Maßnahmen gegen Social Hacking

Maßnahmen gegen Social Hacking

IT-Systeme sind ständig der Gefahr ausgesetzt, dass sie gehackt, mit Malware kompromittiert oder anderweitig missbräuchlich verwendet werden. Da Hersteller und Programmierer immer ihre Systeme ständig weiterentwickeln und dadurch auch die Sicherheit tendenziell stetig verbessert wird, haben es Hacker immer schwerer, mit rein technischen Mitteln in fremde Systeme einzudringen.

Es zeichnet sich bereits seit Jahren der Trend ab, dass verstärkt auf Social Hacking gesetzt wird, vielfach in Kombination mit technischen Mitteln. Mit Hilfe von Social Hacking wird, zum Teil mit psychologischen Tricks, versucht, das menschliche Verhalten auszunutzen oder diese zu bestimmten Handlungen zu bewegen, z.B. die Preisgabe von Informationen.

Um das Risiko, Opfer von Social Hacking zu werden, soweit es geht zu minimieren, sollte man neben allgemeinen Schutzmaßnahmen sich einige Regeln auferlegen. Da es kein Patentrezept und keinen 100%igen Schutz gibt und von den persönlichen Umständen abhängen, müssen sie individuell erarbeitet werden. Daher sind die nachfolgenden Punkte lediglich als grobe Richtung zu verstehen und müssen ggf. ergänzt und erweitert werden.

  • Nur vertrauenswürdige Quellen nutzen: Wenn man Hard- oder Software beschafft oder sonstige Dienste nutzt, z.B. im Internet, dann sollte man das nur bei absolut vertrauenswürdig einzustufenden Quellen tun. Vor allem im Internet kann man z.B. sehr einfach Programme und Dateien runterladen. Soweit es geht, sollte das nur direkt über die Webseite des Herstellers geschehen. Illegale Downloads sollte man generell unterlassen, da diese oft mit Malware kompromittiert sind.
  • Vorsichtiger Umgang mit gebrauchter Ware: Beschafft man sich gebrauchte Waren, sollte man diese mit Vorsicht genießen. Denn, theoretisch könnte alles vor dem Verkauf manipuliert worden sein. Ist z.B. ein gebrauchtes Gerät beschafft, sollte man diese vor der Benutzung auf die Werkseinstellungen zurücksetzen. Wenn man selbst gebrauchte Geräte verkauft, sollte man diese vor dem Verkauf ebenfalls auf die Werkseinstellungen zurücksetzen.
  • Handhabung gebrauchter Datenträger: Generell sollte man keinerlei gebrauchte Datenträger wie z.B. Festplatten oder USB-Sticks verwenden bzw. kaufen. Ein gebrauchter Datenträger könnte so manipuliert sein, dass man die Manipulierung nicht entdeckt, auch nach einer Formatierung nicht. Gebrauchte Datenträger, die man selbst einmal verwendete, sollten nicht an andere Personen übergeben bzw. verkauft werden. Der neue Besitzer könnte mit verschiedenen Tools die Daten wiederherstellen, samt persönlichen Daten und evtl. gespeicherten Passwörtern. Im Falle nicht verwendeter Festplatten sollte man alle Daten darauf restlos löschen, die Festplatte digital schreddern und zur endgültigen physischen Vernichtung an einen vertrauenswürdigen Dienstleister übergeben, selbst wenn es Geld kostet.
  • So wenig Hard- und Software wie möglich verwenden: Jedes System, das eingerichtet und verwendet wird, stellt eine mögliche Missbrauchsquelle dar. Um die Risiken soweit es geht zu minimieren, sollte man nur die Systeme verwenden, die auch benötigt und benutzt werden. Benutzt man z.B. ein Mobilfunkgerät nur zum Telefonieren und um SMS zu verschicken, sollte man nicht unbedingt ein Smartphone mit allerlei technischer Ausstattung beschaffen .
  • Nicht verwendete Funktionen deaktivieren: Falls ein System Funktionen enthält, die man nicht benutzt, sollte man diese soweit es geht deaktivieren. Ruft man z.B. nie kostenpflichtige Mehrwertrufnummern an, sollte man diese am besten vom Provider deaktivieren bzw. sperren lassen, bei dem man den Mobilfunkvertrag abgeschlossen hat.
  • Maximalbeträge einrichten: Bei vielen Banken kann man tägliche, wöchentliche oder monatliche Maximalbeträge einrichten, bis zu der man Einkäufe, Überweisungen oder Geldabhebungen tätigen kann. Davon sollte man Gebrauch machen und die Beträge restriktiv handhaben (so gering wie möglich). Sollte nämlich trotz aller Vorsichtsmaßnahmen ein Missbrauchsfall eintreten, so kann man den Schaden auf diesem Wege zumindest in Grenzen halten.
  • Phishing E-Mails und Webseiten erkennen: Vielfach wird versucht, die Benutzer mit gefälschten E-Mails auf gefälschte Webseiten umzuleiten, um von dort sensible Daten der Benutzer in Erfahrung zu bringen. Diese werden Phishing E-Mails und Phishing-Webseiten genannt. Diese sind häufig an folgenden Merkmalen zu erkennen:

