Social Engeneering - offline Sicherheitsrisiken im Internet

Ich nehme hier jetzt mal als Beispiel Paypal, wo ich schon einige Jahre einen Account habe, welchen ich aber nur sehr selten benutze. Dort habe ich letzte Woche angerufen, da ich mein Passwort vergessen hatte und keinen Zugang mehr zu der bisherigen Emailadresse hatte. Also habe ich dort bei dem Support angerufen und ohne viel Gerede hat ein Mitarbeiter meine Emailadresse umgestellt und ich habe einen Link an diese neue Emailadresse bekommen, mit welchem ich mein Passwort einmalig ändern konnte.

Ich fand das sehr gut, dass es so einfach ging. Aber im Nachhinein fand ich das dann doch ein wenig zu leichtsinnig von dem Mitarbeiter. Er wollte glaube ich nur meine Kontonummer wissen, was ja auch nicht besonders schwer ist heraus zu finden, wenn jemanden persönlich kennt.

Gerade bei Paypal oder dem Online-Banking sollte man sehr aufpassen, dass niemand das Passwort knacken kann und somit Zugang zu dem eigenen Konto hat. Doch wie ist das denn bei solchen Sicherheitsrisiken außerhalb des Internets? Ich habe vor einigen Jahren mal den Film gesehen in dem ein Teil des Lebens von irgendeinem sehr bekannten Hacker verfilmt wurden. Darin wurde immer wieder gezeigt, dass er überhaupt nicht viel programmiert oder sich irgendwo rein "hackt".

Meistens hat er alles nötige mit Hilfe von "Social Engeneering" herausgefunden. Er hat also so auf seine Opfer eingeredet, dass sie ihm das Wissenswerte freiwillig beziehungsweise aus versehen erzählten. Was meint ihr denn dazu? Als einfacher Kunde bei Paypal könnte man sich ja nicht gegen so etwas schützen. Ich habe auch mal einen Mann mit einem T-Shirt mit der Aufschrift "Social Engeneering Specialist - There no Update for stupidy of humens" gesehen. Das fand ich sehr lustig, da es irgendwie sehr zutreffend ist.

Allerdings wissen so etwas doch geschulte Mitarbeiter und durch eine solche Schulung haben dieses ja quasi ein "Update" bekommen oder? Was meint ihr denn über Social Engeneering? Ist das denn heute immer noch das größte Risiko im Internet oder ist die Menschheit hier mittlerweile vorsichtiger beziehungsweise misstrauischer?

Ich verstehe die Verwunderung nicht wirklich. Denn natürlich ist die erste Quelle über ein potentielles Opfer das Opfer selbst. Wenn es darum geht, eine Person anzugreifen, dann holt man sich doch natürlich zuallererst möglichst viele Informationen über diese Person. Das geht dann gerne auch weit über das hinaus, was z.B. über Wikipedia (wenn es eine prominente Persönlichkeit ist) herauszufinden ist. Dazu gehören doch Selbstverständlichkeiten wie die Namen der Kinder, der Frau, der Eltern und entsprechende Geburtsdaten (alles wichtig für Passworte oder Variationen daraus). Das sind dann schon mal Informationen, die man auch über Small-Talk mit dem Opfer oder mit diesem nahestehenden Personen herausfinden kann. Ebenso dieses "Social Engeneering" steht als Einfallstor Nummer 1 seit jeher da! Es ist also eher die Ausnahme (oder einem glücklichen Zufall zu verdankenden), dass jemand Online sich für/über eine Dritte ihm unbekannte Person irgendwo "einhackt".

Das genannte Beispiel mit dem PayPal Konto ist zwar letztlich ein erschreckendes Beispiel. Aber hier muss man auch sehen, dass es ansonsten schwer wäre, sowohl die Sicherheit zu gewährleisten, als auch deinem Wunsch nachzukommen und dir Zugriff zu gewähren. In deinem Fall hoffe ich mal sehr, dass neben der Kontonummer dein Name, Geburtstag und die alte Mailadresse abgefragt wurden. Um einfach ein wenig "Plausibilität" (wenn schon nicht Sicherheit) in die Sache zu bringen. Was wäre schon die Alternative gewesen? Selbst wenn ein "Telefon-Banking" Passwort vergeben wurde, besteht immer die Gefahr, dass auch dieses vergessen wird. Und dies kann nicht die Folge haben, dass das Konto für alle Zeit gesperrt bleibt.

Ich finde "Social Engineering" ist ein sehr interessantes Thema. Ich habe das erste mal davon gehört, als ich einen Thriller von Jefferey Deaver gelesen habe. Das war - wenn auch natürlich eher überzogen - schon recht faszinierend bis beängstigend, zumal das wirklich jeder mit etwas Zeit und oft auch unabhängig von Programmierfähigkeiten bis zu einem gewissen Grad praktizieren kann. Dein Beispiel mit Paypal ist gar nicht so abwegig.