Phishing und Social engineering

Beim Phishing (Leetspeak für Fishing) versucht der Betrüger oder die Betrügerin, nach Daten von anderen Menschen zu „angeln“. Dabei werden verschiedene Tricks verwendet, die eine Zielperson oder eine Gruppe von Zielpersonen dazu bringen, vertrauliche Daten (z.B. Benutzername und Passwort) „freiwillig“ bekanntzugeben – ohne sich dabei bewusst zu sein, wem sie diese Daten geben.

Die Hacker:in nutzt dabei nicht Schwachstellen in IT-Systemen, um an Informationen zu gelangen oder schädliche Programme zu installieren. Stattdessen nutzt sie „Schwachstellen“ in der menschlichen Psyche. Ein solches Vorgehen ist eine Form von Social engineering. Social engineering ist die psychologische Manipulation von Menschen, sodass diese Handlungen ausführen, die zur Preisgabe vertraulicher Daten führen.

Weshalb startet jemand eine Phishing-Attacke, weshalb will jemand bestimmte Daten von anderen sammeln? In den meisten Fällen geht es natürlich darum, Geld zu verdienen. Seltener geht es darum, der Zielperson oder -organisation zu schaden. Wie aber sollte jemand Geld damit verdienen, wenn er oder sie beispielsweise mein Passwort für mein Galaxus-Konto angelt? Was kann jemand anderes damit tun, als Produkte an meine Adresse bestellen?

Es gibt mehrere Arten, wie solche Daten von Betrüger:innen genutzt werden können. Je nach Ziel und Motivation bieten sich andere Arten von social engineering an.

Folgend werden einige „beliebte“ Strategien bzw. Tricks des Social engineering erläutert. Man spricht auch von Social-engineering-Vektoren. Ein Vektor ist ja sowas wie ein Pfeil mit einer bestimmten Richtung. Bildlich gesprochen kann eine Betrüger:in also unterschiedliche Vektoren wählen, um die Zielpersonen aus unterschiedlichen Richtungen bzw. auf unterschiedlichen Wegen anzugreifen. Welcher Weg auch gewählt wird: immer kommen psychologische Tricks zur Anwendung, die helfen, die Opfer zu täuschen.

• Erstelle eine Mindmap auf Papier oder auf deinem Computer mit einem geeigneten Programm. Das Hauptthema des Mindmaps ist „Social Engineering“. Von Hier aus gehen Äste zu den Unterthemen, die im folgenden Text erläutert werden.
• Erstelle für jedes Unterthema einen Ast, der vom Hauptthema weggeht. Bei jedem Ast notierst du Folgendes:
  • Ein bis zwei Wichtige Informationen aus dem gelesenen Text; stichwortartig oder ausformuliert.
  • Antworten zu den jeweils gestellten Aufgaben.

Beim Phishing via E-Mail wird der „Köder“ via E-Mail versendet. Meistens wird die E-Mail an sehr viele Empfänger:innen verschickt, in der Hoffnung, dass ein kleiner Teil „anbeisst“. Es ist quasi ein Fischen mit grossem (aber durchlässigem) Netz. Ziel ist dann, vertrauliche Daten wie Passwörter oder Informationen zum Bankkonto von möglichst vielen Personen zu sammeln. Die gesammelten Daten können dann beispielsweise an Andere verkauft oder für spätere, gezieltere Attacken (siehe unten) genutzt werden.

Die E-Mail enthält oft einen Link: Dieser führt zum Beispiel auf eine Login-Seite, die vertraut aussieht, aber gefälscht ist: Ich erhalte die Mail, klicke auf den Link, gelange auf eine mir bekannt erscheinende Seite und gebe meine Login-Daten ein. Nur war das eben eine gefälschte Seite – jetzt sind mein Benutzername und Passwort in den Händen der Betrüger:innen.

Damit möglichst viele Leute den Anweisungen in der E-Mail folgen, werden verschiedene Methoden verwendet. Zum Beispiel enthält die Mail eine dringende Aufforderung, einen Hinweis auf eine mögliche Gefahr – oder ein Versprechen auf eine einmalige Gelegenheit. Oder es sieht so aus, als stamme die E-Mail von einem Freund, einer Freundin oder einem Familienmitglied. Der Trick besteht immer darin, eine Situation zu schaffen, in der die Empfänger:innen handeln, ohne lange zu überlegen.