    • Keine Anrede mit vollem Vor- und Zunamen: Man sollte darauf achten, wie die Kommunikation mit dem jeweiligen Anbieter normalerweise ist. Enthält die Anredezeile normalerweise den Vor- und Zunamen und bekommt man plötzlich eine E-Mail ohne die Nennung des Namens, könnte das auf eine Phishing E-Mail deuten. Auch falsch geschriebene Namen oder falsche Anreden (Herr/Frau) können auf eine Phishing E-Mail hindeuten.
    • Geänderte Adresse der Webseite: Die jeweiligen Anbieter im Internet sind normalerweise über eine bestimmte Adresse zu erreichen, z.B. example.com. Häufig werden Benutzer auf Phishing Webseiten mit einer ähnlichen, jedoch nicht identischen Internetadresse umgeleitet. Die kleinen Unterschiede fallen häufig erst bei genauem Hinsehen auf. Es wird manchmal auch versucht, die Benutzer mit Internetadressen wie z.B. xyz.example.abc.example zu verwirren. Für solche Fälle sollte man sich merken, dass die Hauptadresse immer rechts angeordnet ist. Im Falle von abc.example.com wäre die Hauptadresse example.com. Der Teil abc wäre nur eine Unteradresse (Subdomain) zur Hauptadresse. Eine Webseite kann auch mehrere Unteradressen haben, die jeweils durch einen Punkt getrennt sind, z.B. abc.xyz.example.com.
    • Verschleierung von Linkzielen mit Bildern: Eine E-Mail kann mit Bildern so gestaltet werden, dass sie schön aussieht. Das nutzen manche Versender von Phishing E-Mails und fälschen diese mit Bildern, so dass man denken könnte, sie stamme vom echten Anbieter. Die gefälschte Internetadresse, worauf sie die Benutzer hinleiten wollen, wird dabei häufig mit einem Bild versteckt, das als Schaltfläche dient. Die tatsächliche Internetadresse bringt man meistens durch Ablesen über die Statusleiste in Erfahrung, wenn man den Mauszeiger über die Schaltfläche positioniert (nicht klicken). Eine weitere Sicherheitsmaßnahme ist, die E-Mailansicht auf Nur-Text umzustellen. So werden keinerlei Bilder angezeigt, sondern nur der Text. Die E-Mails sehen dabei zwar nicht schön aus, dafür kann aber nichts hinter Bildern verschleiert werden. Sensible Internetadressen wie z.B. von einer Bank sollte man generell über die Adresszeile des Browsers eintippen und dabei Tippfehler vermeiden.
    • Formularfelder in E-Mails: Einige Phishing E-Mails enthalten Formularfelder und die Benutzer werden verleitet, in diese sensible Daten wie z.B. Passwörter, PIN's und TAN's einzutippen. Man sollte generell niemals persönliche oder sensible Daten in Formularfelder von E-Mails eingeben.
    • Rechtschreib- und Grammatikfehler: Viele Phishing E-Mails werden von Personen aus dem Ausland verschickt. Auch wenn sie sich bemühen, im Text die deutsche Rechtschreibung und Grammatik zu beachten, fallen diese häufig durch fehlerhafte Texte auf. Manche E-Mails werden sogar komplett in einer ausländischen Sprache verfasst. Wenn man keinerlei Beziehungen zu englischsprachigen Anbietern hat, kann man meistens davon ausgehen, dass es sich um eine Phishing E-Mail handelt.
    • Erzeugung von Zeit- und Handlungsdruck: In vielen Phishing E-Mails wird der Eindruck erweckt, dass man schnellstmöglich handeln sollte. Beispielsweise wird häufig behauptet, dass der Zugang zum Konto oder die Kreditkarte gesperrt wird, wenn man nicht bis zu einem gewissen Datum handelt. Man sollte sich generell nicht unter Zeit- oder Handlungsdruck setzen lassen. Im Zweifelsfall sollte man solche Dinge mit der Bank persönlich klären.

