Social Engineering Angriffe heute: Wie Sie sich mithilfe von Emotional Insights proaktiv schützen!
von Svenja Koch
Der tägliche Kampf zwischen Cyber Security und Cyberkriminalität ist ein hochgradig technisches und zugleich äußerst menschliches Kräftemessen. Während Cyberangriffe immer neuen Trends folgen und Sicherheitsexperten darauf mit innovativen Maßnahmen antworten, bleibt eine Angriffsmethode weitestgehend unverändert. Social Engineering Angriffe, also das gezielte Manipulieren von Menschen, sind so alt wie die Cyberkriminalität. Und dabei immer noch immens wirksam, trotz all der Sicherheitsvorkehrungen gegen Cyberangriffe, die ein Großteil der Unternehmen mittlerweile in ihre Betriebsabläufe eingeführt haben. Mit dem Emotional Insights Ansatz sollen Social Engineering Angriffe zukünftig besser verhindert werden. Was Emotional Insights genau sind und wie dadurch das „Sicherheitsrisiko Mensch“ im Rahmen von Cyberangriffen minimiert werden soll, erfahren Sie in diesem Beitrag.
Eine kurze Geschichte des Social Engineerings
Kurz nach dem Zweiten Weltkrieg schuf der österreichisch-britische Philosoph Karl Popper den Begriff des Social Engineerings – damals natürlich nicht im Sinne von Cybercrime. Vielmehr war Karl Popper überzeugt, dass sich durch die gezielte Manipulation von Menschen mittels psychologischen und soziologischen Elementen eine Verbesserung der gesamten Gesellschaft erreichen ließe. Der Mensch im Sinne einer Maschine, die sich programmieren lässt: Eine zugegebenermaßen etwas gruselige, aber dennoch nicht abwegige Vorstellung. In den 1970er Jahren ergänzten die geistigen Nachfolger Karl Poppers die Theorie um psychologische Tricks – nicht mit schlechten Hintergedanken, sondern vielmehr mit der Überzeugung, die Menschen zu mehr Gesundheitsbewusstsein, einem sozialeren Miteinander und unterm Strich zu einer besseren Gesellschaft zu bewegen. Auch die Ökonomie nahm die Techniken der gezielten Manipulation dankend an. Ob Werbung oder „Nudging“ seitens des Staates: Social Engineering findet sich in vielen Bereichen unseres Lebens. Der Inhalt des Begriffes hat sich heute gewandelt. Denn wenn wir in unserer modernen, digitalen Gesellschaft von Social Engineering sprechen, ist zumeist die „dunkle Seite“ gemeint: Die Manipulation von Menschen zum Zwecke des Datendiebstahls.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Warum sind Social Engineering Angriffe so erfolgreich?
Haben Sie jemals ein Produkt gekauft, dass Sie eigentlich überhaupt nicht benötigen? Oder haben Sie einen Vertrag mit offensichtlich schlechten Konditionen unterschrieben, weil Ihr Verhandlungspartner „so nett und höflich und verständnisvoll“ war? Die psychologische Manipulation ist so erfolgreich, weil sie gezielt die Schwachstellen der Menschen erkennt und auszunutzen weiß. Eines der bekanntesten Beispiele für Social Engineering abseits des Cybercrimes ist der Enkeltrick. Hierfür verwenden die Kriminellen im Vorfeld gesammelte Informationen über ihre zumeist hoch betagten Opfer, um anschließend mit Druckaufbau und Emotionen an Bankdaten, Wertgegenstände oder Bargeld zu gelangen. Der Enkeltrick ist uralt – und funktioniert trotz Aufklärungskampagnen immer wieder. Der Grund: Menschen lassen sich durch gezielte Manipulationen zu Taten verleiten, die sie freiwillig und von sich aus niemals getan hätten. Insbesondere Emotionen wie Angst oder Trauer sorgen dafür, dass der rationale Verstand Pause machen muss. Wer kann schon der Enkelin 2000 Euro abschlagen, die diese unter Tränen für ihre Kaution benötigt, da sie gerade den Nachbarsjungen überfahren hat und nun von der Polizei verhaftet wurde?
Die psychischen Hebel hinter Social Engineering Angriffen
Ratio versus Emotio, der Verstand gegen die Emotionen: Täglich sehen wir uns Entscheidungen gegenüber, die wir entweder mit dem Kopf oder dem berühmten „Bauchgefühl“ treffen. Dass Menschen irrationale Entscheidungen treffen, wenn Sie bei den Emotionen gepackt werden, ist in der Wissenschaft altbekannt. Und auch Cyberkriminelle wissen das genau! Im Social Engineering sind Emotionen genau der Hebel, der für einen erfolgreichen Cyberangriff eingesetzt wird. Mit dem Versprechen der großen Liebe, dem Wecken von Neugier, dem Verstärken von Gier oder über die Unerfahrenheit des ausgewählten Opfers: Social Engineer Experten wissen genau, wie sich der Verstand überlisten lässt.
