Social Engineering – Das älteste Gewerbe der Welt

gepostet am 11.11.2016 von

Das älteste Gewerbe der Welt ist nicht etwa die Prostitution, sondern Social Engineering. Aber was ist das überhaupt und was machen die? Dazu ein Auszug aus Wikipedia:

Social Engineering [ˈsəʊʃl̩ ˌɛndʒɪˈnɪəɹɪŋ] (eigentlich „angewandte Sozialwissenschaft“, auch „soziale Manipulation“) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.

Kommen sie dahinter wer der erste Social Engineer war? Richtig: Der Teufel in Form der Schlange! Adam und Eva leben zunächst im Garten Eden. Dort überredet sie die Schlange entgegen dem Verbot Gottes vom Baum der Erkenntnis zu essen. In der Folge werden Adam und Eva aus dem Paradies vertrieben.

Eine religiöse oder theologische Auseinandersetzung mit dem Thema will ich an dieser Stelle nicht beginnen. Aber ein Blick in die Geschichtsbücher zum Thema Social Engineering soll diese Serie starten.

Social Engineering von der griechischen Mythologie bis ins Mittelalter

Der griechische Kundschafter und Gefährte des Odysseus Sinon ist wohl einer der bekanntesten Social Engineers. Er war der Mann, der die entscheidende Rolle im Kampf um Troja einnahm. Er war es nämlich, der die Trojaner davon überzeugte, dass es sich um ein Opfer an die Götter handele. Er ließ die Trojaner glauben, es sei eine gute Idee das Holzpferd in die Stadt zu bringen. Und das, obwohl den Beteiligten klar war, dass Sinon zur gegnerischen Partei gehört.

Die Gaukler des Mittelalters können – als Vorgänger der heutigen Zauberkünstler – durch ihre meist auf Ablenkung und Verwirrung ausgelegten Tricks auch zur Spezies der „Social Engineers“ gezählt werden.

Erste gut dokumentierte Betrügereien im Sinne von Social Engineering gibt es seit Beginn des vergangenen Jahrhunderts:

Social Engineering im 20. Jhd.

Friedrich Wilhelm Voigt war ein Schuhmacher aus Berlin. Bekannt wurde er als  Hauptmann von Köpenick durch seine spektakuläre Besetzung des Rathauses, in das er 1906 als Hauptmann verkleidet mit einem Trupp gutgläubiger Soldaten eindrang, den Bürgermeister verhaftete und die Stadtkasse raubte.

Und dann war da Victor Lustig. Der „Mann, der den Eiffelturm verkaufte“. Er war ein König des Social Engineering! Als die Ehegattin des interessierten Käufers Zweifel plagten und sie den Verkauf durch Lustig in Frage stellte, verlangte Lustig von ihrem Mann ein Schmiergeld. Diese Forderung überzeugte den Käufer.

Solche Beispiele sind recht zahlreich. Beispielsweise George Parker, der mehrfach die Brooklyn Bridge und Madison Square Garden verkaufte. Oder Charles Ponzi, der in den 1920er Jahren ein Schneeballsystem perfektionierte.

Und dann kamen Hochstapler, deren Einfallsreichtum nahezu unerreicht ist. Man denke nur an Frank Abagnale. Der Mann, den Leonardo Di Caprio in „Catch me if you can“ spielt. Allein durch das Tragen einer Pilotenuniform und bestimmtes Auftreten flog er bereits als Teenager tausende Meilen ohne Ticket quer durch die Welt. Er beging Scheckbetrug und entkam dutzende Male dem FBI. Er „arbeitete“ bis zu seiner Verhaftung als Pilot, Anwalt und Arzt …

Kevin Mitnick gilt als einer der ersten Computerhacker, der Social Engineering einsetzte um an Daten zu gelangen. So ist es ihm gelungen, den Quellcode für eines der damals fortschrittlichsten Mobilgeräte zu stehlen. Am Telefon. Über Social Engineering. Überhaupt hat dieser Kevin Mitnick einige erstaunliche Angriffe entwickelt und erfolgreich ausgeführt. Er soll mehr als 100 Mal in das Netzwerk des Verteidigungsministeriums der Vereinigten Staaten sowie einige Male in das der NSA eingedrungen sein.

