ein wichtiges Gespr\u00e4ch mit seiner Bank f\u00fchrte. Auch wenn ich keine Intention hatte mit den Daten mehr anzufangen, konnte ich mir doch nicht verkneifen zuzuh\u00f6ren: (Die Informationen sind erfunden)<\/p>\n\n\n\n

“Ja hallo, hier spricht Jan Itor. Spreche ich da mit Frau M\u00fcller von der Sparkasse T\u00fcbingen?”<\/p>\n\n\n\n

“Ah perfekt, ich h\u00e4tte da ein paar Fragen zu meinem Girokonto”<\/p>\n\n\n\n

“Ja nat\u00fcrlich, meine Kontonummer ist 4815162342 und mein Geburtstag ist der 30.02.1999.”<\/p>\n\n\n\n

“Ja ich wohne immer noch in der Platanenallee Nr. 17 in 72072 T\u00fcbingen”<\/p>\n\n\n\n

Das Gespr\u00e4ch ging so noch einige Zeit weiter, aber alleine diesen Gespr\u00e4chsfetzen geben einem Hacker einige sehr interessante Informationen zu einer bisher wildfremden Person. Nichts h\u00e4lt mich davon ab bei der Bank anzurufen und mich als Jan Itor auszugeben. Oder ich k\u00f6nnte mich per Lastschrift an seinem Konto bedienen. Diese Methode des Social Engineering nennt sich Eavesdropping<\/a> <\/strong>(engl. f\u00fcr Abh\u00f6ren). <\/p>\n\n\n\n

Eine verwandte Technik des Eavesdropping ist Shoulder Surfing<\/a>. Hierbei wird versucht zum Beispiel den Computer zu beobachten, w\u00e4hrend eine Person sensible Daten betrachtet oder sich gerade anmeldet, um das Passwort zu erfahren.<\/p>\n\n\n\n

Gl\u00fccklicherweise kann man sich vor dieser Art Angriff leicht sch\u00fctzen, indem man sensible Daten nicht in der \u00d6ffentlichkeit betrachtet, dar\u00fcber spricht und darauf achtet, dass man nicht beobachtet wird, w\u00e4hrend man Passw\u00f6rter und PINs eingibt.<\/p>\n\n\n\n

Die bisherigen Beispiele werden die wenigsten Menschen in Probleme bringen, da nur eine begrenzte Anzahl Personen erreicht wird. Anders sieht es zum Beispiel beim Phishing aus.<\/p>\n\n\n\n

Phishing<\/h3>\n\n\n\n

Im Gegensatz zum Enkeltrick oder den “Technical Support Scams” wird beim Phishing die breite Masse attackiert. Meist in Form von E-Mails werden Privatpersonen kontaktiert. Die Adressen werden entweder automatisch generiert, oder online in gro\u00dfer Menge gekauft \/ selbst gesammelt.<\/p>\n\n\n\n

\"\"<\/a>
Phishing Mails der letzten 10 Stunden in meinem E-Mail-Postfach<\/figcaption><\/figure><\/div>\n\n\n\n

Beim Phishing wird versucht dem Opfer Glauben zu machen, es habe eine wichtige Nachricht bekommen. Eine Bank, ein vermeintlicher Bekannter oder die Lotterie. Jemand hat Geld zu verschenken und man selbst ist die gl\u00fcckliche Person. Andere bitten darum die Accountdaten der Bank, Paypal etc. zu aktualisieren. Anbei ist ein Link, ein Anhang zum Herunterladen, oder die Bitte die Informationen einfach per Antwort zu schicken. Paypal und andere raten auf der eigenen Webseite<\/a> genau davon ab. Sensible Daten k\u00f6nnen genutzt werden, um die Identit\u00e4t zu f\u00e4lschen und Konten zu leeren. \u00dcber den Link oder den Anhang k\u00f6nnen Viren geschickt werden. Seri\u00f6se Unternehmen kommunizieren heutzutage nicht mehr auf diese Art, da das Problem bekannt ist. Sollten Sie sich unsicher sein, ob die E-Mail seri\u00f6s ist, besuchen Sie die Webseite des Unternehmens und nehmen \u00fcber die dortigen Mittel Kontakt auf.<\/p>\n\n\n\n

Spear Phishing<\/h4>\n\n\n\n

Normale Phishing Mails sind leicht zu erkennen, da sie generisch an tausende Personen gesendet werden. Eine Abwandlung davon ist das Spear Phishing. Hier konzentriert sich der Hacker auf eine Person bzw. auf eine kleine Personengruppe.<\/p>\n\n\n\n

Zun\u00e4chst sammelt der Hacker Informationen \u00fcber das Opfer. Das geht heutzutage leicht \u00fcber Social Media Plattformen \u00e0 la Instagram, Facebook oder LinkedIn. Mit diesen Informationen wird dann die Identit\u00e4t eines Bekannten geklaut. Z.B. \u00fcber eine gef\u00e4lschte E-Mail-Adresse wird vorget\u00e4uscht, man wurde im Urlaub ausgeraubt und br\u00e4uchte schnell etwas Geld. Mit etwas Pech glaubt man die gut erfundene und mit Hintergrundinfos belegte Story und ist das Geld los. <\/p>\n\n\n\n

Eine weitere Variante des Spear Phishing ist Whaling. Hierbei gibt sich der Hacker als Vorgesetzter aus und versucht m\u00f6glichst authentisch und seri\u00f6s zu wirken. M\u00f6gliche Szenarien sind:<\/p>\n\n\n\n