Karriere
de
de
Psychologin Sophie Jellema
Secura wird oft gefragt: Was ist Social Engineering überhaupt, und kann ich etwas dagegen tun? Ein Hacker braucht Informationen, um in ein Netzwerk oder System einzudringen. Passwörter, zum Beispiel.
Um an diese zu gelangen, setzen Kriminelle Social Engineering ein. Wie funktioniert das? Die Psychologin Sophie Jellema beantwortet 6 Fragen zu Social Engineering.
Social Engineering ist das Hacken von Menschen, sagt Sophie Jellema. Sie ist Psychologin bei Bureau Veritas Cybersecurity und arbeitet im Auftrag von Unternehmen als ethischer Social Engineer. Ein Social Engineer versteht, wie ein Mensch funktioniert und wie man Informationen aus jemandem herausholen kann.
Wenn man an Hacking denkt, denkt man an das Knacken von Codes, aber man kann auch Menschen hacken. Wir sehen auch, dass das immer häufiger passiert, weil die Unternehmen alles technisch viel besser absichern. Kriminelle wählen den einfachsten Weg, und das sind Menschen.'
Sophie Jellema bei einem Vishing-Anruf
Wenn ich auf Passwortsuche gehe, benutze ich normalerweise das Telefon", sagt Jellema. Nochmals: Ich tue dies nur mit der Erlaubnis eines Unternehmens. Wenn ich einen Mitarbeiter des Unternehmens anrufe, gebe ich mich oft als Mitarbeiter der IT-Abteilung aus. Ich sage: 'Wir sehen ein paar seltsame Dinge in Ihrem Konto, können wir das gemeinsam überprüfen?'
' Dann schaue ich angeblich mit jemandem zusammen nach. Ich frage zum Beispiel: 'Ist Ihr Computer langsam?' Computer sind immer langsam, und so bekomme ich mein erstes 'Ja' von einem Mitarbeiter. Dann beruhige ich jemanden und wir reden ein bisschen.'
' Dann frage ich: 'Das sieht alles ganz ordentlich aus. Sie haben sich um halb neun eingeloggt, ist das richtig?' Die meisten Leute loggen sich gegen neun Uhr ein, also ist das oft richtig. Dann kommt es. Ich sage: 'Ich sehe hier auch ein zurückgesetztes Passwort. Warst du das? Komisch, auf dem Passwort steht jetzt 'welcome01'.'
'Das muss falsch sein, oder? Ich brauche das richtige Passwort, können Sie es mir buchstabieren?' Im Durchschnitt geben mir 60 % der Leute, mit denen ich am Telefon spreche, schließlich ihr Passwort. Und das innerhalb von etwa zwei Minuten.'
Am Telefon verwendet Jellema die 7 Prinzipien der Beeinflussung , die der amerikanische Psychologe Robert Cialdini 1984 aufgestellt hat. Zum Beispiel: Reziprozität, Zeitdruck und Sympathie. Diese Prinzipien stammen aus dem Marketing und funktionieren sehr gut, wenn Sie etwas von den Leuten wollen.
Ich sage: 'Es sieht so aus, als ob gerade etwas von Ihrem Konto abgezogen wird. Ich werde das für Sie in Ordnung bringen, aber ich brauche Ihre Hilfe. Hier gilt die Regel des Zeitdrucks und der Reziprozität. Mit diesem Zeitdruck schüre ich ein wenig Panik und gleichzeitig bin ich wirklich nett und verständnisvoll; wenn ich Ihnen helfe, dann arbeiten Sie auch mit mir zusammen.'
Jellema wendet die gleichen Tricks an wie echte Betrüger. 'Wenn ich das nicht für meinen Job machen würde, hätte ich ein unglaublich schlechtes Gewissen. Deshalb führe ich mit den Leuten, die ich 'betrogen' habe, sofort ein Nachgespräch. Ich bespreche mit ihnen, was ich getan habe und warum sie darauf hereingefallen sein könnten. Vielleicht sind sie schockiert, dann beruhige ich sie. Außerdem nenne ich ihnen hinterher immer meinen richtigen Namen und mache deutlich, dass ich dies im Auftrag ihres Arbeitgebers getan habe.
Social Engineering hat viele Formen
.
Es gibt viele Formen des Social Engineering. Die bekannteste Form ist Phishing. Phishing bedeutet eigentlich: nach Informationen angeln. Sie können dies auf viele Arten tun, erklärt Jellema: Was ich am Telefon mache, nennt man Voice-Phishing oder Vishing. Aber es gibt auch das bekannte E-Mail-Phishing. Oder Smishing: Phishing per SMS. Denken Sie zum Beispiel an die gefälschten SMS-Nachrichten des Finanzamts, dass Sie noch 17,95 Euro zahlen müssen.'
In letzter Zeit haben Jellema und ihre Kollegen immer mehr 'maßgeschneidertes Phishing' beobachtet. Dabei handelt es sich um großangelegtes, automatisiertes Phishing, aber mit maßgeschneiderten E-Mails oder Textnachrichten. Die Kriminellen klauen zu diesem Zweck Informationen aus sozialen Medien. Dadurch sieht es so aus, als ob die Nachricht wirklich für Sie bestimmt ist.
