Ich habe vor einiger Zeit über die Zunahme der Fälle von „Vishing„: Der Diebstahl von Zugangsdaten durch einen betrügerischen Telefonanruf, bei dem ein Betrüger (oder ein speziell für den illegalen Zweck eingerichteter Anrufbeantworter) vorgibt, der Administrator eines Informationssystems, beispielsweise einer Online-Bank, zu sein.
Die Nachricht an sich sorgt für Aufsehen, weil die Girokonten der Opfer, oft im Ruhestand und mit geringem Einkommen, von Betrügern geleert wurden, die im Besitz von Benutzercodes und Passwörtern waren, die sie bei Telefongesprächen gestohlen hatten; Aber es fällt noch mehr ins Auge, weil im selben Artikel hervorgehoben wurde, dass die Abf – dieSchiedsrichter für Finanzbanken an die man sich zur Lösung von Streitigkeiten zwischen Kunden und Kreditinstituten wenden kann, hätte mit den Banken übereingestimmt, die den Kunden eine zu große Leichtgläubigkeit vorwerfen würden.
Zweifellos die Angriffe von Social Engineering - vom US-Experten Christopher Hadnagy definiert als „jede Handlung, die darauf abzielt, eine Person zu beeinflussen und sie zu einer Handlung zu veranlassen, die nicht unbedingt in ihrem besten Interesse ist“ - stellen eine aktuelle und gefährliche Bedrohung dar. Begünstigt wird sie insbesondere durch drei Aspekte: die Verbreitung von Informationstechnologien und Online-Diensten; der Stand des allgemeinen technologischen Analphabetismus und die Leichtigkeit, mit der personenbezogene Daten online weitergegeben werden; und schließlich durch die allgemeine Nicht-Inklusivität von Software-Benutzeroberflächen, die für ältere Menschen, Kinder und Behinderte ernsthafte technologische Hindernisse darstellen.
Allerdings muss man auch sagen, dass es sich hierbei nicht um neue Bedrohungen handelt: Betrügereien in Altenheimen durch selbsternannte ENEL-Beamte beispielsweise sind das Ergebnis derselben Manipulationstechniken. Und Hadnagy selbst weist in seinem Buch „Social Engineering: the science of human hacking“ darauf hin, dass es sich um Techniken handelt, die so alt wie die Welt sind, und nennt als erste historische Quelle eines Social-Engineering-Angriffs die Passage aus Genesis 27, in der Jacob Indem er sich verkleidet und sich als sein Bruder Esau ausgibt, täuscht er seinen blinden und alten Vater Isaak, indem er ihm seinen Segen entzieht.
Aber schauen wir uns zwei Aspekte an, die von besonderem Interesse sind: Was ist neu und was ist alt bei den heutigen Social-Engineering-Angriffen?
Die Neuheitsaspekte ergeben sich aus dem Stand der Technik: Computer, Smartphones und Tablets haben ein Paralleluniversum geschaffen und soziale Aktivitäten sind in die virtuelle Welt verlagert. Neue Angriffsvektoren sind entstanden und Angriffsverfahren haben sich weiterentwickelt. Hier ist dann noch das, zusätzlich zu dem bereits Erwähnten Vishing, war „Phishing“ geboren – also der Angriff mit einer betrügerischen E-Mail, der darauf abzielte, die Identität des Opfers zu stehlen oder seinen Client mit Computerviren zu infizieren – und „Smishing“, das Äquivalent zum ersten, allerdings per SMS umgesetzt das Mobiltelefon des Opfers.
