Unter Social Engineering versteht man den Mensch als zentralen Angriffsvektor und Einfallstor des Täters, Hackers, Betrügers.

Der Begriff Social Engineering, auch bekannt als „Human Hacking“ oder „Social Hacking“ hatte ursprünglich, vor der heute eher negativ besetzten Bedeutung im Kontext der Informationssicherheit, auch einen Bedeutungshorizont im Kontext der Politikwissenschaften.

Karl Popper führte den Begriff 1945 erstmals in seinem Werk „The Open Society and its Enemies“ ein. Popper kritisierte in seinem Werk die generelle Auffassung, man könne sich eine ideale Gesellschaft vorstellen, um dieses Ideal dann auch in die Tat umzusetzen. Im Gegensatz hierzu befürwortet er die Form des Social Engineering, welches durch Schaffung geeigneter Institutionen nur in begrenzte Teilbereiche der Gesellschaft eindringt, um dort spezifische Probleme zu lösen. Sein Prinzip beruhte darauf, dass ein Mensch ähnlich wie eine Maschine verbessert werden kann. Und so erfuhr der Begriff Anfang der 1970er Jahre zunehmen an Popularität als Ausdruck des Optimismus. Diese Hoffnung beruhte damals auf dem Glauben, die Sozialgesellschaft durch gezielte rationale und ingenieurmäßige Eingriffe positiv umgestalten zu können. Konträr zu Poppers Haltung, wurden manipulative Methoden zur Erreichung dieser Zielsetzung generell nicht abgelehnt.

Im Kontext der Informationssicherheit und des Hackings bezeichnet man Individuen, welche gezielt menschliche Grundeigenschaften und -bedürfnisse ausnutzen, um hierdurch sensible Daten stehlen zu können, ebenfalls als „Sozialingenieure“. Diese dann doch eher euphemistische und zynische Bezeichnung wird für eben jene Personengruppe heutzutage allerdings seltener verwendet. Vorwiegend werden diese als „Hacker“ oder „Cyberkriminelle“ etikettiert.

Die historische Betrachtung des Social Engineering zeigt auf, dass diese in hohem Maße mit den technischen Möglichkeiten der jeweiligen Epoche korreliert. Begrenzt man Social Engineering nämlich nicht lediglich auf den heutigen Kontext, im Sinne eines gezielten informationstechnologischen Datendiebstahls, wird man schnell merken, dass die Methodik der arglistigen Manipulation, Überzeugungskraft und Rabulistik, so alt ist wie die Menschheit selbst. Bereits in antiken Werken, wie etwa der Verteidigungsrede des Sokrates 399 v. Chr. (Apologie), die der Lehrer Platons vor dem athenischen Volksgericht hielt, ging es einzig und allein darum, mit rhetorischer Kunstfertigkeit seine Hörer zu überzeugen und das hierdurch antizipierte Ziel zu erreichen. Im Falle Sokrates sollte diese Spitzfindigkeit seinen eigenen Schuldspruch verhindern und ihn damit vor der Todesstrafe bewahren. Der Vollständigkeitshalber sei angemerkt, dass alles Wollen und Tun nichts gebracht hat und Sokrates wenig später hingerichtet wurde.

An diesem Beispiel lässt sich verdeutlichen, dass der gesamte Themenkomplex des Social Engineering viel zu umfangreich und geschichtsträchtig ist, als dass man ihn einfach auf Hacker, Phishing-Mails und böse Links reduzieren könnte.

Zurück zum Social Engineering im modernen soziotechnischen Sicherheitskontext. Eine der frühen Formen stellte das sogenannte Phreaking dar, welches insbesondere in den 1980er Jahren praktiziert wurde. Phreaking bezeichnet eine damalige Subkultur von Hackern, die sich mit den Sicherheitsmechanismen der Telefonie auseinandersetze, insbesondere mit der Manipulation von Telefonverbindungen. Zeil des Phreakings ist das Hacken von Telefonsystemen mittels spezieller Signaltöne, zu deren kostenlosen Nutzung. Diese Methodik reicht zurück bis in das späte 19. Jahrhundert, wurde jedoch erst mit der Ausweitung der mobilen Telefonie wirklich problematisch. Mit fortschreitender Technologie beschränkte sich dieses Vorgehen nicht lediglich auf Telefonverbindungen, sondern auch Techniken der Kommunikationssicherheit zur elektronischen Spionage. Durch das Van-Eck-Phreaking ist es Betrügern nun auch möglich unbeabsichtigte elektromagnetische Abstrahlungen, welche unter anderem durch Computerbildschirme verursacht werden, zu empfangen.