"Es geht nicht nur um 'Hallo Vorname, Nachname', sondern auch um 'Sie arbeiten jetzt seit vier Jahren für dieses Unternehmen'. Unsere Teamkollegin Romy Schellekens erforscht zusammen mit der Fakultät für Mathematik und Informatik der TU Eindhoven maßgeschneidertes Phishing. Die Hypothese ist, dass viel mehr Menschen auf Links in dieser Art von E-Mails klicken.
Egal, um welche Form des Social Engineering es sich handelt, laut Jellema geht es immer darum, Vertrauen zu gewinnen oder Interesse zu wecken. Beim 'Baiting' liefert Social Engineering den 'Köder': 'Ich schicke dann zum Beispiel einen interessanten Anhang an eine E-Mail, die 'versehentlich' an das gesamte Unternehmen geht, mit dem Dateinamen 'Boni Vorstand nächstes Jahr' vielleicht. In dieser Datei ist meine Malware versteckt.'
Pretexting bedeutet: vorgeben, jemand anderes zu sein, um Vertrauen zu gewinnen. Dies geschieht oft in mehreren Schritten. Ein Social Engineer gibt vor, Ihre Tochter zu sein. Der sich von einer anderen Nummer aus anmeldet, weil ihr Telefon gestohlen worden ist.
Wenn Sie diesen 'Vorwand' oder diese Täuschung glauben, fragt der Social Engineer, ob Sie Geld auf das 'Konto eines Freundes' überweisen wollen. Denn nicht nur das Telefon, sondern auch die Brieftasche ist gestohlen worden.'
Ein Social Engineer verwendet also oft Technologie, um Menschen zu hacken. Aber Social Engineering kann auch ohne Computer oder Telefon durchgeführt werden, sagt Jellema: 'Ich gehe oft als geheimnisvoller Gast aus. Dann werde ich dafür bezahlt, einzubrechen. Vor nicht allzu langer Zeit war ich zum Beispiel in einem Museum.'
Die Aufgabe lautete: Sehen Sie, wie weit Sie in das Gebäude eindringen können. Wenn jemand eine Tür mit einem Zugangspass öffnete, stellte ich meinen Fuß zwischen die Tür. So gelangte ich in den Korridor zum Restaurierungsstudio.'
Ein solcher Auftrag ist ziemlich aufregend, sagt Jellema: 'Dieser Korridor war hermetisch abgeriegelt. Ich sah eine Kamera hängen. In der Ferne die Kabine mit Wächtern. Ich konnte mich nirgends verstecken, außer in der Toilette. Ich habe mich dann 10 Minuten lang in der Toilettenkabine versteckt. Bei diesem Besuch fingen mich die Hauptwachen ab und ließen mich nicht gehen. Das ist es, was Sie wollen: Lassen Sie mich nicht wieder gehen. Oder setzen Sie mich an die Rezeption. Wenn Sie mich in Ruhe lassen, werde ich nicht an Ort und Stelle bleiben, wie ein echter Sozialingenieur.'
Sie sind im Büro und es ist jemand da, der dort nicht hingehört. Was sollten Sie dann tun? Jellema rät: 'Lassen Sie die Leute nicht einfach mit Ihnen hereinspazieren. Das mag sich vielleicht etwas unhöflich anfühlen, aber ich selbst sage dann: 'Wir haben vereinbart, dass wir alle gemeinsam dieses Gebäude sichern. Ich kann Sie also nicht hereinlassen, wenn ich nicht weiß, was Sie hier tun.'
Wenn sich bereits jemand im Gebäude befindet und Sie sich sicher fühlen: Sprechen Sie mit dieser Person. Sagen Sie: 'Ich kenne Sie nicht. Was machen Sie hier?' Wenn sich herausstellt, dass jemand unbefugt ist, bringen Sie die Person zur Rezeption oder zu ihrem Ansprechpartner. Es ist wirklich nicht nötig, jemandem Handschellen anzulegen. Bleiben Sie freundlich.'
Vielleicht telefonieren Sie gerade mit jemandem und trauen ihm nicht. Dann rät Jellema: 'Geben Sie keine Informationen weiter. Wenn Sie es bereits getan haben: Beenden Sie das Gespräch und erstatten Sie so schnell wie möglich Bericht an jemanden, der weiter ermitteln kann.
Sie kennen wahrscheinlich den Slogan: 'Stopp, auflegen, Ihre Bank anrufen. Tun Sie das auch wirklich. Sie haben auf Ihrem Arbeitslaptop auf einen merkwürdigen Link geklickt? Stoppen Sie, klicken Sie weg und rufen Sie die IT-Abteilung an. An einem Freitagnachmittag ist jeder mit dem Kopf woanders. Das passiert mir auch. Ich falle auch auf Phishing-E-Mails herein. Aber melden Sie es!
Möchten Sie die Mitarbeiter Ihres Unternehmens gegen Social Engineering schulen? Dann ist das Security Awareness & Behavior Programme [SAFE] von Bureau Veritas Cybersecurity genau das Richtige für Sie. Nehmen Sie Kontakt mit uns auf, um weitere Informationen zu erhalten.
Mail of bel ons voor een vrijblijvend adviesgesprek over het trainen van de medewerkers van uw bedrijf tegen social engineering. We reageren binnen één werkdag.
