Social-Engineering wird immer beliebter und auch Angriffe, die nach dem Prinzip Quid pro Quo ablaufen, kommen immer häufiger vor. Dabei setzen Angreifer auf vermeintliche Angebote eines Austauschs. Dieser kommt jedoch nicht wie zugesagt zustande oder ist zumindest nicht ehrlich und fair.
Was Quid pro Quo genau bedeutet und was Quid-pro-Quo-Angriffe sind, erfahren Sie hier!
Unser Beitrag über Quid pro Quo im Überblick:
Was bedeutet Quid pro Quo?
Quid pro Quo ist ein lateinischer Grundsatz, der ins Deutsche übersetzt in etwa so viel wie „dies für das“ bedeutet. Der Grundsatz ähnelt dem deutschen Sprichwort „Eine Hand wäscht die andere“, sowie dem ebenfalls aus dem Lateinischen stammenden Do ut Des, was so viel wie „Ich gebe, damit du gibst“ bedeutet. Nach beiden Grundsätzen erhalten Personen, die etwas geben bzw. einen Gefallen tun, normalerweise eine angemessene Gegenleistung bzw. einen Gegengefallen.
Nachdem jemand einem also konkret einen Gefallen erweist, ist man nach diesem Gedanken der entsprechenden Person oder Personengruppe einen Gegengefallen schuldig. Die Wirtschaftssoziologie und Spieltheorie versucht, mit dem Grundsatz Quid pro Quo kooperatives Verhalten bei Egozentrikern zu erklären, die für eine angemessene Gegenleistung ihre Ressourcen wie Arbeitskraft, Zeit oder Geld eigennützig investieren. Bedeutet: Egozentriker bekommen eine Gegenleistung, die mehr wert ist als ihre Eigenleistung. Nicht zuletzt deswegen wird dem kannibalistischen Serienmörders Hannibal Lecter der sprachliche Ausdruck auch im Film „Das Schweigen der Lämmer “ (1991) in den Mund gelegt.
Bei einem Quid-pro-Quo-Angriff setzen Angreifer auf das Vertrauen, dass beide Parteien an guten Deals interessiert sind und nicht zuletzt deswegen mit der jeweils anderen Seite fair und ehrlich agieren. Bild: Pexels/Sora Shimazaki
Was ist ein Quid-pro-Quo-Angriff?
Als Quid-pro-Quo-Angriff bezeichnet man eine Social-Engineering- bzw. Social-Hacking-Methode, mit der Kriminelle auf das Prinzip Quid pro Quo setzen und versuchen, den (vermeintlichen) Tausch von Informationen oder Leistungen zu erzielen. Es handelt sich bei Quid pro Quo also um eine Art Lockvogelmethode: Kriminelle locken ihre Opfer mit einem vermeintlichen Deal an, der jedoch nicht darauf ausgelegt ist, ehrlich und fair zu sein.
Die dem Opfer gegebenen Informationen sind in der Regel erfunden oder gestohlen und die beworbenen Leistungen kommen meistens nicht zustande. Angreifer imitieren bei Quid-pro-Quo-Angriffen häufig Service-Personal und bieten als Gegenleistung zur Auskunft von personenbezogenen oder andere sensible Informationen technische Unterstützung an.
Diese Form von Telefon- und Internetbetrug ist seit geraumer Zeit weitverbreitet. Angreifer geben dabei vor, als Mitarbeiter einer Kundenhotline anzurufen, beispielswiese im Namen von Vodafone, Dell, Apple, Microsoft oder Google.
Andere Quid-pro-Quo-Angriffe kommen als bezahlte Marktforschungsexperimente daher. Angebliche Marktforscher fragen dabei persönliche Daten ab. Diese geben die nicht Böses ahnenden Opfer oft bereitwillig heraus. Auch für Online-Spiele oder Web-Dienste zahlen Nutzer oft mit ihren Zugangsdaten als Gegenleistung.
Exkurs: Quid pro Quo vs. Baiting
Anders als beim Quid pro Quo setzt das sogenannte Baiting auf Köder, bei denen Opfer nicht mit Deals, sondern mit scheinbar einseitigen Angeboten wie Geschenken oder verlockenden Angeboten gelockt werden. Sowohl bei Quid pro Quo als auch bei Baiting handelt es sich um Social-Engineering-Methoden, mit denen Angreifer versuchen, ihre Opfer zu ködern.
Dabei sind die beim Baiting einsetzten Köder jedoch greifbarer: Die Angreifer versprechen das große Geld, Geschenke oder Produktangebote, die zu schön sind, um wahr zu sein. Währenddessen locken die Angreifer ihre Opfer bei Quid-pro-Quo-Angriffen mit vermeintlich formellen Marktforschungsangeboten, Wartungsarbeiten oder Services, von denen dem Anschein nach beide Seiten profitieren.
Oft rufen Angreifer dabei in vermeintlichem Auftrag Privatnummern oder möglichst viele Durchwahlnummern von Unternehmen an, um dann jedem Mitarbeiter angebliche IT-Unterstützung anzubieten. Ein Quid-pro-Quo-Angriff erfordert für die Angreifer deutlich mehr Eigeninitiative als ein Baiting-Angriff.
Das Prinzip Quid pro Quo setzt nicht wie Baiting auf Gier oder Neugierde, sondern eher auf Vertrauen auf Fairness. Bild: Pexels/Sora Shimazaki
Quid pro Quo als Teil einer Angriffsreihe
Angriffe, die nach dem Prinzip Quid pro Quo erfolgen, finden meistens im Rahmen von größer angelegten Social-Engineering-Angriffskampagnen statt. Normalerweise dient Quid pro Quo, ähnlich wie Baiting, Dumpster Diving oder Tailgating, dabei erst einmal als Art Einfallstor nur der Informationsbeschaffung und ist deswegen eine der ersten Komponenten einer Angriffsreihe. Auf Quid-pro-Quo-Angriffe folgen dabei häufig folgende weiterführende Angriffe:
Mit entsprechenden Angriffskampagnen können Kriminelle erhebliche Schäden anrichten und nicht zuletzt sogar ganze Firmennetzwerke kapern und lahmlegen. Oft hat es zwar nicht den Anschein, dass Informationen, die im Rahmen eines Austauschs, weitergegeben werden, für Angreifer große Relevanz haben könnten. Dennoch können sie Daten nutzen, um personifizierte Nachrichten aufzusetzen, individuelle Telefongespräche vorzubereiten oder entsprechende Anrgriffe vor Ort durchzuführen.
Schutz vor Quid-pro-Quo-Angriffen
Cyberangriffe, die nach dem Prinzip Quid pro Quo ablaufen, ähneln sehr stark anderen Social-Engineering-Methoden, mit denen Kriminelle das Ziel verfolgen, an personenbezogene oder andere sensible Informationen zu gelangen. Vielen Szenarien, bei denen Kriminelle auf Quid pro Quo setzen, sind darauf ausgelegt, glaubwürdig zu erscheinen und einen seriösen Informationsaustausch zu simulieren. Nicht zuletzt deswegen sind Quid-pro-Quo-Angriffe auch so erfolgreich.
Sie schützen sich und Ihr Unternehmen am besten, indem Sie lernen, entsprechende Angriffe frühzeitig zu erkennen und zu umgehen. Was Sie hierfür machen können, ist folgendes:
- Nehmen Sie und Ihre Mitarbeiter an entsprechenden Security-Awareness-Schulungen teil.
- Geben Sie persönliche Informationen, sensible Firmendaten oder Anmeldedaten niemals weiter, sollten Sie den Austausch nicht selbst initiiert haben.
- Wenn Ihnen ein E-Mail-Kontakt oder Telefongespräch verdächtig vorkommt, bleiben Sie wachsam und haken Sie mit Fragen nach.
- Rufen Sie Unternehmen, die nach Informationen fragen, immer über die offizielle Telefonnummer zurück. Diese finden Sie zum Beispiel auf der Firmenwebsite.
- Seien Sie vorsichtig, wenn Sie mit verlockenden Anfragen oder Angeboten im Internet konfrontiert werden.
Zusätzlich sollten Sie sich jedoch auch mit den empfohlenen technischen Möglichkeiten vor möglichen Angriffen schützen. Verwenden Sie so zum Beispiel auf allen privat und geschäftlich eingesetzten Geräten hochwertige Antiviren-Software und lassen Sie eine professionelle IT-Dokumentation und -Analyse durchführen, um Quid-pro-Quo-Vorfälle proaktiv zu verhindern. Benötigen Sie Unterstützung? PC-SPEZIALIST in Ihrer Nähe ist der geeignete Ansprechpartner für Sie!
_______________________________________________
Andere Stimmen zum Thema: Wikipedia, ITWissen.info, EasyDMARC, Mailference
Schreiben Sie einen Kommentar