Welche Manipulationstechniken wenden Cyberkriminelle an?

Im ersten Teil des Blogbeitrags «Social Engineering – Wie gehen Cyberkriminelle vor?» haben wir deren Vorgehen und die daraus resultierenden Konsequenzen für Betroffene aufgezeigt. Zudem haben wir die von Angreifern angewendeten Manipulationstechniken aufgeführt, welche die Erfolgschance eines Angriffs erhöhen. In diesem Beitrag erörtern wir die angewendeten Manipulationstechniken, da dies helfen kann, Social Engineering Angriffe rechtzeitig zu erkennen. Generell ist nämlich festzustellen, dass sich die Angriffe stetig professionalisieren.

Es ist nicht davon auszugehen, dass sich Cyberkriminelle bei jedem Angriff eine spezielle Technik aussuchen, bevor sie ihre Opfer z.B. per E-Mail, über Social Media Kanäle oder auch per Telefon kontaktieren. Denn grundsätzlich ist es ausreichend, wenn ein Angreifer ein einziges Opfer findet, welches auf den Angriff reinfällt. Bereits eine einzige offengelegte Identität (Benutzername & Kennwort) kann im schlimmsten Fall einen Zugang auf die Cloud (z.B. auf die Office365 / OneDrive-Ablage) gewähren. Oder ein einziger falscher Klick kann einen Unternehmenscomputer mit Schadcode infizieren, damit für den Cyberkriminellen ein Zugang ins Unternehmensnetzwerk möglich ist.

blog-social engineering teil 2 720x550

Welche Manipulationstechniken werden angewendet?

Die in diesem Kapitel beschriebenen Manipulationstechniken werden bei einem Angriff oft in Kombination eingesetzt, um den Erfolg des Angriffs zu erhöhen. Sie kommen unabhängig vom eingesetzten Kommunikationsweg, wie bspw. Telefon oder E-Mail zum Einsatz und verfolgen die folgenden Absichten:

1. Schockieren und steuern

Diese eingesetzte Technik setzt beispielsweise mittels Erpressung, o.ä. darauf, dass über eine Irritation, respektive ein bewusst herbeigeführtes Schockieren, das logische Denken beim Opfer für einen kurzen Zeitraum in den Hintergrund rückt, um schliesslich ein unerlaubtes Handeln herbeizuführen. Es wird auf die Tatsache, die ebenfalls bei der Hypnose zum Zuge kommt, zurückgegriffen, dass kognitive oder logische Leistungen beim Menschen nur vermindert funktionieren, wenn er traumatisiert ist oder sich im Schockzustand befindet. In diesem Zustand bekommt das visuelle Vorstellungsvermögen die Oberhand und der Empfänger einer Nachricht lässt sich leichter beeinflussen.

Folgendes Beispiel erläutert eine Social Engineering Attacke, welche auf dieser Technik basiert:

Dem Opfer wird eine Erpressernachricht, z.B. über WhatsApp oder über soziale Netzwerke zugestellt und es wird darüber informiert, dass der PC mit einem Trojaner infiltriert wurde. Aus diesem Grund seien die Kriminellen in den Besitz des Passworts gelangt. Das Passwort, welches in Tat und Wahrheit aus dem Darknet von gehackten/geleakten Informationen stammt, wird als Mittel zum Schockieren eingesetzt. Sie werden dann zu einer Bezahlung gedrängt, damit angeblich gestohlene persönliche Daten nicht veröffentlicht werden.

2. Das Geben und Nehmen Prinzip

Wer gibt, dem wird gegeben. Was beispielsweise mit Degustationsmöglichkeiten an einer Warenmesse gut funktioniert, das eignet sich auch in der virtuellen Welt.

Das Geben und Nehmen Prinzip wird insbesondere bei Angriffsmails mit angehängter Schadsoftware verwendet. Die Opfer, welche die E-Mail erhalten, werden beispielsweise über eine verzögerte Paketlieferung informiert. Dabei geben sich die Cyberkriminellen als Paketlieferdienst aus. So gab es bereits täuschend echt aussehende Mails der Schweizerischen Post, welche von Cyberkriminellen vorgetäuscht wurden, nur um die Opfer dazu zu bringen, einem Link zu folgen oder einen Anhang zu öffnen.

3. Das Prinzip der sozialen Bewährtheit

«Andere, in unserer Branche tätigen Unternehmen, machen das auch so.» Solche Aussagen, welche von Firmen getätigt werden, machen die meisten im Unterbewusstsein auch für sich selbst.

Deshalb ist es nicht verwunderlich, dass genau dieses Prinzip dazu dient, Opfer in die Falle zu locken. Beispielsweise schalten Cyberkriminelle im Internet betrügerische Online-Shops auf, um Opfer dazu zu bewegen, per Vorauskasse Produkte zu erwerben. Die erworbenen Produkte sind dann entweder Fälschungen oder werden gar nie verschickt.

