zum vorherigen Artikel

Alle Artikel

Alle Newsletter Artikel können Sie sich hier durchlesen oder danach suchen.

zum nächsten Artikel

Artikel 2023

04/2024

Die Psychotricks im Social Engineering.

Ein Überblick über die unterschiedlichen Taktiken. Genau genommen haben wir fast alle schon einmal, ohne es zu wissen, Methoden des Social Engineering eingesetzt. Denn wer hat noch nicht versucht, mit einem netten Gespräch am Türsteher der Disco vorbeizukommen oder eine Polizistin dazu zu bringen, den bereits ausgestellten Strafzettel doch noch zurückzuziehen?

Social Engineering ist eine Form von sozialer Manipulation, die zum Ziel hat, andere Menschen zu einer Entscheidung zu Gunsten der eigenen Person zu bewegen. Zunehmend wird diese Technik auch von Cyberkriminellen verwendet, dann leider nicht mehr ganz so harmlos, sondern, um sensible Informationen von Menschen zu erschleichen, ihre Identität zu stehlen oder Zugang zu vertraulichen Daten zu erhalten.

Vielleicht war der Schuhmacher Friedrich Wilhelm Voigt auch nicht der erste Mensch, der mit Hilfe von „Social Engineering“ versuchte, sich zu bereichern und seine Probleme zu lösen. Er gab sich im Jahr 1906 als jemand aus, der er nicht war und besetzte, als Hauptmann von Köpenick in Uniform, das Rathaus der Stadt Cöpenick bei Berlin. Er verhaftete den Bürgermeister und raubte die Stadtkasse. Eine wahre Geschichte, die sich später unter anderem in Carl Zuckmayers Theaterstück, „Der Hauptmann von Köpenick“ wiederfand.

In den 1980er Jahren riefen sogenannte Phreaker (Phone + Freak) bei Telefongesellschaften an und gaben sich als Systemadministrator:innen aus, um so neue Passwörter zu erhalten, die sie dann für kostenlose Modemverbindungen nutzten.

Durch die mittlerweile sehr ausgefeilte Sicherheitstechnik der Deutschen Kreditwirtschaft wird die „Arbeit“ der Kriminellen erschwert. Daher suchen sie sich gezielt eine neue Schwachstelle: die menschliche Psyche. So wird seit einigen Jahren massiv mit der Masche „Phishing“ versucht, mit gefälschten E-Mails oder Webseiten Benutzer:innen dazu zu verleiten, Logindaten von Konten oder anderen Zugängen preiszugeben.

Mittlerweile sind raffinierte Psychotricks ein entscheidender Bestandteil des Social Engineering, da sie es den Cyberkriminellen ermöglichen, das Vertrauen und die Sympathie ihrer Opfer zu gewinnen. Wie funktionieren diese perfiden Tricks? Und warum fallen Menschen aller Bevölkerungsgruppen auf diese Tricks herein? kartensicherheit.de stellt einige der Techniken vor – auch solche, die von diesen Verbrechern (noch) nicht angewendet werden – und gibt Tipps, wie man sich schützen kann.


Autorität: Des Kaisers neue Kleider

Ein weit verbreitetes Beispiel ist die Weiterentwicklung der „Technik des Hauptmanns von Köpenick“: Vertrauen, welches Menschen in Autoritätsfiguren haben, nutzen Kriminelle aus und geben sich beispielsweise als Mitarbeitende eines Unternehmens aus oder behaupten, von einem offiziellen Institut, wie einer Bank zu sein, um das Opfer dazu zu bringen, ihnen sensible Informationen preiszugeben.

