Social Engineering

Der Hack des menschlichen Betriebssystems

Seite: 2/4

Anbieter zum Thema

Die vier Phasen des Social Engineering

Die beiden genannten Social-Engineering-Angriffsmethoden bestehen meist aus vier Phasen:

1. Nachforschung: In dieser optionalen Phase sollen so viele Informationen wie möglich über die Zielperson gesammelt werden. Der Angreifer sucht nach Informationen, von denen er sich einen erfolgreichen „Angelhaken“ verspricht, zum Beispiel die Hobbys der Zielperson, ihr Arbeitsplatz oder ihre Bank.

2. Angelhaken: Der Angelhaken versucht, ein erfolgreiches „Schauspiel“ aufzubauen, indem die Zielperson angesprochen und ein Vorwand zur Interaktion etabliert wird. Der Psychologe Robert Cialdini nennt vier Hebel zur psychischen Beeinflussung, mit denen das Unterbewusstsein der Zielperson angesprochen werden soll:

  • Gegenseitigkeit: Menschen wird ein Gefallen getan, bei dem sie sich verpflichtet fühlen, diesen Gefallen zurückzugeben.
  • Verknappung: Menschen lassen sich beeinflussen, wenn sie glauben, dass an etwas ein Mangel herrscht.
  • Verpflichtung: Sobald Menschen versprochen haben, etwas zu tun, halten sie sich an ihr Versprechen, da sie vertrauenswürdig erscheinen wollen.
  • Gefallen: Die Zielpersonen lassen sich eher von Menschen beeinflussen, die sie mögen.
  • Autorität: Nutzt die menschliche Tendenz zur Gehorsamkeit gegenüber Autoritätspersonen aus.
  • Social Proof: Die Tendenz, sich am Verhalten anderer Menschen zu orientieren.

3. Schauspiel: Führt den Hauptteil des Angriffs aus. Dabei kann es sich um die Offenlegung von Informationen, das Klicken auf einen Link oder die Überweisung von Geldern handeln.

4. Beenden: Die Interaktion nähert sich dem Endstadium. Auch wenn es bei vielen Farming-Angriffen von Vorteil sein kann, sich ohne Verdacht zu erregen zu verabschieden, ist das häufig unnötig. Das ist zum Beispiel der Fall, wenn Angreifer ihre Zielpersonen dahingehend manipulieren, dass diese Zahlungskarteninformationen weitergeben. Die Angreifer haben seltenst Interesse daran, den Verdacht ihrer Opfer zu erregen, damit diese nicht ihre Karten als verloren oder gestohlen melden und sie sperren. Wenn jedoch Angreifer an Quellcodes oder andere persönliche Informationen gelangen, kann die Zielperson selbst dann die Daten nicht zurückholen, wenn sie Verdacht schöpfen sollte.

Social-Engineering-Versuche erfolgen nicht unbedingt linear: Ein einzelner Angriff kann Teil einer erheblich größeren Kampagne sein, um an verschiedene Bruchstücke zusammenhängender Informationen zu gelangen. Beispielsweise könnten Angreifer einen Angriff durchführen, an die Information gelangen und sich dann aus dem Staub machen. Alternativ könnten sie auch bei zahlreichen Jagd-Angriffen Informationen sammeln und damit einen Farming-Angriff starten.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:43239250)