Vorsicht Hacker: So dringen Hochstapler ins System ein

Social Engineering kann unspektakuläre Formen annehmen. Der Internetwurm „I love you“ war ein schockierendes Beispiel. Wurmschreiber und Betrüger üben sich gleichermaßen in Social Engineering, um ihre Viren und Betrügereien zu verbreiten. Ob es nun darum geht, jemanden dazu zu verleiten, seine Passwörter für das Online-Banking preiszugeben – in einer als „Phishing“ bezeichneten Attacke – oder den Empfänger einer E-Mail zu überreden, einen Virenanhang auszuführen: Social Engineering ist inzwischen auch für massenhafte Verbreitung geeignet, wenn es mit Spamming-Methoden kombiniert wird.

Daniel McNamara aus Canberra schätzt diese Art von Betrug überhaupt nicht, weswegen er beschloss, etwas dagegen zu unternehmen. Er richtete eine Website namens Code Fish Spam Watch ein, um die Plage zu bekämpfen. McNamara überwacht Phishing-Betrügereien und Trojanische Pferde in Spams, in der Hoffnung, diese zu entlarven. Dies hält ihn aber nicht ab davon, Opfer mancher Social Engineering-Attacken in nicht gerade schmeichelhaften Tönen zu beschreiben: „Social Engineering zielt auf den habgierigeren und leichtgläubigeren Teil der Gesellschaft ab. Und ich muss leider sagen, dass dieser Anteil da draußen ziemlich hoch ist.“

Es ist verblüffend, wie weit Betrüger zu gehen bereit sind. Sie nutzen die Ängste des vorgesehenen Opfers aus, indem sie eine Mitteilung in den Nachrichten mit Einzelheiten eines Terrorangriffs im Lande oder eine E-Mail von der Bank, die angeblich Geld vom Konto des Opfers eingezogen hat, vorgeben, oder sogar, dass gegen den Empfänger wegen einer Verstrickung in Kinderpornographie ermittelt werde.

Diese Beispiel sind darauf ausgelegt, das Opfer aus dem Konzept zu bringen. Anstatt zu denken: „Sollte ich die angehängte Datei ausführen?“, überlegen sie: „Ob wohl mein Kind bei dem Terroranschlag umgekommen ist?“

Es überrascht kaum, dass McNamara von der Online-Betrügergemeinde nicht besonders geliebt wird. Unlängst versandten verärgerte Phisher Spam-Nachrichten mit McNamaras E-Mail-Adresse als Antwortadresse. Da die Spams mit Kinderpornographie zu tun hatten, wurde McNamaras Posteingang mit Hassbriefen überflutet. Die Empfänger der Spams wurden mit Social Engineering dazu verleitet, McNamara direkt anzugreifen. Er hat dies gelassen als Erfahrung hingenommen und dabei ein paar interessante Beobachtungen über Autoresponder gemacht, die E-Mail-Anwendern ermöglichen, automatisch auf alle E-Mails – auch Spam – zu antworten, wenn sie nicht im Büro sind.

„Eines der Dinge, die ich im jüngsten Angriff gelernt habe… ist, dass Leute ein paar sehr persönliche Dinge in ihren automatischen Antworten mitteilen. Normalerweise richten Leute Autoresponder ein, um andere darüber zu informieren, wann sie nicht bei der Arbeit sind, dass sie krank sind und so weiter“, sagt McNamara. „Das ist alles gut und schön, doch ist den meisten nicht bewusst, dass ihnen unbekannte Leute diese Nachrichten am Ende lesen könnten und nicht alle der von ihnen mitgeteilten Informationen preisgegeben werden sollten.“

„Während des Angriffs auf meine Site erhielten wir ungefähr 2500 bis 3000 automatische Antworten. Die meisten davon waren recht profan, andere dagegen gaben ausführlich an, wann der Absender nicht im Büro sein würde, welche Krankheit er hat – ein Beispiel war ein gebrochener Oberarmknochen –, und viele Unternehmen in den USA schienen mit Wonne Autoresponder für ehemalige Mitarbeiter einzurichten. Eines gab sogar an, dass der Betreffende wegen Fehlverhaltens gefeuert worden sei“, fügt er hinzu. „Diese Informationen sind für jemanden, der ein Unternehmen im Visier hat, sehr nützlich.“