Social Engineering

aus SecuPedia, der Plattform für Sicherheits-Informationen

Anzeige
Wechseln zu: Navigation, Suche

Unter Social Engineering (SE) versteht man gezielte Manipulationen unter Verwendung psychologischer Methoden, um Menschen zu Handlungen zu bewegen, die nicht ihrer Einstellung entsprechen.

SE-Methoden werden bei Hacking-Angriffen, dem Diebstahl von Informationen & Daten, Betrugshandlungen und in der Wirtschafts- bzw. Industriespionage eingesetzt. Bestimmte Methoden haben sich dabei als besonders effizient erwiesen, um entweder direkt Informationen bzw. Zugang zu geschützten Bereichen zu erlangen oder Kenntnisse zu gewinnen, die später gefälschte Schriftstücke oder E-Mails echt und plausibel erscheinen lassen.

Methoden

SE nutzt grundlegende Motive menschlichen Handelns: Neugier, Risikoaversion, Furcht vor negativen Konsequenzen, Hilfsbereitschaft, Gruppenzugehörigkeit, Sympathie und Vertrauen gegenüber attraktiven, freundlichen Menschen. Erfolgreiche SE-Angriffe kennzeichnen sich dadurch, dass die Betroffenen nicht einmal bemerken, dass sie manipuliert werden[1]


SE-Methode: Spear-Phishing und personalisierte E-Mail

Zielsetzung der SE-Methode: Identifizierung und Manipulation von Mitarbeitern, die

  • Zugang zu sensiblen Geschäfts- und/oder Kundendaten haben
  • an relevanten Projekten, z.B. bei der Erforschung & Entwicklung neuer Produktlinien beteiligt sind
  • für Geschäftsprozesse wie z.B. Finanztransaktionen oder Einkauf verantwortlich bzw. autorisiert sind, diese eigenmächtig durchzuführen
  • über hohe Sicherheitsfreigaben verfügen und Zugang zu besonders geschützten Bereichen des IT-Netzwerkes haben.
Plausibel wirkende Phishing-Mail, insbesondere, wenn der Absender durch Social Engineering verifiziert hat, dass der Empfänger wirklich eine MasterCard nutzt und ihn womöglich mit seinem Namen anspricht. (Bild: Riskworkers GmbH)
Beim ersten Angriff wird oft versucht, durch präparierte E-Mails mit Links auf Schadsoftware (Trojaner) oder auf manipulierte Webseiten (Drive-by-Exploit) Zugang zu einer gesicherten Unternehmens-IT zu erhalten[2] [3] [4].

Da professionelle Empfänger nicht mehr unüberlegt auf Links klicken, dient Social Engineering im Vorfeld dazu, Details in Erfahrung zu bringen, die die Mail für den Empfänger plausibel erscheinen lassen. Durch die persönliche Ansprache und die individuell auf ihre Person und Charakteristika zugeschnittenen Inhalte (Spear-Phishing) wird es wahrscheinlich, dass die Zielperson die Mail tatsächlich öffnet und Angreifern durch Installation einer Schadsoftware Zugriff auf das System ermöglicht.

Risiko der Infiltration über private IT-Geräte durch BYOD Das Erfolgsrisiko dieses Vorgehens steigt durch berufliche Nutzung privater IT-Geräte (auch bekannt als: Bring Your Own Device, BYOD), deren Sicherheitsstandards mitunter nicht den aktuellen Anforderungen entsprechen[5]. Die Zielperson öffnet zum Beispiel eine infizierte Nachricht auf einem privaten Mail-Konto und lädt so Schadsoftware auf ihr Gerät. Loggt sie sich damit in das firmeninterne WLAN ein, erhalten Angreifer Zugang zur Unternehmens-IT.

