Social Engineering: Zwischen Kunst und Schande Marc Ruef | 23.03.2009 Das zentrale Instrument der technokratischen Informationsgesellschaft ist die Informationsbeschaffung. Auf der Basis der zusammengetragenen und ausgewerteten Daten können sodann effiziente und intelligente Entscheidungen getroffen werden. So agieren Privatpersonen, Firmen, ja gar ganze Staaten bzw. Staatenverbunde. Liest man sich in das Thema der nachrichtendienstlichen Tätigkeit ein, so fällt einem auf, dass dort vor allem der zwischenmenschliche Kontakt für die Beschaffung qualitativ hochwertiger Informationen angestrebt wird. Durch das sogenannte Human Intelligence (HUMINT) werden Quellen bewusst oder indirekt angegangen. Im Bereich der Computersicherheit wird ein vergleichbares Vorgehen als Social Engineering bezeichnet. Durch das geschickte psychologische Manipulieren des Gegenübers soll dieses zu einer kompromittierenden Handlung (z.B. Herausgabe von Passwörter) bewegt werden. Wir erhalten regelmässig Aufträge für solche Social Engineering-Zugriffe. Unser Hauptkunde bemüht sich um die Aufdeckung von mutwilligen Betrugsfällen im Finanzbereich. Die Betrugsaufklärung fokussiert sich dabei auf klassische Techniken der Informationsbeschaffung. Die meisten Mitarbeiter sind ehemalige Polizisten, die sich entsprechend durch eine Kombination aus wissenschaftlicher Auswerung (Forensik), einem Netz von Informanten und den Möglichkeiten legaler Beschattung an den Fall herantasten. Man ist geneigt diese Abteilung mit einer "internen Detektei" zu vergleichen. Je länger je mehr wird das Internet zum zentralen Medium des alltäglichen Lebens. Neben dem Bereitstellen von Daten wird es als soziales Gefüge und für den Austausch von Informationen gebraucht. Es liegt deshalb nahe, dass die Informationsbeschaffung auf diesen Bereich der modernen Gesellschaft ausgeweitet wird. Dabei wird zwischen passiver bzw. indirekter Datensammlung (Footprinting) und aktiver Informationsbeschaffung (Social Engineering) unterschieden. Beim Footprinting werden die typischen Quellen, vorzugsweise Suchmaschinen (http://www.google.com) und Webseiten (http://www.xing.de), abgesucht. Es sollen so viele Informationen wie möglich zur Zielperson oder einem Zielobjekt (z.B. Auto oder Wohnhaus) zusammengetragen werden. Dank dieser Daten können dann Profile erstellt werden, anhand deren Indizien sich der Sachverhalt in seiner Richtigkeit erkennen lassen müsste. Seit einigen Jahren werden hierzu gerne Personensuchmaschinen wie yasni.de (http://www.yasni.de) und 123people.de (http://www.123people.de) verwendet. Doch irgendwann stösst man beim Footprinting an, denn schlussendlich lassen sich nur Daten sammeln, die auch vorhanden sind. Bei der aktiven Informationsbeschaffung wird sich quasi um das Generieren neuer Daten bemüht. In unserem Fall wird auf der Basis des Footprintings ein Social Engineering angestrebt. Dies findet meist über elektronischen Weg, also per Email oder Telefon/SMS, statt. Wichtigste Grundlage einer solchen verdeckten Operation (Covert Operation) ist das Erstellen und Wahren einer sogenannten Legende. So wird im Internet eine Identität angelegt oder eine andere "ausgeliehen". Man gibt sich also als eine Person aus, die man selbst nicht ist. Sei dies nun als alter Bekannter, der mal wieder Kontakt haben möchte (im Zeitalter von Facebook nichts Besonderes). Oder halt als eifriger Schüler, der zu einem Thema einen Vortrag zu schreiben hat. Ich selbst verfolge da eine pragmatische Strategie, die eine sehr solide Aufklärungsrate aufzuweisen hat. In den letzten 10 Jahren habe ich tausende Emails erhalten und geschrieben. Deshalb meine ich sehr gut zu wissen, welche Mitteilungen einem für eine umfassende Rückantwort anregen und welche nicht. Wichtigste Grundvoraussetzung für eine Antwort ist: Das Gegenüber muss einem sympathisch sein, man muss sich schon fast mit ihm identifizieren können. Aus diesem Grund nehme ich gerne falsche Namen an, die sehr ähnlich sind wie der Name der Zielperson. Wäre ich als Marc Ruef nun die Zielperson, würde ich mich selbst mit einem Namen wie Markus Reinle anschreiben. Wieso? Die Initialen sind identisch (MR). Zudem sind die Namen Marc (frz.) und Markus (dt.) eine Ableitung von Marcus (lat.). Wer könnte besser wissen, wie sich ein Marcus fühlt, weder jemand, der selber fast einer ist. Ruef und Reinle sind zudem sehr ähnlich. Dieser emotionale Effekt bindet und verpflichtet das Gegenüber. Der empathische Mensch wird es tunlichst unterlassen, einem "Verbündeten" eine Antwort schuldig zu bleiben. In der eigentlichen Nachricht gilt es darauf zu achten, dass man ebenfalls eine emotionale Bindung auf intellektueller Ebene herstellen kann. Ideal ist es, wenn man eines der Hobbies der Zielperson kennt und sich in irgendeiner indirekten Weise auf dieses beziehen kann. Ist jemand zum Beispiel am Formel 1-Sport interessiert, kann man darauf achten, dass man sich eine Mailadresse wie rennbolide1@gmx.ch oder ferrariracer@gmail.com zugelegt. Sofort ist auch auf dieser Ebene der Link hergestellt. Wichtig ist zu bemerken, dass in einer solchen Investigation zuerst ein Vertrauensverhältnis aufgebaut werden muss, bevor die zentrale Information angegangen wird. Ein kurzer Dialog von 2-3 Emails sollte reichen, bis man mit der eigentlichen Frage - diese gilt es natürlich subtil einzustreuen - auftritt. "Ich plane mit meiner Frau einen Urlaub. Wo warst Du denn das letzte mal in den Ferien?" Eine Frage, die unscheinbar wirkt - Im Fall einer Investigation jedoch spielentscheidend sein kann... Ich bin ein sehr ehrlicher Mensch und kann es beinahe nicht ertragen, lügen zu müssen. Aus diesem Grund fällt es mir manchmal sehr schwer, im Rahmen eines Social Engineering-Auftrags meine Zielperson kaltblütig zu manipulieren. Doch gerade jene Investigationen, die einen gross angelegten Betrug aufdecken können, rechtfertigen das unschöne Handeln. Ich gehe hier also bewusst den Weg, durch ein kleines Unrecht ein grösseres Unrecht zu beenden. Ich wünschte mir dennoch, dass dies nicht nötig wäre.