Perfekte Illusionisten: Social Engineers täuschen eine falsche Identität vor, um an die Ersparnisse ihrer Opfer zu kommen. (Bild: iStockPhoto)
Haben Sie den Film „Catch me if you can” gesehen? Die mehrfach inszenierte Gaunerkomödie (Regie u.a. Steven Spielberg) basiert auf Begebenheiten im Leben von Frank William Abagnale.
Der US-Amerikaner ging als einer der jüngsten Hochstapler und Scheckbetrüger in die Geschichte ein – allein bis zu seinem 21. Lebensjahr summierte sich der von ihm in mehreren Ländern verursachte Schaden auf über zwei Millionen Dollar. Abagnale bediente sich einer Masche, die schon lange vor der Zeit von Cyberangriffen das Ziel hatte, private Daten zu erbeuten: Social Engineering.
Beim Social Engineering (engl. eigentlich „angewandte Sozialwissenschaft“) täuscht der Täter eine fremde Identität vor. Geschehen kann das praktisch überall – am Telefon, via E-Mail oder über Soziale Netzwerke wie Twitter und Facebook. Der Ablauf ist dabei immer gleich: Die Kriminellen sammeln zunächst einige Informationen über das Opfer und missbrauchen diese anschließend, um ihren Plan zu verwirklichen. Abgesehen haben sie es unter anderem auf Kreditkartendetails und geheime Passwörter.
Um sich das Vertrauen der ahnungslosen Internet-Nutzer zu erschleichen, gehen die Betrüger ganz unterschiedlich vor. „Echte Profis schrecken nicht einmal davor zurück, den Müll zu durchwühlen“, erklärt GMX Sicherheitsexperte Frank Herold. „In anderen Fällen wird wochenlang das Facebook-Profil beobachtet.“ Auf diese Weise können vielerlei Erkenntnisse gewonnen werden:
– Mit wem verkehrt das Opfer?
– Welche Hobbys hat das Opfer?
– Was isst oder trinkt das Opfer gerne?
– Welche Musikgruppe, TV-Sendung oder Zeitschrift mag das Opfer?
Die gesammelten Informationen dienen als „Eisbrecher“. Wenn die Täter wissen, dass Sie sich für ein bestimmtes Thema interessieren, kann die Attacke beispielsweise so aussehen: Auf die vermeintliche Gemeinsamkeit angesprochen, startet zunächst ein unverbindlicher Chat bei Facebook, später wird der Unbekannte Ihr „Freund“ und Sie tauschen immer häufiger Nachrichten mit ihm aus.
Nach einer Weile lockt Sie der Kriminelle unter einem Vorwand („Das musst Du Dir unbedingt ansehen…“) auf eine mit Schadcode infizierte Homepage. Beim Besuch der entsprechenden Website wird dann über eine Schwachstelle im Betriebssystem ein „Keylogger“-Programm auf Ihren PC geschmuggelt, das heimlich sämtliche Tastaturbewegungen aufzeichnet und an die Hintermänner übermittelt. Für die Betrüger ist es jetzt ein Leichtes, an die gewünschte Beute, etwa das Login für Ihren Online-Banking-Account, zu kommen.
Zum Schutz vor Social Engineering empfehlen die GMX Sicherheitsexperten folgende Tipps:
– Geben Sie niemandem via Telefon, E-Mail oder Facebook Auskunft über geheime Daten
– Sind Sie Opfer einer Attacke geworden, rufen Sie zuerst Ihre Bank, danach die Polizei an
– Seien Sie stets misstrauisch und geben Sie auch scheinbar Unwichtiges nicht leichtfertig öffentlich Preis
– Überprüfen Sie Ihre Privatssphäre-Einstellungen in Sozialen Netzwerken
– Laden Sie nur Software aus dem Internet und aus Datei-Anhängen herunter, wenn es sich um eine vertrauenswürdige Quelle oder einen bekannten Absender handelt
– Folgen Sie nie dem Link eines unbekannten Absenders
Frank William Abagnale ist heute übrigens als Berater diverser Banken, Fluglinien, Hotels und Firmen tätig. Sein Spezialgebiet sind vor allem Scheckbetrug und Dokumentenfälschung…