Social Engineering - Gedanken zu verhaltenspsychologischen Aspekten

Social Engineering

Gedanken zu verhaltenspsychologischen Aspekten

Valérie Kastner
von Valérie Kastner
Lesezeit: 9 Minuten

Keypoints

So funktioniert Social Engineering wirklich

  • Im Bereich Social Engineering machen sich Angreifer verhaltenspsychologische Aspekte zu Nutzen
  • Der Framing-Effekt nutzt Formulierungen, die ein Opfer zu einer Handlung verleiten soll
  • Angreifer versuchen das automatische System eines Menschen anzusprechen, welches nicht rational, sondern intuitiv handelt
  • Awareness-Trainings, die auf reiner Theorie basieren, sind oftmals nicht besonders effektiv

Persönlich finde ich es äusserst spannend, wenn Themenbereiche sich überschneiden oder man Erkenntnisse mit anderen Bereichen verknüpfen kann. Während meines Studiums, war ich mit einem Modul bezüglich dem Gesundheitsmarkt mit verhaltenspsychologischen Aspekten konfrontiert.

Im Wesentlichen ging es dabei um die Organspende sowie den verschiedenen Modellen in unterschiedlichen Ländern. Dabei kann zwischen drei Modellen unterscheiden werden. Opt-in ist eine Zustimmungslösung, wobei man explizit angeben muss, Organe zu spenden, per Ausgangswert ist man dagegen. Beim Opt-out geht man davon aus, dass man automatisch für Organspende ist. Personen, die keine Organe spenden wollen, müssen sich explizit austragen. Dann gibt es noch die neutrale Methode, wo man sich entweder für oder dagegen entscheiden muss. Interessant dabei ist die Korrelation von Anzahl Organspenden mit dem gewählten Modell. Johnson und Goldstein haben eindrücklich festgestellt, dass bei der Opt-out Variante, der Prozentsatz der Spender um 98% liegt, wobei beim Modell Opt-in sich die Zahl zwischen 5-30% bewegt und dies aufgrund von verhaltenspsychologischen Merkmalen. Dabei habe ich mir überlegt, inwieweit verhaltenspsychologische Ansätze im Social Engineering verwendet werden können. Im Folgenden stelle ich einige meiner Erkenntnisse vor.

Der Default-Effekt

Der oben genannte Sachverhalt ist ein typisches Beispiel für den Default-Effekt. Beim Default-Effekt wurde festgestellt, dass Menschen (ohne aktiv eine Entscheidung zu treffen) zum Default tendieren, auch wenn dieser willkürlich gesetzt wurde. Nebst der Organspende kann dieser Ansatz Einfluss auf äusserst triviale Alltagsentscheidungen haben. Ist als Voreinstellung bei einem Drucker schwarz/weiss definiert sowie ein doppelseitiger Druck, kann eine Unternehmung so ein nicht unwesentlicher Betrag an Ausgaben einsparen. Dieser Effekt könnte auch für die Sicherheit von Mitarbeitenden genutzt werden. Aufgrund des Default-Effekts kann davon ausgegangen werden, dass viele Benutzer die Einstellungen ihres Computers bei den vorgegebenen belassen. Gerade im Rahmen von Social Engineering kann dies eine Unterstützung bieten. Eine Unternehmung könnte beispielsweise als Voreinstellung wählen, dass nicht automatisch Bilder einer Email geladen oder dass Makros von Office-Dokumenten immer deaktiviert werden.

Der Framing-Effekt

Beim Framing-Effekt wird die gleiche Aussage auf zwei unterschiedliche Arten formuliert, wobei oftmals eine Option später vom Empfänger der Botschaft präferiert wird. So wird auch im Supermarkt oftmals auf besonders “gesunde” Produkte aufmerksam gemacht, indem sie 80% fettfrei sind anstatt 20% Fett zu enthalten.

Beim Framing-Effekt kann ausserdem zwischen Gain- und Loss-Framing unterschieden werden. Beim einen wird vor allem betont, was für einen Nutzen man gewinnen kann, wobei beim anderen ein möglicher Verlust im Fokus steht.