Vorgehen bei der SE-Methode Zur namentlichen Identifizierung von Zielpersonen verwenden Angreifer öffentlich zugängliche Quellen, die so genannte Open Source Intelligence (OSINT), (6). Zu Quellen, die für OSINT genutzt werden, zählen:

  • Internetseiten der Zielunternehmen, in denen Funktionsträger namentlich genannt werden
  • soziale Netzwerke, in denen Mitarbeiter ihren genauen Arbeitsbereich bzw. ihre Funktion benennen
  • Nennung von Zielpersonen aus dem Bereich Forschung & Entwicklung in Patentanmeldungen, Artikeln wissenschaftlicher Zeitschriften, Interviews oder Vorträgen auf Konferenzen & Messen

Durch ein umfassendes Profiling über offene Quellen und Observationsmaßnahmen werden Schwachstellen und Angriffsmöglichkeiten identifiziert.

Auch im Vorfeld scheinbar normalen Phishings, bei dem es um Zugangsdaten für Online-Banking oder Bezahlsysteme geht, wird zuweilen SE eingesetzt, um die Mitteilung plausibel erscheinen zu lassen (Spear-Phishing). Die Zugangsdaten werden dann nicht nur genutzt, um Online-Überweisungen zu initiieren. Die Angreifer nutzen auch die Erfahrung, dass Zielpersonen den gleichen Zugangscode aus Gewohnheit - oder Faulheit - auf mehreren passwortgeschützten Seiten verwenden[6]. Der per Phishing-Mail erzielte Zugangscode kann mitunter auch verwendet werden, um in ein Unternehmensnetzwerk einzudringen.


SE-Methoden im indirekten Kontakt mit Zielpersonen

Bleibt ein Angriff mittels personalisierter Mails erfolglos, können SE-Methoden im indirekten und direkten Kontakt mit einer Zielperson angewendet werden.

Zu den indirekten Methoden gehören die Observation und Beschattung von Zielpersonen[7]: Beobachten von Bildschirminhalten eines öffentlich benutzten mobilen Geräts, Gespräche belauschen, Nutzung ungesicherter Funkschnittstellen, Durchsuchen des Hotelzimmers.


SE-Methoden im direkten Kontakt mit Zielpersonen

Bei dieser Methode kommt es zur direkten Kommunikation zwischen Angreifern und der Zielperson. Zielsetzung der SE-Methode: Die Informationserlangung und Manipulation bzw. Korrumpierung der Zielperson durch eine zielgerichtete Kommunikationsstrategie.


SE-Methode: Identifizierung von Schwachstellen in der IT-Architektur durch „SE by Call“

Zur Infiltration von IT-Systemen werden heute primär Schwachstellen in Standardanwendungen ausgenutzt. Diese Exploits arbeiten mit Programmierfehlern in den Betriebssystemen von Windows und Linux, in MS-Office- oder SAP-Modulen, allen Web-Browsern und zugehöriger Software wie: Adobe Flash-Player, Java Runtime, Adobe-Reader u.ä.[8]

Exploits nutzen vor allem Fehler in den älteren Versionen dieser Programme. Mittlerweile lassen sich Exploits auf speziellen Untergrund-Handelsplätzen im Internet erwerben[9], [10]

Zielsetzung der Methode: Angreifer suchen nach schwach geschützten IT-Systemen mit älteren Programmversionen, die über einen Zugang zum Firmennetzwerk verfügen. An diese wird dann eine Schadsoftware gesandt, die den Exploit nutzt, um ein System zu infiltrieren. Zur direkten und schnellen Identifizierung dieser Rechner wird als SE-Methode ein fingierter Telefonanruf (SE by Call) genutzt[11]. Angreifer arbeiten dabei mit einer so genannten Legende.


SE-Methoden im direkten Kontakt auf Geschäftsreisen

Durch Recherche wurde zum Beispiel ermittelt, dass die Zielperson eine interkontinentale Geschäftsreise unternimmt. Grundprämisse ist, dass eine fremde Umgebung mit zahlreichen Eindrücken, Zeitdruck und Jetlag die Zielperson unaufmerksam und damit leichter beeinflussbar macht.

Ziel und grober Ablauf der Reise sind bekannt; die Zielperson wird permanent beschattet. Bei entsprechender Gelegenheit lassen sich verschiedene Angriffsvarianten kurzfristig realisieren.