Zahlreiche Untersuchungen identifizieren drei Autoritätssymbole: Titel, Uniformen und Luxus. Wer einen Doktortitel hat, egal, in welcher Fachrichtung, wird meist als kompetenter wahrgenommen. Und wer einen teuren, modischen Anzug trägt, wird in vielen Situationen als seriöser wahrgenommen als die gleiche Person in Jeans und T-Shirt. Und auch Luxus vermittelt Respekt und Autorität. Eine Studie aus dem Jahr 1986 zeigt, dass Autofahrer respektvoller auf große Luxuswagen reagieren! Wer an der Ampel in einem kleinen und alten Kleinwagen sitzt und bei grüner Ampel nicht sofort losfährt, hat größere „Chancen“, dass von hinten sofort gehupt wird.


Kein Wunder also, dass auch Kriminelle diese Methodik nutzen. Dies kann beispielsweise durch das Vortäuschen einer höheren Position oder durch das Einbeziehen von offiziell aussehenden Dokumenten geschehen. Sie geben sich als Polizist:in oder Institutsmitarbeitende aus, sie stehen als Mediziner:in des Gesundheitsamtes oder als angebliche Handwerker:in vor der Wohnungstür. Auch mit dem Einsatz von sehr teurer und damit scheinbar seriöser Kleidung wird versucht, einen falschen Eindruck zu erwecken. Indem die Angreifer:innen Autorität vortäuschen, versuchen sie das Vertrauen der Opfer zu gewinnen und sie dazu zu bringen, sensible Informationen preiszugeben..

Schützen kann man sich hier mit zwei Methoden:
Erstens ist es wichtig, das Überraschungsmoment zu überbrücken, denn Autorität wird oft unbewusst wahrgenommen und trotzdem beachtet. Daher ist es ratsam, mehr Aufmerksamkeit und Zeit auf die eigene Entscheidung zu legen. Zum Beispiel: „Ja, mein Gegenüber trägt einen teuren Anzug. Macht es die Person deswegen vertrauenswürdiger?“
Zweitens: Es empfiehlt sich, die Autorität zu überprüfen. Lassen Sie sich von der Polizei einen Dienstausweis zeigen und rufen Sie bei Anrufen von vermeintlichen Instituten, Behörden oder Dienststellen sicherheitshalber unter der offiziellen Nummer zurück.


Reziprozität: Der Trick vom Geben und Nehmen

Reziprozität ist ein Begriff in der Psychologie, der sich auf das Prinzip des Gebens und Nehmens bezieht. Es besagt, dass Menschen dazu neigen, sich auf die gleiche Art und Weise zu verhalten, wie sie behandelt werden.

Menschen, die nur nehmen und selten oder nie geben, wirken auf die meisten Menschen unsympathisch und egoistisch. Deswegen neigt man in der Regel dazu, beim Zurückgeben sogar eher etwas mehr zu geben, um nicht in den Verdacht zu geraten, egoitisch zu sein. Vertreter:innen und Verkäufer:innen und auch Betrüger:innen nutzen diese Methode, um ihre Erfolgschancen zu erhöhen. So verteilen sie beispielsweise Gratisproben, überreichen auf der Straße eine Blume oder eröffnen das Gespräch mit einem kleinen Geschenk. Hat mir mein Gegenüber erst einmal etwas geschenkt, fühle ich mich quasi „in der Pflicht", mich zu revanchieren. Im schlimmsten Fall passiert das dann in Form einer Handlung, die ich im Normalfall gar nicht machen würde.

Dieses Prinzip funktioniert auch mit Zugeständnissen. So gibt es die „Neuverhandeln-nach-Zurückweisen-Taktik“. Der Anbietende beginnt mit einem deutlich erhöhten Preis, nach Ablehnung wird dann ein neues, deutlich billigeres Angebot offeriert. Das Gegenüber macht einem also ein Zugeständnis, auf das man meint, eingehen zu müssen.

Um sich zu schützen, ist es sinnvoll, bei Geschenken zu überlegen, warum der oder die andere so großzügig ist. Wird versucht, das Gefühl der Verbundenheit auszunutzen, um beispielsweise einen teuren Kauf abzuschließen oder vertrauliche Informationen zu bekommen? Wenn man sich klarmacht, dass der Gefallen oder das Geschenk nur ein Manöver ist, um sich einen Vorteil zu verschaffen, verliert die Reziprozitätsregel ihre Wirksamkeit, denn man sieht den vermeintlichen Gefallen, als das, was er ist: ein Bestechungs- und Betrugsversuch.