Beide Ansätze erhöhen die Wahrscheinlichkeit einer Aktion durch eine Person gegenüber einer neutralen Formulierung. Kahneman und Tversky haben dabei herausgefunden, dass jemand eher bereit ist, Risiken einzugehen, wenn er mit einem Verlust konfrontiert wird und eher risikoavers ist in Bezug auf eine Gewinnchance.

Der Framing-Ansatz wird bereits rege für Phishing-E-Mails benützt. Dabei wird beispielsweise ein Gewinn in einer Lotterie erwähnt, dass eine Sicherheitslücke entdeckt wurde und man schnellst möglichst via mitgesendeter URL sein Passwort ändern soll oder aber, dass man die gewonnene Traumreise unter einem angegebenen Link beziehen kann. Bei diesen Beispielen macht sich ein Angreifer noch andere Mittel zunutze, was uns zum nächsten Ansatz führt.

Automatisches System vs. Reflektierendes System

Thaler und Sunstein unterscheiden das automatische und das reflektierende System (in der psychologischen Fachliteratur teilweise auch als System 1 und System 2 umschrieben). Das automatische System basiert dabei auf Intuition und Schnelligkeit. Es sind dabei instinktive Handlungen, die wir vornehmen, beispielsweise das Zusammenzucken, wenn ein einfahrender Zug hupt oder wenn wir aus den Augenwinkeln ein heranfahrendes Auto entdecken und einen Satz zur Seite machen. Gemäss Thaler und Sunstein werden diese Aktivitäten im ältesten Teil des Gehirns verarbeitet, in Bereichen, die wir zum Beispiel sogar mit Echsen gemeinsam haben.

Das reflektierende System setzt dabei auf Reflektionen und Rationalität. Es ist langsamer und agiert bedachter. Ein Beispiel ist, wenn wir über etwas nachdenken, das uns beschäftigt und mehrere alternative Lösungswege in Betracht ziehen.

Angreifer im Social Engineering wissen oftmals über dieses Verhalten Bescheid, weshalb Sie versuchen, beim Opfer das automatische System zu einer Handlung zu bewegen. Sie versuchen dabei Furcht oder Angst zu wecken, sodass das Opfer intuitiv, also mit dem automatischen System zu handeln beginnt, ohne wirklich darüber nachzudenken und somit auch nicht rational zu handeln. Oftmals ist beispielsweise eine Phishing-Email auch dadurch gekennzeichnet, dass etwas sehr dringend und rasch erledigt werden muss. Es könnte ja sein, dass ein Angreifer das eigene Paypal-Konto kompromittiert hat und man aus diesem Grund so schnell wie möglich das eigene Passwort zurücksetzen sollte. Mit dem angenehmen Button in der Email ruft man so vermeintlicherweise gleich die “richtige” Seite auf um die Einstellungsänderung vorzunehmen.

Autorität – Das Milgram-Experiment

Eines der bekanntesten Experimente, ist dasjenige von Stanley Milgram im Jahr 1961. Im Experiment wurden Probanden dazu angewiesen einem anderen Menschen Elektroschocks zu verpassen, sollten diese eine Aufgabe nicht korrekt lösen. Die Menge an Strom wurde dabei stetig erhöht, so hoch, dass unter realen Begebenheiten dieser sogar tödlich gewesen wäre.

Eine wichtige Erkenntnis daraus war, dass Probanden zwar Zweifel äusserten und von sich aus das Experiment nicht fortgesetzt hätten, jedoch dem Forschungsleiter gehorchten, wenn dieser die Probanden anwies weiter zu machen. Dabei waren nur standardisierte Sätze im Einsatz wie beispielsweise Bitte fahren Sie fort. Dies taten diese sodann auch, obwohl die Probanden wussten, dass sie die Aufwandentschädigung nicht verlieren würden und das Experiment jederzeit selbst beenden konnten.

Hier kommt zum Vorschein, was Autoritäten für einen Einfluss auf das eigene Verhalten haben und die eigene Bereitschaft Verantwortung in dem Sinne weg zu delegieren. Ursprünglich wollte Milgram vor allem untersuchen, wie es zu einer derart enormen Gehorsamkeit gegenüber Verbrechen kam während der Zeit des Nationalsozialismus.

Auch dieser Ansatz wird oftmals in Phishing-Kampagnen verwendet, wobei eine anerkannte Autorität wie eine Bank, ein Departement des öffentlichen Dienstes oder der CEO einer grossen Firma den Empfänger anleitet, eine Handlung auszuführen. Im Jahr 2016 wurde beispielsweise eine Phishing-Email versandt, in der das Deutsche Bundeskriminalamt vom Computervirus Locky warnt. Im Anhang befinde sich ein Sicherheitsratgeber, wobei es sich tatsächlich um eine Schadsoftware handelte. Hier spielt die Autorität des Bundeskriminalamts eine Rolle, wobei eine Person diesem Amt “vertraut”, dass dieses die richtigen Entscheidungen trifft und sich auskennt. Und dieser Ratgeber sicherlich “gut” ist und nicht “falsch” sein kann.

Psychologie und Social Engineering

Wie anhand einiger dieser Beispiele gezeigt, nutzen Angreifer im Bereich Social Engineering gezielt und häufig “Schwachstellen” aus, welche sich in der Natur des Menschen und seinem Verhalten begründen. Social-Engineering-Angriffe sind nicht umsonst bekannt dafür, dass sie besonders erfolgreich sind.

Es gibt heute zahlreiche Experimente, um das Verhalten der Menschen besser zu verstehen und auf die Schwachstellen aufmerksam zu machen. Ein interessanter Beitrag, Hirne Hacken, stammt von Linus Neumann. Interessant dabei ist, wie er Awareness-Programme, welche nicht interaktiv sind, in Frage stellt, da Anwender zwar die Theorie verstehen, aber diese im Alltag und im Ernstfall nicht anwenden. Linus Neumann verdeutlicht dabei, dass erst die Selbsterfahrung einen effektiven Lerneffekt erzielt (mit abnehmender Wirkung über die Zeit). Wichtig ist dabei auch die Kultur in einer Unternehmung und dass ein Fehlverhalten gemeldet wird, um Folgeschäden zu vermindern, wie bereits im Beitrag zu Phishing erwähnt wird.

Fazit

Durch mein Studium habe ich spannende verhaltenspsychologische Aspekte kennengelernt, die sich Angreifer zu Nutze machen können. Oftmals nutzen Angreifer das Verhalten von Menschen aus, in dem sie beispielsweise aktiv unser automatisches System ansprechen und so versuchen zu verhindern, dass wir über den Sachverhalt nachdenken. In vielen Trainings und Theorien zu Awareness wird aber gerade das reflektierende System geschult, wobei das Verhalten des automatischen unverändert bleibt. Es bedarf eines grossen Zeitraums und regelmässigen Trainings, um ein Verhalten des automatischen Systems umzuschulen. Es ist jedoch nicht unmöglich. Rational wissen die meisten Menschen, wie sie handeln sollten und verstehen das Problem von Social Engineering. Die Frage ist jedoch: Handeln sie instinktiv auch entsprechend?

Über die Autorin

Valérie Kastner

Valérie Kastner studiert Betriebsökonomie mit Schwerpunkt Risk & Insurance an der Zürcher Hochschule für Angewandte Wissenschaften. Nach mehreren Jahren im Underwriting und Technical Center von Versicherungen, arbeitet sie seit 2018 im Bereich IT-Security mit Fokus auf Web Application Security Testing und Social Engineering. (ORCID 0000-0002-9214-572X)

Links

Sie wollen die Awareness Ihrer Benutzer prüfen?

Lassen Sie durch uns einen Social Engineering Test durchführen!

×
Ist die Geschäftskontinuität nicht Teil der Sicherheit?

Ist die Geschäftskontinuität nicht Teil der Sicherheit?

Andrea Covello

Gefangen im Netz

Gefangen im Netz

Michèle Trebo

Technologien zur Verbesserung der Privatsphäre

Technologien zur Verbesserung der Privatsphäre

Lucie Hoffmann

Wie ich meine InfoSec-Reise begann

Wie ich meine InfoSec-Reise begann

Yann Santschi

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv