Aphroland.de

Verständliche IT Tutorials

Social Engineering

28. Juni 2012

Social Engineering ist eine Bezeichnung für das Vorgehen, sich unter Ausnutzung menschlicher Eigenschaften Zugriff auf geheime Informationen zu beschaffen; etwa für die Spionage zwischen Ländern oder zwischen Konzernen. Sie ist ein sehr effektives Mittel der Informationsbeschaffung und oft ohne technische Hilfsmittel möglich. Das ganze basiert darauf, menschliche Reaktionen und Eigenschaften auszunutzen. Dabei bedienen sich die Angreifer sowohl positiver Eigenschaften wie Hilfsbereitschaft (insbesondere gegenüber Kunden und Kollegen) oder Stolz auf die eigene Leistung, als auch negativer Eigenschaften wie Bestechlichkeit. Aber auch ganz banale Verhaltensmuster wie Respekt vor Autorität, Gutgläubigkeit und Konfliktvermeidung lassen sich für Social Engineering ausnutzen.






Inhalt

Besonders beliebt ist Social Engineering als ein Schritt im Versuch Zugriff auf ein internes Firmennetzwerk zu erhalten. Mit Hilfe von Informationen über interne Abläufe und Wissen über Details aus dem Privatleben von Mitarbeitern ist es schon oft gelungen, Zugriff auf eigentlich sichere Netzwerke und Server zu erhalten.

Dabei genügen oft schon so unverfängliche Begebenheiten wie ein Gespräch mit Mitarbeitern nach Feierabend (bei dem diese stolz erzählen, an welchen Projekten sie gerade arbeiten) oder ein Anruf bei einer Sekretärin, bei dem sich der Angreifer als Kollege einer anderen Zweigstelle ausgibt, um an erste Informationen zu gelangen.

Seit einigen Jahren ist das Internet der ideale Ort um sich gründlich auf einen solchen Social Engineering Angriff vorzubereiten. Von Informationen über die Firma, bis hin zu privaten Details über Mitarbeiter lässt sich dank Mitmach-Websites (insbesondere im sozialen Netzwerk Facebook aber auch auf Xing, LinkedIn und Twitter) heute vieles in Erfahrung bringen. Allein die öffentlichen Tweets aller Mitarbeiter verraten in Kombination oft schon mehr als den meisten Firmen eigentlich lieb ist.

Angriffstechniken

Einige beliebte Angriffstechniken um an vertrauliche Informationen zu gelangen oder direkt Zugriffs aufs Intranet einen Unternehmens zu erhalten, sind diese:

  • Um die finanzielle Situation eines Unternehmens zu erfahren kann es sich lohnen bei der betreuenden Bank anzurufen und sich als Mitarbeiter der Firma, oder falls es um eine Person geht, der Kunde selbst oder ein naher Verwandter auszugeben und ein paar Fragen zu stellen. Alternativ gibt man sich als andere Bank, bzw. Kollege aus einer anderen Abteilung/Filiale der gleichen Bank aus, bei der das Opfer angeblich ebenfalls ein Konto hat. Dieser Plan klappt auch mit Finanzämtern sehr gut, in dem man sich selbst einfach als ein anderes Finanzamt ausgibt.
  • Journalisten sollen schon mehrfach Zugriff auf Mailboxen und Abrechnungen mit Einzelgesprächsnachweis bekommen haben, in dem sie den Handyprovider angerufen und vorgetäuscht haben, sie hätten ihr Passwort vergessen.
  • Für den Zugriff zu einem (zum Beispiel per VPN geschützten) Intranet oder einem über das Internet erreichbaren internen Login, bietet es sich an, beim Helpdesk des Unternehmens anzurufen und sich als Kunde oder Mitarbeiter auszugeben, der sein Passwort verloren habe.

Bei all diesen Angriffen ist es natürlich wichtig, dass der Angreifer gut auf die Rolle vorbereitet ist. Er wird Interna der Firma beiläufig ins Gespräch einstreuen und zum Beispiel die Namen von Kollegen und Vorgesetzten erwähnen.

Rollen für Angreifer

Weitere bei Angreifern beliebte Rollen:

  • Ein Kollege, der schnell eine Datei, eine E-Mail oder ein Fax benötigt. Oft im Außendienst vor Ort beim Kunden in einem wichtigen Meeting.
  • Ein Vorgesetzter (der z.B. kürzlich aus einer anderen Niederlassung versetzt worden ist) und jetzt Hilfe braucht um auch in der Zentrale auf seine Daten (z.B. E-Mails) zugreifen zu können.
  • Ein Mitarbeiter eines Kunden, oft als Vertretung des üblichen Ansprechpartners, der schnell ein paar Zahlen benötigt.
  • Ein Mitarbeiter eines Service-Anbieters (Reinigung, Gebäudepflege, usw), der eine Studie über Kundenzufriedenheit durchführt und Details zu den wahrgenommenen Dienstleistungen benötigt.
  • Ein Journalist, der ein Interview mit einem Mitglied des Vorstands darüber führt, was das Erfolgsgeheimnis dieser Person ist.
  • Ein Mitarbeiter eines Marktforschungsunternehmens, der eine Umfrage durchführt. Ein Rückruf ist auf Grund der Policy in seinem Call-Center nicht möglich, die Fragen müssen sofort beantwortet werden.
  • Als Bewerber um im Vorstellungsgespräch an möglichst viele Informationen über das Unternehmen oder seinen potentiellen Vorgesetzten zu gelangen.
  • Als Head-Hunter, der via Xing oder LinkedIn aktuellen Mitarbeitern lukrative Jobangebote unterbreitet und dabei Details zum aktuellen Arbeitgeber und dessen Arbeitsprozessen erfährt.

Auf fast alle diese Rollen können Angreifer sich heut mit dem Internet vorbereiten. Steht die Kundenliste nicht auf der Website, so genügt es meist nach Präsentationen des Unternehmens auf Konferenzen und Tagungen zu suchen.

Der Schlüssel zu jedem Social Engineering Angriff ist, dass der Angreifer sich beiläufig legitimieren muss. Dabei gehen Profis routiniert und systematisch vor. In einer ersten Kontaktphase werden verschiedene Personen im Zielunternehmen angesprochen um ein Gefühl dafür zu bekommen, wer für einen Angriff anfällig sein könnte. Außerdem lassen sich aus diesen unverfänglichen Gesprächen fast immer Informationen gewinnen, die bei späteren Kontakten zur Vertrauensbildung und Legitimierung genutzt werden können.

Rein computer-basiertes Social Engineering

Es existieren auch Formen des Social Engineerings, die ohne direkte soziale Interaktion funktionieren. So ist im Jahr 2011 eine E-Mail mit dem Dateianhang "Recruitment-plan.xls" an das Sicherheitsunternehmen RSA geschickt worden. Die Datei war natürlich getürkt und enthielt ein 0Day-Exploit. Es kann also schon genügen E-Mail Betreffs und Namen von Dateianhängen geschickt zu wählen.

Professionelles Social Engineering

Es gibt sogar Firmen, die sich auf das Beschaffen von Informationen spezialisiert haben. Angeblich funktioniert das sogar ohne illegale Methoden (wie das Vortäuschen einer Identität). John Nolan, Gründer der Phoenix Consulting Group, die unter anderem "Intelligence Training & Solutions" anbietet, hat zu diesem Thema mal verraten, dass er meist wie folgt vorgeht:

Er ruft bei seinem potentiellen Opfer an, stellt sich vor und fragt, ob Zeit für ein kurzes Gespräch ist. Zu diesem Zeitpunkt legen bereits 50% der Leute auf. Die restlichen 50% fragen, worum es geht. Auch dann ist Nolan ehrlich und verrät, dass er für die Nachforschungsfirma Phoenix Consulting Group arbeitet und an einem Projekt für einen Kunden arbeitet, den er wegen einer Verschwiegenheitserklärung nicht nennen darf. Danach verliert er nochmal 30%. Da 30% von 50% 15% sind, sind also auch zu diesem Zeitpunkt noch 35% der Leute bereit, sich mit Nolan zu unterhalten.

Das Gespräch wird natürlich ausgewertet; und das sogar doppelt. Eine Auswertung beinhaltet Informationen für den Kunden. Die andere ist für die über 120.000 Einträge umfassende Quellen-Datenbank von Phoenix. Zu jeder Quelle werden alle relevante Informationen (u.a. persönliche Details) gespeichert um sie zu einem späteren Zeitpunkt eventuell erneut nutzen zu können. Mit den persönlichen Informationen ist der Gesprächseinstieg dann natürlich umso leichter.

Robin Sage

Der Fall Robin Sage ist wohl einer der bekanntesten auf sozialen Netzwerken basierenden Social Engineering Fälle. Der IT-Sicherheitseperte Thomas Ryan hat die Person Robin Sage (25, Absolventin vom MIT, Analystin für Cyber-Sicherheit bei der US-Marine) erschaffen. Ihr Profilfoto auf LinkedIn stammte von einer Porno-Website.

