Social Engineering - Sicherheitsrisiko Mensch
Unter dem Begriff IT-Sicherheit verstehen viele alleinig die technische Sicherheit der Systeme.
Um Systeme umfassend schützen zu können, ist es jedoch notwendig die Sicherheit als ein großes ganzes zu sehen, bei dem sich ein potentieller Angreifer im Zweifel immer den leichtesten Weg sucht.
In diesem Beitrag soll die Relevanz von Social Engineering sowie verschiedene Arten dieser aufgezeigt werden.
Was ist Social Engineering ?
Unter Social Engineering versteht man die Möglichkeit auf sozialer Ebene also von Mensch zu Mensch an vertrauliche Informationen und Daten zu kommen.
Die Schwachstelle ist hier also nicht technischer Natur sondern der Mensch, der mit teilweise psychologischen Tricks manipuliert wird.
Die Ziele gehen von Identitäts und Datendiebstahl bis hin zu Industriespionage.
Unter anderem machen sich Angreifer die folgenden Eigenschaften zu nutzen:
Menschen...
- ...wollen Ärger und Konflikten prinzipiell ausweichen
- ...möchten anderen Menschen gerne helfen
- ...werden gerne geachtet und sind gerne beliebt
- ...haben das Bedürfnis anderen Menschen vertrauen zu können
Diese Eigenschaften (und einige mehr) machen sich Social Engineers gezielt zu nutze, indem sie Beispielsweise:
an die Hilfsbereitschaft appellieren:
Ich bin ein Kollege aus der marketing Abteilung. Ich müsste nur schnell eine E-Mail beantworten. Mein PC ist bereits runter gefahren. Dürfte ich ganz kurz ihren Rechner nutzen, solange sie Pause machen?
jemandem schmeicheln:
Ich bin Journalist und schreibe über kreative Unternehmer im FinTec Bereich. Sie sind mir sehr positiv aufgefallen. Haben Sie ein paar Minuten ? Ich würde Sie gerne über ihre Person und aktuelle Vorhaben befragen
Dies erscheint nun erstmal merkwürdig, jedoch ist die Erfolgsrate von solchen Angriffen enorm hoch. Ein guter Social Engineer weiß, wie man z.B mit Small Talk vertrauen zu Personen aufbauen kann.
Grundlegend kann man einen Social Engineering Angriff in folgende Schritte aufteilen:
1. Informationen zur Zielperson sammeln
2. Kontakt aufbauen
3. Vortäuschen einer falschen Identität
4. Informationen beschaffen
5. Sich unauffällig und zeitnah aus dem Staub machen
6. Anwenden der "erbeuteten" Informationen
Welche Arten gibt es ?
Es gibt eine Menge verschiedener Arten von Social Engineering Angriffen. Im Folgenden soll eine Übersicht bekannter Vorgehensweisen kurz erläutert werden.
Phishing
Phishing ist die am häufigsten genutzte Variante von Social Engineering. Hierbei wird sich meist in Form einer gespooften (gefälscht / nachgebauten) Internet Seite oder E-Mail als jemand anderes ausgegeben.
Weitere Informationen zu Phishing, sowie gängige Varianten habe ich bereits in einem Beitrag beschrieben. Daher möchte ich an dieser Stelle nicht weiter darauf eingehen.
Interessante Zahlen und Fakten sind in den APWG Phishing Reports zu finden.
USB-Dropping
Wer ist nicht neugierig, wenn er einen USB Stick findet ? Vielleicht möchte man aber auch einfach nur die Person ausfindig machen, die den Stick verloren hat. Die erste Intuition ist oftmals: "Mal schauen, was da drauf ist".
Dies ist allerdings sehr gefährlich, da über eine modifizierte Firmware oder ein als USB Stick getarnter Minicomputer Malware auf die Systeme gelangen kann.
Dumpster Diving
Der Begriff selbst verrät schon, was hierbei passiert: Papiermüll-Container werden nach sensiblen Informationen durchsucht. Nicht umsonst gibt es Aktenvernichter, die genutzt werden sollten, wenn die Dokumente vertraulich sind.
Auch hier reicht es im Zweifel, wenn ein Angestellter ein Post-It mit einer Notiz eines Kennwortes sorglos wegschmeißt.
Shoulder Surving
Vorallem wenn mobil gearbeitet wird, ist es möglich, dass ein Social Engineer einem bei der Arbeit "über die Schulter" schaut.
Quelle
Daher sollte man, vor allem wenn Passwörter eingegeben werden oder sensible Daten bearbeitet werden aufpassen, dass niemand Einblick hat. Was man wohl intuitiv bei der Eingabe der PIN am Geldautomat macht sollte man also auch am PC/Smartphone beachten.
Tail Gating
Hierbei wird versucht, ohne Zugangsberechtigung in gesicherte Bereiche zu gelangen. Hinter jemandem herlaufen und durch die gerade zufallende Tür gehen ist meist sehr leicht. Wenn jemand mit einem großen und scheinbar schweren Karton kommt wärt ich sicher auch so nett und würdet dem armen Mensch die Tür aufhalten.... oder ?
