Beim IT-Security Meetup Kassel ist Social Engineering immer wieder ein wichtiges Thema, weil es ein gängiges Einfallstor für Cyberkriminalität darstellt. Im April 2018 war FACS-Experte Michael Willer dort zu Gast und erläutert hier noch einmal das Thema für uns.
Die psychologische Manipulation von Menschen, um diese zu Handlungen oder Aussagen zu verleiten, welche nicht in ihrem eigenen Interesse sind oder zu denen sie vielleicht gar nicht berechtigt sind, nennt man in der Informationssicherheit Social Engineering (SE) oder Human Hacking.
Schwachstelle Mensch
Wenn der Hacker technisch nicht weiter kommt, bedient er sich der „Schwachstelle Mensch“ um die notwendigen Schlüsselinformationen für seinen Angriff zu gewinnen.
Einen professionellen Human Hacker zeichnet eine besonders hohe soziale Kompetenz, hohe kommunikative Fähigkeiten sowie ein sicheres Auftreten aus. Bei einem Social-Engineering-Angriff werden menschliche Eigenschaften, wie zum Beispiel Neugier, Angst, Druck, Leichtgläubigkeit, Hilfsbereitschaft, Lob und Anerkennung ausgenutzt.
Durch das bewusste Auslösen dieser menschlichen Eigenschaften werden die Opfer in einen für sie unkontrollierten und irrationalen Reflex versetzt. Dieser konditionierte Reflex funktioniert über jeden Kommunikationskanal. Während dem Angreifer am Telefon lediglich der auditive Kanal zur Verfügung steht, so hat er im direkten Angriff, also Face-to-Face mit seinem Opfer, die meisten Möglichkeiten, seinen Angriff erfolgreich umzusetzen, da er auf allen Kommunikationskanälen ein Feedback seines Opfers erhält. Nimmt sich ein Human Hacker vor, bei seiner Zielperson z. B. Angst vor Autoritäten auszulösen, wird er nach Angstsignalen bei seinem Opfer suchen, um sicher zu gehen, dass er seinen Plan erfolgreich umsetzen kann.
Je schneller er das verbale und nonverbale Feedback seines Opfers für sich zu nutzen weiss, desto schneller wird er seine Taktik ändern, anpassen oder, wie in diesem Beispiel, den Druck noch erhöhen können.
FACS: Ins Gesicht geschrieben
Ein wichtiges Feedback für den Human Hacker ist die Mimik seines Opfers. Im Gesicht kann er die Emotion ablesen, welche er auslösen wollte und bekommt somit ein echtes Feedback auf seinen Angriff. SE Profis nutzen daher das Facial Action Coding System, kurz FACS als SE-Tool.
Das 1978 zuerst publizierte Facial Action Coding System, engl. für „Gesichtsbewegungs- Kodierungssystem“ ist ein unter Psychologen weltweit verbreitetes Kodierungsverfahren zur Beschreibung von Gesichtsausdrücken.
Die Wissenschaftler Dr. Paul Ekman und Wallace Friesen haben bei ihren Forschungen in den frühen 1970er Jahren nachgewiesen, dass es keine Rolle spielt, woher ein Mensch kulturell stammt, welche Erfahrungen er gemacht hat oder wie er sozialisiert wurde, jeder Mensch hat das gleiche Basisrepertoire an mimischen Gesichtsausdrücken.
Die verräterischen Sieben
Diese „sieben Basisemotionen“ sind somit bei jedem Menschen auf der Welt gleich und Dr. Ekman hat zusätzlich nachgewiesen, dass es für uns Menschen nicht möglich ist, diese durch eine Emotion ausgelöste Mimik zu unterdrücken.
Selbst wenn wir bewusst versuchen würden, unsere Emotion zu verbergen, würde unser Gesicht für einen Bruchteil einer Sekunde die passende Mimik zur Emotion zeigen. Diese Mikroausdrücke dauern nur zwischen 40-500 Millisekunden, das ist abhängig von der Intensität der erlebten Emotion.
Es ist uns nicht möglich, diese Mikroausdrücke gänzlich zu verbergen, da Emotionen durch das limbische System verarbeitet werden und dieses immer schneller arbeitet als unsere Großhirnrinde, welche u.a. für unsere logischen Denkprozesse zuständig ist.
Das menschliche Gesicht besteht aus 43 Muskeln und einem beweglichen Knochen, dem Kiefer. Das Zusammenspiel von nur 8 Gesichtsmuskeln und dem Kiefer ermöglicht es uns, etwa 10.000 Gesichtsausdrücke zu produzieren. Davon wurden ca. 3000 durch Dr. Paul Ekman und Wallace Friesen identifiziert und in sieben Gefühlsausdrücke, die sieben Basisemotionen, klassifiziert.
Die sieben Basisemotionen sind: Freude, Angst, Trauer, Ekel, Verachtung, Wut und Überraschung.
Bekannt geworden ist das Facial Action Coding System durch die US-Amerikanische TV Serie „Lie to me“, bei der Dr. Ekman in der ersten Staffel noch mit Regie geführt hatte.
Social Engineering mit FACS in der Praxis
Ein Human Hacker möchte das Besuchsmanagement eines Unternehmens umgehen und erklärt einem Angestellten der Zielfirma, welcher gerade bei einer Zigarettenpause an einem Seiteneingang steht, dass er als Handwerker vor zwei Stunden im Gebäude war, aber leider sein Handy auf dem WC hat liegen lassen. Er hätte sich schon lange auf der nächsten Baustelle melden sollen und habe nun Angst, Probleme mit seinem Chef zu bekommen. Das Handy sei sehr wichtig für Ihn, da seine Freundin hochschwanger sei und er jeden Moment mit ihrem Anruf rechne. Er möchte sich auch ungern am Empfang der Firma anmelden, da die Empfangsdame den Vorfall seinem Chef melden könne und ihm das alles sehr peinlich sei. Er verspricht dem Angestellten, sich zu beeilen und löst bei seinem Opfer Mitgefühl aus. Dieses zeigt nun den Gesichtsausdruck der Trauer, sofern es dem Hacker die Story glaubt. Wir alle sind schließlich auf unser Smartphone angewiesen und können uns leicht in die Situation hineinversetzen, unser Telefon zu verlieren. Entdeckt der Human Hacker nun das mimische Signal für Trauer auf dem Gesicht seines Opfers, weiß er, dass er den richtigen Trigger gesetzt hat und seine Taktik nicht ändern muss.
Fazit
Es bedarf ein wenig Übung, aber wer in der Lage ist diese Mikroausdrücke bei seinem Gesprächspartner zu sehen, wird immer einen entscheidenen Vorteil in der Kommunikation haben.
Gastbeitrag von Michael Willer, Human Risk Consulting GmbH
+++
Empfehlung der Redaktion: Was tun gegen digitalen und analogen Trickbetrug? Wer sich eingehender mit dem Thema Social Engineering befassen möchte, dem sei dieser Text empfohlen.