Weshalb funktioniert das dennoch bloss bei einem kleinen Teil der Empfänger:innen? Der Hauptgrund hierfür liegt darin, dass E-Mail-Anbieter Spam-Filter haben und die meisten Phishing-Mails gar nicht erst gelesen werden. Ausserdem sind viele dieser Phishing-Mails nicht besonders sorgfältig und überzeugend gestaltet. Das hat damit zu tun, dass es relativ einfach ist, eine Phishing-Attacke zu starten, wie etwa dieses Video zeigt. Viele von uns erhalten täglich mehrere E-Mails; wenn sich darunter eines befindet, das irgendwie „fishy“ aussieht, haben wir wenig Mühe damit, es einfach zu ignorieren. Dennoch ist grundsätzlich Vorsicht und Skepsis angebracht: Manche Phishing-Mails sind so gut gemacht, dass wir leicht auf sie hereinfallen.

Überlegt zu zweit: Was macht uns (oder andere) neugierig, wovon lassen wir uns (oder sie sich) leicht locken? Formuliert drei E-Mail-Betreff-Zeilen, von denen ihr glaubt, dass sie grosses Interesse bei den Empfänger:innen wecken.

Eine Spear-phishing-Attacke richtet sich gezielt auf eine einzelne Person (wie auch beim Fischen mit Wurfspiess (spear) nach genau einem Fisch gezielt wird). Handelt es sich dabei um eine besonders „wichtige“ Person, etwa um die oder den CEO einer Firma, spricht man auch von Whaling (Walfang): man hat es auf ein besonders grosses Tier abgesehen. Weshalb?

Meistens deshalb, weil die Zielperson besondere Befugnisse, Zugänge zu wichtigen Informationen oder viel Einfluss hat. Einzelne Mitarbeitende in der Buchhaltungsabteilung einer Firma haben beispielsweise die Befugnis, grosse Geldsummen auf andere Konten zu überweisen. Mit den richtigen Zugangsdaten einer solchen Person kann die Angreifer:in die besonderen Befugnisse oder den Einfluss der Person für eigene Zwecke nutzen.

Wer eine Attacke auf bloss eine Person startet, erhofft sich natürlich eine grössere Erfolgsquote als mit der Massen-E-Mail-Methode. Um die Chancen zu erhöhen, dass die Zielperson „anbeisst“, wird die E-Mail genau auf sie zugeschnitten. Das geht umso besser, je mehr die Angreifer:in über die Zielperson weiss. Nach nützliche Informationen kann zum Beispiel auf Social-Media-Plattformen wie LinkedIn, Instagram oder Facebook recherchiert werden.

Gewinnt eine Hacker:in ausreichend Einblick in die Organisation einer Firma sowie Informationen über die Namen und E-Mail-Adressen der Angestellten, so könnte sie oder er versuchen, E-Mails an bestimmte Mitarbeitende zu versenden, deren Absender scheinbar die oder der CEO dieser Firma ist (oder eine Person in ähnlich hoher Position). Dann erhält zum Beispiel ein:e Mitarbeitende:r in der Buchhaltungsabteilung plötzlich eine Mail vom CEO, in der steht, dass SOFORT, noch innerhalb der nächsten Minuten, die schon lange versäumte Zahlung über 50'000 Franken an X mit Kontonummer Y gezahlt werden soll. Weil hier sowohl hohe Autorität als auch hohe Dringlichkeit vorgetäuscht wird, kann es passieren, dass Mitarbeitende den Anweisungen in der Mail folgen, obwohl es Regeln gäbe, die so unvorsichtiges Handeln verhindern sollten.

Versetze dich in die Position einer ziemlich gewissenlosen und verzweifelten Schüler:in an der KSR, die oder der:

1. Kurz vor Semesterende unbedingt zwei Noten im Zeugnis geändert haben muss.
2. Ein ärztliches Zeugnis braucht, um zwei Wochen lang in die Ferien zu gehen.
   

Überlegt zu zweit: Welche Personen würdet ihr als Zielperson einer ausgeklügelten Phishing-Attacke wählen, um die genannten Ziele zu erreichen. Erläutert kurz, wie ihr vorgehen würdet, um das Ziel zu erreichen.

Vishing steht für Voice phishing und bezeichnet das Vorgehen, Phishing-Attacken via Telefon-Kommunikation durchzuführen. Die Vorteile (aus Sicht der Betrüger:innen) gegenüber dem Phishing via Mail liegen unter anderem im höheren Vertrauen gegenüber dieser Art von Kommunikation sowie in der Unmittelbarkeit eines direkten Gesprächs.

