Social Hacking

Wie Sie sich vor betrügerischer Manipulation schützen

Jeder kennt sie: Authentisch wirkende Nachrichten, die aber gar nicht vom genannten Absender sind. Das Phänomen, das dahinter steckt, nennt sich Social Hacking. Betrüger geben sich dabei als Freunde, Verwandte, Arbeitskollegen oder als Chef aus. Wie Sie den Betrug erkennen und sich davor schützen, erfahren Sie hier.
Beim Social Hacking (frei übersetzt „soziales Knacken“) handelt es sich ganz allgemein um Angriffe, bei denen nicht bestehende Sicherheitslücken in Computersystemen überlistet werden, sondern „menschliche Schwachstellen“ bewusst ausgenutzt werden. Dabei können Angreifer die Grenzen zur physischen Welt auch durchbrechen. Beim Social Hacking wird oft gezielt und bewusst psychologische Manipulation eingesetzt. Was es damit aber genau auf sich hat, mit welchen Methoden Angreifer in Ihre Systeme kommen können und wie Sie sich davor schützen, erfahren Sie hier.

Was ist Social Hacking?

Mit dem Social Hacking (auch Social-Hacking) versuchen Kriminelle, sich durch zwischenmenschliche Beeinflussung oder Einflussnahme Zugänge zu IT-Systemen zu erschleichen und diese dann zu infiltrieren. Sogenannte Social Hacker bedienen sich dabei ganz verschiedener Angriffstechniken und Methoden.
Gemeinsam ist allen Social-Hacking-Angriffen, dass die jeweils Angegriffenen den Angreifern vertrauen und mit diesem interagieren – sie alle fußen auf psychologischer Manipulationen. Dadurch werden mentale oder physische Zugänge oder andere sensible Daten preisgegeben, die für die entsprechende Instanzen eigentlich geheim bleiben sollten.
Dann, wenn die Angreifer digitalen oder analogen Zugang zu den gewünschten IT-Systemen bekommen bzw. diese durch hinterhältige Maschen infiltriert haben, war ein Social-Hacking-Angriff aus Sicht der Kriminellen erfolgreich. Mögliche Angriffsziele können dabei Server, Computer und Notebooks, Festplatten, Smartphones und Tablets sein, aber auch Internet-of-Things-Geräte.
Ahnungslos Angegriffene können den Betrügern aufgrund falscher Annahmen Zugangscodes wie Passwörter freiwillig übergeben oder ihnen unwissentlich die Möglichkeit geben, sich diese selbstständig zu beschaffen. Auch können von Kriminellen Hinweise zur Einwahl in Systeme abgefragt und von Angegriffenen unbewusst mitgeteilt werden. Der Angreifer kann ein Gerät wie ein Notebook oder eine externe Festplatte auch unbemerkt entwenden oder sich in dieses aus der Ferne einwählen.


Jeder kann Opfer von Social Hacking werden. Sogenannte Social Hacker geben sich als Personen aus, die sie nicht sind. Bild: Pexels/fauxels

Social Hacking vs. Social Engineering

Zum Teil wird der Begriff Social Engineering synonym zu Social Hacking verwendet. Vor allem in den letzten Jahren werden sie aber immer häufiger unterschieden. Dabei wird Social Hacking als Unterart des Social Engineering betrachtet, das von Cyberkriminellen mit dem konkreten Ziel vollzogen wird, sich Zugang zu digitalen Systemen des Angegriffenen zu verschaffen. Beim Social Engineering hingegen können im Sinne eines raffinierten Trickbetruges auch folgende Ziele im Vordergrund stehen:
  • Das Opfer so zu manipulieren, dass es freiwillig und ohne bzw. mit lediglich geglaubter Gegenleistung direkt Güter wie Geldressourcen zukommen lässt. Zu dieser Form des Social Engineering gehört beispielsweise der sogenannte Enkeltrick.
  • Das Opfer so zu manipulieren, dass es sich mit falschen Annahmen auf eine Beziehung einlässt, aus der dann persönliche oder wirtschaftliche Informationen gewonnen werden. Hierbei kann es sich im Privaten um eine vermeintlich romantische Beziehung und im Beruflichen um eine Geschäftsbeziehung handeln.
  • Kriminelle verschaffen sich unberechtigten Zugang zu privaten oder geschäftlichen Gebäuden bzw. Räumen, um dort direkten oder indirekten physischen Schaden anzurichten bzw. Wertgut zu entwenden. Dabei sind die Angreifer meist als vermeintliche Zulieferer, Paketzusteller, Geschäftspartner, Produktvertreter oder als neue Mitarbeiter bzw. Nachbarn getarnt.
Das Phänomen Social Engineering (auch Human Hacking) umfasst oft persönliche oder wirtschaftliche Spionage, bei der sich Personen durch falsche Angaben in bestimmte physische oder mentale Räume einschleichen, physische Wertsachen zu entwenden bzw. sensible Informationen zu sammeln.
Teil dieser Informationen können auch Zugangsdaten zu digitalen Systemen sein oder die Wertsachen sensible Datenträger umfassen. In diesen Fällen liegt nicht nur ein Social-Engineering-Angriff vor, sondern auch ein in diesem inbegriffener Social-Hacking-Angriff.