Wissen ist Macht – Das gilt auch für Social Engineering Angriffe!
Damit Social Engineering Angriffe funktionieren, muss der Täter eine emotionale Ebene des Opfers ins Visier nehmen. Die Grundlage hierfür ist Vertrauen. Social Engineers „erarbeiten“ sich das Vertrauen, in dem sie möglichst unauffällig möglichst viel über ihre Zielpersonen herausfinden. Hierfür werden in der Vorbereitung auf Cyberangriffe gleichermaßen Online- wie Offline-Maßnahmen eingesetzt. Social Media Profile sind ein beliebtes Feld, auf dem Cyberkriminelle verwertbare Informationen suchen, abgreifen und sammeln. Aber auch die Mülltonne vorm Haus ist ein wertvoller Informationslieferant. Aus den kleinen und kleinsten Hinterlassenschaften des Alltags lassen sich viele Informationen über eine Person zusammentragen. Babywindeln im Müll, eine leere Flasche Rotwein dazu und bei Facebook ein Posting mit „Liebe ist ein XXXloch“: Fertig ist das Profil der kürzlich verlassenen Single Mom, die auf hochwertigen Wein am Abend steht. Fertig ist gleichermaßen auch die Grundlage für einen Love-Scamming-Angriff, einem Betrug mit der vorgetäuschten, großen Liebe.
Deep Fakes – Social Engineering Angriffe in neuer Dimension
Sie und Ihre Mitarbeiter werden regelmäßig in Sachen Cyber Security geschult und somit auf der sicheren Seite, was Social Engineering Angriffe anbelangt? Auch wenn eine Schulung nach wie vor die effektivste Waffe im Kampf gegen Manipulationsversuche darstellen – der Gegner schläft nicht. Und setzt verstärkt auf Deep Fakes. Deep Fakes sind „Nachbauten“ von Stimmen oder auch Gesichtern, die mittlerweile in ungeahnter Professionalität eine Identität vortäuschen können. Eine Chef-Sekretärin, die einen Anruf von ihrem Chef erhält und um die Überweisung eines stattlichen Betrages auf ein ausländisches Konto gebeten wird, ist im Berufsalltag – nun, etwas Alltägliches. Man kann der Mitarbeiterin auch keinerlei Vorwurf machen, wenn sie diesen Auftrag ohne weiteres Nachfragen durchführt. Kennt sie doch die Stimme ihres Vorgesetzten seit vielen Jahren. Dumm nur, dass die Stimme nicht echt ist, sondern ein perfider, digitaler Nachbau – und das Geld nicht bei einem Kunden, sondern in den Händen von hochgerüsteten Cyberkriminellen landet. Deep Fakes sind im Rahmen von Cyberangriffen bis dato noch ein Randphänomen und alles andere als perfekt. Aber es ist nur eine Frage der Zeit, bis Deep Fakes für Cyberangriffe genutzt werden, die sich ohne spezialisierte Abwehrverfahren kaum noch als Betrugsversuch erkennen lassen.
Emotional Insights – Die Antwort auf Cyberangriffe?
Emotional Insights (EI) ist die technische Antwort auf Social Engineering Angriffe. Das Konzept beschreibt die Auswertung von Emotionen und das Verhalten eines Users während der Durchführung digitaler Aktivitäten, beispielsweise beim Online-Banking. Emotional insights sollen einerseits Betrugsversuche verhindern, andererseits das Benutzererlebnis positiv beeinflussen. Emotional Insights werden kontinuierlich aus dem Verhalten eines Anwenders gewonnen. Verschiedene Indikatoren werden hierfür gesammelt, analysiert und in einen größeren Kontext einsortiert. Was sich zunächst unverständlich anhört, ist eigentlich klassische Psychologie, die auf die digitale Ebene transportiert wurde. Menschen lassen sich in unterschiedliche Persönlichkeitstypen einordnen. Da gibt es risikofreudige und risikoscheue Menschen, strategische Denker, Personen mit einem starken Willen oder selbstlose Menschen. Die Persönlichkeitsstruktur wird auch im Online-Verhalten nicht abgelegt. Emotional Insights bauen genau hierdrauf auf. Durch die Analyse von Verhaltensweisen können Abweichungen vom „Normalzustand“ anhand von Indikatoren aufgezeigt werden. Sind Nutzer einmal klassifiziert, können Betrugsversuche viel schneller und vor allem zuverlässiger erkannt werden. Denn das dynamische, emotionale Verhalten einer Person lässt sich schwierig nachahmen.