Das Vertrauen gegenüber der Telefon-Kommunikation ist vor allem bei älteren Menschen höher: Lange war es in der Telefon-Kommunikation so, dass jeder Anschluss einer bestimmten Person, einem Haushalt, einem Geschäft oder einer Firma zugeordnet war, die für diesen Anschluss auch bezahlen musste. Es lohnte sich kaum, grössere Betrugs-Aktionen via Telefon zu starten, denn es war schwierig, anonym zu bleiben und jedes Telefongespräch musste bezahlt werden. Das Telefongespräch galt deshalb lange als eine verbindliche und vertrauenswürdige Form der Kommunikation: Wir vertrauen gewöhnlich darauf, dass die anrufende Person auch die ist, für die sie sich ausgibt. Dieses Vertrauen wird heute ausgenutzt. Heute ist es dank Voice over IP (VoIP) möglich kostenlos zahlreiche Menschen anzurufen. Und dank Caller ID spoofing ist es möglich, dabei anonym zu bleiben.

Der „Vorteil“ der Unmittelbarkeit des Telefongesprächs liegt auf der Hand: Bei einer E-Mail muss ich nicht sofort antworten und habe Zeit, über das Geschriebene nachzudenken oder mit jemandem darüber zu sprechen. Beim Telefongespräch wird erwartet, dass ich sofort antworte, sofort ja oder nein sage, sofort irgendwelche Daten von mir preisgebe. Vishing-Betrüger:innen nutzen diese Situation. Indem sie beispielsweise mit schlimmen Konsequenzen¹⁾ drohen oder mit hohem Gewinn locken, bringen sie ihre Opfer am anderen Ende umso leichter zur Preisgabe vertraulicher Daten.

Wie beim Phishing via E-Mail gibt es auch beim Vishing unterschiedliche Ansätze. Einerseits automatisierte Massen-Anrufe (Netzfischen) mit kleiner Erfolgsquote. Oft werden hier Text-to-speech-Systeme verwendet: Am anderen Ende spricht ein Computer und fordert dazu auf, eine bestimmte Nummer anzurufen. Wer diese Nummer wählt, ruft dann die Betrüger:innen an. Ein Beispiel hierfür ist der IRS impersonation scam. Andererseits gibt es gezielte Einzel-Anrufe (Wurfspiess-Fischen), denen teilweise ausgiebige Recherchen über das Opfer vorausgehen. Die Recherchen ermöglichen den Betrüger:innen, sich als Personen oder Vertreter:innen von Organisationen auszugeben, die dem Opfer bekannt und vertraut sind.

Smishing ist das Phishing via SMS. Wie beim E-Mail-Phishing enthalten die Nachrichten meistens eine Aufforderung, einem Link zu folgen oder auch eine bestimmte Nummer anzurufen. „Vorteile“ gegenüber dem E-Mail-Phishing bestehen unter anderem darin, dass den Nachrichten kaum Spam-Filter im Wege stehen. Auf dem Smartphone, auf dem die SMS gelesen wird, ist es ausserdem nicht so bequem möglich, die tatsächliche Adresse hinter einem Link anzuzeigen. Bekannte Beispiele für Smishing sind SMS, die angeblich von Lieferdiensten wie UPS oder DHL stammen. Beispielsweise wird mitgeteilt, dass ein Paket nicht geliefert werden könne und man – „unter diesem Link“ fehlende Angaben ergänzen soll.

Höre dir das Anruf-Beispiel zum IRS impersonation scam an. Überlegt zu zweit:

• Würdet ihr auf einen Anruf dieser Art hereinfallen? Wieso (nicht)?
• Was würdet ihr ändern, um die Chance, dass jemand darauf hereinfällt, zu erhöhen?
• Könnt ihr euch vorstellen, warum bzw. unter welchen Umständen Leute auf solche Anrufe hereinfallen?