Menschlicher Faktor und die „Schwachstelle Mensch“

Was den ganzheitlichen Schutz vor Social Engineering unmöglich macht, ist der Fakt, dass wir als Menschen nur perspektivisch wahrnehmen können und damit immer auch Informationen im Verborgenen bleiben. Alle privaten oder beruflichen Interaktionen werden aus subjektiven Gedanken und Gefühlen sowie aus objektiven Annahmen und daraus resultierenden Entscheidungen getätigt. Dieses Phänomen wird auch menschlicher Faktor genannt.
Der menschliche Faktor wird dann zur „Schwachstelle“, wenn er von bestimmten Personen und Personengruppen erfasst und gezielt ausgenutzt wird. Dies passiert beim Social Engineering, also auch immer beim Social Hacking. Dabei kann auch Vertrauen sowie offengelegte Angst, Hoffnung, Hilfsbereitschaft, Neugierde und autoritärer Gehorsam gezielt ausgenutzt werden, um Menschen zum gewünschten Handeln zu bewegen. Vor allem dann, wenn etwas nicht nach Plan läuft oder etwas Unerwartetes passiert, also in Krisen- und Stresssituationen, tendieren Menschen dazu, irrational zu handeln und sich durch psychologische Tricks manipulieren zu lassen.


Es gibt viele Social-Hacking-Methoden. Sie haben gemeinsam, dass sie die Gefühle ihrer Opfer ausnutzen. Bild: Pexels/Maksim Goncharenok

Social-Hacking-Strategien

Social Hacking kann dabei komplett oder teilweise digital vollzogen werden, aber auch teilweise oder komplett in der physischen Welt stattfinden. Je nachdem, ob Täter nur digital agieren oder auch in der physischen Welt, unterschieden sich die Strategien der Kriminellen, mit denen sie versuchen, in Ihre Systeme zu gelangen.
Beim Social Hacking steht stets ein Szenario im Vordergrund, das die Angreifer inszenieren. Dabei handelt es sich um eine mehr oder weniger glaubwürdige Geschichte, die von den Angreifern komplett oder teilweise erfunden wird. Das sogenannte Pretexting beschreibt das vor dem Angriff vermeintlich Passierte, also quasi die ausgedachte Vorgeschichte.
Solche Geschichten können in sehr unterschiedlicher Detailliertheit dargestellt werden. Zum Teil legen sich Kriminelle, um die Geschichten glaubwürdig erscheinen zu lassen, sogar fingierte Profile in sozialen Medien oder fingierte Websites an, beschaffen sich falsche Adressen oder andere gefälschte Dokumente. Meistens aber wird die Vorgeschichte nur grob skizziert oder in wenigen einfachen Sätzen heruntergebrochen. Die Social-Hacking-Szenarien sind meistens auf die grundlegenden Strategien der Social Hacker ausgelegt, also an ein Agieren im digitalen oder physischen Raum angepasst.

