Social Engineering
K4tana, Oliver Reithmaier mit seinem Vortrag beim 37C3, "Social Engineering: Geschichte, Wirkung & Maßnahmen": media.ccc.de/v/37c3-11721-social_engineering_geschichte_wirkung_massnahmen
Transkription
[0:01] Hier ist das politopia-magazin, Euer gesellschaftspolitisches Magazin bei Radio X, dem Frankfurter Bürger Radio.
Schön, dass ihr dabei seid. Schön, dass ihr zuhört.
Wir unterhalten uns heute über Social Engineering. Bei Social Engineering geht es darum, dass Leute anderer Leute Einflüssen bestimmte Informationen preiszugeben oder bestimmte Dinge zu tun, also ihr Verhalten zu ändern.
[0:30] Das ist eine Methode, die wird oft eingesetzt beim Verkaufen oder wenn euch Leute hinters Licht führen wollen, betrügen wollen oder vielleicht auch in eurem Interesse euer Verhalten in eine bestimmte Richtung lenken wollen.
Wir haben hier einen Vortrag, der ist von 37,3, also dem 37.
Chaos Communication Congress.
Das ist eine Veranstaltung vom Chaos Computer Club. Da gibt es immer Vorträge, spannende Sachen zu hören.
Da hat der Oliver Reitmeier mit seinem pseudonymen Katana einen Vortrag gehalten.
Der ist Psychologe und sein Vortrag heißt Social Engineering, Geschichte, Wirkung und Wissenschaft.
Alles, was ihr über Social Engineering wissen wolltet, aber nie die Zeit hattet zu fragen.
In seinem Vortrag erzählt Katharina eben, wie die Zusammenhänge sind und wie einzelne Dinge auch konkret funktionieren. Das heißt, ihr könnt da ein bisschen einen Einblick gewinnen.
Wir werden die Sendung auch wieder auf unserer Webseite haben Politmagazin de Und dort gibt es auch Links, zum Beispiel zu dem Originalvortrag, wo auch alle Folien zu sehen sind.
Das heißt, viele Bilder und Illustrationen und Grafiken kann man dort auch dann sehen und kann auch nachvollziehen, wie die Sachen zusammenhängen.
Also Oliver Reitmeier mit seinem Vortrag Social Engineering.
[1:53] Ja. Danke. Schön, dass ich hier sein darf. Schön, dass ihr alle hergekommen seid.
Zu meinem Talk über Social Engineering. Alles, was Sie immer über Social Engineering wissen wolltet, aber nie die Zeit hatte zu erfragen.
Ganz kurz über mich. Wer ich bin, was ich so mache. Ihr kennt mich hier unter Katana als Speaker.
[2:13] Er will nur einmal. Okay? Im Real Life heiße ich Ally.
Ich bin Psychologe. Also auch einer von diesen Psychologen, die sich hier manchmal einschleichen in den Kongress.
Ich bin Social Engineer, derzeit wissenschaftlicher Mitarbeiter und Doktorand an der Leibniz Uni Hannover im Fachgebiet Security Privacy.
Ich mag Nerdkram, ich mag Social Engineering, ich mag Forschung, Geschichte, Daten und Privacy.
Und das soll es dann auch schon gewesen sein. Zu mir. Ich möchte diesen Talk starten mit einer kleinen Story.
Das hier ist das, was ich die Fusion unter einem Großvater vorstelle.
Es geht nämlich um meinen.
Und der stand eines Tages in seiner Küche und hat einen Anruf bekommen.
Und er nimmt ab. Auf der anderen Seite ein kleines Mädchen, offensichtlich, die einfach geweint hat und meinte Es ist so schlimm und helft mir doch bitte Und meine Mama Und das ist alles so schlimm.
Und dann wollte er erst mal wissen, wer denn überhaupt. Wer ist denn da? Ja, die Enkelin.
Und er meinte ja, wer denn jetzt? Die Anna oder die Jenny? Ja, ja, die Jenny ist dran. Und die Mama. Und die hat so einen schlimmen Unfall gebaut und es war alles total konfus. Und irgendwann sagte das Mädchen Ich gebe jetzt mal den Polizisten. Und dann hat sich eine Männerstimme gemeldet.
Ja, hier ist der Kommissar Soundso.
[3:28] Die Mutter von der Jenny hat hier einen ganz schlimmen Unfall gebaut, mit einem Radfahrer. Der Radfahrer ist tot und da müssen sie.
Wir müssen jetzt erst mal den Vorgang hier klären.
In der Zwischenzeit ist meine Großmutter dazugekommen, hat mitgekriegt, da ist ein weinendes Mädchen am Telefon. Sie meinte Wer ist das denn?
Dann meinte mein Großvater immer die Jenny.
Und sie geht ran und hört eben auch das Mädchen weinen. Und der Polizist redet auf sie ein und meint Wir müssen aufpassen.
Wir müssen in Untersuchungshaft nehmen und es gäbe da die Möglichkeit, sie über Kaution frei zu lassen, weil sonst könnte das sich hinziehen.
Und er weiß auch nicht, ob das jetzt für die Tochter so gut ist.
Und meine Großmutter meinte Ja. Was? Was? Okay, was kostet das denn?
Und er meinte naja, 70.000 €.
[4:13] Würde das kosten. Und meine Großmutter war erst mal total perplex und meinte Ich weiß gar nicht, ob ich so viel Geld habe.
Worauf der Polizist natürlich hilfreich gesagt hat. Ja gut, wenn sie vielleicht irgendwelchen Goldschmuck zu Hause haben oder irgendwelche uhren, dann könnten sich da bestimmt irgendwie Lösungen finden lassen.
Woraufhin meine Großmutter schon erstmal sehr misstrauisch wurde und gesagt hat So, ich fahre jetzt zur Polizei. Und prompt wurde das Gespräch auch aufgelegt.
Ja, das kennen viele von euch, Das ist der sogenannte Enkeltrick.
Das ist Social Engineering in Reinform. Und ich finde, das, was ich gerade erzählt habe, enthält alles, was ich heute so ein bisschen behandeln will. Es ist eine Geschichte.
Es enthält die Wirkungsweise von Social Engineering. Macht sie klar, wie das funktioniert und zeigt auch so Maßnahmen und das ist so der dritte Teil in meinem Talk, die ich so ein bisschen beleuchten will, was man da eigentlich machen kann dagegen.
Wir arbeiten heute relativ stark wissenschaftlich. Ich habe sehr, sehr viel gelesen für diesen Talk, sehr, sehr viele Quellen rausgesucht.
Und wenn man wissenschaftlich arbeitet, braucht man am Anfang eigentlich immer erst mal eine Definition über das, worüber man redet.
Wenn man selber Diffusion fragt, was ein stereotypical Social Engineer doing his work ist, kommt das hier dabei heraus.
[5:35] Seltsam. Ja, es ist ein Mann. Okay, der baut da irgendwas. Ich glaube, das hat nicht so ganz verstanden, was das bedeuten soll.
Wenn wir die Praktiker fragen, die wirklich Social Engineering machen und dafür bezahlt werden, dann sagen die zum Beispiel. Das ist das von Kruses Energie.
[5:52] Social Engineering ist Any act that influence is a person to take in action that may or not be in the best interest. Also jede Aktion, die Menschen dazu bringt, etwas zu tun, ob das jetzt in ihrem besten Sinn ist oder nicht, finde ich persönlich sehr schön.
Die Wissenschaft ist da immer so ein bisschen eingeschossen auf diesen Security und böse Aspekt.
Hier haben wir eine Definition. Ich kann diesen Namen nicht aussprechen.
Korrekt, Ich weiß es nicht, aber dieses Paper auf jeden Fall definiert es so Social engineering is focused on the exploration of a human in order to gain on autorized access to information.
Man merkt, da ist eine Schiene drin. Ja, Exploration of a human Ausnutzen von Menschen, um irgendeine Information zu gelangen, die man eigentlich nicht ran gelangen sollte.
Okay, zwei Varianten. Ich finde die erste schöner und ich glaube, das wird ein bisschen klarer, wenn man sich überlegt, wer macht denn überhaupt Social Engineering?
