David Harley: Evolution von Betrügen und Social Engineering

ESET Senior Research Fellow David Harley vereint seinen akademischen Hintergrund im Bereich der Sozialwissenschaft mit einem tiefen Interesse an der Rolle von Social Engineering bei Cyberverbrechen.

Betrüge und Social Engineering sind schon lange ein wichtiger Teil von Cyberverbrechen – aber innerhalb der letzten Jahre haben die Angreifer ihre Methoden so sehr perfektioniert, dass es sogar für geschulte Augen zuweilen immer schwieriger wird, die Betrüge als solche zu erkennen.

Harley erklärt: „Bei vielen kriminellen Aktivitäten spielt Social Engineering zumindest teilweise eine Rolle. Es ist ein ständiger Begleiter im Leben der Internetsicherheit.“

Dabei habe sich die Art und Weise, wie Malware verbreitet wird, zunehmend verändert und zu einer immer wichtigeren Rolle von Social Engineering geführt.

„Als ich zum ersten Mal mit diesen Dingen in Kontakt kam – ungefähr vor 25 Jahren – ging es fast nur um Viren-Management“, sagt er. „Mit Betrügen habe ich mich dann aus dem einfachen Grund auseinandergesetzt, dass es keine Viren waren. Als Konzept war Anti-Malware eine simple Sache – sie hält Ausschau danach, ob sich ein Code selbst kopiert oder nicht. Viren sind mittlerweile allerdings zum Teil verschwunden. Sie sind nur noch ein kleiner Teil der Malware-Verbreitung.“

„Malware hat immer seltener die Eigenschaft, sich selbstständig zu vervielfältigen – andere Wege der Verbreitung gewinnen zunehmend an Relevanz. Social Engineering ist in vielerlei Hinsicht leichter als ein technisch versierter, Code-basierter Angriff wie zum Beispiel ein Drive-by-Download. Und sogar bei solchen Angriffen müssen die Nutzer zunächst dazu gebracht werden, eine schädliche Webseite zu besuchen.“

Dabei haben Betrüger heutzutage die Zeiten schlecht geschriebener Phishing-E-Mails längst hinter sich gelassen, erklärt Harley. Mittlerweile erstellen sie ganze Webseiten und Facebook-Profile, die sie als Köder für ihre Kampagnen nutzen. Aber auch die einfache Phishing-Mail hat sich längst weiterentwickelt.

„Während man manche Phishing-Mails schon aus einem Kilometer Entfernung erkennen kann, gibt es heutzutage auch technisch wesentlich ausgereiftere Phishing-Angriffe. Echte Banken und Bausparkassen machen es den Betrügern dabei sogar oftmals leicht – indem sie eine Sprache nutzen, die Betrüger leicht adaptieren können oder Links in ihre E-Mails einfügen, bei denen man nicht eindeutig erkennt, ob die Domain tatsächlich zu der entsprechenden Institution gehört. Das macht es einem Nutzer ohne Erfahrung oder spezielles Wissen um einiges schwerer, eine echte Nachricht von einer Betrugs-E-Mail zu unterscheiden.“

Die Betrüger haben ihre Methoden innerhalb der letzten Jahre signifikant geändert, wie Harley anhand von Nachforschungen zu einem kürzlich veröffentlichten Artikel über Support-Betrüge zu berichten weiß (eine Zusammenfassung des Artikels findest du hier). Bei den klassischen Betrügen werden Nutzer unaufgefordert von einem vermeintlichen IT-Mitarbeiter von Microsoft angerufen, der ihnen erklärt, dass ein Problem mit dem Computer entdeckt wurde. Mittlerweile nutzen die Betrüger allerdings auch raffiniertere Methoden.

„Gerade in Bezug auf Support-Betrüge kann man vor allem seit 2011 eine drastische Veränderung hinsichtlich der Raffinesse und Vielfalt erkennen. Die Betrüger rufen nicht mehr nur unerwartet an, sondern nutzen nun auch falsche Webseiten oder Facebook-Profile, um Anwender, die tatsächlich ein Problem haben, dazu zu bringen, von sich aus bei den Betrügern anzurufen. Zudem erweitern die Kriminellen ihr Themengebiet und geben sich als Versicherungsvertreter aus, die eine Kompensation für einen vermeintlichen Autounfall versprechen – in der Hoffnung, einen Nutzer zu erwischen, der tatsächlich kürzlich in einen Unfall verwickelt war.“

Aus dieser Taktik hat sich sogar ein ganzer „Industriezweig“ entwickelt. Immer häufiger sehen wir Berichte über Anbieter von Webseiten-Vorlagen, mit denen Leute dazu gebracht werden sollen, in einem Call Center anzurufen – so drehen die Betrüger den Spieß um und müssen nicht mehr auf gut Glück irgendwelche Anwender anrufen und hoffen, dass diese auf ihre fiesen Tricks hereinfallen; stattdessen kontaktieren die Opfer selbst die Betrüger und sind dementsprechend unbedachter.

Aus rein technischer Sicht gibt es für solche Betrüge kaum einen Schutz – hier hilft im Grunde nur der gesunde Menschenverstand und eine Portion Skepsis. Im Internet findet man eine Menge an Informationen, die einem helfen und sogar Berichte darüber, wie man als Nutzer zurückschlagen kann.

„Für diesen konkreten Fall bieten beispielsweise Microsoft und SANS Formulare, über die Nutzer solche Support-Betrüge melden können“, erklärt Harley. „Viele meiner Daten stammen allerdings noch immer von Kommentaren zu Blogs, die ich bereits zu dem Thema geschrieben habe. Man hört immer wieder von Leuten, die es geschafft haben, den Jäger zum Gejagten zu machen und die Betrüger für 20 Minuten oder noch länger am Telefon zu behalten. Das klingt zwar nach einer Menge Spaß, ist für unerfahrene Nutzer aber keinesfalls zu empfehlen. Vor allem sollte man diesen Betrügern niemals Zugang zum eigenen System gewähren – es sei denn, man ist sich absolut sicher, dass man jeden Versuch, das System zu zerstören, abwenden kann. Denn in vielen Fällen wird der Angreifer das aus reiner Arglist tun, wenn er davon ausgeht, dass er die geforderte Zahlung nicht erhalten wird. Generell rate ich Nutzern, in solchen Fällen einfach aufzulegen.“

Autor , ESET