Unterscheidungen von Social-Hacking-Strategien

Social Hacking kann im Detail sehr unterschiedlich ablaufen und auf völlig verschiedenen Ansätzen beruhen. Man kann zwei verschiedenen quantitativen Ausprägungen des Social Hacking voneinander unterscheiden:
  • Massen-Betrügereien (mass frauds), die auf gewisse Allgemeingültigkeit setzen. Hierbei werden konkrete Szenarien entwickelt, die gleichzeitig oder repetitiv mit neuen Zielen umgesetzt werden.
  • Gezielte Betrügereien (targeted frauds), die auf ihr spezifisches Ziel genau abgestimmt sind. Personen oder Personengruppen sowie Institutionen oder Unternehmen werden hierbei vor dem bewussten Erstkontakt bereits beschattet und ausspioniert, damit ein Angriff möglichst geplant vollzogen werden kann. Persönliche oder geschäftliche Informationen werden dabei von vornherein ins Szenario eingebracht.
Während Massen-Betrügereien stets auf höhere Quantität setzen, sind gezielte Betrügereien meistens durchdachter und damit oft erschreckend geplant umgesetzt. Während Massen-Betrügereien älter und dadurch oft auch bekannter sind, werden gezielte und individueller angepasste Betrügereien heute immer beliebter.


Die meisten Social-Hacking-Attacken finden heute digital statt. Besonders beliebt sind Phishing- und Spear-Phishing. Sie sollten Ihre Geräte entsprechend schützen. Bild: Pexels/Karolina Grabowska

Analoge Social-Hacking-Strategien

Das Tailgating ist notwendig, wenn die von den Kriminellen gefahrene Angriffsstrategie vorsieht, dass der Hack nicht (ausschließlich) im digitalen Raum stattfinden soll. Beim Tailgating versucht der Angreifer, in einen für Außenstehende geschlossenen Bereich zu gelangen. Um das zu schaffen, nehmen Angreifer meistens eine entsprechende Rolle ein. Tailgating kann aber auch stattfinden, ohne dass der Angegriffene es weiß, also durch Einbruch. Dabei können beispielsweise physische Sicherheitslücken bei Zugangsbeschränkungen ausgenutzt werden. Sind Angreifer in entsprechenden physischen Räumen, können sie dort entweder Objekte wie Datenspeicher unbemerkt entwenden oder sich in diese einhacken und entsprechende Schadsoftware implementieren.
Eine weitere beliebte Social-Hacking-Methode ist das sogenannte Media Dropping, bei dem Mediendateien wie USB-Sticks in der physischen Welt platziert werden. Auf diesen befindet sich dabei ein Tool, dass den Angreifern Fernzugriff ermöglicht oder andere Schadsoftware. Damit Angreifer Media Dropping betreiben können, müssen sie sich mit Tailgating erst einmal Zugang zum entsprechenden Gebäude verschaffen.

Digitale Social-Hacking-Strategien

Das Phishing findet im Gegensatz zum physisch vollzogenen Tailgating komplett im Digitalen statt. Dabei handelt es sich um eine Grundstrategie, mit der das erdachte Szenario direkt geäußert und das Opfer geködert wird. Phishing erfolgt am häufigsten über E-Mail, kann aber auch über Chat, Brief, Fax oder Telefon vollzogen werden. Lesen Sie in unserem Ratgeber Was ist Phishing, wie Sie sich davor schützen können.
Wenn man von Phishing spricht, ist meistens eine Massen-Betrügerei gemeint. Im Gegensatz dazu etabliert sich als Unterart aber immer mehr das sogenannte Spear-Phishing. Während beim Phishing dabei ein allgemeingültiges Szenario im Vordergrund steht, werden beim Spear-Phishing individuelle, spezifische und teilweise personelle Informationen in die Strategie eingewoben, die das Szenario glaubwürdiger erscheinen lassen. So kann von Kriminellen auf existierende Personen aus persönlichem Umfeld sowie auf existente Ereignisse Bezug genommen werden.
Verbunden mit dem Phishing ist auch das sogenannte Baiting, das einen klar benannten Köder einsetzt, den es hinter einem Link oder beim Besuch einer Website verspricht. Bei Baiting kann es sich gleichzeitig auch um Phishing handeln. Mit dem Baiting verwandt sind Quid-pro-Quo-Angriffe, die auf Vertrauen setzen.