  • Restriktive Preisgabe persönlicher Daten: Besonders im Internet kann man auf vielen Webseiten Konten (Accounts) einrichten, wo weitere persönliche Daten eingegeben und gespeichert werden. Die Preisgabe persönlicher Daten sollte man ziemlich restriktiv handhaben und nur das angeben, was nach eigenem Ermessen notwendig und plausibel ist. Werden zu viele Daten abgefragt und möchte man diese nicht preisgeben, sollte man im Zweifelsfall lieber auf die Einrichtung des Kontos bei dem Anbieter verzichten. Generell sollte man so wenig Online-Accounts wie möglich besitzen. Auch im persönlichen Umfeld sollte man so wenig wie möglich über sich verraten. Insbesondere sollte man darauf achten, keine Informationen preiszugeben, die man für sicherheitstechnische Zwecke verwenden kann, z.B. Benutzernamen, Passwörter oder Antworten zu Sicherheitsfragen, die man auf vielen Webseiten hinterlegen kann.
  • Vorsichtige bzw. keine Teilnahme an Umfragen: Für Hacker ist es besonders wichtig, an Informationen über potenzielle Opfer zu gelangen. Hierfür täuschen sie häufig eine persönliche oder Online-Umfrage im Internet vor. Unter dem Vorwand einer Umfrage können sie problemlos sensible Informationen erlangen, z.B. bei welcher Bank man Kunde ist oder ob und wo man Online-Einkäufe tätigt. Diese Informationen können dann für weitere Angriffe genutzt werden. Falls man an einer Umfrage teilnimmt, sollte man sensible Daten nicht preisgeben und unter Umständen die Umfrage gar ganz abbrechen. Um die Risiken zu minimieren, könnte auf die Teilnahme an Umfragen auch komplett verzichten.
  • Von Aggressivität oder Autorität nicht beeindrucken lassen: Häufig gehen Hacker verbal ziemlich aggressiv vor und bearbeiten die Opfer mit allerlei psychischen Tricks, um sie zur Preisgabe sensibler Daten zu bewegen. Ein beliebter Trick ist auch, eine Autoritätsperson vorzutäuschen, z.B. als Abteilungsleiter des Unternehmens oder als wichtiger Kunde. Von solchen Dingen sollte man sich nicht beeindrucken lassen und standhaft bleiben, wenn es darum geht, sensible Informationen zu schützen. Kaum eine seriöse Autoritätsperson wird bzw. sollte so etwas verlangen.
  • Lange, komplexe, einzigartige, nicht gespeicherte Passwörter: Bei der Vergabe von Passwörtern sollte man darauf achten, dass jedes Passwort einzigartig, lang und komplex aus Buchstaben in Groß- und Kleinschreibung, Zahlen und Sonderzeichen bestehen. Nach Möglichkeit sollten Passwörter nicht in Dateien oder Programmen gespeichert werden.
  • Professionelles Antivirenprogramm und Firewall: Jedes Gerät gehört durch eine Firewall und Antivirensoftware geschützt. Bei der Auswahl ist darauf zu achten, dass diese die neuesten Malware und Hackingmethoden möglichst frühzeitig entdecken. Auch sollte es einen gewissen Schutz gegen unbekannte, aber verdächtige Aktivitäten bieten. Daneben sollte es einfach und verständlich zu konfigurieren sein.