Da gibt es verschiedene Akteure und ich habe das so ein bisschen securitymäßig aufgesplittet. Wir haben einmal die Blackheads, wir haben die Whiteheads auf der anderen Seite und dazwischen ist irgendwie so ein Mischmasch.
Also Greyheads nennt man das auch manchmal. Und bei den Black Hats gibt es ganz klar die Kriminellen. Das sind diese Trickbetrüger, das sind Leute, die euch Phishing E Mails schicken usw.
Es gibt Geheimdienste, die Black Heads machen. Das ist ganz normal, das gehört dazu. Das ist deren Job.
Und auf der Seite haben wir zum Beispiel Red Teamer. Das sind eben diese professionellen Leute, die das im Sinne des Guten machen, die dafür angeheuert werden, um zu sehen, haben wir Schwachstellen.
Und wir haben Laien und Laien. Und Geheimdienste sind so ein bisschen auch teilweise im Great Bereich unterwegs, ob das absichtlich oder unabsichtlich.
[7:19] Weiß man nicht immer so genau. Jetzt werde ihr wahrscheinlich sagen Warum hast du die Hacker nicht erwähnt?
Ich habe Hacker überall reingeschrieben, weil ich persönlich einmal finde, dass wir das Wort aus dieser negativen Definition der Öffentlichkeit streichen müssen.
Hacker ist wertneutral und hat nicht immer zwingend was mit kriminellen Handlungsweisen zu tun.
Deswegen stehen die in allen drei Kategorien.
[7:47] Und dann habe ich Laien vergessen. Warum stehen hier Laien?
Ganz einfach weil Laien der größte Anteil an Social Engineers sind.
Immer. Ja, und ich werde euch auch garantieren. Ihr alle seid mal Social Ingenieur gewesen oder seid es sogar immer noch. Beispiel Kinder.
Kinder weinen künstlich, um das zu bekommen, was sie wollen.
Social Engineering. Emotionale Manipulation.
Eltern manipulieren Kinder. Wenn du jetzt die Hausaufgaben machst, darfst du eine Stunde länger am PC sitzen.
Social Engineering Verkäufer Hey, dieser Schuh, den gibt es nur noch einen Monat und dann wird die Edition vom Markt genommen.
Also wenn du den jetzt nicht kaufst, gibt es ihn nicht mehr.
Social Engineering und Politiker naja, die versprechen das Blaue vom Himmel, damit du sie wählst. Also das sind quasi berufliche Social Engineers, nur ein bisschen anders.
[8:49] Natürlich, Wenn man über etwas sprechen möchte, muss man sich auch die Geschichte anschauen, um zu verstehen, wo es herkommt und um es dann auch zu erklären.
Und es ist eine sehr lange Geschichte, wenn wir uns Social Engineering anschauen.
Tatsächlich wissen wir, wer oder was der allererste Social Ingenieur war überhaupt.
Und wir wissen das, weil es eine Quelle gibt, die so circa 3000 Jahre alt und die sagt eben dieser Social Engineer aus dieser Quelle.
[9:22] Der war in Black Head und viele von euch denken sich jetzt vielleicht interessant, Welcher Mensch war das denn? Das war ein Tier.
[9:36] Diese Schlange, die letztendlich uns alle verdammt hat, nicht mehr im Paradies zu sein.
Nein, Scherz natürlich. Das ist die Bibel. Das muss man nicht unbedingt alles wörtlich nehmen, was da drinsteht.
Schauen wir uns doch lieber mal Quellen an, wo wir sagen können Das ist vielleicht ein bisschen gefestigter, was Wissen angeht.
Und da würde ich so ein bisschen mal vor 3000 vor Christus anfangen.
Das ist so das erste, wo wir wirklich schriftliche Quellen bekommen, die so ein bisschen erhalten sind.
Bis 1800 habe ich jetzt erst mal gemacht, danach sind wir ein bisschen weiter.
Das ist in der Zeit alles sehr stark mit Geheimdiensten verknüpft, weil Geheimdienste natürlich natürlich auf Social Engineering angewiesen sind, um zu funktionieren.
Das erste, was wir da haben, ist das alte Ägypten. Tatsächlich, Man weiß, dass die im Sudan ein großes Spionagenetzwerk hatten.
Was die da gemacht haben, ist nicht so klar. Aber die haben sich auf jeden Fall, weil Sudan eine Kolonie war, da immer regelmäßig Informationen beschafft, was da so abgeht.
[10:34] Wer kennt diese Maske hier? Das ist verknüpft mit Griechenland.
Das stellt Agamemnon dar, das kennt man aus der Ilias.
Und was man auch weiß, ist, dass zwischen verschiedenen Stadtstaaten im antiken Griechenland es auch Spionage gab, zwischen Athen, zwischen Sparta.
Die haben regelmäßig Leute hin und her geschickt, um zu sehen, wie, was, Was ist da in der Politik los, wie ist deren Bewaffnung stand.
Und diese Leute mussten natürlich auch benutzen, um sich dort einfinden.
Es gibt sogar alte Texte, wo primitive Kryptographie Techniken beschrieben werden.
Das ist sehr interessant.
Wir haben das alte Rom. Rom hatte einen sehr organisierten Geheimdienst.
Das nannte man umentary.
Die waren so ein bisschen eine Mischung aus Stasi und Auslandsgeheimdienst.
Die haben letztendlich im Reich geschaut, ob es irgendwelche Dissidenten gibt und natürlich bei Völkern, die sie unterjochen wollten oder schon haben auch Informationen eingeholt.
Wurden dann auch 300 nach Christus aufgelöst, weil die so einen schlechten Ruf hatten. Das hing ein bisschen damit zusammen, dass die Leute gefoltert haben. Nicht so gut.
[11:37] Das hier ist ein bisschen später dann.
Das ist einer der ersten Mönche, die von dem Papst in das Mongolenreich geschickt wurden. Da gab es mehrere Versuche, da diplomatische Beziehungen aufzubauen.
Und der eigentliche Zweck dieser Beziehungen? Die sind dann dahin, die haben Geschenke überbracht.
[11:55] Der eigentliche Zweck war natürlich, die Truppenstärke zu erforschen, wie die aufgebaut sind in ihrer Organisation, was da abgeht.
Da gab es mehrere solche Missionen und das war gezielte Social Engineering vom Vatikan.
Ja und abschließend hier oder was heißt fast abschließend Hier haben wir noch Francis Wasingham.
Das war ein britischer Spymaster, der hieß tatsächlich so, das war der erste, der diesen Namen trug.
Der hat innerhalb Europas ein großes Netz an Spionage aufgebaut, hat die Leute dazu bewegt, ihnen Informationen aus dem Vatikan zukommen zu lassen oder eben auch aus Englands Inneren heraus.
Ja, und der Höhepunkt finde ich an dieser ganzen Geschichte und die liebe ich total.
Das ist die Geschichte von William Chalons versus Isaac Newton.
Was man, was viele nicht wissen. Isaac Newton war der Chef der Royal Mint in England. Das ist die Münzprägebehörde.
Zu dieser Zeit wurden geschätzt ungefähr 10 % der englischen Münzen Münzen gefälscht, die im Umlauf waren.
Und William Turner hatte da eine nicht unbedeutende Hand drin.
Das war der beste Münzfälscher aus seiner Zeit. Und was der mit Social Engineering zu tun hatte, war, der hat immer seine Kollegen social engineered, dass sie für ihn arbeiten und hinterher, wenn sie ihn quasi hochnehmen wollten, hat er gesagt Nee, nee, nee, nee.
Also wenn ihr mich hochnehmen wollt, dann verpasst ihr ganz viel.
Weil für mich arbeiten ganz, ganz viele Leute, die ich euch verraten kann, wenn ihr die Jobs nehmt und nicht mich.
[13:16] Das hat er die ganze Zeit gemacht, also mindestens dreimal. Hat funktioniert.
Und irgendwann haben sie ihn trotzdem gehängt und öffentlich ausgeweidet. Aber das passiert.
[13:27] Jetzt finde ich die modernere Geschichte um Social Engineering spannender.
Die beginnt so um 1850 rum, weil da natürlich die Leute mehr lesen und schreiben konnten und die Geschichten auch stärker aufgeschrieben wurden.
Das erste, was man so erwähnen sollte, war William Thompson.
