Social Engineering – Der Mensch ist gutgläubig und konfliktscheu

...und das macht ihn manipulierbar! Diese Aussage ist ein Zitat aus "Who am I - Kein System ist sicher" - einem deutschen Cyberthriller von 2014. Und sie trifft den Nagel auf den Kopf: genau so funktioniert Social Engineering, also die Manipulation durch soziale Interaktion.

Ich bin kein Psychologe, und das ist vermutlich auch gut so! Als Social Engineer ist es dennoch hilfreich die Grundlagen zu kennen und zu (miß)brauchen. Was also sind die Tricks, mit denen Social Engineers andere Menschen manipulieren und dazu bringen Dinge zu tun, die Sie eigentlich nie tun würden? Es gibt eine Fülle an Tricks, und dieser Artikel ist bei Weitem nicht vollständig. Es sind aber die Tricks die meiner Erfahrung nach am besten funktionieren.

Sympathie

Mit Abstand am besten funktioniert die Manipulation aufgrund von Sympathie. Wenn mich jemand mag, dann tut er mehr für mich als für andere. Dafür gibt es haufenweise Beispiele. Jeder von uns hat das schon am eigenen Leib erfahren, wenn es um das Verhalten gegenüber dem/der Partner/in geht.

Hier spielt übrigens sexuelle Attraktivität auch eine Rolle. Das machen sich daher auch viele Geheimdienste zu Nutze. Man denke nur an Mata Hari oder die Romeo Agenten der DDR. Wenn ein Fremder mir sympatisch ist, dann hängt das vor allem mit Gutgläubigkeit zusammen.

Vorurteile

Wir haben als Mensch immer das Problem, dass wir unsere Umwelt mit Vorurteilen wahrnehmen. Diese Eigenschaft nutzt ein Social Engineer aus. Ein Beispiel dafür wäre die Einschätzung von Expertenmeinungen. Wenn der Meister und Werkstattleiter einer KFZ-Werkstatt Ihnen mitteilt, dass Sie dringend neue Reifen brauchen, so kaufen Sie eher neue Reifen, als würde Ihre Tochter das zu Ihnen sagen.

Entscheidungen auf Basis von Vorurteilen helfen uns durch den Alltag und haben sich bewährt. Ein Social Engineer weiß das! Und wenn er möchte, dass Sie neue Reifen kaufen, dann macht er das in der Rolle des Werkstattleiters und nicht als Grundschullehrer. Auch hier spielt Gutgläubigkeit eine Rolle.

Eine Hand wäscht die andere

Wer kennt nicht den Stand im Supermarkt mit dem exklusiven Käse aus Holland oder der Kaminwurzen aus Südtirol. Die Idee dahinter ist simpel: Wenn Sie den Käsewürfel probieren, und er Ihnen schmeckt, werden Sie sehr wahrscheinlich diesen Käse kaufen. Schließlich hat man Ihnen den ja bereits geschenkt.

Es gibt dazu einen interessanten Fall aus Belgien, wo ein Bankkunde über ein Jahr lang mehrmals pro Woche die Bank aufsuchte. Er war gut gekleidet, höflich und brachte den Angestellten gelegentlich Schokolade oder andere Kleinigkeiten mit. So bekam er schließlich den VIP-Zugang zum Tresorraum. Er verließ daraufhin die Bank mit Rohdiamanten im Wert von 28 Mio US$. Den Schlüssel bekam er, weil er dieses Ziel von langer Hand vorbereitete. Mit Schokoladengeschenken. Schon wieder Gutgläubigkeit als Motivation.

Erfüllung von Erwartungshaltung

Man erwartet von einem Mensch in Sanitäteruniform, dass er bei Unfällen hilft. Man erwartet von Menschen in teuren Anzügen, dass Sie vermögend sind.

Ein gutes Beispiel ist der Hochstapler (und Social Engineer) Frank Abagnale, bekannt auch aus der Verfilmung seines Lebens mit Tom Hanks in „Catch me if you can“. Allein durch das Tragen einer Pilotenuniform erschleicht er sich zig Flüge. Schließlich ist er ja Pilot! Oder?

Hier nähern wir uns neben der Gutgläubigkeit auch der Konfliktscheu.

Alle machen das so

Jaja, der berühmte Gruppenzwang. Man verhält sich so, wie es alle tun. Das ist bequem und einfach. Experimente und Studien dazu gibt es zu Hauf. Wer kennt beispielsweise nicht das Stanford-Prison-Experiment.

Und diesen Gruppenzwang nutzen auch Social Engineers. Manchmal wird der Gruppenzwang sogar nur vorgetäuscht: Bei Frau Meyer und Herrn Schulze war das nie ein Problem, die haben das schon immer so getan. Und das wird nicht hinterfragt, man will den Konflikt vermeiden.

Obrigkeit

Wenn Anweisungen „von oben“ kommen, werden sie weniger in Frage gestellt. Aktuell wird das vor Allem bei der CEO-Fraud oder „Fake President“ Masche umgesetzt.

Bei diesem Social Engineering Angriff gibt sich der Angreifer als Mitglied der Geschäftsleitung aus und fordert Loyalität und uneingeschränkte Mitarbeit ein. Wenn Mitarbeiter die Anweisungen (meist per Mail) in Frage stellen, dann wird der Ton schnell rauer. Und diese Situation mag der Mensch nicht (konfliktscheu), man versucht sich der unangenehmen Lage zu entziehen.

Schutz vor Social Engineering

Wir sind zum Glück soziale Wesen. Das bedeutet auch, dass Menschen immer für Social Engineering anfällig sind und es bleiben werden! Wer von sich behauptet: „Mich haut keiner übers Ohr!“ liegt falsch.

Deshalb helfen nur vier Dinge, um sich und Ihr Unternehmen vor Social Engineering Angriffen zu schützen:

  1. Fördern und Fordern Sie eine offene Unternehmenskultur.
  2. Stellen Sie klare Regeln für kritische Prozesse auf, bspw. können Überweisungen ab einer bestimmten Höhe nur durch zwei Personen authorisiert werden.
  3. Schulen Sie Ihre Mitarbeiter und informieren Sie diese über bekannte Betrugsmaschen.
  4. Legen Sie eine gesunde Skepsis an den Tag.

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *