Vorsicht Hacker: So dringen Hochstapler ins System ein

Mitnick befürwortet die Einführung von roten und gelben „Flaggen“ um Mitarbeitern zu helfen, festzustellen, wann sie jemand hinters Licht führen möchte. „Wenn Sie mit jemandem sprechen und dieser Sie mit Schmeicheleien überhäuft, wenn er Ihnen sagt, dass Sie die Einzige seien, die schlau genug ist, seine Anweisungen zu befolgen, kann das eine rote Flagge sein“, erklärt er.

Es ist die Neigung der Menschen, Fremden automatisch zu vertrauen, statt ihnen zu misstrauen, die den Marionettenspielern des Social Engineering ihre Macht gibt. Wie oft hat man schon im eigenen Unternehmen einem Fremden die Tür aufgehalten und diesen so ins Gebäude gelassen, ohne dass dieser sich ausweisen musste? Menschen möchten beliebt sein, auch bei Fremden, und so erweisen sie ihnen Gefallen. Und natürlich ist es nur höflich, wo möglich einen Gefallen zu erwidern. Diese menschliche Neigung ist laut Mitnick ein großes Einfallstor für gewiefte Angreifer. Das Ausnutzen dieses Charakterzugs zählte zu seinen eigenen erfolgreichsten Methoden.

„Wenn Ihnen jemand einen Gefallen erweist, ist es die Regel in jeder menschlichen Gemeinschaft, entsprechend freundlich zu reagieren. Das ist in jeder Gesellschaft fest verwurzelt, besonders in den USA“, so Mitnick. „Ein Angreifer wird vorgeben, Ihnen bei der Lösung eines Problems behilflich zu sein. Oder er wird ein Problem erfinden und so tun, als ob er Ihnen helfen würde.“

Ein Angreifer ruft vielleicht den Support an und fragt die Mitarbeiter nach Störungsmeldungen, wobei er vorgibt, eine Untersuchung für die Geschäftsleitung durchzuführen. Ist er dann im Besitz der Details einer Störungsmeldung, kann er sich als Support-Mitarbeiter ausgeben und den Anwender mit den Problemen anrufen und diesem bei der Problemlösung helfen. Warum? Ganz einfach: Damit, wenn der Angreifer ein paar Stunden später wieder anruft und sagt: „Hallo, hier ist Robert vom Support, ich habe Ihnen vor kurzem mit Ihrem E-Mail-Problem geholfen. Wenn ich Ihnen ein Diagnose-Tool per E-Mail schicke, könnten Sie das für mich dann ausführen? Das würde mir wirklich sehr helfen“, der Anwender natürlich mitmachen wird. Das ist ein ziemlich einfacher Trick, könnte jedoch viele intelligente, wenn auch nichts ahnende Anwender hinters Licht führen.

Noch eine psychologische Methode, der sich Spezialisten für Social Engineering bedienen, sind „beiderseitige Zugeständnisse“. „In diesem Fall bittet der Angreifer um einen Gefallen, der zu viel Zeit in Anspruch nehmen wird oder zu vertraulich ist… Er wird eine unzumutbare Bitte vorgebracht“, erklärt Mitnick. Dann geht der Angreifer auf den „Wenn-Sie-mir-hierbei-nicht-helfen-können -könnten-Sie-dann-mit-jenem-helfen“-Ansatz über. „Dann meint das Opfer, nachgeben zu müssen“, so Mitnick.

Jemanden dazu zu verleiten, dem Angreifer Informationen preiszugeben oder für diesen Handlungen auszuführen, ist laut dem Meister im Social Engineering mit einer guten Verkaufstechnik vergleichbar. „Hier werden Verkaufs- und Marketingstrategien benutzt und auf negative Weise angewendet“, sagt er. „Man sollte einen Satz gelber oder roter Flaggen verwenden, welche Leute bezeichnen, die diese Taktiken verwenden.“

Mitarbeiter müssen geschult und überprüft werden, so Mitnick. Die Risiken können zwar nicht beseitigt werden, sie lassen sich aber auf ein Mindestmaß reduzieren. Der Beweis? Vor kurzem wurde der Meister selbst getäuscht. Ein Reporter sagte Mitnick unlängst, sein Herausgeber habe ihn bevollmächtigt, über Einzelheiten seines neuen Buchs zu sprechen. Mitnick glaubte ihm, ohne die Anfrage zu überprüfen. „Ich bin selbst auf einen Hochstapler hereingefallen“, gibt er zu.