Spätestens Personen, wie Kevin Mitnick, Thomas Ryan oder der Betrugskünstler Frank Abagnale verhalfen der Gattung geschickter Manipulanten zu einer breiteren, gesellschaftlichen Bekanntheit. Dies lässt sich zum einen damit erklären, dass diese moralisch geläutert zu scheinenden Personen, eine gesellschaftliche Metamorphose vom „Gangster“ zum angesehenen „White-Hat-Hacker“ vollführten und so zum Teil auch noch heute als arrivierte Experten in Regierungskreisen oder wichtigen Positionen sitzen. Zum anderen wandte sich das mediale Bild dieses Personenkreises enorm, nachdem diese in Filmen wie „Catch me if you can“ von Steven Spielberg vorteilhaft inszeniert wurden und so zu einem bedeutsamen Teil der Popkultur aufstiegen.

Das, was ich in meiner Jugend gemacht habe, ist heute hundertmal einfacher. Technologie zieht Verbrechen nach sich.

FRANK WILLIAM ABAGNALE

Beim Social Engineering macht sich der Täter, in Form des Hackers, menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen sowie Respekt oder Angst vor Autorität zu nutzen, um seine Opfer geschickt zu manipulieren. Hierdurch verleiten die Cyber-Kriminellen ihre Opfer dazu, Sicherheitsfunktionen auszuhebeln, vertrauliche Informationen preiszugeben, Überweisungen zu tätigen oder Schadsoftware auf dem privaten oder firmeninternen Endgerät zu installieren. Diese Form der zwischenmenschlichen Manipulation ist, wie bereits erwähnt, so alt wie Menschengedenken. Im Zeitalter der immer weiter voranschreitenden digitalen Kommunikation ergeben sich allerdings neue Möglichkeiten für die Betrüger. Der Effekt des technische Fortschritts bieten ihnen nunmehr Millionen potenzieller Opfer, die sie äußerst effektiv und lukrativ täuschen können.

Die Risiken für Unternehmen und seine Mitarbeiter, aber auch für Privatpersonen bestehen unter anderem darin, dass Kontoinformationen, E-Mail-Konten, Passwörter sowie Anmeldeinformationen gestohlen werden können. Im Privatsektor werden so unter anderem unfreiwillige Kontoüberweisungen erschlichen. Im betrieblichen Umfeld reicht oft schon ein einziger, oftmals gänzlich unbemerkter Mausklick auf einen schadhaften Link, welcher dann Schadsoftware, Trojaner oder Malware ins Unternehmensnetzwerk einschleust. Die Folgen reichen dann von kleinen Problemen und teilweisem Datenverlust bis hin zum kompletten Produktionsausfall, Industriespionage oder Sabotage. Ganz zu schweigen von einem massiven Imageschaden des betroffenen Unternehmens.

Zur Jahreswende 2020 hatte der Informationssicherheits-Experte Linus Neumann im Rahmen der größten europäischen Hackerkonferenz, dem 36. Chaos Communication Congress – kurz C3, in seinem Vortrag „Hirne Hacken“ eindrucksvoll die aktuellen Herausforderungen, Gefahren, aber auch Chancen des Social Engineering thematisiert. In diesem führte er schmerzlich vor Augen, dass nicht nur hochmoderne Angriffsmechanismen eine Rolle spielen, sondern gerade altbewährte Methoden wie zum Beispiel Makroviren nach wie vor sehr effektiv sind. Diese existieren bereits seit 1999 und sind seitdem häufig Bestandteile eines Angriffs im Kontext von Phishing und schädlichen Office-Anhängen an E-Mails, etwa beim Transport von Ransomware oder Cryptotrojanern. Zu trauriger Berühmtheit gelangte die Gattung Makrovirus damals durch eine Variante mit dem Namen „Melissa“. Melissa ist der am schnellsten und am weitesten verbreitete Computervirus aller Zeiten. Bei ihm handelt es sich um eine gefakte Worddatei, getarnt als vermeintliche Rechnung, welche damals zahlreiche IT-Systeme überlastete.