Die ausgenutzte Sicherheitslücke ist alt: der natürliche Prozess der Entspannung, der geringeren Selbstpräsenz, der die meisten Wachstunden unseres Gehirns charakterisiert und aus Gründen der Ökonomie kognitiver Prozesse physiologisch umgesetzt wird. Wenn wir uns in einer normalen Situation befinden, die wir nicht als gefährlich erachten, geht der Geist automatisch in den „Öko-Modus“ und reagiert auf Reize entsprechend einer vorgefertigten Reaktion, das Ergebnis der in analogen Fällen gemachten Erfahrungen: Im Wesentlichen ist Energie mental gespeichert für den Fall, dass Sie sich andererseits in einer ungewöhnlichen Situation befinden, die als gefährlich empfunden wird und in der Sie maximale Aufmerksamkeit und Energie benötigen – „adaptiver Modus“ –, um auf die Bedrohung entsprechend einem nicht- Dieses Mal handelt es sich um ein vorgefertigtes Verhalten, das jedoch an den spezifischen Kontext angepasst ist.
Das ist die ganze Kunst des Betrügers, des Social Engineers: die Fähigkeit, dem Opfer einen Informationskontext zu präsentieren, der nicht als ungewöhnlich, gefährlich oder abnormal wahrgenommen wird; im Gegenteil, es erinnert ihn an Ähnlichkeiten mit weit verbreiteten Erfahrungen oder mit in der Vergangenheit erworbenen Vorstellungen; und bei dem die Verhaltensreaktion „automatisch“ und unbewusst erfolgen kann.
Zu diesem Aspekt haben Sozialpsychologen seitenlange Überlegungen verfasst und Tausende von Untersuchungen durchgeführt. Insbesondere die amerikanische Psychologin Ellen Langer stellte die Ergebnisse eines berühmten Labors – in der Bibliographie als Fotokopierer-Experiment bekannt (Langer 1978) – vor, in dem sie von „der Sinnlosigkeit reflexiver Handlungen“ sprach. Und er zeigte, dass der menschliche Geist in sozialen Interaktionen, sowohl verbal als auch schriftlich, normalerweise mit einer reflexiven Handlung handelt, die völlig unabhängig von der wesentlichen Bedeutung der Anfrage ist; und nur an die formale, strukturelle Entsprechung des kommunikativen Paradigmas gebunden.
Genauer gesagt hat der Wissenschaftler gezeigt, dass wir, wenn wir ruhig und in unsere Gedanken versunken sind, auf eine an uns gerichtete Aufforderung reagieren, indem wir einfach die formale, stilistische Struktur des Satzes analysieren: ob uns dies „konventionell“ erscheint und nicht Wenn uns das alarmiert, geraten wir in einen Zustand der Duldung, der der Überredung und leider auch der Manipulation Tür und Tor öffnet.
Nun wäre es zu einfach und selbstverständlich, sich auf den Ausruf zu beschränken: „Man muss aufpassen“ oder „Man darf nicht leichtgläubig sein“. Wer das sagt, berücksichtigt nicht die oben genannten mentalen Mechanismen. Stattdessen muss eine klare Sozial- und Sicherheitspolitik eingeführt werden, die auf mindestens drei Grundpfeilern basiert.
Erstens: Beschleunigen Sie die Beseitigung der „digitalen Kluft“, die weite Teile der Bevölkerung kennzeichnet, und zwar insbesondere durch gezielte und wiederholte Informationskampagnen, die automatisch zu Verhaltenssicherheit und nicht zuletzt zur Aufklärung über Online-Vertraulichkeit führen.
Investieren Sie außerdem in Technologien und Softwareanwendungen, die die Aufmerksamkeit des Benutzers auf sich ziehen, wenn Elemente der Unzuverlässigkeit des Gesprächspartners oder eine Kompromittierung der Geräte auftreten.
Ermutigen Sie schließlich die Industrie und den IT-Dienstleistungsmarkt, integrativere Benutzeroberflächen zu entwickeln, die selbst den schwächsten Benutzern in sozialen Beziehungen einen sicheren Zugriff auf Technologie ermöglichen.
Um mehr zu erfahren:
https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/
https://www.difesaonline.it/evidenza/cyber/diversity-inclusion-la-cyber-tutela-delle-fasce-deboli
Schnelle und langsame Gedanken – Daniel Kahneman | Oscar Mondadori
Foto: Web