Weitere Verfahren
Neben den hier erwähnten Herangehensweisen gibt es weitaus mehr. Je nach Situation können Social Engineering Angriffe sehr lange Zeit geplant werden. Dies könnte soweit gehen, dass eine Partnerschaft vorgetäuscht wird, um an die entsprechenden Informationen zu gelangen.
Wie kann ich mich schützen ?
Da der Mensch selbst hier "angegriffen" wird, gilt es diesen auch primär zu "schützen".
Nachdem ihr diesen Beitrag gelesen habt, besitzt ihr bereits ein Grundverständnis davon, dass es Social Engineering überhaupt gibt, und wie solche Angriffe aussehen könnten.
Wichtig ist es prinzipiell sensibel gegenüber Angriffsvektoren dieser Art zu sein. Ich sage hier nicht, ihr sollt nicht mehr nett sein und jemandem die Tür aufhalten oder bei Problemen helfen ;). Die grundsätzliche Kenntnis sowie ein Sicherheitsbewusstsein hilft oftmals schon, Social Engineering Angriffe zu erkennen.
Im Umfeld von Unternehmen empfiehlt sich eine Policy, die einzuhalten ist. Zusätzlich ist es sinnvoll Awarenestrainings zu entwickeln, die abhängig von der Position und der Tätigkeit innerhalb des Unternehmens bestimmte Anwendungsszenarien adressieren und beim Aufbau eines Sicherheitsbewusstseins helfen.
Ich hoffe euch einen groben Überblick über Social Engineering gegeben zu haben.
In diesem Sinne: Bleibt sicher aber übertreibt es auch nicht ;)
Das ist eben das elementare Missverständnis beim Hacking. Es geht keineswegs nur um Computer. SE ist ein häufig unterschätztes Verfahren und wer es ein wenig geübt hat, kann damit teilweise sein Gegenüber schon sehr zum staunen bringen. Solche Angriffe sind oft sehr unterschätzt.
In einem Betrieb fiel mir mal auf, dass der Auszubildene sich überall anmelden konnte. Erst dann wurde bewusst, dass er überall rumgereicht wird und von fast allem die Zugangsdaten hatte. Ausgerechnet der am schlechtesten bezahlte Mitarbeiter hat ein Buch mit fast allen Zugängen. Ein wandelnder Alptraum... und gleichzeitig bei jedem Sicherheitsscreening als "unbedeutend" eingestuft ;)
Richtig. Es geht entweder darum mit dem geringsten Aufwand oder möglichst unauffällig Zugriff zu einem System zu bekommen. Wie das funktioniert, da sind der Fantasie keine Grenzen gesetzt.
WOW - das klingt wirklich nach einem Alptraum. Hauptsache ein Sicherheitsscreening gemacht :D
Jetzt muss nur noch der Fehler gemacht werden die Kennwörter nicht zu ändern, wenn der Auszubildende die Firma verlässt. So kann er seinen Frust schön auslassen und einiges kaputt machen..
Schöner Artikel.
Nicht um sonst werden Menschen in Führungspositionen also eines der größten Risiken angesehen. Meist geringes IT knowhow gepaart mit vielen Rechten.
Super Beitrag!
Die letzten beiden Verfahren waren mir sogar noch unbekannt.
Toller Beitrag! Ich sehe gerade bzgl. dieser Problematik viel zu wenig Artikel, die sich damit befassen. Ich selber arbeite im IT Bereich und stelle immer wieder fest, dass die Sensibilität für diese Thematik bei vielen nicht gegeben ist.
Danke für dein Feedback !
Ich habe die Erfahrung gemacht, dass die Gelder für Awarenesstrainings lieber gespart oder für andere Zwecke genutzt werden. Wenn dann doch etwas passiert ist das Geschreie dann groß.
Aber das kommt wohl immer auf das Unternehmen an :)
Vielen Dank für den Artikel.
Ich erinnere mich auch an einen Fall, in dem die Kriminellen einfach der Buchhaltung eine E-Mail geschickt haben, die so gestaltet wurde (gefälschter Absender) als würde sie vom Chef kommen. In dieser Mail wurden die Mitarbeiter angewiesen einen bestimmten Betrag dringend zu überweisen.
Für solche aktionen braucht es nur einen Mittelständler mit schlechten Geschäftsprozessen sowie marginales IT-Wissen...
Gerne !
Das geht sehr schnell !
Knappheit (hier Zeit) sowie Autorität (hier Chef) führen schnell zu unüberlegten Handlungen.
In diesem Fall hätte man mithilfe von E-Mail-Signaturen auch eine technische Möglichkeit zur Detektion, aber auch diese werden oftmals nicht genutzt.
Das FROM-Attribut eines E-Mail Headers kann eben jedes Scriptkiddie ändern..