Das klassische Baiting („Ködern“) mit physikalischen Datenträgern wie CD-ROMs oder USB-Sticks war verbreiteter, als diese noch öfter in Gebrauch waren, aber kommen auch 2022 noch vor. Die Idee: Die Betrüger:innen, die sich beispielsweise Zugang zum IT-System einer bestimmten Firma verschaffen wollen, verteilen beispielsweise schöne neue USB-Sticks in der Nähe des Firmengeländes. Oder sie lassen an geeignetem Ort eine CD liegen, die zum Beispiel mit „Lohntabelle 2022“ beschriftet ist. Einige Mitarbeitende, erfreut über das neue Gerät oder überaus neugierig auf die vermuteten Informationen, verbinden den USB-Stick mit ihrem PC am Arbeitsplatz oder legen dort die CD-ROM ein. Wenn Sie Dateien, die die Hacker:innen darauf platziert haben, öffnen, installieren sie Programme auf einem PC, der in das interne Netzwerk der Firma eingebunden ist. So können sich die Hacker:innen Zugang zu firmeninternen Informationen verschaffen und die IT-Sicherheit von innen angreifen.

Eine weitere Möglichkeit des Phishing wäre beispielsweise das Verteilen von Plakaten, Flugblättern oder Aufklebern, die einen QR-Code enthalten und Neugierde wecken. Vielleicht gibt es tolle Preise zu gewinnen. Die Links hinter den QR-Codes führen dann beispielsweise auf die Seite des Wettbewerbs, für den man sich erst anmelden und einige persönliche Informationen bekannt geben muss.

Heute werden weniger oft physikalische Datenträger benutzt. Wie können Menschen heute gelockt oder neugierig gemacht werden, damit sie ein bestimmtes Programm freiwillig auf ihrem Computer installieren? Überlegt und tauscht euch aus. Seid ihr solchen Ködern schon begegnet?

Entwickelt in 3er- oder 4er-Gruppen einen Plan für eure eigene Social-Engineering-Strategie. Am Ende eurer Arbeit soll eine Videobotschaft vorliegen, in der ihr eure Strategie den anderen Social-Hacker:innen eurer Klasse mitteilt. Geht dabei wie folgt vor:

1. Motivation und Ziele: Überlegt und diskutiert gemeinsam, was ihr erreichen wollt. Eure Ziele können eigennützig oder gemeinnützig sein. Geld stehlen? Und an jene verteilen, die es brauchen? Gratis Produkte von Online-Händlern erhalten? Einer bestimmten Firma oder Organisation schaden, die euch unlieb ist? Anderen Kriminellen das Handwerk legen? An geheime Daten einer Organisation kommen und diese löschen – oder veröffentlichen? Etc. etc. etc.
2. Zielpersonen, -Gruppen oder -Organisationen: Aufgrund eures Ziels bestimmt ihr, auf wen oder was ihr eure Aufmerksamkeit richtet.
3. Konzept: Besprecht und skizziert eure Strategie auf einer Notiz (Papier oder elektronisch). Dieses besprecht ihr mit der Lehrperson.
   • Das Konzept beschreibt die unterschiedlichen Phasen euerer Strategie: Vorbereitung, Recherche, Daten sammeln/phishen, gesammelte Daten für eine bestimmte Aktion nutzen etc.
   • Nutzt einen oder mehrere der oben beschriebenen Social-Engineering-Vektoren. Ihr könnt auch andere, hier nicht beschriebene Vektoren wählen.
   • Wenn ihr Ideen braucht: Sucht im Internet nach Social-Engineering-Tricks.
4. Master-Plan: Jetzt könnt ihr euer Konzept zu einem Plan ausarbeiten, der auch die nötigen Details enthält. Solche Details sind zum Beispiel:
   • Texte einer Phishing-Email in vollständigem Wortlaut,
   • Skripte (Ansagen und mögliche Antworten) für Vishing-Gespräche,
   • Bilder von Phishing-Webseiten etc.
5. Zusammenstellung: Zeichnet euren Plan mit den einzelnen Phasen übersichtlich auf einem A3-Plakat auf. Bilder oder Texte könnt ihr auch auf separaten Blättern bereithalten.
6. Videobotschaft filmen: Nun filmt ihr das Plakat und erklärt euren Plan. Dabei könnt ihr auch Bilder oder Texte dazulegen und wieder wegnehmen. Die Botschaft muss so gemacht sein, dass die Zuschauenden klar und deutlich verstehen, wie genau eure Strategie funktionieren soll.
7. Videobotschaft fertigstellen: Schneidet evtl. überflüssige Stellen aus dem Video. Vollendet das Video ggf. mit Titel, Intro oder Musik (freiwillig).

Die Videobotschaften werden durch eine Jury (Lehrperson) und durch das Publikum (Klasse) ausgezeichnet!