Beispiele der SE-Methoden:

  • Bei Aufenthalt an öffentlichen Orten wie Flughafen, Hotelbar o.ä. wird die Zielperson von einem freundlich und sympathisch auftretendem Angreifer in ein Gespräch verwickelt. Wenn die Zielperson eine Toilette aufsuchen muss, bietet der Angreifer an, auf persönliche Dinge zu achten. Während der Abwesenheit wird das Gepäck der Zielperson durchsucht oder direkt gestohlen.
  • Der Angreifer wird auf die Zielperson angesetzt, um ihr im persönlichen Gespräch relevante Informationen zu entlocken. In einer Umgebung, in der Gespräche zwischen Fremden normal sind, z.B. an der Hotelbar, im Restaurant, am Pool o.ä. wird die Zielperson scheinbar zufällig angesprochen und zunächst in Small-Talk verwickelt. Zur Erhöhung der Erfolgsaussichten wird eine attraktive, sympathisch wirkende Person des anderen Geschlechts als Angreifer eingesetzt. Um die Zielperson zum Reden zu bringen, werden auch Alkohol und/oder Drogen verwendet.
  • Der Angreifer versucht, die Zielperson mittels Alkohol oder Drogen zu betäuben, um ihr Laptop oder relevante Dokumente zu stehlen.
  • Die Zielperson repräsentiert das Unternehmen am Stand einer Fachmesse. Angreifer verwickeln sie in ein Gespräch über eine neue Produktentwicklung. Die Angreifer verfügen über detailliertes Produktwissen und loben oder kritisieren die Entwicklung. Durch diese Strategie wird die Zielperson animiert, das Produkt entweder zu verteidigen (Kritik) oder weitere Vorzüge darzustellen (Lob). In beiden Varianten wird die Zielperson gezielt emotional manipuliert, um eigentlich vertrauliche Produktdetails preiszugeben.

Bei dem Szenario treten die Angreifer meist als Messebesucher auf. Möglich ist auch die Legendierung als Catering- oder Gastronomie-Mitarbeiter bzw. Empfangshostess, die von einem externen Dienstleister für den Stand gebucht werden.

  • Weibliche Angreifer werden bei männlichen Zielpersonen eingesetzt, um sie in eine kompromittierende Situation zu bringen. Hier wird ein Erpressungsszenario realisiert. Um ein Bekanntwerden der Affäre zu verhindern, wird die Zielperson zur Übergabe von Informationen oder Zugangscodes gezwungen.


SE-Methode: Identifizierung von Routinegeschäftsprozessen für Betrugshandlungen

Viele Geschäftsprozesse werden heute online, ohne direkten Kontakt zwischen Handelspartnern abgewickelt. Diesen Umstand nutzen Wirtschaftsbetrüger für Angriffe aus. Mit Informationen, die durch Methoden wie Observation, OSINT und „SE by Call“ gewonnen werden, erstellen sie ein Profil über das Zielunternehmen, indem Schwachstellen in Geschäftsabläufen identifiziert werden.

Zielsetzung der Methode: Identifizierung von Zulieferfirmen und Dienstleistern, zu denen regelmäßige Geschäftsbeziehungen bestehen.

Beispiel dieser SE-Methode: Die Angreifer fälschen Briefe oder E-Mails von Zulieferern. Darin wird das Zielunternehmen darüber informiert, dass sich die Kontodaten des Lieferanten geändert haben. Ausstehende bzw. künftige Zahlungen sollen nur noch auf das neue Konto, ggf. im Ausland überwiesen werden.

Erfolgreich wird die Taktik angewandt, wenn Zahlungen nicht auf Basis von Einzelrechnungen sondern kontinuierlich per Lastschrift bzw. Dauerauftrag erfolgen, z.B. bei Mietzahlungen für Büroräume, die vom Zielunternehmen angemietet sind.

Handlungsleitendes Motiv der SE-Methode: Ausgenutzt wird die Grundregel der Psychologie, dass Menschen Gewohnheiten und Verhaltensroutinen ungern und daher selten ändern oder in Frage stellen.

Die gefälschten Briefe oder E-Mails werden oft personalisiert und an den vorab identifizierten Mitarbeiter adressiert, der den Geschäftsprozess bzw. die Geldtransaktion verantwortet.