Oft handelt es sich bei Social Hackern um flüchtige Bekannte oder Mitarbeiter. Bild: Pexels/ELEVATE

Social-Hacking-Rollen

Angreifer nehmen während des kompletten Angriffs mehr oder weniger durchdachte Rollen ein und legitimieren damit ihren Grund, in die privaten oder geschäftlichen Räume der Angegriffenen zu kommen oder auf die digitalen Systeme zugreifen zu müssen. Sie passen ins Szenario und legitimieren meistens auch die Kontaktaufnahme mit dem Opfer.
Vor allem am Ende der 1990er und in den 2000er Jahren gaben sich Kriminelle gern als vermeintliche Prinzen aus fernen Ländern oder als testamentarisch betreute Anwälte von in der Ferne verstorbenen Verwandten aus. Heute sind die Betrugsmaschen leider etwas schwieriger zu durchblicken. Kriminelle geben sich beispielsweise als Polizisten aus und verschicken vermeintliche Vorladungen oder fingierte Schreiben zu angeblichen Unfällen. Auch sind Mitarbeiter des Finanzamts und der Staatsanwaltschaft bei Social Hackern beliebte Rollen. Gern geben Sie sich aber auch als Supportmitarbeiter (so beispielsweise von Microsoft, Apple oder Vodafone) aus, die sich aufgrund eines vermeintlich wichtigen Anliegens meldet. Auch können Angreifer vorgaukeln, Nachbarn, Verwandte, Freunde oder Verkäufer zu sein, die etwas auf einer eigener Website oder in den sozialen Medien wie Facebook anbieten. Beliebte Rollen, die Angreifer vornehmen, um in geschlossene Räume zu gelangen, sind seit jeher Techniker, Handwerker, Stromzählerableser oder Postboten.

Sonderformen: CEO-Betrug und Honeypots

Einer großen Beliebtheit erfreut sich auch seit jeher eine Sonderform des Social Hacking, bei dem Kriminelle vorgeben, dass sie der Chef des Angegriffenen seien. Diese als CEO-Betrug oder CEO-Fraud bezeichnete Angriffsform funktioniert besonders dann gut, wenn Mitarbeiter sofort und ohne großes Nachdenken das umsetzen, was ihr Vorgesetzter fordert. Dass es sich nicht um den tatsächlichen Chef handelt, dem sie am Telefon oder via E-Mail die Zugangsdaten übermittelt haben, fällt dann manchmal erst im Nachhinein auf. Der CEO-Betrug gilt heute als beliebteste Social-Hacking-Methode.
Mittlerweile setzen Angreifer auch oftmals sogenannte Honeypots ein. Das sind ausgedachte Personen oder Institutionen, die im körperlichen und/oder wirtschaftlichen Sinn als äußerst attraktiv empfunden werden. Während Honeypots, die sich an Privatpersonen richten, meist vorgaukeln, persönliche sowie meistens romantische oder sexuelle Beziehungen zu begehren, stellen wirtschaftliche Honeypots vermeintlich interessante Geschäftsbeziehungen dar. Honeypots können dabei auch als langfristige Quellen agieren, die wichtige Informationen beschaffen, durch die sich kriminelle Organisationen in die gewünschten Systeme einklinken können.


Die beliebteste Social-Hacking-Methode ist der CEO-Betrug. Dabei gibt sich der Angreifer, meistens digital, als der Chef aus. Bild: Andrea Piacquadio

Schutz vor Social Hacking

Human Hacking (Social Engineering) klingt erst einmal nach etwas sehr Fernem, das nur die wenigsten Personen betrifft. Wenn man aber bedenkt, dass sämtlicher Lieferbetrug, alle Enkeltricks, Fake-Anrufe mit betrügerischer Absicht und jede Form von Phishing zu dieser Angriffsform gehören, scheint es nicht mehr so abwegig, anzunehmen, dass wirklich jeder Opfer eines solchen Angriffs werden kann.
Social Hacking ist eine Unterform des Human Hacking, bei dem für die Angreifer das Ziel im Vordergrund steht, in die digitalen Systeme der Angegriffenen zu gelangen. Dabei spielt keine Rolle, ob sich Firmen oder Privatpersonen im Fadenkreuz befinden. Genau das macht Social Hacking auch so gefährlich: Jeder stellt ein potentielles Ziel dar.

