Hacken ohne Hacken zu können – Social Engineering

Mit diesem „Werkzeug“ kann man die mächtigsten Systeme aushebeln, ohne viel Ahnung von IT zu haben. Es ist bei Hackern sehr beliebt und wird meist in Zusammenspiel mit dem Hacken durch IT-Kenntnisse kombiniert. Diese Kombination ist eine enorm starke Waffe um in Systeme zu gelangen, in die man eigentlich nicht kommen sollte. Die Rede ist von Social Engineering.

Im Großen und Ganzen ist Social Engineering die Kunst einen anderen Menschen zu Handlungen zu bringen, die zu deinen Gunsten sind. Das kann zum Beispiel die Preisgabe eines Passwortes oder privater Informationen sein. Beim Social Engineering werden nicht die Schwachstellen eines Computersystems überlistet, sondern die Schwachstellen eines Menschen.

Wer diese Kunst beherrscht kann zum Beispiel in einen Sicherheitsbereich gelangen, indem er vortäuscht jemand anderes zu sein. Oder er fragt eine Mitarbeiterin eines Unternehmens unauffällig am Telefon aus, um an ihr Passwort zu gelangen und so einfacher Zugriff auf das Netzwerk des Unternehmens zu bekommen.

 

Zwei bekannte Social Engineering Methoden

Der USB-Drop

Der USB-Drop ist eine sehr einfache, aber effektive Methode des Social Engineerings. Das IT-Sicherheitsunternehmen Kaspersky Lab deckte auf, dass eine unbekannte Hackergruppe seit 2001 bis zu 500 Unternehmen mit dieser Methode angegriffen hat. Dabei hat man Mitarbeitern eines Unternehmens infizierte USB-Sticks zukommen lassen. Aus Neugierde steckten die Mitarbeiter den USB-Stick an ihren Computer, und schwupps war der Computer infiziert. So gelang es den Hackern in die internen Netzwerke der Firmen zu gelangen.

Das Phishing

Phising bedeutet auf Deutsch übersetzt „Fischen“ – und genau das macht ein Social Hacker, wenn er die Phising Methode anwendet. Zunächst präpariert er den Köder. Das kann zum Beispiel eine gefälschte Onlinebanking Website sein. Dieser Nachbau soll natürlich möglichst echt aussehen und optisch nicht sehr von der originalen Onlinebanking Seite abweichen. Anschließend wirft der Hacker den Köder aus, indem er den Link zu seiner täuschend echten Seite z.B per Email versendet. Wenn das Opfer anschließend „anbeißt“, sprich: auf den Link klickt (und im besten Fall nicht merkt, dass er gerade auf eine Täuschung herreinfällt), und anschließend seine Zugangsdaten zum Onlinebanking eingibt, gibt er diese Daten damit direkt in die Hände des Hackers. So kann der Hacker die Daten zum Missbrauch nutzen. Das Opfer merkt oft erst später, dass er gerade auf einen Hacker hereingefallen ist.

 

Zusammenfassend ist Social Engineering ein enorm großer Werkzeugkasten, mit dem man Menschen zu Handlungen beeinflussen kann. Man kann damit ohne IT-Kenntnisse in Systeme eindringen, und das allein durch Menschenkenntnis.

 

 

 

                                                                                                                                   Photo by: Pixabay

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.