Zusammengefasst besteht das zentrale Merkmal des Social Engineerings oftmals in der Täuschung eines Opfers, durch Verschleiern oder Fälschen der tätereigenen Identität. Dies geschieht mit der Absicht des Betrügers in der Gestalt eines Technikers, Handwerkers oder Support-Mitarbeiters, die Unternehmen oder Internet-Serviceprovider, zur Herausgabe wertvoller Informationen zu bewegen oder zum Klick auf infizierte Links zu verleiten, die dann Schadsoftware installieren. Besonders perfide ist in diesem Kontext beispielsweise die Masche eines Programms, welches im Internet als Antiviren-Software propagiert wird und vermeintlich beim Reinigen der Festplatte helfen soll, sich bei Installation dann jedoch als Malware entpuppt.

Bei Interesse oder dem Bedarf an weitern allgemeine Erklärungen finden sich auch auf der Seite des BSI, im Rahmen der Aktion „BSI für Bürger“, viele spannende und nützliche Informationen.

Schaut man sich nun die unterschiedlichen Felder der IT-Sicherheit näher an, so gibt es auch hier unterschiedliche Betrachtungswinkel bei der Einordnung von Social Engineering.

Aus Sicht eines White-Hat Hackers beim Penetrationtest, kann man Social Engineering als ein mögliches Prüffeld zusammen mit drei weiteren Betrachtungsweisen begreifen. Dazu zählen technische Sicherheit, physische Sicherheit und die häufig unterschätzte organisatorischen Sicherheit. Ein Penetrationtest stellt den Versuch dar, die Sicherheit einer IT-Infrastruktur zu bewerten, indem Sicherheitslücken bewusst und sicher ausgenutzt werden. Diese riskanten Schwachstellen können in Betriebssystemen, Diensten und Anwendungsfehlern, falschen Konfigurationen sowie riskantem Endbenutzerverhalten bestehen. Diese Penetrationtests sind sinnvoll und nützlich, um die Wirksamkeit der angewendeten Schutzmechanismen sowie die Einhaltung von Sicherheitsrichtlinien durch den Endbenutzer zu kontrollieren.

Wie in allen Bereichen der IT-Sicherheit sollte man sich auch beim Social Engineering vorrangig zwei Grundfragen stellen: Was will ich schützen? Und vor wem möchte ich mich schützen? Ganz gleich, ob Privatperson, Unternehmen oder gar staatliche Institution sollten die nicht technischen Bereiche, wie Trickbetrug, Hochstapelei, rhetorische Manipulation & Co. nicht vernachlässigt werden.

Bei der Frage vor wem genau man sich schützen möchtet, bietet es sich an, die verschiedenen Angreiferklassen in Gruppen nach Gefährdungsgrad und Absicht zu unterteilen.

In der unten dargestellten Abbildung wird schnell deutlich, dass Social Engineering in aller Regel erst bei versierteren Angreifergruppen eine bedeutsame Rolle spielt. Seltener ist diese von Belangen bei der inzwischen immer bekannteren Klasse der sogenannten „Script-Kiddies“. Hiermit sind vornehmlich Computernutzer gemeint, welche trotz mangelnder Grundlagenkenntnisse versuchen, in fremde Computersysteme einzudringen und dann gegebenenfalls Schaden anzurichten. Bei der Industrie Spionage, Level Angriffen, gezielten Sabotageversuchen oder gar Attacken auf der Regierungsebene ist das Social-Hacking sehr häufig lediglich ein Puzzleteil im Gesamtbild der wesentlich umfangreicheren Attacke. Nichtsdestotrotz gilt es auch hier, sich bestmöglich dagegen zu rüsten.

