Die Funktionsweise des Social Engineerings
Beim Social Engineering werden psychische Mechanismen wie die Hörigkeit gegenüber Autoritäten und das Vertrauen gegenüber Bekanntem und seriös Wirkendem gezielt ausgenutzt. Gut lässt sich dies am Beispiel von Telefonanrufen veranschaulichen. Hier ruft der Social Engineer zum Beispiel bei Mitarbeitern des Unternehmens an und gibt sich als Techniker aus, der für seine Arbeit vertrauliche Zugangsdaten benötigt.
Damit er hierbei glaubwürdig wirkt, hat er sich bereits im Vorfeld viele kleine Informationen zusammengesammelt, mit denen er beim Angerufenen Vertrauen erwecken kann. Das können Informationen über Verfahrensweisen, Organisationsstrukturen, aber auch über informelle Gespräche und die soziale Dynamik innerhalb des Unternehmens sein. Zusätzlich setzt der Anrufer Fachjargon ein, um das Opfer zu verwirren und baut gleichzeitig über Smalltalk Vertrauen auf.
Weitere Formen von Social Engineering – Fishing und Dumpster Diving
Zu den bekanntesten Formen des Social Engineering gehört das Phishing. Dabei werden Emails versandt, die durch ihre auf den ersten Blick seriöse Aufmachung den Eindruck von Authentizität erwecken. Dabei kann es sich z.B. um die vermeintliche Aufforderung von Internetdienstanbietern handeln, sich künftig unter einem neuen Account einzuloggen. Wenn der Adressat der Nachricht Glauben schenkt und seine Daten preisgibt, bekommt der Social Engineer Zugriff auf seinen Login-Bereich.
Eine weitere Form ist das Dumpster Diving. Dabei durchsucht man gezielt den Müll des Opfers, um Informationen über das soziale Umfeld zu finden, die man zu betrügerischen Zwecken ausnutzt.