Zur weiteren Verifizierung kontaktiert ein vorgeblicher Mitarbeiter des Dienstleisters die Zielperson (SE by Call) und bittet um Empfangsbestätigung der Kontoänderung.

In Kombination mit einem Kontaktanruf halten die Fälschungen einer oberflächlichen Prüfung stand; der Änderung wird aus gewohnheitsmäßigem Verhalten Folge geleistet.


SE-Methode: Identifizierung von Zugangsmöglichkeiten zu geschützten Unternehmensbereichen

Hierunter fallen Methoden der klassischen Wirtschafts- & Industriespionage. Es wird versucht, sich Zugang zu gesicherten Unternehmensbereichen zu verschaffen, um dort für die Zielsetzung relevante Informationen zu erlangen bzw. diese zu stehlen.

Beispiele dieser SE-Methode: Tail-Gating: Angreifer schließen sich einer Mitarbeitergruppe an, die geschlossen, z.B. bei Schichtwechsel, nach Pausen oder zu Dienstbeginn ein Gebäude oder das Firmengelände betritt. Der Angreifer verwickelt einen oder mehrere der Mitarbeiter in ein Gespräch und erweckt so den Anschein, ebenfalls zu der Gruppe zu gehören.

Die Methode ist erfolgreich, wenn bei Eintritt in ein Unternehmensareal bzw. Gebäude keine separierte Zugangskontrolle durch einen Sicherheitsdienst oder eine Schleuse erfolgt, die von Mitarbeitern nur mit individueller Zutrittsberechtigung (z.B. Chip-Karte) geöffnet werden kann.

Variante: Der Angreifer wartet vor einem gesicherten Zugang auf einen Mitarbeiter mit Zutrittsberechtigung. Unter Verwendung einer Legende wie: „Ich glaube, ich habe mich hier verlaufen. Ich bin Besucher und habe einen Termin mit Herrn XY, / Ich bin Mitarbeiter der Firma XY und habe den Auftrag in ihrem Gebäude…“ bittet der Angreifer den Mitarbeiter ihm Zutritt zu gewähren.

Handlungsleitendes Motiv der SE-Methode: Ausgenutzt wird die verbreitete Hilfsbereitschaft gegenüber sympathisch und freundlich wirkenden Menschen.

SE-Methode: Zutritt mit der Legende als Mitarbeiter einer Fremdfirma: Der Angreifer gibt sich als Vertreter einer Firma mit autorisiertem Zugang zum Zielunternehmen aus. Vorab wurde z.B. durch Observation recherchiert, dass Mitarbeiter dieser Firma regelmäßig im Zielobjekt tätig sind.

Wird die Tätigkeit nicht durch einen Sicherheitsdienst überwacht, erhält der Angreifer eine Möglichkeit, Dokumente und Informationen zu kopieren oder zu stehlen.

Ein IT-System kann durch Einsatz technischer Spionagemittel wie z.B. Keylogger oder einen präparierten USB-Stick infiltriert werden.

Wenn die Legende durch gefälschte Arbeitsaufträge, vorab erfolgte Kontaktanrufe, Ausweise bzw. Arbeitskleidung der Fremdfirma zusätzlich verifiziert wird, steigt die Erfolgswahrscheinlichkeit.


SE-Methode: Dumpster Diving

Nicht mehr benötigt, aber auch nicht für Fremde bestimmt: Der Inhalt von Papierkörben und Mülleimern. (Bild: Schulungs-DVD "Erfolgreich Social Engineering abwehren")
Dabei versuchen Angreifer, z.B. durch Legendierung Zugang zu Bürogebäuden oder Unternehmensanlagen zu erhalten, um im Büromüll nach verwertbarem Material zu suchen.

Für Angreifer haben auch entsorgte Dokumente Wert. Ausgedruckte E-Mails mit Kontaktdaten, Notizen, Kalkulationstabellen, Skizzen oder Entwürfe von Dokumenten; alles kann für einen Angriff oder die Identifizierung von Schwachstellen in Routinegeschäftsprozessen genutzt werden.