Das Pretexting ist eine weitgefächerte Methode des Social Engineering beziehungsweise der Social-Engineering-Beispiele. Der Social Engineer erfindet hierbei ein ausgeklügeltes Szenario. Es besteht aus glaubwürdigen, aber erfundenen Geschichten zur persönlichen oder geschäftlichen Verbindung zum Unternehmen. Hierbei nehmen die Lügen zum Teil gigantische Ausmaße an und umfassen manchmal auch extra angelegte E-Mail-Adressen und Websites zur Verifizierung der Geschichte. Das Hauptziel des Social Engineer ist es, an persönliche und/oder geschäftliche Daten zu kommen, die in der Regel aber nicht ausschließlich vertraulichen Ursprungs sind. Meistens gibt er daher vor, Daten zu benötigen, um Identitäten zu bestätigen oder Dienstleistungen durchführen zu können. Angreifer beziehungsweise Social Engineers Pretexting können dem Anschein nach Techniker, aber auch interne Mitarbeiter, Polizisten, Finanzamtsangestellte oder Lieferanten sein. Social Engineers setzen das meistens gemeinsam mit anderen Social-Engineering-Methoden ein. Viele von ihnen benötigen das Pretexting als Grundlage, um erfolgreich zu funktionieren.

Die Annahme, Social Engineering würde ausschließlich im Digitalen stattfinden, ist ein gefährlicher Irrtum. Social-Engineering-Methoden umfassen nicht nur technische Angriffe, sondern auch in der wirklichen Welt stattfindende. Raj Samani hebt in der McAfee-Studie hervor, dass für die Durchführung von komplexen Social-Engineering-Angriffen (Social-Engineering-Hacks) nicht zwingend weitreichende IT-Kenntnisse erforderlich sind. Als Tailgating versteht man das physische Eindringen eines Social Engineers in den geschlossenen Bereich eines Unternehmens. In diesen gelangen Unbefugte meistens entweder durch die einfache Umgehung von Sperrzonen wie elektronischen Zugangskontrollen oder mithilfe von Pretexting. Eine dem Unternehmen gänzlich fremde Person kann so beispielsweise vorgaukeln, der Fahrer einer kooperierenden Lieferfirma, ein Netzwerktechniker oder aber auch ein neuer Kollege zu sein.

Das Social-Engineering-Beispiel Tailgating umfasst auch das Eindringen tatsächlicher Mitarbeiter in einen für sie nicht authentifizierten Bereich. Gerade, weil es sich bei den meisten Datendieben um aktuelle oder ehemalige Mitarbeiter eines Unternehmens handelt, ist die Gefahr des Social Engineering durch „Innentäter“ nicht zu unterschätzen. Die Möglichkeiten und der Erfolg von Social-Engineering-Methoden variieren je nach Unternehmen, nach seiner Größe und Branche. Das Vorgehen eines Social Engineers ist auch stark von äußeren Einflüssen wie beispielsweise einer Festivität abhängig.

Beim Phishing handelt es sich um das massenhafte Verschicken von Nachrichten, die vorgeben, von realen Dienstleistern oder Webshops wie Amazon oder PayPal zu sein. Darin werden Benutzer aufgefordert, ihre Daten wie Passwörter oder Kontodaten weiterzugeben oder Links zu folgen, die mithilfe von Malware das gesamte Netzwerk infizieren und/oder Daten verschlüsseln. Das Unternehmensnetzwerk kann zudem in Botnetze integriert und für DDoS-Angriffe missbraucht werden. Nach Samani sind die zahlenmäßig meisten Social-Engineering-Attacken Phishing-Angriffe. Wer an Social Engineering denkt, denkt zuerst an Phishing: Nachrichten, die angeblich vom Systemadministrator kommen, Nachrichten von Dienstleistern oder fingierte Urlaubsgrüße. Phishing erfolgt aber nicht zwingend über E-Mail, sondern kann auch über den Chat, Briefe, das Telefon oder per Fax erfolgen. Während das Phishing eine der beliebtesten Social-Engineering-Methoden ist, gilt das Social Engineering gleichzeitig als Herzstück des Phishings. Nur durch zwischenmenschliche Manipulation werden Benutzer erfolgreich dazu gebracht, auf bestimmte Links zu klicken, ihre Daten weiterzugeben oder Dateien herunterzuladen. Gerade die emotionale Komponente und die Authentizität macht professionelle Phishing-Nachrichten im Gegensatz zu falsch formatierten und schlecht geschriebenen E-Mails so gefährlich.