Das war der schlechteste Social Ingenieur aller Zeiten. Und dieser Mensch, der das Wort Conan geprägt hat, ganz einfach deswegen, weil er zu Leuten hingegangen ist und gesagt hat Gib mir mal deine uhr, oder gib mir mal diese 1.000 £ hat er 4000 Mal gemacht, hat fünf Mal geklappt. Er ist reich geworden.
[14:06] Deswegen Conference. Mann, der hat halt einfach dieses Selbstbewusstsein, um zu Leuten hinzugehen und sagen Gib einfach mal hier.
Der hat diesen Begriff geprägt. Spannender finde ich, dass es hier auch Frauen gibt, die hervorstechen.
Das ist Adele Spitzeder, das ist eine Münchnerin.
Diese Frau ist die erste Person, die ein funktionierendes System aufgebaut hat.
Also quasi dieses Schneeballsystem, wie man es im Deutschen kennt.
Die hat eine Bank gegründet, hat Investoren gewonnen und diese Investoren mit dem Geld der neuen Investoren bezahlt.
Insgesamt hat sie 400 Millionen Mark oder was das damals waren erwirtschaftet. Gulden, glaube ich.
Und sie hat eben neue Investoren, so ein bisschen Social Engineer, dass sie sagen Hey, ich habe ein tolles System und so einfach eine Verkaufstaktik, und hat war damit sehr erfolgreich, hat auch nie, wurde auch nie wirklich streng bestraft, ist damit ganz gut über die Runden gekommen.
Zweite Frau Mata Hari ist wahrscheinlich den meisten hier ein Begriff.
War eine Spionin, die für die Deutschen um den ersten Weltkrieg rum Informationen aus Paris und Holland eingesammelt hat.
Auch sehr bekannt als in diesem Kontext. Aber auch was sie gemacht hat, war pures Social Engineering.
[15:16] Das ist eine meiner Lieblingsgeschichten. Das ist Victor. Lustig.
Das war. Der heißt wirklich so?
Das war in Österreich ungarischer Mensch, der sich in Paris als Baron ausgegeben hat und irgendwie in diese High Society eingeschmuggelt hat.
Und das, was ihm berühmt gemacht hat, war Er ist irgendwann mal zu sechs Schrotthändlern gegangen und hat gesagt Ja, ich bin von der Regierung.
Und dieser Eiffelturm, der, der wird alt und wir wollen den irgendwie neu bauen.
Und jetzt suchen wir natürlich Schrotthändler, die uns diese Altlast abkaufen.
[15:50] Und nebenbei bemerkt Ich bin ja Beamter. Ihr wisst, wie wenig Beamte verdienen.
Und jetzt natürlich die Frage Ihr seid alle sechs hier.
Ich weiß nicht, wie mich das geben soll. Was die Schrotthändler natürlich verstanden haben. Und einer von denen hat denen ein beträchtliches Bestechungsgeld und die Summe für den Eiffelturm bezahlt.
Woraufhin dieser Mann ganz schnell verschwunden ist. Aus Paris.
Und das war eben das, was ihn relativ legendär gemacht hat.
Aber ups, Verzeihung, das wurde getoppt.
Hier ist kein Bild, weil es für diese Personen keine verlässliche Quelle gibt, wie er jemals ausgesehen hat.
Das ist ein Inder. Er wird Natascha genannt.
Dieser Mann ist erst 2001 gestorben.
Aber der war berühmt. Der hat das Taj Mahal mehrere Male verkauft an Menschen.
Das indische Parlament verkauft an Menschen inklusive Parlamentariern.
Das muss man sich mal vorstellen.
Und andere Regierungsgebäude ist sieben Mal aus dem Gefängnis ausgebrochen.
Einmal als 84-jähriger Rollstuhlfahrer? Ich weiß nicht.
[17:10] Ich weiß nicht wie, aber er hat es geschafft. Das ist so der King, glaube ich. Wenn es um Trickbetrug geht.
Wir haben hier jemanden, der ist mit unserer Geschichte in Deutschland sehr verknüpft. Das ist Markus Wolf, das war der Leiter der Hauptverwaltung Aufklärung, dem Auslandsgeheimdienst der DDR.
Was eher unbekannt ist. Das war einer der besten Geheimdienste, die es jemals gegeben hat.
Die waren relativ ungeschlagen in ihrem Feld und auch deswegen, weil Markus Wolf die Romeo Methode eingesetzt hat.
Er hat quasi Menschen oder Männer hauptsächlich angeheuert, um sich an Sekretärinnen einflussreicher Persönlichkeiten in Westdeutschland ran zu machen.
Die die dann überzeugt haben, Informationen an die Agenten weiterzugeben.
Das hat er sehr, sehr viel Erfolg.
Und wenn man gewissen Quellen glaubt, ist da noch ganz viel auch noch nicht aufgetaucht. Insofern war er wohl sehr erfolgreich damit.
[18:02] Ja, und wenn wir über Social Engineering reden, darf man diesen Mann eigentlich nicht vergessen. Das ist Kevin Mitnick. Der ist in Security Kreisen wahrscheinlich sehr bekannt.
Ich würde nicht sagen, er war der Social Engineer, der irgendwie diese ganzen modernen Methoden erfunden hat. Aber er war zumindest der, der sie bekannt gemacht hat.
Er hat Sachen wie Sims Swapping ganz stark nach vorne getrieben, hat Social Engineering am Telefon ganz stark ausgebaut und auch darüber berichtet und wurde auch dann später mit seinen Büchern relativ bekannt.
Dadurch sind auch interessant zu lesen.
Also wer da Interesse hat, kann sich Kevin Bücher mal durchlesen.
Ja, das war das jetzt bis heute. Wie sieht es heute aus? Das meiste heute ist Phishing. Ja, da brauchen wir auch wieder eine Definition.
Das von Janssen und Solms. Ich finde die ganz schön Phishing electronic user to konform to some actions, sensitive information.
Also wir überzeugen oder wir täuschen Leute elektronisch. Das ist wichtig, damit die uns quasi das tun, was wir von ihnen wollen. Und meistens geht es dabei um sensitive Informationen.
[19:00] Das geht über verschiedene Vektoren. Wir haben einmal E Mail, E Mail. Phishing. Kennt wahrscheinlich jeder. Bekommt jeder.
Das ist normal. Es gibt Telefon übers Telefon. Das nennt man dann Phishing.
Also wenn Leute angerufen werden. Das wurde hier am Anfang schon erwähnt.
Es gibt sogar Messaging, Ihr kennt diese, diese DHL DPD Messages manchmal, die da kommen. Ihr Paket liegt irgendwo und sie müssen da was zahlen.
Und es gibt mittlerweile auch Dinge über diese Fakes, aber die sind so irrelevant, weil die sehr selten sind und natürlich auch sehr viel Vorbereitung brauchen.
Deswegen lasse ich es jetzt erst mal unerwähnt. Natürlich gibt es immer noch Social Engineering, was in Persona funktioniert.
Klassischer Fall ist Industriespionage, geheimdienstliche Operationen, die fast auch immer Industriespionage sind heutzutage irgendwie verdeckte Ermittler bei der bei den Strafverfolgungsbehörden und natürlich Trickdiebstahl, wie beim Enkeltrick.
Die Schwierigkeit und Häufigkeit von Email sehr, sehr leicht bis hin zu in persona, was sehr sehr schwer ist, wenn man das richtig machen will.
Und genauso hält sich mit der Häufigkeit Email. Ich glaube, es werden pro Jahr pro Tag 3 Milliarden Phishing E Mails oder Spam E Mails zumindest verschickt.
Ankommen tun 500.000, aber das ist immer noch sehr viel.
[20:12] Interessant ist es, wenn man so den Return of Invest anschaut.
Es ist eher umgekehrt, also tatsächlich.
Oder es ist hält sich, verhält sich ein bisschen schwieriger.
Email hat natürlich auch dementsprechend großen Erfolg, weil wenn einer klickt, kriegst du manchmal viel Geld. Okay, aber in Persona klappt eigentlich meistens sehr gut, weil das immer Personen sind, die das sehr gut können.
[20:31] Und genauso verhält sich das auch so ein bisschen mit der der der Häufigkeit.
Wie gesagt, wenn wir. Okay, jetzt wissen wir, wo wir sind.