Gegenmaßnahmen zur Abwehr von Social Engineering Angriffen

Sensibilisierungsmaßnahmen für potenzielle Zielpersonen

Für Angriffe werden Personen präferiert, die anhand ihrer Position oder Tätigkeit leicht zu korrumpieren sind und bei denen keine starke Abwehr oder Sensibilität für diese Problematik zu erwarten ist. Prädestiniert sind Angestellte auf unteren Hierarchieebenen, Sekretariats- oder Assistenzkräfte oder Mitarbeiter in Tätigkeitsbereichen wie Empfangsdienst, Call-Center und Help-Desk.

Um Ausspähungsversuche abzuwehren, sollten diese Mitarbeiter in Sensibilisierungs-Maßnahmen einbezogen werden[12].

Angriffsszenarien sollten anschaulich und zielgruppenspezifisch dargestellt werden.

Angreifer werden bei Zielpersonen im Bereich Call-Center / Help-Desk anders vorgehen, als bei Mitarbeitern im Bereich Forschung & Entwicklung (F&E). Erstere werden eher mit den Varianten personalisierter Phishing-Mails und „SE by Call“ konfrontiert.

F&E-Mitarbeiter werden anhand ihrer Funktion und ihrer Kenntnisse observiert und durch SE in direktem Kontakt mittels konkreter Ansprache von Angreifern ausgespäht.

Für die verschiedenen Zielgruppen sollten Sensibilisierungsmaßnahmen daher variiert werden.


Clear-Desk-Policy als Schutz vor unbefugtem Zugriff auf Dokumente und IT-Systeme

Um sensible Dokumente und IT-Systeme vor unbefugtem Zugriff zu schützen, sollten Mitarbeiter folgende Grundregeln beachten:

  • Bei Verlassen des Arbeitsplatzes sollten Dokumente, Akten und Ordner in verschließbaren Behältnissen verstaut und aufbewahrt werden. Gleiches gilt für externe Speichermedien wie USB-Sticks, CD´s oder Memory-Flash-Karten
  • Bei Verlassen des Arbeitsplatzes sollte die IT heruntergefahren werden. Bei kurzfristiger Abwesenheit sollte sie durch einen passwortgeschützten Bildschirmschoner deaktiviert werden
  • Bei gemeinschaftlich genutzten Kopierern, Druckern, Faxgeräten u.ä. sollten Papierdokumente nach Verwendung direkt entfernt und sicher verwahrt werden
  • Nicht mehr benötigte Papierdokumente sollten so geschreddert werden, dass ihre Wiederherstellung ausgeschlossen ist
  • Bürotüren und Fenster sind bei Verlassen des Büros immer sicher zu verschließen


Grundsatz der SE-Abwehr: Verifizierbare Hintergrundinformationen erlangen

Angreifer verwenden Legenden, um sich gegenüber einer Zielperson zu verifizieren. Die Legendierung erfolgt unabhängig von der SE-Methode; sei es ein Angriff mittels personalisierter E-Mail, im Telefonkontakt oder im persönlichen Gespräch.

Erfundene Legenden können meist durch gezielte Überprüfung aufgedeckt werden.

Bei personalisierten E-Mails kann die genaue Prüfung der Absenderadresse bereits Aufschluss über ein mögliches E-Mail-Spoofing geben. Bei verdächtigen E-Mails dient ein Anruf bei Geschäftspartnern der Verifizierung. Die in der Mail aufgeführten Kontaktdaten sollten dabei gerade nicht verwendet werden. Diese führen zu einer Adresse, die vom Angreifer besetzt ist.

Der reale Geschäftspartner sollte durch aus offenen Quellen recherchierte Daten kontaktiert und um eine Verifizierung der Mail gebeten werden.

Immer gilt: Ohne eindeutige Verifizierung sollten E-Mail-Anhänge bzw. Links zu externen Seiten nicht geöffnet werden.