Die Hunting-Methode Spear Phishing stellt eine Sonderform der Farming-Methode Phishing dar. Hierbei wird ein gezielter und hochgradig individueller Social-Engineering-Hack auf ein spezifisches Unternehmen durchgeführt. Das Ziel von Spear-Phishing-Angriffen ist die Infiltration des Unternehmens. Die intensive Observation des Angriffsziels durch den Social Engineer ist im Vorfeld notwendig. Unter Umständen werden mithilfe von weiteren Social-Engineering-Methoden beziehungsweise Social-Engineering-Beispielen Informationen über das Unternehmen und seine Mitarbeiter eingeholt. Durch die Bezugnahme des Social Engineers auf bestimmte Kollegen, unternehmensinterne Informationen oder anstehende Veranstaltungen ist das Spear Phishing häufig nur schwer als Social-Engineering-Attacke zu enttarnen. Erschwerend kommt hinzu, dass durch Schadsoftware wie der Blended Attack Emotet Spear-Phishing-Angriffe auch von legitimen E-Mail-Adressen, die gehackt worden sind, ausgeführt werden können.

Das Baiting ist eine Social-Engineering-Methode, die sich vor allem die menschliche Neugierde zunutze macht. Beim Baiting wird ein digitaler oder physischer Köder als Social-Engineering-Hack eingesetzt, hinter dem sich zumeist Malware verbirgt. Bei dem Köder kann es sich beispielsweise um einen Download-Link handeln, der zu einem vermeintlich kostenlosen Programm führt. Aber auch ein USB-Stick mit scheinbar interessanten Daten ist ein beliebter Köder. Baiting ähnelt dem Phishing. Es unterscheidet sich aber von ihm und anderen Social-Engineering-Methoden, indem es etwas Konkretes (den Köder) verspricht.

Das Media Dropping ist eine der Social-Engineering-Methoden (Social-Engineering-Beispiele), die sowohl digitale als auch analoge Komponenten aufweist. Hierbei kommen USB-Sticks, CDs oder andere Speichermedien zum Einsatz, die mit Malware infiziert sind. Oft handelt es sich bei der Schadsoftware um Spyware oder Bots für DDoS-Angriffe. Dieser einfache Trick ist einer der erfolgreichsten, um Unternehmen mithilfe eines Social Engineers zu infiltrieren. Die Datenträger werden hierbei – häufig im Rahmen von Tailgating-Aktionen – bewusst so platziert, dass sie für Mitarbeiter sichtbar sind. Sie sind meistens als verlorene, verlegte oder aber als bewusst mit wichtigen Daten für bestimmte Mitarbeiter befüllte Speichermedien getarnt. Social Engineers setzen beim Media Dropping darauf, dass die Neugier der Mitarbeiter groß genug ist, die Daten des Sticks zu öffnen und somit die Schadsoftware auf ihre Computer gelangen zu lassen. Verspricht sich der Finder etwas mit dem Datenträger, ist dieser also beispielsweise mit „Gehaltstabelle 2019“ beschriftet, so handelt es sich nicht nur um Media Dropping, sondern gleichzeitig immer auch um Baiting.

Als Social-Engineering-Beispiel Honeypots können fingierte Personen oder Institutionen verstanden werden, die im körperlichen und/oder wirtschaftlichen Sinn objektiv als attraktiv wahrgenommen werden. Honeypots, die sich an Privatpersonen richten, sind vor allem Personen, die vorgaukeln, eine persönliche Beziehung initiieren zu wollen. Wirtschaftliche Honeypots, die sich an Unternehmen richten, geben im Gegensatz dazu vor, wichtige Geschäftsbeziehungen darzustellen. Social Engineers versuchen dabei, kompromittierendes Material zu sammeln, um das Opfer damit zu erpressen und so an sensible Unternehmensdaten zu gelangen. Achtung: Der Begriff „Honeypot“ wird nicht nur für die besagte Social-Engineering-Methode verwendet, sondern auch für einen Mechanismus zur Erkennung von Spam-Bots.

Quid-pro-Quo-Angriffe funktionieren ähnlich wie das Baiting. Im Gegensatz zu den anderen Social-Engineering-Methoden basiert diese Methode jedoch auf Vertrauen bzw. nach dem Prinzip „eine Hand wäscht die andere“. Social Engineers bieten etwas Wünschenswertes im Austausch gegen persönliche oder geschäftliche Informationen an. Bei dem Begehrten handelt es sich zumeist um bestimmte Services. Unter anderem geben sich die Angreifer als Service-Personal aus und bieten ihren Opfern Hilfestellungen bei der Bearbeitung von bestimmten Aufgaben oder Problemen im Gegenzug zur Bereitstellung der Informationen an. Quid-pro-Quo-Angriffe werden häufig in Verbindung mit dem Social-Engineering-Hack Spear Fishing durchgeführt.

Scareware sind automatisierte Schadprogramme, die dem Zweck dienen, ihre Opfer zu täuschen, zu verängstigen und gleichzeitig zu bestimmten unüberlegten Handlungen zu bewegen. Eine Gefahr, die äußerst bedrohlich wirkt, wird hierbei lediglich simuliert, existiert jedoch gar nicht wirklich. Die scheinbaren Gefahren sollen meistens durch das Herunterladen von vermeintlichen Virenschutzprogrammen oder anderer Software behoben werden. Mit den Downloads gelangen jedoch tatsächlich gefährliche Trojaner auf das betroffene System. Bei dem Social-Engineering-Beispiel Scareware handelt es sich meistens um Browser-Plugins oder in Webseiten eingebundene Pop-Ups.

Eine der für Unternehmen besonders gefährlichen Social-Engineering-Methoden ist der CEO-Betrug bzw. CEO-Fraud. Hierbei wird die E-Mail oder der Anruf eines vermeintlichen Vorgesetzten mit dem Appell der sofortigen Mitteilung wichtiger Daten fingiert. Die auch als Chef-Trick bezeichnete Methode basiert darauf, dass man allgemeine Sicherheitsbestimmungen eher ignoriert, wenn eine vermeintliche Autoritätsperson dazu auffordert: Kaum ein Mitarbeiter, so die Annahme, wagt es, dem Vorgesetzten ein wichtiges Anliegen abzuschlagen – vor allem nicht in einer Notsituation. Die Nachrichten sind meistens täuschend echt, weil die Trickbetrüger nämlich oft schon lange im Vorfeld das entsprechende Unternehmen ausspionieren und sich zum Teil auch über die Eigenarten des Vorgesetzten informieren. Der CEO-Fraud stellt als Sonderform der Social-Engineering-Methoden Pretexting und Spear Phishing übrigens den beliebtesten Social-Engineering-Angriff gegen Unternehmen dar. Der wirtschaftliche Schaden, der bei einem Chef-Trick entsteht, kann enorm sein. Bekannt geworden ist der CEO-Fraud unter anderem durch die Phishing-Mail mit dem Absender @ceopvtmail.com.

• Video: Whaling Attack: Why Should CEOs Be Afraid?

• https://www.redteamsecure.com/blog/5-effective-social-engineering-elicitation-techniques

Ein Watering-Hole-Angriff (auch „Watering Hole Attack“) ist ein gezielter Angriff auf Internetnutzer in einer bestimmten Branche oder Funktion. Dabei identifizieren die Angreifer, welche Webseiten Angestellte eines Unternehmens häufig besuchen, und infizieren diese mit Website-Malware. Manchmal ködern sie auch gezielt Nutzer und verleiten sie, eine bestimmte infizierte Webseite aufzusuchen. Watering-Hole-Angriffe, auch bekannt als strategische Website-Gefährdungsangriffe, sind nur in beschränktem Umfang effektiv, wenn sie opportunistisch durchgeführt werden, das heißt wenn sie auf dem Glücksfaktor basieren. Sie werden jedoch dann effektiver, wenn sie gezielt Nutzer eines Unternehmens per E-Mail auffordern, eine infizierte Webseite zu besuchen.

