Social Hacking gerät in Zeiten von Facebook, Twitter und Co. zunehmend in den Fokus. Gemeint ist das gezielte Ausnutzen menschlicher Schwachstellen sowie Angriffe auf persönlicher Ebene. Knapp 75 Milliarden Euro geben Unternehmen weltweit für den Schutz ihrer IT aus. Konzepte basierend auf Applikationen sowie die regelmäßige Überprüfung dieser Maßnahmen sollen Cyberkriminelle davon abhalten, einen Angriff durchzuführen.
Nur wenige Unternehmen berücksichtigen, dass die Gefahr ebenfalls in einer ganz anderen Sphäre begründet liegt, nämlich im Social Hacking. Hierbei werden Unternehmensangehörige zielgerichtet auf persönlicher Ebene ausspioniert. Es handelt sich somit um Angriffe, die teilweise fernab der virtuellen Welt stattfinden. Um solchen Angriffen konkret entgegentreten zu können, benötigt es mehr als nur technische Hindernisse, in Form von IT-Security-Lösungen unterschiedlicher Art.
Ein Beispiel aus dem Bereich Social Hacking:
  • 1. Februar 2016 bis 4. Februar 2016: Skifahren in Kitzbühel
  • 3. April 2016: Paris Marathon
  • 4. Mai 2016 – Businessfrühstück in Frankfurt
  • 16. Juli 2016 – Yogafestival Berlin
  • 20. August 2016 – Depotübersicht 112.054,39 €
  • 10. September 2016 – Médoc Marathon
  • 16. September 2016 – Stadtlauf Hannover
  • 6. November 2016 – New York Marathon
  • 5. Dezember 2016 – Kontoauszug über 68.453,98 €
  • 18. Dezember 2016 – Weihnachtsfeier in einem Restaurant in Hannover
Sicherlich fragen Sie sich jetzt, in welchem Zusammenhang die aufgeführten Informationen stehen? Darf ich vorstellen: Gerome F., 55 Jahre alt, Manager in einem mittelständischen Unternehmen. Daneben handelt es sich bei ihm offensichtlich um einen sportbegeisterten sowie gesundheitsorientierten Menschen, der gerne reist und 42 Kilometer Läufe absolviert. Und auch sein finanzieller Hintergrund deutet darauf hin, dass er in seinem Unternehmen ein gutes Jahresgehalt bezieht, welches er gerne in Aktien sowie Freizeitaktivitäten, wie z.B. Reisen und Sportereignisse investiert.
Wie gelangt man an all diese Informationen? Die Antwort lautet: Social Hacking. Durch gezielte Recherchen im Internet, aber auch im unmittelbaren Umfeld der Zielperson selbst, lassen sich durch relativ einfache Maßnahmen, persönliche Informationen in Erfahrung bringen. Social Hacking ist sozusagen „en vogue“, seitdem es die sozialen Medien gibt. Bestimmt haben auch Sie schon einmal Ihren Nachbarn oder Geschäftspartner im Internet bei Google, Xing, LinkedIn oder Facebook gesucht, um sich über die jeweilige Person zu informieren. Auch dies kann bereits als subtile Form von Social Hacking bezeichnet werden. Im Vergleich hierzu gehen Cyberkriminelle jedoch deutlich professioneller vor.

Wie funktioniert Social Hacking in der Praxis?

Die Vorbereitung eines Angriffs

Aus einem einzelnen Baustein können Sie noch kein Haus bauen. Besitzen Sie jedoch tausende Bausteine, haben Sie die Möglichkeit ein ganzes Haus von Grund auf zusammenzusetzen. Während sich früher das Social Hacking ausschließlich auf die soziale Interaktion mit dem Opfer beschränkte, ist der heutige Social Hacking Begriff deutlich weiter gefasst. Somit gehören auch intensive Recherchen über Personen im Internet dazu. So ist der Angreifer in der Lage ein persönliches Profil seiner Zielperson zu erstellen. Es handelt sich bei Social Hacking im Prinzip um eine sukzessive Angriffsform.
In unserem fiktiven Beispiel mit dem Manager ging der Angreifer genau nach diesem Schema vor. In Bezug auf die sportlichen Aktivitäten reicht lediglich die Eingabe des Vor- und Nachnamens bei Google. Mittels der personenbezogenen Daten kann der Angreifer beispielsweise in öffentlichen Datenbanken über den Namen problemlos einsehen, wo, wer, wann, in welcher Zeit einen Marathon gelaufen ist. Auch Tracking-Ergebnisse von mobilen Apps, in welchen Sportler ihre Fortschritte aufzeichnen lassen können, dienen Cyberkriminellen als Einfallstor. Sind diese Profile im Internet öffentlich verfügbar, können Gewohnheiten der Zielperson durch relativ wenig Aufwand herausgefunden werden.
Daneben sorgt Social Media dafür, dass Menschen dazu geneigt sind, stetig Informationen in Form von Fotos zu veröffentlichen, die zum Teil nicht für die Öffentlichkeit bestimmt sein sollten. Es wird beispielsweise ein Businessfrühstück mit potentiellen Geschäftspartnern veranstaltet, wobei wenige Stunden nach dem Event entsprechende Fotos im Internet auftauchen. Hierbei stellt sich z.B. die Frage, ob die ganze Welt zu jedem Zeitpunkt Kenntnis darüber haben soll, mit welchen Business-Partnern Sie zusammenarbeiten. Gleiches gilt für die Veranstaltungen privater Natur. Während Sie beispielsweise nie jemandem auf offener Straße den Vornamen Ihrer Frau oder Ihrer Kinder verraten würden, tauchen diese auf Webseiten oder auf sozialen Plattformen im Untertitel oder in den Beschreibungen von Bildern auf.
Dabei sind dies nur persönliche Informationen, die ein Angreifer leicht über den digitalen Weg in Erfahrung bringen kann. Im direkten Umfeld des Betroffenen sind die Möglichkeiten weitaus größer ausgeprägt. Gehören Sie auch zu den Menschen, die Ihre Kontoauszüge im herkömmlichen Haus- oder Papiermüll entsorgen? Vielleicht stellen Sie sogar noch am Vorabend die Papiertonne am Straßenrand bereit? Dann gehören auch Sie zu den idealen Social Hacking Opfern. Es genügt sozusagen ein Blick in Ihren Müll, um herauszufinden, wie viel Sie verdienen, für was Sie Ihr Geld wann ausgeben und bei welchem Bankinstitut Sie Ihre Konten führen. Dies sind sensible Daten.

Die zweite Ebene des Social Hacking Angriffs

Stellen Sie sich vor, der Angreifer kennt nun die Gewohnheiten seiner Zielperson. Beängstigend, oder? Denn im nachfolgenden Schritt begibt sich der Angreifer auf die nächste Ebene seines Vorhabens. Denkbar wäre z.B. ein zufälliges Treffen beim Joggen. Die GPS-Daten hat er bereits durch die Tracking-Daten erhalten. In dieser Phase freundet sich der Angreifer mit der Zielperson an und erhält auf diesem Weg mit zunehmender Zeit mehr und mehr persönliche Informationen. Weiter möglich erscheint, dass ein angeblicher Anruf des freundlichen Bankmitarbeiters am frühen Samstagmorgen erfolgt, mit der Bitte, aktuelle Konteninformationen zu bestätigen. Vielleicht erhält der Betroffene aber auch einen ominösen Anruf von der IT-Abteilung des Arbeitgebers, mit der Bitte, ein Passwort über das Telefon zu verifizieren.
Mit Abstand betrachtet, denken Sie wahrscheinlich, dass Ihnen so etwas nie passieren würde. Sie würden auch keine persönlichen Daten herausgeben? Firmeninterna oder ähnliches? Die Realität sieht leider oft anders aus. Und wenn Sie nicht derjenige sind, der diese Daten Preis gibt, dann sind es vielleicht andere Personen in ihrem Unternehmen. Zumeist kommen solche Anrufe sehr ungelegen. Entweder, wenn Sie am Wochenende zum Einkaufen wollen, Ihre Kinder sich im Hintergrund streiten oder sonstige zeitverknappende Faktoren auf Sie einwirken.
Aber auch Informationsdefizite können bei den Betroffenen einer Social Hacking Attacke zu Verunsicherungen führen. Wissen Sie beispielsweise, welche Personen in der IT-Abteilung in Ihrem Unternehmen arbeiten? Wohl eher nicht. Dies gilt vor allem bei Unternehmen von mehreren tausend Mitarbeitern. Cyberkriminelle, die Social Hacking betreiben, gehen im persönlichen Umgang mit Ihren Zielpersonen äußerst galant vor, sodass der Angriff selbst zumeist unbemerkt bleibt. Sie täuschen beispielsweise Autoritäten vor, um an die Informationen zu gelangen, die ganze Unternehmen ins Wanken bringen können. Achten auch Sie deshalb darauf, als Mitarbeiter oder Inhaber eines Unternehmens nicht Ziel einer solch manipulativen Angriffsform zu werden.

Weiterführende Informationen