Wie werden Emotional Insights generiert?
Emotional Insights werden erzielt, in dem das digitale Verhalten eines Users kontinuierlich überwacht und ausgewertet wird. Pro Sitzung werden viele tausend einzelne Interaktionen aufgezeichnet, die am Ende ein Bild über die Persönlichkeit abbilden, die gerade vorm Rechner sitzt. Zu den Interaktionen zählen die Bewegungen der Maus, die Geschwindigkeit, mit der die Maus bewegt wird oder die Vorlieben im Umgang mit Tastatur-Eingaben. Bei mobilen Geräten können die Intensität, mit der der Touchscreen betätigt wird oder die Bewegungsrichtungen des Smartphones nachverfolgt und einer Persönlichkeitsstruktur zugeordnet werden. Das Gesamtbild, dass so entsteht, ist einmalig. Versuchen Cyberangreifer nun, dieses spezifische Nutzerverhalten nachzuahmen, werden Unterschiede deutlich sichtbar.
Fazit
Social Engineering ist nach wie vor eine Herausforderung für jede IT Security Abteilung. Die Sicherheitsmaßnahmen rund um die Netzwerke eines Unternehmens können noch so ausgefeilt und wirksam sein – wenn Mitarbeiter manipuliert werden, ist die Cybersicherheit schnell dahin. Cyberangreifer kennen die Schwachstellen der menschlichen Persönlichkeit genau und wissen, wie sie durch den Aufbau von Druck und den Einsatz von starken Emotionen an ihr Ziel gelangen. Ins Visier der Cyberangriffe geraten kann dabei jeder – ob im privaten Bereich oder in seiner Rolle im Unternehmen. Die Abwehr von Social Engineering Aktivitäten ähnelt dabei einem Katz-und-Maus-Spiel. Während die IT Security mit Schulungen versucht, die benötigte Aufmerksamkeit bei den Kolleginnen und Kollegen herzustellen, setzen die Hacker bei Cyberangriffen bereits auf neue Instrumente. Deep Fakes sind derzeit noch ein Randthema, aber hier ist es nur eine Frage der Zeit, bis perfekt nachgeahmte Stimmen oder gar der „Chef“ persönlich im Teams-Meeting Zahlungen an vermeintliche Kunden freigibt – und sich das Konto der Hacker füllt. Emotional Insights gelten als probate Waffe im Kampf gegen die immer fortschrittlicheren Social Engineering Angriffe. Durch das Tracken und Analysieren von persönlichkeitsindividuellen Verhaltensmustern kann die IT-Sicherheit deutlich erhöht werden. Als kleiner Nebeneffekt wird das Nutzererlebnis der Anwender bei dem Besuch einer Webseite verbessert.
Schutz vor Social Engineering Angriffen kann ganz einfach sein. Kontaktieren Sie uns!
Zum Thema passende Artikel
Emotet gehört zur Kategorie der Makroviren. Die Schadsoftware ist seit 2014 bekannt und verbreitet sich über Anhänge in E-Mails. Anfang des Jahres 2021 berichteten wir in unserem Blog darüber, wie die Polizeibehörden die Infrastruktur hinter Emotet zerschlagen hatten. Wir wiesen seinerzeit bereits darauf hin, dass die Bedrohung durch die Emotet Malware nicht endgültig gebannt ist. Nun ist die Schadsoftware tatsächlich zurück, wie neueste Analysen zeigen.
Weiterlesen … Emotet ist zurück – welcher Handlungsbedarf jetzt nötig ist!
Als „Mann in der Mitte“, so die wortwörtliche Übersetzung, ist der Hacker in der Lage, die gesamte Kommunikation des Opfers mitzulesen, abzufangen oder auch zu verfälschen. Was einen Man-in-the-Middle Angriff so gefährlich macht und wie Sie sich und Ihr Unternehmen von den ungebetenen Gästen in Ihren Netzwerken zuverlässig schützen können, erfahren Sie hier in diesem Beitrag.
In den letzten zwei Jahren ist das Homeoffice fester Teil vieler Unternehmen geworden. Ein wesentlicher Grund dafür ist die Corona-Pandemie. Gleichzeitig hat die Arbeit aus dem Homeoffice eine Vielzahl neuer IT-Sicherheitsrisiken erzeugt. Für Bedrohungen sorgen sowohl die nun komplexeren Netzwerkstrukturen als auch der Risikofaktor Mensch. Mit den folgenden sechs Tipps steigern Unternehmen die IT-Sicherheit im Homeoffice und reduzieren so die Gefahren, die von einer solchen Netzwerkstruktur ausgehen.