Und was ich auch versprochen habe, ist, dass ich mir ein bisschen die Wirkung anschaue und da werde ich jetzt erst mal drei Modelle vorstellen und die kommen aus der Psychologie.
Ihr kennt vielleicht aus einem von Linus Talks dieses System eins, zwei, das machen wir heute nicht, weil ich finde, dass das ein bisschen zu einfach ist. So ein B auch nicht so schön.
Das erste, was wir brauchen, ist das vier Ohren Modell. Das kennen manche vielleicht aus der Kommunikationsschulung in der Arbeit.
Das beschreibt Missverständnis. Quellen in der Kommunikation und Missverständnisse sind immer Sender Empfänger Konflikt in diesem Modell.
Jede Nachricht hat so viel Ebenen Sachebene, Selbstoffenbarung, Appell, Ebene, Beziehungsebene und die.
Können Sender so meinen und Empfänger anders verstehen. Und ich möchte euch das jetzt mal so ein bisschen zeigen, wie das funktioniert am Beispiel einer Phishing E Mail.
Das ist eine echte Phishing E Mail, die mal so rumgelaufen ist und ein Social Engineer. Wenn so eine Phishing E Mail schreibt, dann schreibt er die immer so, wie es in den Ohren der Empfänger ankommen soll.
Und dann gucken wir mal was ist denn hier? Wir haben ja immer die Sachebene.
Ja, hier ist eine neue Datei. Das ist relativ wertneutral.
[21:49] Wir haben die Selbstoffenbarung sebene, das ist ein Bot, der mir das geschickt hat. Ja, has been shared with you automated e mail.
Relativ klar, wer das mir schickt, das ist ein Bot. Die Beziehungsebene steht hier unten in diesem kleinen Logo. Ja, wir kennen uns.
Du benutzt meine Dienste. Ich bin freundlich.
Und der Appell ist wirklich ganz klein. Loggt dich doch ein und guckt mal nach.
[22:15] Das sind die vier Ohren und so, so, so funktioniert das, wenn man das richtig macht.
Das zweite, was ich besprechen will, das kognitive Dissonanz haben bestimmt auch schon ganz viele gehört.
Uraltes Konzept gibt es seit den 50er und 60 wurde ist jetzt das Paper, was ich hier zitiert habe von Leon Festinger.
Kognitive Dissonanz ist immer innerhalb einer Person, wenn es zwei Ereignisse gibt. Ich nenne jetzt mal A und B, die sind erstrebenswert für die Person, aber die stehen einander im Weg.
Beispiel Ich hätte Bock Poker zu spielen im Casino und ich habe eigentlich keinen Bock, Geld zu verlieren.
Das sind zwei Ereignisse, die erstrebenswert sind, aber sich im Weg stehen.
[22:52] Da gibt es so ein paar Moderatoren, die dann entscheiden, ob sich für das eine oder das andere entschieden wird.
Grundsätzlich braucht man immer Wahlfreiheit. Also ich habe die Wahl, das eine oder das andere zu tun. Es gibt keine begrenzenden Faktoren, die mich daran hindern.
Ja, dann ist die Frage Gibt es negative Konsequenzen, wenn ich das eine oder das andere tue?
Klar, wenn ich Pokern Poker spiele, kann ich Geld verlieren, wenn ich kein Pokerspieler. Kann es sein, dass mein Abend nicht so toll wird?
Wer weiß das schon? Und dann ist das Wichtige die internale Rechtfertigung.
Also kann ich es für mich mit mir vereinbaren, dass ich ein bisschen Geld verliere, aber Spaß habe?
Oder verzichte ich lieber auf den Spaß und sage Naja, dafür habe ich mein Geld noch und kann das für was anderes ausgeben.
Und das führt dann dazu, dass entweder die eine oder die andere Option gewählt wird. Und das wird sich dann immer schön geredet hinterher. So löst man eine kognitive Dissonanz.
Ein Social Engineer Wenn es nur ein Ereignis gibt und wir wollen das aber nicht, dann erzeugen wir ein neues Ereignis, nämlich b Wir verändern die Rahmenbedingungen so, dass A verliert, oder wir beeinflussen die Person in anderer Form.
Dass A verliert, dass sie nicht mehr so toll findet. Einstellungen verändern geht alles.
Beispiel So einmal kurz klatschen, wer dieses Gebäude kennt.
[24:06] Einmal. Wer es nicht kennt, das. Der Cyberbunker.
Ja, das war ein Bunker, in dem sich ein paar Nerds eingeschlossen haben und Hosting für alle möglichen Webseiten betrieben haben, ohne wirklich darauf zu achten, was das für Webseiten waren.
Natürlich sind so freie Geschichten dem ein Dorn im Auge und deswegen wollten die das ausheben.
Die Aushebung war nur durch Social Engineering möglich, weil wenn alle Leute diesen Bunker waren, bist du gar nicht reingekommen. Der war zu.
Was haben Sie gesagt? Die hatten da einen Informanten drin. Und der Informant, hat dann gesagt Okay, wir können es mal probieren.
Ich werde jetzt den Leuten sagen, dass ich irgendwie aus dem Projekt austreten muss.
Und ich würde einfach wirklich gerne mit diesen Leuten, die da noch sind, so eine Art Abschiedsfeier machen, dass wir was essen, dass wir was trinken, das wir alle mal miteinander da ein bisschen Spaß haben, bevor ich weg bin.
Das Problem ist, die hatten eine Regel Mindestens einer muss im Bunker bleiben und diesen Bunker bewachen. Was hat der Mensch gemacht? Das Rahmenbedingungen verändert.
Ja. Kommen. Einmal. Ist keinmal. Kommen wir nicht mehr zusammen.
Ja, ich hätte wirklich gerne noch Bock mit euch trinken zu gehen.
Irgendwie hat das funktioniert. Die Leute sind essen und trinken gegangen.
Ergebnis Das Sicherheitslevel von dem Bunker War das? Ja. Ein Vorhängeschloss.
Was haben die Kollegen vom Vorgement sich gedacht?
Sie.
[25:34] Kognitive Dissonanz powerful stuff. Es gibt noch ein Modell und das finde ich an sich schön. Das ist ein bisschen komplex, aber es erklärt eigentlich jedes Social Engineering super schön oder beschreibt es zumindest.
Das Ganze heißt Celebration Modell. Das sieht jetzt komplex aus, aber das ist eigentlich super einfach. Wir haben einmal eine Quelle, da kommt eine Nachricht raus.
[25:55] Die Nachricht ist eine positive Nachricht. Die soll irgendwie überzeugen, die kommt zur Empfängerperson.
Und dann kommt es darauf an, hat die Empfänger Personen die Motivation, das zu tun, was die Nachricht von dir verlangt und überhaupt die Fähigkeit das zu tun. Und Fähigkeit heißt es nicht im Sinne von Skill, sondern mehr Gelegenheit.
Kann ich das gerade eben tun? Gibt es äußere Umstände, die mich daran hindern?
Ja, wenn sie beides hat, dann wird so eine Message immer zentral verarbeitet.
Das heißt, es wird pro und Contra abgewägt, Es wird überlegt, dass das die richtige Entscheidung ist, es die falsche Entscheidung.
Und das führt dann letztendlich zu einer Entscheidung. Zum Beispiel Autokauf.
Sehr komplexe Sache. Ich schaue mir die Texte an Was? Welches Auto ist besser, Welche Elektro Licht Diesel will ich? Was auch immer?
Ja, wenn man das nicht hat, diese Motivation und Fähigkeit, dann wirken periphere Reize und das ist die periphere Route. Nennt sich das Ja.
Das heißt, Gefühle sind wichtig, Ausdruck ist wichtig. Irgendwelche visualisierten Sachen sind wichtig, Emotionen sind wichtig und die führen letztendlich zu Entscheidungen, die das beste Beispiel dafür ist Parfüm, Werbung.
Niemand hört in der Parfumwerbung. Oh, unser Parfüm enthält irgendwie diese Zutat und diese Zutat. Es riecht nach Moschus.
Du hörst tolle Musik, du siehst schöne Menschen, du siehst tolle Farben und dann irgendwie Lärm oder irgendwie sowas. Und dann war's das.