Social Engineering heute

Im Rahmen der Recherche habe ich mir die Frage gestellt, ob solche ausgebufften Betrügereien wie sie Abagnale durchgeführt hat, heute überhaupt noch funktionieren würden. Und ich war erstaunt:

Warum aktuelle Angriffe mittels infizierter Mailanhänge als „Trojaner“ bezeichnet werden, dürfte jedem klar sein. Diese Social Engineering Technik scheint also nach wie vor zu funktionieren. Aber diese ganzen anderen Angriffe – ist doch ein alter Hut. Da fällt doch keiner mehr drauf rein! Oder doch?

Im März 2010 wurde ein Pilot in Schweden verhaftet, nachdem er über 13 Jahre mit einer gefälschten Lizenz Passagierflüge mit einer 737 durchgeführt hat. Im Mai 2016 fliegt ein Hochstapler auf, als er während des Flugs in Pilotenuniform einen alkoholischen Drink bestellt. Wenn man bedenkt, was notwendig ist, um als Pilot wahrgenommen zu werden ist das aber auch eher einfach. Immerhin gibt es bei Ebay Pilotenuniformen aller größeren Airlines zu erwerben.

2013 wird in den Niederlanden ein Mann verhaftet, der zuvor jahrelang ohne Ausbildung an verschiedenen deutschen Kliniken praktiziert hat. Ähnliche Fälle von Lehrern und Anwälten sind genauso bekannt.

Auch der Verkauf nicht existenter Dinge funktioniert immer wieder gut. Dabei werden Geschädigte um vergleichsweise kleine Summen geprellt, wie beispielsweise dem Verkauf nicht vorhandener Fotoapparate auf eBay, aber auch enorme Beträge (5 Milliarden D-Mark) werden durch den Verkauf von nicht vorhanden „Horizontalbohrmaschinen“ ergaunert (siehe auch Flowtex).

Im sogenannten „CEO Fraud“ werden Unternehmen (genauer deren Buchhalter) durch Social Engineering Techniken übers Ohr gehauen und zu Überweisungen hoher Summen (Fälle mit 40 bzw. 50 Mio. Euro Schaden sind bekannt) verleitet. Und seitdem die Masche bekannt wurde, haben die Betrüger nachgelegt: Mittlerweile wird das potenzielle Opfer durch angebliche Mitarbeiter der IT darauf hingewiesen, dass es sich um einen Betrugsversuch handele. Das Opfer möge jedoch bitte mitspielen, so könne die Polizei die Täter ermitteln. Ermittlungen finden dann aber erst statt, wenn es zu spät ist. Die Polizei hat nämlich noch niemand informiert.

Die Königsklasse des Social Engineering ist das Telefon. Kevin Mitnick hat es vorgemacht, wie man Informationen am Telefon stiehlt. Und dies funktioniert auch heute noch überraschend erfolgreich. So gelang es einem Teenager durch Anrufe bei Providern Zugang zu E-Mail-Konten zu erhalten. Darunter der private AOL Account des CIA Direktors.

Ach man könnte ja noch so viel erzählen …

… aber über diese Themen werde ich mir in der nächsten Serienfolge bestimmt Gedanken machen:

  • Was sind die psychologischen Grundlagen – oder warum funktioniert das so gut?
  • Wie kann man sich vor Social Engineering schützen?
  • Welche Rolle spielen Social Networks?
  • Gibt es berühmte Hacks, die nur wegen Social Engineering funktionierten (SONY?)
  • Was wurde aus den „berühmten“ Social Engineers?

Fragen über Fragen … Stay tuned!

 

 

 

 

Autor/in

Götz
Weinmann

IT-Security Consultant und ISO 27001 Auditor

Top Blogbeiträge

Verlehrsschilderwald
Wissen Sie, was auf ihrer Firewall vor sich geht?
Corona-Warn-App – Welche Daten werden geteilt?
MVSS
Vulnerability Scan – Grenzen und Chancen
Array

Dies könnte Sie auch interessieren

Security AwarenessSocial EngineeringSocial Engineering Awareness History

5 Kommentare

  1. Pingback: Was ist eigentlich ein Data Breach? - Kompaktwissen
  2. Pingback: Was ist eigentlich ein CEO-Fraud? - TO Blog
  3. Pingback: Stuttgart-West, 3 ZKB, 90qm², 500€ warm, nähe Phishmarkt…Part 1 - TO Blog
  4. Pingback: Was ist eigentlich ein Data Breach? - TO Blog
  5. Pingback: Social Engineering - Die Tools der Hacker - TO Blog

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *