Wo liegen die Risiken der Online-Manipulation oder des "Social Engineering"?
Betrüger manipulieren mit Hilfe des "Social Engineering" - das Erlangen vertraulicher Informationen durch Annäherung mittels gesellschaftlicher oder gespielter Kontakte - häufig Menschen und nutzen deren Schwächen aus. Durch die soziale Komponente vernachlässigen die Nutzer ihre normalen Sicherheitsmaßnahmen. Das Ausmaß und Raffinesse solcher Betrügereien steigt ständig an: 27.649 Fälle pro Monat, von Januar 2007 bis Januar 2008, laut der Anti-Phishing Working Group - APWG. Auf immer mehr verschiedenen neuen Wegen werden die Nutzer erreicht: z.B. neben E-Mails vor allem über Instant Messaging, VoIP oder Social Networking-Seiten.
Erfolgreiches "Social Engineering" besteht aus folgenden Punkten:
1. Ein überzeugender Vorwand, um die Zielperson zu kontaktieren.
2. Ausführliche Recherche für überzeugende Fakten und Inhalte
3. Das Einplanen und Ausnutzen von aktuellen Ereignissen wie z. B. ein Tsunami oder eine Weihnachtsmann-E-Mail zu Weihnachten inklusive Wurm
4. Die Ausnutzung von menschlicher Psychologie und menschlichem Verhalten
Drei E-Mail-basierte Fallstudien zeigen wie leicht es ist, gewöhnliche Verbraucher zu täuschen:
- Fall 1: 179 Teilnehmer sollten 20 E-Mails beurteilen (11 gefälschte und 9 seriöse). Nur 42 Prozent der Nutzer konnten die E-Mails korrekt klassifizieren (32 Prozent wurden inkorrekt klassifiziert; 26 Prozent konnten die E-Mails gar nicht zuordnen).
- Fall 2: Von 152 gezielt ausgesuchten Endkunden innerhalb einer Organisation, wurden 23 Prozent dazu gebracht, sich mit bösartiger Software zu infizieren.
- Fall 3: Mehr als 500 Studenten folgten eingebetteten Links und öffneten Anhänge o.ä. Die Durchfallquote lag bei 38 bis 50 Prozent. Die gute Nachricht ist, dass die Durchfallquote durch Training reduziert werden konnte.
Die Agentur hat fünf Verteidigungs-Möglichkeiten gegen "Social Engineering" identifiziert. Jedoch liegt der Schlüssel zum Erfolg im Schärfen des Problembewusstseins der Verbraucher. Die Nutzer sollen durch eine Fragen-Checkliste (LIST) die Legitimität (Legitimacy), die Wichtigkeit der Information (Importance), die Quelle (Source) sowie den Zeitplan (Timing) überprüfen. (Die ausführliche Fragen-Checkliste (LIST) findet sich auf den Seiten 25 und 26 des Whitepapers). Kevin Mitnick untermauert den Bericht mit der Behauptung, dass es viel leichter ist, jemandem dazu zu bringen sein Passwort zu verraten, als sich mit viel Aufwand in sein System zu hacken. Der ENISA-Geschäftsführer Andrea Pirotti nimmt ebenfalls Stellung: "Das Sicherheitsbewusstsein von Personal und Nutzern zu schärfen, ist von großer Wichtigkeit für Europa. Wir sollten alle, in unserem eigenen Interesse, bewusstere und verantwortungsvollere "Online-EU-Bürger" werden, um in Sicherheit vom Internet zu profitieren."
Der Bericht wurde mit der freundlichen Unterstützung der ENISA Awareness-Raising-Community ausgearbeitet und ist erhältlich unter: http://enisa.europa.eu/...