Social Engineering größte Gefahr für IT-Sicherheit

Soziale Netzwerke sind Massenvernichtungswaffen gegen IT-Sicherheit

Social Engineering: Immer noch größte Gefahr für die IT-Sicherheit. © Show-Shot-Foto - Fotolia.com

Social Engineering – also das Ausnutzen psychologischer Tricks ist immer noch die wirksamste Methode um Cyberkriminellen Zugang zu fremden Accounts zu gewähren. Und wenn man die Methoden des Social Engineerings auch noch mit Informationen kombiniert, die man aus Sozialen Netzwerken wie Facebook, Twitter, Tumblr, YouTube und Co erhält, dann werden sie noch erheblich wirksamer. Social Media zählt IT-Sicherheitsexperten zufolge somit zu den größten Gefahren für IT-Security. In sozialen Netzwerken könnten Angreifer zum Beispiel automatisiert Informationen über Millionen sammeln und inhaltlich analysieren. Daraus bilden die Cyber-Kriminellen mit professionellen Methoden, insbesondere aus der kognitiven Psychologie, Persönlichkeitsmodelle die die Auswahl geeigneter Zielpersonen ermöglicht. Diesen Zielpersonen erhalten dann beispielsweise passend zugeschnittene Phishing-Mails.

Spearfishing-Experiment: Jeder Fünfte geht in die Falle

Um das reale Gefahrenpotential zu illustrieren, das von diesen Methoden ausgeht haben  unlängst zwei italienische IT-Sicherheitsexperten im Rahmen einer Security-Studie mehr als 12.000 Mitarbeiter namhafter Unternehmen angeschrieben. Dabei nutzten sie ausschließlich öffentlich verfügbare Informationen sowie Angaben des Arbeitergebers; so verschickten sie im Rahmen ihres Experiments – über das die jeweiligen Unternehmen unterrichtet waren –  u.a. eine Massenmail, die der Belegschaft attraktive Rabatte bei Urlaubsreisen in Aussicht stellte. In der Nachricht prangte das jeweilige Firmenlogo. Zur Registrierung auf der verlinkten Website sollten die Adressaten die Zugangsdaten des Firmenaccounts eingeben. Um den Argwohn der Empfänger zu wecken wurden die Phishingmails sogar absichtlich mit Rechtschreibfehlern verziert und über russische Server verschickt. Trotzdem waren sie erschreckend wirksam: Nach nur zwei Stunden hatte im Schnitt mehr als ein Drittel der Testpersonen die Fake-Rabattwebsite besucht. Davon wiederum gaben rund 58 Prozent tatsächlich die geforderten Daten ein. Überdurchschnittlich anfällig waren dabei übrigens Mailempfänger unter 30 Jahren.

Unter Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird.

Spear-Phishing ist ein verfeinertes Phishing mit einem gezielteren persönlichen Ansatz. Daher auch die Bezeichnung Spear Phishing, wobei das englische Wort Spear für Speer steht. Bei diesem Phishing-Ansatz kann der Spear-Phisher das Vertrauen zu seiner Zielperson über Informationen aus sozialen Netzwerken aufbauen.

Das Resumée dieses Experiments: IT-Security darf nicht nur als technisches Problem betrachtet werden; vielmehr muss mehr Wert auf die psychologischen Aspekte gelegt werden.

Vielleicht könnten dabei ja auch Zauberkünstler – als Experten für Täuschung – hier auch interessante Impulse geben…

Weitere Infos zu diesem Thema auf heise.de

Zu meinen Programmen: Das große (Ent-) Täuschungsmanöver