Konsistenz: Der Drang, konsequent zu sein

Menschen neigen dazu, in Konsistenz mit ihren früheren Handlungen zu sein. Der Drang, konsequent zu sein, geht sogar so weit, dass man falsche Entscheidungen die man betroffen hat, nicht korrigiert, nur, um nach außen hin als konsistent zu gelten.

Mitarbeitende von Tierschutzorganisationen eröffnen ihr Verkaufsgespräch gerne mit der Frage, ob man Tiere mag. Hat man diese Frage bejaht und damit ein Selbstbild des Tierfreunds dokumentiert, ist man dazu geneigt, nahezu alles zu tun, um mit diesem Selbstbild konsistent zu bleiben. Die Chancen auf eine Spende steigen!

Auch bei der „Throwing-a-low-Ball-Taktik“ wird diese menschliche Eigenschaft ausgenutzt. Ein PKW wird sehr günstig, weit unter dem üblichen Marktwert, angeboten. Nimmt man als Opfer dieses Super-Angebot an, stellt sich dann, nachdem der Papierkram erledigt ist, überraschend heraus, dass der Betrag aufgrund eines Fehlers zu niedrig ist und man den Preis auf den üblichen Marktpreis erhöhen muss.

Sehr viele Kunden akzeptieren dann das neue Angebot und fallen auf den Trick rein, da mit dem Ausfüllen der Formulare schon eine Zusage gemacht wurde. Ein Rückzug vom Verkauf wäre nun gefühlt inkonsequent.

Schützen kann man sich von dieser Betrugsmasche mit einem anderen psychologischen Kniff. Der Psychologe Robert Zajonc hat im Jahr 1980 in einer Studie nachgewiesen, dass wir Gefühle Sekundenbruchteile vor unserer verstandesgemäßen Antwort wahrnehmen. Verkürzt könnte man sagen: Die Menschen merken erst im Magen oder im Herzen, dass sie betrogen werden. Falls Sie also Zweifel an der Ehrlichkeit einer Person haben, fragen Sie sich einfach, wie Sie aufgrund der aktuellen Wissenslage entscheiden würden und achten Sie dabei genau auf Ihre allererste Gefühlsregung. Falls Sie hier ein komisches Gefühl haben, sollten Sie die Entscheidung auf alle Fälle überdenken und vorsichtig sein.


Soziale Bewährtheit: Wenn andere das auch machen…

Wenn zahlreiche andere etwas machen, oder schon gemacht haben, oder kaufen, kann es so falsch ja nicht sein, oder? Im Allgemeinen führt diese Denkweise zu weniger Fehlern, denn die Chance, dass ein Produkt gut ist, weil es von vielen anderen bereits benutzt wird, ist ja relativ hoch.

Problematisch wird es, wenn versucht wird, aufgrund einer vermeintlichen Bewährtheit, Menschen zu falschen Entscheidungen zu verführen. Auch die Werbung arbeitet mit dieser Methode und versucht, die Attraktivität von Produkten durch Beliebtheit und große Zuwachsraten zu erhöhen. Und wer hat noch nicht in einem Verkaufsgespräch das Argument gehört: „Das wird sehr gerne genommen, das habe ich auch zu Hause“?

Der Schutz vor dieser Methode ist schwierig, denn man kann kaum verhindern, dass man das Verhalten anderer in seinen eigenen Entscheidungsprozess mit einbezieht. Schützen kann man sich vor dieser Masche, indem man versucht, auf offensichtlich falsche Informationen zu achten und Entscheidungen in Ruhe und rational zu überdenken.


Sympathie: Der ist doch so nett!

Sympathie spielt in allen sozialen Beziehungen eine sehr große Rolle. Leider oft auch in Betrugssituationen.

Genutzt wird weiterhin sehr gerne der so genannte Halo-Effekt, bei dem ein auffälliges Merkmal bzw. eine hervorstechende Eigenschaft die alle anderen Charakterzüge einer Person überstrahlt. Aus diesem einen Merkmal wird dann ein subjektives Gesamtbild konstruiert. So kann beispielsweise eine Brille dazu führen, dass ein Mensch als schlauer und intelligenter eingeschätzt wird, als jemand ohne Brille.
Wenn also der falsche Kriminalbeamte am Telefon ist und freundlich auf die Gefahr hinweist, die durch eine Einbrecherbande in der Nachbarschaft bestünde, neigt man als potenzielles Opfer dazu, diesem netten freundlichen Mann zu vertrauen, auch, weil er scheinbar so sympathisch ist.

Ein beliebter Trick am Telefon ist auch die Vorgabe eines gemeinsamen Problems: „Die von der IT haben mal wieder Mist gebaut…“. Auch ähnliche Interessen und Hobbys sowie Schmeicheleien können diesen Sympathieeffekt herstellen und zum erfolgreichen Überzeugen beitragen.

Wie kann man sich schützen? Überlegen Sie sich, ob Sie die gleiche Entscheidung fällen würden, wenn Ihr Gegenüber nicht so sympathisch oder attraktiv wäre. Gehen Sie fest davon aus, dass Kriminelle in solchen Dingen geschult sind und diese Methode ganz bewusst einsetzen.


Knappheit und Zeitdruck: Schnell handeln, sonst ist es weg!

Im Social Engineering wird oft mit Zeitdruck gearbeitet, um die Opfer dazu zu bringen, unüberlegt und schnell zu handeln. Durch das Vortäuschen einer Notlage oder das Erzeugen von Stress werden Menschen dazu gebracht, schnelle Entscheidungen zu treffen, ohne ausreichend zu überlegen oder etwas zu hinterfragen.

Oft wird auch mit der Knappheit eines Gutes gearbeitet, denn je seltener eine Ware ist, desto mehr gewinnt sie an Wert. Leicht durchschaubar wird mit dieser Technik auf den Shopping-Kanälen im TV und auch Websites gearbeitet, wenn der Eindruck vermittelt wird, dass nur noch ganz wenige der unglaublich attraktiven Haartrockner verfügbar sind und man nun ganz schnell handeln muss, um selbst auch noch ein Gerät „abzubekommen“.

Schützen kann man sich, indem man sich nicht unter Zeitdruck setzen lässt und sich die Möglichkeit zum Nachdenken verschafft. Und auf den Trick der Knappheit aufmerksam zu werden, ist sehr leicht, denn schließlich wird dieses Thema offensiv beworben oder kommuniziert.


Vorsicht und die Entdeckung der Langsamkeit

Sich vor Social Engineering zu schützen, ist nicht ganz einfach, denn die Täter:innen arbeiten mit perfiden, psychologisch ausgefeilten Tricks – auch mit Verhaltensmustern, die meist sozial sogar erwünscht sind.

Reagieren Sie mit einem gesunden Misstrauen, überprüfen Sie vermeintliche Autoritäten und vor allem, lassen Sie sich nicht unter zeitlichen Druck setzen! Reagieren Sie vorsichtig auf Geschenke von Fremden und tappen Sie nicht in die Sympathie-Falle! Das Team von kartensicherheit.de ist am Thema Social Engineering kontinuierlich dran und wird Sie, auch nach diesem allgemeinen, psychologischen Überblick, weiterhin über aktuelle Entwicklungen und die neuesten Betrugsszenarien informieren.


Quellen:

Wikipedia

https://www.myrasecurity.com/de/knowledge-hub/social-engineering/

https://www.degruyter.com/document/doi/10.1515/iwp-2014-0039/html?lang=en