Robin Sage
Das Für den Robin Sage Charakter verwendete Profilfoto

Reingefallen sind auf die Dame fast 300 Mitarbeiter von Militär, Geheimdiensten und Sicherheitsfirmen. Einigen konnte sie sogar militärische Geheimnisse entlocken.

Regeln der Sicherheit

Traditionellen Sicherheitskonzepten liegt die Annahme zu Grunde, man können Mitarbeiter mit klaren Regeln, die strikt einzuhalten sind, vor Social Engineering Angriffen schützen. Solche Regeln sind zum Beispiel:

  • Wer seinen Arbeitsplatz verlässt, sperrt seinen Computer. Das gilt auch für Lapttops, Tablets und Handys.
  • Am Ende des Arbeitstages werden alle sensiblen Unterlagen vom Schreibtisch und aus offenen Schubladen und Fächern entfernt und weggeschlossen.
  • Passwörter können nur durch persönliche Anwesenheit des entsprechenden Mitarbeiters oder seines Vorgesetzten bei der IT-Administration zurückgesetzt werden.
  • Alle Mitarbeiter und Besucher müssen ihren Firmenausweis jederzeit deutlich sichtbar tragen.
  • Alle Mitarbeiter müssen eine elektronische Zugangskarte nutzen um sensible Bereiche zu betreten.
  • Besucher werden immer am Empfang abgeholt und nie unbeaufsichtigt gelassen.

Die Herausforderung

Die größte Problematik im Kampf gegen Social Engineering ist, dass Angreifer meist eigentlich wünschenswerte Eigenschaften ausnutzen. Zum Beispiel Hilfsbereitschaft. Sie ist notwendig um kundenfreundlich zu sein und Voraussetzung für Vertrauen in Kollegen und gute Teamarbeit.

Diese Eigenschaften abzutrainieren oder zu verbieten hätte keinen Sinn. Stattdessen sollte man Mitarbeiter schulen, Weiterbildungen für Facebook nutzen und über diese Themen aufklären:

  • Wie vertraulich sind eigentlich bestimmte Informationen (z.B. Zuständigkeitsbereiche, private Informationen von Mitarbeitern, interne Abläufe)?
  • Wie flexibel kann man im Umgang mit Kunden sein ohne die Vertraulichkeit einer Information zu gefährden?
  • Wie steht der Vorgesetzte dazu, wenn sie einem vermeintlich extrem wichtigen Kunden, der vorgibt den Chef persönlich zu können, eine dringende Bitte abschlagen?
  • Welche alternativen Formen der Legitimierung eines Anfragenden (sei es per E-Mail, Telefon oder in Person) gibt es, wenn die normalen Wege nicht funktionieren?
  • Wer ist außerhalb der regulären Arbeitszeiten bei zeitkritischen Problemen anzusprechen, die nicht durch die regulären Richtlinien abgedeckt sind?
  • Wie verbreitet man den Verdacht, dass mit einer aktuellen Anfrage etwas nicht stimmen könnte, am schnellsten unter allen potentiell beteiligten Kollegen?

Dem traditionellen Sicherheitsgedanken eines festen Regelwerks, welches strikt einzuhalten ist, steht das Verlangen, auch auf ungewöhnliche Bedürfnisse von Kunden und Kollegen eingehen zu können, gegenüber. Firmen fordern von ihren Mitarbeitern trotz des Konflikts zwischen diesen beiden Konzepten einen Hybrid, ohne die Grenzen klar abzustecken oder Hilfestellung zu geben, wenn entsprechenden Grenzfälle eintreten. Insbesondere eine Sensibilisierung für Social Engineering um ein Gespür dafür zu entwickeln, wann jemand psychologische Tricks einsetzt, wird quasi nirgendwo geschult.

Jedes Unternehmen, für das Social Engineering ein Thema ist (was alle Konzerne und mindestens alle mit Technologie arbeitenden KMU einschließt), sollte sich bemühen mögliche Angriffspunkte zu erkennen und Mitarbeiter gezielt schulen. Insbesondere nach (fast) erfolgreichen Kompromittierungen der Datensicherheit ist es wichtig, diese mit allen Betroffenen durchzusprechen und Best Practices zu entwickeln, um sich in Zukunft davor zu schützen.

Teilen & Empfehlen






Kommentare