[27:15] Das ist periphere Route. Es gibt keine Argumente für Parfüm.
[27:28] Was macht jetzt ein Social Engineering? Wir wollen auf keinen Fall diese zentrale Route. Die Leute.
Die machen sich dann Gedanken deshalb blöd. Ja, die sollen sich überlegen, ob wir ehrlich sind. Die sollen nicht überlegen, ob ich Recht habe.
Die sollen das machen, was ich will.
Das heißt, wir verändern wieder die Rahmenbedingungen und gucken, dass wir auf diese periphere Route gehen. Und dann geben wir ihnen einen peripheren Reiz, der passt.
Und hoffentlich wirkt das dann. Was meine ich mit Rahmenbedingungen?
Ich habe das jetzt schon ein paar Mal gesagt.
Drei Sachen Druck, Wahrnehmung, Fokus. Das sind Rahmenbedingungen.
Druck wird super gerne erzeugt, weil Druck verändert die Wahrnehmung.
Es gibt emotionalen Druck, es gibt Zeitdruck. Zeitdruck führt oft zu emotionalem Druck. Das verändert die Wahrnehmung.
Wir fokussieren die Leute auf das, was wir sie, auf das, was wir sie fokussieren wollen. Wir machen das auch oft.
Die wedeln rechts mit irgendwas in der Hand und im linken Ärmel haben sie das, was sie dann später in einen Hut platzieren oder so?
Das ist genau dasselbe. Und Fokus Auch wenn wir die Leute auf spezifische Sachen fokussieren, die gar nicht so wichtig sind, können wir das Wichtige irgendwie links vorbeigleiten lassen.
Das ist genau das, was Social Engineers machen, zumindest die Guten.
Und das ist genau das, was ich mit Rahmenbedingungen auch meine.
Und das wird von allen Social Engineers gemacht. Das ist genau das, worum es geht.
[28:42] Wenn wir das jetzt alles wissen, ist es schön und gut, weil diese Modelle erklären oder sie beschreiben.
Sie sagen nicht, wie das geht und das machen wir jetzt. Es gibt drei Sachen, die wichtig sind Bias, Prinzipien und Techniken.
Und die handeln wir erst mal ab. Aber zuerst mal ganz genau Was greifen wir denn überhaupt an?
Social Engineering hat ein paar Targets und die hat haben alle hier garantiert, Wünsche, Einstellungen, Gewohnheiten, Bedürfnisse, Wahrnehmungen, Emotionen und noch viel, viel mehr. Und das sind alles Targets, die ich als Social Engineering angreifen kann und für mich nutzen kann.
Bei wem wirkt also Social Engineering? Bei allen sozialen Lebewesen?
Ich habe das jetzt tatsächlich nicht auf Menschen beschränkt.
Es gibt Sachen, die sind verschieden verteilt in der bei uns, in der Menschheit.
Es gibt bestimmte Eigenschaften, die sind so wie die grüne Kurve verteilt.
Es gibt Eigenschaften, die sind in die blaue verteilt. Ein bisschen welche wie die rote. Das ist egal.
Und deswegen sind die Effekte von Social Engineering auch nie gleich.
Man muss sich immer überlegen Wen hat man da vor sich? Und deswegen ist Social Engineering auch ein Glücksspiel.
Leute, die gut mit Risiko und Wahrscheinlichkeit umgehen können, sind tendenziell besser darin, weil sie sich ungefähr denken können, wo es hingeht.
[29:54] Aber kommen wir zu dem ersten Ding, was wirklich hilft. Das sind kognitive Verzerrungen.
Auf Englisch heißt es Bias. Ich verwende das gleich.
Das sind generelle Tendenzen oder Denkmuster, die Menschen einfach haben.
Woher die kommen, weiß man nicht so genau. Das ist schwer auch zu erforschen.
Aber die beeinflussen, Erleben und Verhalten, das ist das, worum es in der Psychologie mehr geht. Die Psychologen werden sich jetzt denken Ja geil.
Und dieses Erleben und Verhalten werden in eine bestimmte Richtung verzerrt und deswegen nennt man das kognitive Verzerrung. Ich erkläre das gleich noch, was das ist.
Es gibt ein paar von denen. Ja, so könnt ihr euch mal genauer anschauen, wenn ihr wollt. Es von Design zusammengestellt.
Die sind empirisch erforscht. Ich gebe euch mal ein paar Beispiele.
Das kann die bekannteste kognitive Verzerrung oder der Bias.
Den kennt ihr garantiert alle.
Ist der Confirmation bias. Ja, man sucht gezielt Informationen, die die eigene Meinung, die man schon hat, bestätigt. Oder man wählt lieber Informationen aus, die genau das tut.
Ja, klassischer klassischer Bias, klassische kognitive Verzerrung.
Was ich cool finde, ist der IKEA Effekt.
[30:58] Das heißt so, weil er nämlich beschreibt, dass Leute, die etwas gemacht haben oder die eine Sache selbst gebaut haben, diese Sache mehr wertschätzen.
Dieser Effekt wird gerne von Fans German ausgenutzt.
Die rufen gerne aus Indien an und sagen Hey, du hast da ein Problem an deinem Computer, die lassen dich dann 50 mal durchklicken und irgendwann kommt so ein STANDARD Windows geht nicht mehr, weil ist halt nicht irgendwie und unser Betriebssystem ist scheiße.
Nachricht und.
[31:32] Und dann hat der User das er selber gemacht und denkt sich okay, da muss jetzt was falsch sein. Und dann sagt er vor uns Siehst du mal ne Lady, mal hier unser Patch runter und installiere das auf deinem Gerät.
Framing Effect superwichtig.
[31:51] Angenommen, wir sind eine Firma, Wir wollen das Blaue von verkaufen.
Das blaue Wohnen kostet 250 €. So wollen wir das verkaufen.
Jetzt stellen wir aber blöderweise noch dieses schwarze Phone her und das schwarze Vorne und das blaue Fundi unterscheiden sich zwar, aber eigentlich wollen wir das Blaue vom verkaufen. Wir verdienen ja mehr Geld. Was machen wir?
Wir setzen den Preisunterschied so, dass die Leute sagen Naja, das ist ja gar nicht mehr so viel.
Da nehme ich lieber das Blaue von. Und das ist genau das geht im Kino mit Popcorn genauso.
Leute wollen setzen die Preise so dass die teuerste oder die teuerste Option auch gleichzeitig die, die sich am meisten lohnt.
Vollkommen normaler Effekt funktioniert bei fast allem. Es gibt aber einen Endgegner im Bias Game.
Das ist der Bias Blind Spot. Das ist ein empirisch untersucht das Phänomen.
Und das besagt, dass Leute immer glauben, alle anderen Leute sind mehr als ich.
Wer das schafft, auszunutzen, ist der King unter den Social Engineers.
Weil du dann Leute, die Bias resistent sind oder glauben es zu sein, mit ihrer eigenen Bias Resistenz schlagen kannst. Das ist schon mal geil.
[33:05] Da geht es um so Sachen wie Sympathie usw und das spielt in das nächste rein, was ich mit euch besprechen möchte. Und das ist auch schon relativ bekannt eigentlich.
Das sind die Principles of Social Influence, die gibt es schon seit den 80er Jahren, hat Robert Chartini aufgestellt.
Das sind ein paar Stück. Es gibt Reziprozität. Ich gebe dir, du gibst mir ja Autorität. Bestes Beispiel Dr. Best Diesen Typen gab es nie.
Den haben die erfunden, damit da ein Zahnarzt steht und sagt, du sollst diese Zahnbürste kaufen.
Knappheit. Mangel. Habe ich vorhin schon erwähnt. Der Schuhverkäufer?
Ja. Intern alle Verbindlichkeit und externale Konsistenz.
Ein bisschen Erklärung notwendig. Wahrscheinlich Verbindlichkeit.
Heißt, Ich habe schon mal ja gesagt. Wenn ich jetzt Nein sage, stehe ich blöd da.
Starker Effekt. Kann man gut ausnutzen und Konsistenz geht nach außen.
Konsistenz heißt im Endeffekt Ich möchte nach außen wie ein sehr stabiler Mensch wirken in meinem Verhalten.
Also ich möchte nicht irgendwie abweichen und mal das eine, mal das andere tun, sondern ich bleibe konsistent in meinem Verhalten.
Sozialer Beweis ist super easy. Kennt ihr alle aus der Werbung?
95 % Prozent der Kunden schwören auf dieses Produkt.
3/4 der Leute würden das kaufen. Katzen würden Whiskas kaufen.
Keine Ahnung warum, aber das ist sozialer Beweis.
Und Sympathie ist das Einfachste auf der Welt. Ich mag dich.
Deswegen hätte ich gern, dass du mir. Was sagst, du nicht das dann mache. Ja, relativ simpel.
Es gibt eine schöne Anwendung dafür. Es gibt eine Technik, die heißt Love Berlin.
Das ist eine Verkaufstaktik.
[34:35] Die nutzt Verbindlichkeit und Konsistenz aus.
Das haben wir gerade schon besprochen. Und im Endeffekt kann man das runterbrechen auf Wir verkaufen ein Bild und dann berechnen wir jeden Pinselstrich einzeln.
Wurde auch schon mal wissenschaftlich beschrieben von Katja Müller.
Katja tauchen hier öfters auf, lesen wir deren Paper. Die sind cool.
Beispiel für lau. Barley Wir haben einen Verkäufer, wir haben Bob.
Der Verkäufer sagt zu Bob Hier, guck mal, dieser leistungsstarke Fruchtcomputer kostet nur 1.000 €.
Dann sagt Bob Geil nämlich. Eine Stunde später sagt der Verkäufer Ja, gut, 32 Gramm, 500 Gigawatt mehr Festplatte etc. machen dann inklusive Adapter 1.900 €.
Und dann sagt Bob habe doch schon Ja gesagt, Gib.
Das ist normal.
[35:28] Jetzt kennen wir so ein bisschen die Techniken und auch die Wissenschaft dahinter.
Kurze Zusammenfassung Social Engineering wirkt im Kopf.
Alles andere ist angreifbar, weil wir Menschen sind. Und das geht auch nicht weg. Und selbst wenn du glaubst, dass es weggeht oder dass es wächst, unterliegt du einem Bias.
Da werdet ihr jetzt vielleicht sagen Ja, aber Katana, Was ist denn mit dem tollen Wissen über unbewusstes Verhalten, das mir der freundliche FB Typ beigebracht hat?
Okay, Reden wir über nonverbales Verhalten.
[36:06] Prinzipiell fange ich mit einem Beispiel an Es gibt das hier, das ist Power Posing.
Das war ein super Hit in der psychologischen Literatur. Das ist, wenn man sich so hinstellt, irgendwie so oder so, ja, und das für eine gewisse Zeit macht, dann soll das mehr Selbstsicherheit und messbare positive Änderungen, Verhalten und Physiologie geben.
Cool, haben sich die Leute gedacht, das wäre ja super, wenn das funktioniert.
Das Ding hat einen katastrophalen wissenschaftlichen Absturz erlebt.
Das konnte nicht repliziert werden oder zumindest nur sehr schlecht.
Gab es keine Kontrollgruppen oder schlechte Kontrollkonditionen?
Ja, eine Metaanalyse hat null Effekte ergeben. Und letztendlich haben sie dann Zurückrudern gesagt.
Okay, okay, keine physiologischen oder Verhaltensmerkmale, aber dafür bestimmt kognitiver.
Ja. Und Social Engineering wirkt ja im Kopf und deswegen muss es gut sein.
Das haben sich die Praktiker im Social Engineering natürlich angeguckt und gesagt, Let's do it is ja super wichtig.
[37:02] Da gibt es halt so ein paar Grundprobleme. Ja. Die Leute sagen dann Ja, man kann doch Emotionen auch im Gesicht ablesen. Warum denn nicht?
Ist dann das Nonverbale nicht wichtig oder was? Ja klar kann man.
Ja, das gibt es, das hat man rausgefunden. Man kann Emotionen an Gesichtsausdruck ablesen.
Das ist einigermaßen unbestritten, sieht man hier, wenn man sich das mal so durchliest. Wir haben hier oben Zorn, Ekel, Freude, Angst, Trauer, Überraschung. Das ist relativ einleuchtend.
Blöd nur, dass der Körper Dinge entwickelt hat, die ja viel eindeutiger sind.
Wir haben wütenden Tonfall, wir haben Ekellaute, wir haben lachen, wir haben glucksen, wir haben Schreie, wir haben Körperhaltung bei Angst.
Wir haben Wein, wir haben einen sehr traurigen Tonfall und wir haben Laute des Erstaunens. Das ist alles viel eindeutiger.
[37:56] Ist natürlich die Frage. Man hat das Gesicht gesehen und gesagt Hey, warum können wir das nicht auch für Lügen machen? Gibt es nicht einfach Sachen, wo man Leuten ansehen kann, dass sie lügen?
So Sachen, die die machen, unbewusst.
Hab ich gedacht. Jetzt wo das ne Klassiker Problem ist. Da gab es sehr, sehr viele Probleme mit diesen Studien.
Methodologisch teilweise schlecht gemacht, teilweise schwer replizierbar, alterstechnisch ohne Diversität, teilweise tautologische Designs, was ein Totschlagargument ist eigentlich. Aber es ist trotzdem wichtig.
Und dieses Facial Action Coding System, was daraus entwickelt wurde, ist immer noch sehr hoch umstritten.
[38:34] Das alles ist so ein bisschen research. Die Grundidee ist das gelbe nonverbale Kommunikation, die Deception kennzeichnet. Und die Praktiker haben das natürlich aufgeschnappt und gesagt Das ist wichtig für Social Engineering.
Und deswegen ist es auch irgendwie immer noch Teil dieses Mythos, dass nonverbale Kommunikation in das Toolkit des Social Engineers gehört.
Weil Social Engineers beruflich Deception machen.
Die Qualität dieses Research ist leider mehr so eine. Sie ist ein Miami Folge mit Laborkittel.
Ich lasse jetzt hier die Studien weg. Ihr könnt mich hinterher fragen.
Nur gerne werden Wissenschaftler verklagt, wenn sie andere Wissenschaftler kritisieren.
Highlights sind falsche Zitationen, schlechte statistische Power.
Teilweise werden nicht empirische Quellen zitiert usw und so fort.
Und wahrscheinlich ist die Fehlerrate auch noch super hoch und die Effekte sind sehr klein. Was auch noch mal das größte Problem ist. Hier haben wir jetzt eine postfaktische Praxis, weil die das alle machen, oder warum?
[39:33] Das Problem ist. Praktiker verlassen sich auf Wissenschaftler.
Die müssen ja wissen, was sie tun. Wenn die aber nicht so genau wissen, was die tun und vielleicht irgendwas rausbekommen, was nicht so sicher ist, ist das schwierig. Dann haben die Probleme, das einzuschätzen.
Ich möchte da mal ein bisschen den psychologischen Hintergrund erklären.
Es gibt ein paar Grundsätze, da habe ich jetzt keine Quellen dabei, aber das müsst ihr mir halt einfach glauben.
[40:00] Das erste ist Unbewusstes und Bewusstes haben oft nichts miteinander zu tun.
Wenn ihr einen klassischen Amerikaner auf der Straße fragt Wie geht es dir? Sagt er fein.
Innerlich will er sich erschießen, aber er sagt das trotzdem.
Das ist eine habitualisierte Lüge.
Das ist nicht dasselbe, wie jemand sagt Ich habe diese Bank nicht ausgeraubt.
Das ist nicht dasselbe. Man kann von Unbewussten nie auf Bewusste schließen und umgekehrt auch von Handlungen, nicht auf Unbewusstes oder Bewusst zu schließen.
Zweitens Unbewusstes wird oft bewusst korrigiert. Wenn ein Freund euch frag, Kannst du mir beim Umzug helfen? Sobald ich überhaupt keinen Bock für sowas, ne?
Aber dann sagst du Ja okay, gut, ich helfe dir schon, kein Problem.
Und denkst dir für Freunde. Passt schon, Können wir machen.
Das übrigens kognitive Dissonanz wurde gelöst.
Es gibt ein paar Nebensätze. Menschliches Verhalten entspricht oft Normen oder Gesetzen. Und die sind nicht immer sinnvoll. Das nennt man mal adaptive in der Psychologie.
Menschen sind routineanfällig. Routinen sind auch nicht unbedingt rational begründet.
Es gibt viele Leute, die machen irgendwas vorm Schlafengehen, was damit gar nichts zu tun hat, aber sie fühlen sich besser danach.
[41:07] Kulturelle Umgebung bestimmt oft Normen und Gesetze. In Japan ist Social Engineering anders als bei uns.
Es gibt die Netflix Serie Scannen. Wenn euch das interessiert und menschliches Verhalten ist zum größten Teil gelernt und das heißt es kann auch verlernt werden.
Und das alles schießt so ein bisschen bei dieser nonverbalen Kommunikation quer.
Beispiel Wir haben hier Alice und wir haben hier Bob.
Alice möchte Bob über Verhalten sagen, dass sie ihn mag und alles ist vielleicht ein bisschen schüchtern, deswegen will sie das nicht so direkt ansprechen, deswegen irgendwie so ein Zeichen.
Jetzt hat Alice bestimmte Sachen, Normen, Empathie, Stereotype, Ausdruck, Ausdrucksvorstellungen, Verständnis über nonverbale Kommunikation oder Wissen und all das.
Durch diesen Filter läuft das, was Alice Bob sagen will. Und wenn das bei Bob ankommt, ist da auch so ein Filter.
Und das sind nämlich Bobs, Norman, Bobs Empathie, Bobs Stereotype, Bobs Ausdruck, Bobs Verständnis über nonverbale Kommunikation und Bobs Wissen.
Und ganz ehrlich, er wird es wahrscheinlich eh nicht raffen.
[42:15] Es ist nie garantiert, dass das, was du meinst, auch in der Art und Weise ankommt, wenn du das nonverbal machst.
Jetzt die Frage Ist das sinnvoll untersuchbar? Meiner Meinung nach? Nö.
Und selbst wenn ich Unrecht habe und die Möglichkeit besteht, bezweifle ich die Ethik dessen.
Und wenn wir die Metaanalyse anschauen es scheint wirklich irrelevant zu sein.
Die Effekte sind super, super klein.
Seid also vorsichtig bei diesem ganzen nonverbalen Crap Maßnahmen.
Das ist der wichtige Teil. Was hilft, was nicht?
Disclaimer Ich beziehe mich jetzt hier hauptsächlich auf Fishing, weil die Wissenschaft sich ganz stark auf fishing fokussiert und weil fishing das größte Problem in Social Engineering ist, das wir gerade haben. Zumindest.
[42:59] Was nicht so gut ist. 0.1 Fishing Simulation kennt ihr alle.
Ist aber mehr so ein Spiel für sie aus, dass die Zahl runtergeht?
[43:11] Da gibt es ein paar Paper dazu. Hat sehr viel negative Effekte Vertrauensverlust ins Unternehmen seitens der Mitarbeiter, Selbstwirksamkeit, Probleme bei Mitarbeitern was IT Security angeht und bestimmte Hidden Cost, die am Anfang nie quasi gesehen werden.
Zeitdruck bei der Arbeit ist ganz schlecht für Phishing Recognition. Das wissen wir auch.
Schlechte Arbeit, psychologische Unternehmenskultur. Wir sind hier in Deutschland, das sind so 60 % der Unternehmen oder nicht mehr, auch nicht gut für IT Security.
Sensing Bildung allein hilft auch nicht wirklich weiter.
Und natürlich ein schlechter gelernter Umgang mit Emails, Emails und was, was ich so nebenbei mache, was ich einmal beantworte. Und irgendwie habe ich noch keine Ahnung, was offen hilft auch nicht.
Und der übliche Mist. Achten Sie auf falsche Rechtschreibung oder Grammatik.
Da sind die Social Engineers auch ein bisschen klüger geworden in letzter Zeit.
[44:03] Was hilft jetzt für alle? Egal, ob hier, wo er herkommt und was er tut, die Basis ist Bildung.
Informiert euch über Phishing. Bleibt auf dem Laufenden. Es gibt das Phishing Radar der Verbraucherzentrale auf Mastodon zum Beispiel.
Das könnt ihr euch angucken. Da werden immer aktuelle Phishing E Mails so ein bisschen gezeigt und was da gerade so im Umlauf ist, wenn ihr euch einloggen müsst irgendwo nehmt hoch entropische Passwörter und am besten noch Passwortmanager, die euch solche erstellen können, weil ihr selber könnt das nicht.
Wenn möglich steigt auf Paskeys um. Die sind Phishing resistent, zumindest wenn sie zwei verwenden.
Überprüft Links in Emails, wenn er sie habt und nicht nur, wenn ihr die E Mail habt, sondern auch, wenn ihr irgendwo landet.
[44:42] Wenn ihr euch anmelden müsst, geht über Google oder irgendwelche anderen Suchmaschinen, die benutzt geht extern rüber, loggt euch dann bei der richtigen Seite ein und nimmt euch Zeit für Emails, wenn ihr sie bearbeitet.
Für Organisationen gibt es ein paar andere Sachen, meist Wissen und Selbstwirksamkeit serwartung hinsichtlich IT Security bei allen Mitarbeitern gleichzeitig guckt was rauskommt und macht dann Einzeltraining mit den Mitarbeitern.
Gruppentraining haben schlechte sozialpsychologische Effekte auf Leute, das wissen wir, etabliert Sicherheit als Teil der Organisationskultur und macht euch eine gute Organisationskultur, wenn ihr noch keine habt.
Wenn ihr eine hohe Kündigungsrate habt, habt ihr keine gute Organisationskultur.
[45:29] Und bitte gebt der IT Security Geld.
Hallo. An der eins Magst du deine Frage stellen? Hallo. Danke für den Vortrag.
Ich habe noch eine Frage.
Du bist viel auf die negativen Intentionen quasi eingegangen.
Es gibt ja auch positive Möglichkeiten, es zu nutzen. Zum Beispiel für positive Ernährung, wo man quasi die Mechanismen im Supermarkt umdreht und eher Obst zugänglich macht usw.
Hast du dazu auch geforscht oder gibt es dazu auch Studien?
Ja, gibt es. Die sind aber mehr so in Richtung Marketingpsychologie verortet.
Die bezeichnet das nicht unbedingt als Social Engineering. Das sind etwa Framing Sachen zum Beispiel, die sind ganz wichtig, aber die findet man eher in der Marketingpsychologie. Das ist jetzt persönlich nicht so mein Spezialgebiet, aber gibt es auf jeden Fall. Nur man muss ein bisschen anders suchen.
An der zwei haben wir noch eine Frage. Bitte schön.
Hallo. Vielen Dank für deinen Talk erst mal! Mir ging das vorhin zu schnell bei diesen Phishing Simulation. Was meintest du, war noch mal das Problem bei denen.
Kommt darauf an, worauf man genau schaut. Prinzipiell gibt es Evidenz, dass die.
[46:49] Auf die Mitarbeitenden keine gute Effekte haben. Das kann sein, dass die Vertrauensverlust ins Unternehmen bekommen dadurch, dass sie sich dann irgendwie so ein bisschen betrogen fühlen durch diese Phishing Geschichten.
Man das Ergebnis von diesen Dingern ist auch immer so ein bisschen zweifelhaft, weil am Ende bekommst du immer nur eine Prozentzahl raus, wie viele Leute gefälscht wurden.
Das ist nicht wirklich hilfreich und du weißt dann auch nicht, wen du dann hinterher noch schulen musst.
Und wenn du sagst okay, wir messen halt einfach, wie gut die Leute sind, durch Faktenwissen zum Beispiel oder auch mit Selbstwirksamkeit, dann gibt es da viel bessere Wege, wie man die Leute stärker machen kann in Terms of Cybersecurity. Und das ist ja eigentlich das Ziel.
Wir haben unter anderem die Frage aus dem Internet Welche Rolle werden künstliche Intelligenz in der Zukunft des Social Engineering spielen können? Also wie?
Wie kann man sich dagegen wehren? Vielleicht. Was gibt es da an Mitteln, Methoden?
[47:41] Was die Rolle angeht ich habe ja schon mal erwähnt, das wird zunehmen, glaube ich, wenn auch sehr langsam. Das muss sich erst mal in so heimischen rechten Systemen machen lassen.