Einige Hinweise und Tipps

Da Social Hacking völlig unterschiedlich aussehen kann, gibt es leider keinen einheitlichen Schutz gegen die Angriffsform. Wir können Ihnen aber eine Reihe an Hinweisen und Tipps mit an die Hand geben, mit denen Sie mögliche Betrugsversuche hoffentlich sofort durchblicken und sich vor diesen schützen:
  • Versuchen Sie, einen klaren Kopf zu bewahren! Das gilt besonders in Euphorie- oder Krisensituationen. Social Hacker setzen psychologische Tricks ein, um bei ihren potenziellen Opfern emotionale Reaktionen hervorzurufen und dann in einem Moment der gedanklichen Abwesenheit sensible Informationen zu entlocken oder sich ungefragt Zugang zu verschlossenen Räumen zu verschaffen. Gerade dann, wenn Sie sich von einem vermeintlichen Hauptgewinn oder einer Hiobsbotschaft geradezu erschlagen fühlen, sollten Sie sich selbst die Zeit geben, sich erst einmal zu sammeln, bevor Sie irgendwelche Angaben machen oder sich mit bestimmten Handlungen einverstanden erklären.
  • Geheimnisse sind wichtig und richtig, egal, ob im Privaten oder Beruflichen. Generell gilt, dass Sie sensible Daten wie Ihre Passwörter und geheimen Zugangsdaten nicht und niemals herausgeben sollten. Normalerweise sollte keine seriöse Instanz Ihre Passwörter oder vergleichbar sensible Daten anfordern.
  • Erkennen Sie Betrugsmaschen, indem Sie angegebene Informationen erst einmal kontrollieren. Behörden melden sich normalerweise nur schriftlich und nicht per Telefon. Fragen Sie, sollten Sie angerufen werden oder wenn jemand vor der Tür steht, lieber einmal mehr nach dem Namen und der genauen Zugehörigkeit und fragen Sie bei den offiziellen Stellen lieber noch einmal nach. Erhalten Sie überraschend per Telefon eine Nachricht, die nahezu unglaublich klingt, bitten Sie um späteren Rückruf und geben Sie keinesfalls sensible Daten Preis – auch wenn dies gefordert wird.
  • Firmen sollten im Rahmen einer Firmenpolitik Richtlinien erstellen, von welchen Personen und Instanzen welche Informationen an wen weitergegeben dürfen. Durch solche Zugriffsrechte kann sichergestellt werden, dass nur die Personen an Daten kommen, die auch wirklich für sie bestimmt sind.
  • Für das Social Hacking nutzen Angreifer oft Informationen aus sozialen Netzwerken. Viele Personen teilen auf Facebook & Co. mehr aus ihrem Leben, als ihnen eigentlich bewusst ist. Sie geben an, welche Produkte sie nutzen, wo sie sich aufhalten und welche Veranstaltungen sie besuchen wollen. Für Kriminelle ist es ein leichtes, aus den Informationen ein Szenario zu entwickeln, mit denen Sie ihre Opfer manipulieren.
  • Sichern Sie Ihre Geräte umfassend ab. Sowohl Firmennetzwerke inklusive aller eingebundenen Geräte als auch private Computer, Notebooks und Smartphones sollten Sie stets mit einer vollumfänglichen Sicherheitsmaßnahme wie einem Antivirenschutz absichern. Wenn Sie hierbei Hilfe benötigen, wenden Sie sich gern an den PC-SPEZIALIST in Ihrer Nähe.
Sollten Sie Opfer eines Social-Hacking-Angriffs geworden sein, ist PC-SPEZIALIST ebenfalls der richtige Ansprechpartner. Er entfernt sowohl die Viren aus Firmennetzwerken bzw. von Firmenrechnern als auch auf Geräten von Privatpersonen.
_______________________________________________
Weiterführende Links: IT-SERVICE.NETWORK, IT-SERVICE.NETWORK, Wikipedia, BRANDMAUER IT Security Blog, SoSafe, ComputerWeekly, Bitkom Akademie, McAfee

Ihr Technik-Experte vor Ort

PC-SPEZIALIST – der persönliche Ansprechpartner für Ihre Technik

Wir sorgen dafür, dass alles läuft und sind für Sie da: zentral, nah und persönlich.

Entdecken Sie jetzt unser umfassendes Serviceangebot für Computer, Laptop, Smartphone, Tablet und Co.

Zu unseren Festpreis-Services