Die Machenschaften der Hacker: Social Engineering

Ob Politiker, Schauspieler oder Sänger - immer wieder werden Personen, die in der Öffentlichkeit stehen, Opfer von Internet-Kriminellen. Die Auswahl der Opfer erfolgt also gezielt, um private Daten oder geheime Informationen zu erbeuten - so wie zuletzt bei Jennifer Lawrence und Co. Aber nicht nur Promis können ins Visier geraten. In der Serie "Machenschaften der Hacker" stellen wir vor, wie Online-Kriminelle arbeiten. Heute: Social Engineering.

16. September 2014 von Martin Wilhelm

Mit Hilfe von Social Engineering suchen sich Kriminelle sehr gezielt Opfer im Netz. © ra2 studio fotolia

Beim Social Engineering (engl. eigentlich „angewandte Sozialwissenschaft“) täuschen die Täter eine fremde Identität vor. Geschehen kann das praktisch überall – am Telefon, via E-Mail oder über Soziale Netzwerke wie Twitter und Facebook. Der Ablauf ist dabei immer gleich: Die Kriminellen sammeln zunächst einige Informationen über das Opfer und verwenden diese anschließend, um ihren Plan zu verwirklichen. Sprich, an eigentlich private Daten zu gelangen. Das können wie im Fall von Promis pikante Fotos sein oder aber Kreditkartendaten oder geheime Informationen (beispielsweise zur Wirtschaftsspionage).

Um sich das Vertrauen der ahnungslosen Internet-Nutzer zu erschleichen, gehen die Betrüger ganz unterschiedlich vor. „Echte Profi-Kriminelle schrecken nicht einmal davor zurück, den Müll zu durchwühlen“, sagt Sicherheitsexperte Frank Herold. „In anderen Fällen wird wochenlang das Facebook-Profil beobachtet.“ Auf diese Weise können vielerlei Erkenntnisse gewonnen werden:

– Mit wem verkehrt das Opfer?
– Welche Hobbys hat das Opfer?
– Was isst oder trinkt das Opfer gerne?
– Welche Musikgruppe, TV-Sendung oder Zeitschrift mag das Opfer?

Die gesammelten Informationen dienen als „Eisbrecher“. Wenn die Täter wissen, dass sich ein Nutzer für ein bestimmtes Thema interessiert, kann die Attacke beispielsweise so aussehen: Auf die vermeintliche Gemeinsamkeit angesprochen, startet zunächst ein unverbindlicher Chat bei Facebook, später wird der Unbekannte als „Freund“ hinzugefügt und es werden Nachrichten mit ihm ausgetauscht.

Nach einer Weile werden die noch ahnungslosen Opfer beispielsweise unter einem Vorwand („Das musst Du Dir unbedingt ansehen…“) auf eine mit Schadcode infizierte Homepage gelockt. Beim Besuch der entsprechenden Website wird über eine Schwachstelle im Betriebssystem ein „Keylogger“-Programm auf den PC geschmuggelt, das heimlich sämtliche Tastaturbewegungen aufzeichnet und an die Hintermänner übermittelt. Für die Betrüger ist es jetzt ein Leichtes, an die gewünschte Beute, etwa das Login für den Online-Banking-Account, zu kommen.

Gerade im Bereich der Wirtschaftskriminalität ist auch denkbar, dass sich ein Krimineller als Administrator ausgibt, der wegen eines Systemfehlers anruft, und für die Behebung das Passwort des Benutzers angeblich benötigt.

Das empfehlen Sicherheitsexperten

Bei genügend krimineller Energie sind der Kreativität von Hackern also keine Grenzen gesetzt. Zum Schutz vor Social Engineering geben die WEB.DE Sicherheitsexperten folgende Tipps:

  • Geben Sie niemandem via Telefon, E-Mail oder Facebook Auskunft über geheime Daten.
  • Sind Sie Opfer einer Attacke geworden, rufen Sie zuerst Ihre Bank, danach die Polizei an.
  • Seien Sie stets misstrauisch und geben Sie auch scheinbar Unwichtiges nicht leichtfertig öffentlich preis.
  • Überprüfen Sie Ihre Privatssphäre-Einstellungen in Sozialen Netzwerken.
  • Laden Sie nur Software aus dem Internet und aus Datei-Anhängen herunter, wenn es sich um eine vertrauenswürdige Quelle oder einen bekannten Absender handelt.
  • Folgen Sie nie dem Link eines unbekannten Absenders.
  • Ändern Sie regelmäßig Ihr Passwort.
  • Bei Online-Diensten kann man häufig eine Sicherheitsfrage auswählen, um sich gegenüber dem Kundenservice authentifizieren zu können. Auf diese sollte eine möglichst unpassende Antwort gewählt werden. Auf die Frage nach dem Wohnort der Eltern, könnte man beispielsweise die Antwort „3. November 1983” geben.
  • Bringen Sie Unbekannten eine gesunde Portion Misstrauen entgegen – egal ob Sie über Telefon, Mail oder soziale Netzwerke kontaktiert werden.

 

Kategorie: Sicherheit
Schlagworte: Passwort-Sicherheit, Sicherheit, Social Engineering

Verwandte Themen

Welt-Passwort-Tag am 02. Mai: Viele Deutsche verwenden zu kurze Passwörter

Deutsche Internet-User sind oft zu sorglos, wenn es um die Sicherheit der eigenen Online-Konten geht. Einer aktuellen Umfrage zufolge verwendet die Mehrheit (63 %) ein und dasselbe Passwort für mehrere (57 %) oder sogar alle (5 %) Logins im Internet. Ein weiteres Problem: Oft sind die gewählten Passwörter zu kurz. Zum Welt-Passwort-Tag am 02. Mai unterstützt WEB.DE Nutzerinnen und Nutzer dabei, bessere Passwörter zu wählen und damit den eigenen E-Mail-Account wirkungsvoll vor Fremdzugriff zu schützen. mehr

WEB.DE hebt Anforderungen für Passwort-Qualität an

Der E-Mail-Anbieter informiert Nutzerinnen und Nutzer im Laufe der kommenden Wochen per Mail über die Umsetzung einer neuen Passwortrichtlinie. Neue Passwörter werden künftig verstärkt mithilfe technischer Algorithmen auf Qualität, Länge und Komplexität hin überprüft. Die Überprüfung findet unter den gleichen strengen Sicherheitsbedingungen wie die Passworteingabe beim Login statt. mehr