Angreifer, die opportunistische Website-Attacken zwecks finanziellem Gewinn oder Aufbau eines Botnets unternehmen, infizieren meist populäre Konsumenten-Websites, weil sie so eine größere Anzahl an Menschen erreichen. Angreifer jedoch, die auf mehr als finanzielle Gewinne aus sind, konzentrieren sich meist auf Websites, die in einer bestimmten Branche populär sind, wie eine Branchenkonferenz, branchenspezifische Normungsorganisationen oder professionelle Diskussionsforen. Sie suchen nach einer bekannten Sicherheitslücke auf der Website, kompromittieren die Website, infizieren sie mit Malware und warten auf Benutzer.

Angreifer fordern mitunter Benutzer auf, mit Website-Malware infizierte Websites zu besuchen, indem sie scheinbar harmlose und stark kontextbezogene E-Mails verschicken. Links in diesen E-Mails führen dann auf bestimmte Bereiche der infizierten Website. Diese E-Mails stammen häufig nicht von den Angreifern selbst, sondern sind die automatischen E-Mail-Benachrichtigungen und Newsletter der infizierten Websites, die regelmäßig veröffentlicht werden. Das macht die Erkennung der E-Mail-Köder besonders schwierig.

Auf der infizierten Website gelangt die Malware dann auf den Computer des Benutzers durch DriveBy-Downloads. Viele Nutzer sind sich gar nicht bewusst, dass gerade ein Angriff auf ihren Computer stattfindet.

Dies sind einfachste Methoden, um das Gelände zu betreten. Tailgating ist ein Social-Engineering-Akt, bei dem Zugang zu einem elektronisch gesperrten System oder eingeschränkten Bereich erlangt wird, indem einem Benutzer mit legitimem Zugang gefolgt wird, mit der Absicht, auf gefährdete Informationen zuzugreifen. Wenn der legitime Benutzer seinen Ausweis durchzieht oder den Passcode eingibt, um das Gebäude zu betreten, treten Sie durch die gesicherte Tür ein, bevor sie sich schließt, indem Sie dem Benutzer folgen.

• Sie können einer einzelnen Person folgen, um eine gesicherte Tür zu betreten.
• Du kannst Teil einer großen Gruppe sein, indem du vorgibst, einer von ihnen zu sein.
• Sie können einen Mitarbeiter davon überzeugen, dass es in Ordnung ist, Ihnen die Heckklappe zu überlassen

Mehrere Organisationen bauen zur physischen Sicherheit Zäune um ihre Büros. Sie sollen die Büros vor physischem Eindringen schützen und verhindern, dass unbefugtes Personal das Büro betritt.

• Zäune mit niedriger Sicherheit: Diese werden zur Begrenzung des Verkehrs verwendet. Sie könnten auch verwendet werden, um den Zugang zu den Räumlichkeiten zu verhindern.
• Hochsicherheitszäune: Diese sind so konzipiert, dass sie mit Stacheldraht verwendet werden können, damit eine unbefugte Person nicht über den Zaun klettern und auf das Gelände springen kann.

Einige Organisationen, die hohe Sicherheit erfordern, haben auch im Boden verwurzelte Zäune, um zu verhindern, dass von außen auf das Gelände gegraben wird. Wenn die Zäune nicht verwurzelt sind, ist es durchaus möglich, dass jemand in den Boden gräbt und einen Tunnel innerhalb des Geländes erstellt. Daher sind die Zäune gut im Boden verwurzelt.