Ohne wirklich großen technischen Aufwand zur Abwehr von Social Engineering sind KI prinzipiell nicht so gut geeignet, einfach weil das ein statistisches Problem ist.
Es kommen immer noch viel zu viele Emails durch. Kann man machen, aber.
Und wird ja auch schon gemacht. So ein bisschen zumindest von den großen Providern.
Das hilft immer noch nicht so ganz. So gut wie natürlich die Lage in der Zukunft genau ist, das kann ich nicht voraussagen.
Hallo? Weißt du, was die Replikationskrise so zu Elaboration like it sagt?
[48:26] Schwer zu sagen. Kommt immer darauf an, was du genau testet.
Testest. Ich habe mich jetzt noch nicht wirklich mit Studien beschäftigt, die genau sich spezifische Vorhersagen aus EM angeguckt haben.
Das theoretische Modell.
Ist immer schwer. Gerade was die Replikation angeht. Man repliziert ja auch meistens immer nur einzelne Paper. Diese Paper ziehen irgendwelche Hypothesen aus der Theorie, was das genau für die Theorie aussagt.
Das müsste ich mir wirklich noch mal genauer anschauen.
Wenn du gerne was hast, komm nachher noch mal auf mich zurück.
Ich würde gerne drüber sprechen.
[49:03] Du hattest erwähnt, dass die Scammer besser geworden sind in Rechtschreibung und Grammatik.
Ich hatte jetzt genau das Gegenteil einmal gehört. Nämlich, dass sie bewusst schlecht schreiben, um kritische Menschen im Voraus auszufiltern und sich da einfacher zu haben.
Gibt es dafür Nachweise oder es ist ein Mythos.
Ich weiß nicht, ob das stimmt oder nicht. Ich habe jetzt bisher.
Es ist vermutlich eine Theorie, oder müsste man sich in den Daten angucken.
Natürlich weiß man auch nie, was die Leute sich denken, wenn sie Phishing E Mails verschicken.
Also es kann schon sein, ich weiß es nicht.
Ja, dieser negative Effekt von Gruppentrainings dazu würde mich mehr interessieren.
Also Hintergrund Ich bin selber Trainerin, mehr so im sportlich künstlerischen Bereich, aber ich gebe auch super gerne Workshop für irgendwas, was ich weiß.
Deswegen kannst du mehr sagen, wann genau Gruppentrainings nicht sinnvoll sind.
Das kommt so ein bisschen darauf an, wie groß die Gruppe ist und worum es geht.
Klar, wenn du zum sportlichen Bereich bist, ist es noch mal was anderes, weil da muss ja jeder trotzdem individuell irgendwas tun.
Wenn wir jetzt so Sachen haben, wo wissen wir Wissensvermittlung dann?
Wenn es eine zu große Gruppe ist, kann es gut sein, dass allein durch die Größe der Gruppe sich viele Leute nicht trauen, individuell nachzufragen und dann nichts verstehen.
[50:17] Das gibt es genauso auch in Besprechungen. Und selbst wenn Leute dann was teilen, gibt es den sogenannten Effekt des gemeinsamen Wissens.
Da wird dann meistens immer nur das gesagt, was alle anderen auch schon irgendwie sagen, gerade wenn es um Feedback geht.
Das ist nicht so hilfreich. Und wenn wir wirklich das Ziel haben, dass wir Individuen stärken in ihrer Cybersecurity Kompetenz oder Fishing Kompetenz, bei der Erkennung, dann sind Einzeltrainings eigentlich the way to go.
Es wurde als Beispiel genannt auch Politiker für Leute, die Social Engineering betreiben, hast du da.
Also es kamen jetzt keine speziellen Beispiele im Vortrag vor.
War das bewusste Zurückhaltung? Wenn nein, hast du bestimmte besonders instruktive Beispiele oder Namen, wo man da noch mal hinterher gucken kann? Als erste Frage.
Schau dir eine Bundestagsdebatte an, das ist so die die die Grundsache.
Also Social Engineering geht ganz viel Überzeugungstechnik.
Und diese ganzen Modelle, die ich gesagt habe, sind ja im Endeffekt Modelle, die zur Überzeugung dienen sollen.
Und natürlich benutzen Politiker Social Engineering dafür, irgendwelche rhetorische Devices, also irgendwelche Aussprüche, irgendwelche Redewendungen.
Sie strukturieren ihre Reden so, dass ihre Argumente möglichst sinnvoll klingen, auch wenn sie das manchmal gar nicht sind.
Das ist alles Social Engineering, nichts Neues.
Ja, dann als Abschluss vielleicht gleich. Du hattest erwähnt, dieses erste System, wo man dann eher kritisch darüber nachdenkt.
[51:45] Was sind gute Möglichkeiten, Leute da in diese Schiene reinzubringen?
[51:51] Zeit ein Faktor, und zwar der der größere. Die Leute brauchen Zeit für das Problem.
Gerade wenn es komplexe Probleme sind, muss man den Leuten Zeit geben, um sie sich, damit sie sich damit befassen können.
Und natürlich dürfen die Probleme nicht ihren Horizont übersteigen.
Wenn du jetzt jemandem was von harter Malware Reverse Engineering erzählst und das ist jemand, der das nicht macht in seinem Beruf, dann wird diese Person das natürlich nicht können und dann fruchtet das auch nicht.
Das heißt, man muss ungefähr abschätzen kann die Person sich da sinnvoll Gedanken dazu machen, weil sie das nötige Wissen hat und hat sie genügend Zeit dafür?
Hat sie genügend Raum, Fühlt sie sich sicher, das zu überlegen?
Fühlt sie sich unter Druck gesetzt? Wenn nicht, ist das super.
Also ich habe verstanden, dass es Situationen für Social Engineering gibt, denen wir ausgeliefert sind und welche, zu denen wir.
Gerne und freiwillig laufen wie für mich. C3 zum Beispiel. Und ich bin zum Beispiel in der ersten Hälfte meines Lebens in einer großen Maschine von Social Engineering und ideologischer Indoktrinierung aufgewachsen.
Über das Schulsystem, aber auch die Sicherheitsapparate in Syrien, denen man nichts.
Das ist aber eine sehr offensichtliche Form von Social Engineering.
So im Verhör wird gesagt Alle anderen Gefangenen haben genau gesagt, was du dich sagst, und die haben deren Arsch gerettet. Also dann geben sie dir 15 Minuten Zeit und dann kommst du wieder rein Usw.
Schulsystem ist für mich genau das gleiche.
[53:19] Dann bin ich in Syrien in Deutschland aufgewachsen und habe so was ähnliches gesehen.
Ich meine, natürlich ist das Bildungssystem bei uns in Deutschland nicht so offensichtlich.
Dreist dabei zu sagen ich spiele gerade mit dem Kopf und zwar so dumm, weil ich denke, dass du dumm bist.
Und ich finde, in Deutschland ist es halt nicht viel anders und möchte gerne wissen, ob du Schulen und Universitäten bei uns auch nicht als eine kritische, Apparate für Social Engineering betrachtest.
[53:51] Das ist eine sehr komplexe Frage. Ich glaube, das kriege ich jetzt in der Zeit nicht hin. Wir können da gerne noch mal danach drüber reden.
Kurz gesagt. TLDR Nein, glaube ich. Aber das hat verschiedene Gründe, die ich jetzt erläutern müsste.
Letzte Frage, die hier noch von dem Internet kommt. Sehr interessante Frage.
Gibt es eine Reaktionsweise, wie man auf Social Engineering reagieren kann, wenn man es bemerkt bei einer Person?
Gehen? Das war Katana. Oliver Reitmeier, der Psychologe mit seinem Vortrag Social Engineering, Geschichte, Wirkung und Wissenschaft.
Wie immer könnt ihr diese Sendung auch nachhören. Auf unserer Webseite Politmagazin de haben wir alle unsere Sendungen versammelt und dort gibt es dann jeweils auch immer in den Shownotes, also in den Sendungsnotizen, Links mit weiterführenden Infos.
Und da könnt ihr auch euch ein bisschen weiter schlau machen.
Wir hören uns wieder nächste Woche Mittwoch, 16:00, das Politmagazin bei Radio News. Bis dann.