Die soziale Manipulation ist eine der ältesten Techniken, die auch in der Offline-Welt häufig zum Betrug genutzt wird. Mit der Entwicklung des Internets, wurde diese Methode auf die Online-Welt übertragen. Bei der sozialen Manipulation schlüpft der Angreifer in eine andere Rolle und versucht ein vertrauenswürdiges Verhältnis zu seinem Opfer aufzubauen, um an vertrauliche Informationen oder kostenlose Dienstleistungen zu kommen. Dabei sammelt der Angreifer soviel Informationen wie möglich über eine Person oder Firma.
Dieses Angriffsverfahren hat zwar nicht direkt mit der Sicherheit einer Webanwendung zu tun, zählt aber trotzdem zu den Sicherheitslücken, da ein Angreifer durch den Risikofaktor „Mensch“ an Zugangsdaten oder anderen sensiblen Daten gelangen kann. Mit diesen Daten bekommt er Zugang zu internen Bereichen im Web, die nur privilegierten Nutzern zugänglich sein sollten. Phishing ist auch eine vorm von Social Engineering.
Beispiel
Das bekannteste Beispiel ist Frank Abagnale Jr., der Ende 1960 über 2,5 Mio. US-Dollar durch das Social Engineering erbeutete. Bekannt wurde er vor allem durch den Film „Catch me if you can“ aus dem Jahr 2002.
In der Computerwelt, ist das bekannteste Beispiel Kevin Mitnick, der durch diese Methode mehrfach in das Computersystem des Pentagons eindringen konnte. Mitnick war zu seiner Zeit der meistgesuchteste Hacker. In einem Interview mit Technologie Review gab er ein Bespiel für den Risiko Faktor Mensch.
„Vor einiger Zeit machte das US-Steueramt (IRS) ein Sicherheits-Audit. Es wurden 100 IRS-Manager angerufen und man gab vor, IT-Mitarbeiter beim IRS zu sein. Und 35 der Manager rückten freimütig ihr Passwort und ihren User-Namen am Telefon heraus.“[Mitnick 2008]
Keine ähnlichen Artikel.
RSS