Zusätzlich zu Zäunen können Büros auch Wachposten und patrouillierende Wachen haben, um zu verhindern, dass eine unbefugte Person über den Zaun springt. Während des Penetrationstestprozesses sollten Sie das Design der Zäune überprüfen und einen Angriff versuchen. Wenn dies erfolgreich ist, müssen Sie den Minderungsplan für einen solches Vorgehen vorschlagen.

Dumpster Diving ist ein weiterer Social-Engineering-Angriff, bei dem die physische Methode zum Zugriff auf gefährdete Informationen verwendet wird. Papiere, die von einem Unternehmen an Müllcontainer oder Recyclingbehälter geschickt werden, können hochsensible Informationen enthalten. Angreifer überprüfen diese Papiere sorgfältig, um wertvolle Informationen zu erhalten. Der Angreifer kann nicht nur auf die Papiere abzielen, sondern auch auf elektronische Medien oder alles, was für sie nützlich sein kann. Im Rahmen von Penetrationstests sollten Sie nach nutzbaren Informationen in einem Stapel von Papieren suchen, die als Müll gelten.

Ein weiterer Ort, an dem Sie nach Informationen suchen können, ist der Mülleimer auf dem PC eines Benutzers. Wenn Sie kritische Informationen finden, können Sie der Organisation vorschlagen, einen Aktenvernichter zu verwenden.

Lockpicking wird oft von Sicherheitsteams ignoriert. Als Penetrationstester sollten Sie sich mit verschiedenen Schlössern auskennen und wissen, wie man sie knackt. Ein Schloss zu knacken ist definiert als das Öffnen eines Schlosses ohne Verwendung eines Schlüssels.

• Überwachungskameras: Normalerweise hinterlässt das Öffnen von Schlössern keine äußeren Schäden und ist daher schwer nachzuweisen, dass es jemals stattgefunden hat. Eine Überwachungskamera kann auch abschreckend wirken und in etwaigen Gerichtsverfahren Beweise liefern.
• Anti-Lock Bumping Devices: Sie können auch Antiblockiergeräte vorschlagen. Anti-Lock-Stoßvorrichtungen verhindern, dass sich das Drehknaufstück eines Riegels dreht und das Schloss öffnet. Wenn sich der Drücker eines Riegels nicht dreht, kann der speziell geschnittene Schlüssel den Riegel, der sich im Inneren des Schlosses befindet, nicht dazu zwingen, sich zurückzuziehen und das Schloss zu öffnen.
• Schlösser für den gewerblichen Bereich zugelassen: Diese Schlösser sind kostengünstig und sollten anstelle der normalen Schlösser verwendet werden. Sie sind vom American National Standards Institute (ANSI) oder Underwriters Laboratories (UL) getestet und zugelassen.
• Security-Pins: Sie können auch Sicherheitsnadeln- oder -Stifte vorschlagen, die das Öffnen von Schlössern zwar nicht zu 100 Prozent verhindern, aber den Vorgang verzögern, was die Person davon abhalten kann, weiterzumachen. Die Sicherheitsstifte sind so konzipiert, dass sie das Erreichen der Scherlinie des Schlosses erschweren.

Bypassing ist eine Methode zum Lockpicking. Sie können Werkzeuge wie Schiebeschlüssel verwenden oder einfach Klebeband über die Schließplatte kleben, um zu verhindern, dass sich die Tür schließt. Wenn eine Tür mit automatischem Schließblech häufig geöffnet werden muss, legen Benutzer häufig etwas in den Rahmen, damit sie die Tür nicht immer wieder aufschließen müssen. Schiebeschlüssel sind dünne Metallscheiben, die Sie über Riegel haken können, um das Schloss zu lösen.

Ausgangssensoren werden hauptsächlich zum automatischen Öffnen von Türen verwendet, damit die Tür automatisch entriegelt wird wenn eine Person vorbeigeht.

Als Teil des Penetrationstests können Sie versuchen, durch den Ausgangssensor einzudringen und Türen zu entriegeln. Diese sollten in sicheren Bereichen platziert werden, z. B. für ein Buchhaltungsteam oder Rechenzentren und gleich entfernt oder deaktiviert werden.

• Boson Practice Lab: Social Engineering