Wenn externe Dienstleistern sich – gern außerhalb der Bürozeiten – vorstellen, um ein „dringendes Problem zu lösen“, sollten immer verifizierbare Daten erfragt und überprüft werden. Dazu gehört, sich z.B. einen Personalausweis zeigen zu lassen. Bei Unklarheit sollte eine Rückfrage in der Fremdfirma erfolgen.


Weitere Grundsätze der SE-Abwehr:

Kein Zugang ohne verifizierten Hintergrund

Ohne Hintergrundüberprüfung sollten externe Dienstleister und Besucher keinen Zugang zum Netzwerk des Unternehmens, spezifischen Räumlichkeiten, Büros oder Anlagen erhalten. Wenn Fremdfirmen Arbeiten außerhalb üblicher Bürozeiten verrichten wollen, sollte dies unter Aufsicht von Sicherheitspersonal oder Unternehmensangehörigen erfolgen.

Keine Informationen an neugierige Unbekannte!

Im direkten Kontakt wollen Angreifer Zielpersonen möglichst lang im Gespräch halten. Dies gilt sowohl für Telefonate, als auch für persönliche Gespräche. Je länger die Unterhaltung dauert, desto mehr Manipulationstechniken können angewandt werden. Mit der Dauer des Gesprächs steigt die Wahrscheinlichkeit, dass die Zielperson ungewollt die gewünschten Informationen liefert. Bei Verdacht auf SE sollte das Gespräch so kurz wie möglich gehalten werden.

Einstudierte Aussagen als Gegenmaßnahmen bei Verdacht auf SE

Beispiel: „Es tut mir leid, aber die von Ihnen gewünschte Information kann ich Ihnen nicht ohne weiteres geben. Sie können sich hierzu gern per E-Mail an unsere IT-Fachabteilung wenden, ich kann ich Sie gern auch gern weiter verbinden bzw. die Mailadresse nennen. Gern können Sie mir auch Ihre Kontaktdaten nennen und ich melde mich mit der Antwort, sobald ich sie habe“.

Mitarbeiter sollten instruiert sein, externen Personen ohne Hintergrundüberprüfung keine unternehmensinternen Informationen z.B. über die Verwendung von IT-Systemen oder Programmversionen zu geben. Die Mitarbeiter sollten konsequent bleiben und sich nicht auf eine Gesprächsfortführung einlassen.


Terminhinweise


Einzelnachweis

  1. Hadnagy, C.: Social Engineering: The Art of Human Hacking; Wiley, Indianapolis 2011.
  2. Analyse des IT-Sicherheitsunternehmens Trend Micro. Danach beginnen rund 90% aller gezielten Angriffe mit Spear-Phishing Mails
  3. Analyse des IT-Sicherheitsunternehmens Symantec
  4. Analyse des IT-Sicherheitsunternehmens RSA
  5. Studie zur BYOD des Unternehmens Samsung
  6. Studie des Unternehmens Microsoft zum Gebrauch von Passwörtern
  7. Buch zur Methodik der Observation: Glitza, K.H. (2002) Observation Praxisleitfaden für private und behördliche Ermittlungen; Boorberg Verlag.
  8. Studie des IT-Sicherheitsunternehmens Kaspersky zu Exploits
  9. [www.nytimes.com/2013/07/14/world/europe/nations-buying-as-hackers-sell-computer-flaws.html?_r=0 Artikel der New York Times vom 20.07.2013 zum Thema „Handel mit Software-Exploits“]
  10. Analyse zum „Handel mit Software-Exploits“ der US-Amerikanischen Denkfabrik Rand Corporation (2014)
  11. Dokumentation eines Live-Experiments zu Angriffsvarianten und der Wirksamkeit der Methode „SE by Call“ im Rahmen des „Hacker“-Kongresses DEFCON Las Vegas, 2013
  12. [http: www.security-filme.de DVD „Erfolgrich Social Engineering abwehren“]


Video

http://www.youtube.com/embed/wTGAYdwZe5o


Siehe auch



Diese Seite wurde zuletzt am 31. Mai 2017 um 12:52 Uhr von Astrid Jung geändert. Basierend auf der Arbeit von Peter Hohl, Oliver Wege, Carsten Hesse, Admin und Redaktion.

Anzeigen