Damit die betrügerischen Onlineshops ein hohes Vertrauen geniessen, erzeugen die Cyberkriminellen mit gestohlenen oder erworbenen Google-Identitäten gute Bewertungen. Auf Basis der Google Suche ist dann nicht zu erkennen, dass es sich um einen Betrug handelt.

4. Ausnutzen der Sympathie oder Autorität

Auch das Ausnutzen von Sympathie oder Autorität wird häufig genutzt, um Opfer zu Handlungen zu bewegen. Um dies zu bewerkstelligen, werden beispielsweise die Absenderadressen von E-Mails gefälscht. So gab es in der Vergangenheit schon Phishing-Angriffe, wo Cyberkriminelle mit dem Absender der SBB, der Swisscom oder der Steuerverwaltung Nachrichten verschickt haben. Kombiniert werden diese Angriffs-E-mails häufig mit der Technik «Schockieren und Steuern». Dabei wird z.B. bewusst ein hoher Rechnungsbetrag in der E-Mail erwähnt. Damit kann das Opfer in einen kurzen Schockzustand versetzt werden und klickt intuitiv auf den Link oder das angefügte Dokument im Anhang, um mehr zu erfahren. In Wahrheit lädt sich das Opfer damit aber Schadcode auf den Rechner.

5. Knappheit & FOMO

Das Prinzip der Knappheit ist ebenfalls ein probates Mittel, um Menschen zu unüberlegten Handlungen zu bewegen. Häufig hört man in diesem Zusammenhang auch den Begriff «FOMO», was ausgeschrieben Fear Of Missing Out heisst. Zu Deutsch bedeutet dies, die Angst etwas zu verpassen.

Von Cyberkriminellen wird diese Technik insbesondere bei speziellen Ereignissen, wie beispielsweise dem Black Friday verwendet. Wenn zu diesem Zeitpunkt betrügerische E-Mails mit sehr attraktiven Schnäppchen verschickt werden, so ist die Wahrscheinlichkeit deutlich höher, dass Opfer unüberlegte Handlungen tätigen. Solche Handlungen können beispielsweise der Download von Schadsoftware oder die Preisgabe von Passwörtern sein.

6. Ausnutzen von konsistenten Verhaltensweisen

Cyberkriminelle nutzen diese Technik häufig bei einem mehrstufigen Angriff. So gab es in der Vergangenheit bereits Phishing Angriffe, bei denen in einem ersten Schritt lediglich eine E-Mail verschickt wurde, mit der sich der Empfänger an einem Wettbewerb registrieren konnte.

Mit der Registration findet bereits eine erste Interaktion mit dem Opfer statt. Es wurde Vertrauen geschaffen, damit sich die Wahrscheinlichkeit erhöht, mit einer zweiten Angriffswelle wesentlich mehr Opfer in die Falle tappen zu lassen. Eine zweite E-Mail mit dem Betreff: «Herzliche Gratulation, Sie haben gewonnen!» ist dann nur eine logische Konsequenz, wenn man an einem Wettbewerb teilnimmt.

Das konsistente Verhalten kann also dazu führen, dass man mit einer ersten E-Mail nur geködert wird, um bei einer zweiten effektiven Angriffs-E-Mail dann unüberlegte Handlugen vorzunehmen.

Regelmässige Schulungen und Angriffs-Simulationen bei Mitarbeitenden helfen

Social Engineering Angriffe sind nicht beschränkt auf einen bestimmten Kommunikationskanal. Obwohl die Angreifer häufig gestohlene E-Mail-Adressen verwenden, um mit den Opfern in Kontakt zu treten, gibt es mittlerweile auch eine Zunahme bei Angriffen, bei denen die Kommunikation über SMS, WhatsApp oder über soziale Medien stattfindet. Eines bleibt aber unabhängig des Kommunikationskanals gleich: Die Techniken, um Opfer zu manipulieren und gefügig zu machen.

Daher ist es wichtig, dass Mitarbeitende eines Unternehmens in regelmässigen Abständen mit Schulungen und Angriffs-Simulationen für stattfindende Angriffe sensibilisiert werden. Nur so können Mitarbeitenden dazu gebracht werden, auch bei einem realen Angriff richtig zu reagieren oder auch bei einer bemerkten, falschen Reaktion zügig eine interne Ansprechstelle, wie bspw. den IT-Servicedesk zu kontaktieren, damit notwendige Gegenmassnahmen eingeleitet werden können.

Portrait Philipp Zihler

Autor dieses Beitrags: Philipp Zihler

- Security Consultant und Partner bei B-SECURE GmbH - Seit 1997 in der IT tätig - Seit 2007, nach dem Abschluss des Informatik Studiums an der Hochschule Luzern im Bereich der Informationssicherheit tätig. Ausbildungen: - Dipl. Inf. Ing. FH Informatik, HSLU - CAS Information Security, HSLU