Home      Themenübersicht / Sitemap      Notizen      Webmaster      

 

Schutz gegen Social Engineering - neue psychologische Ansätze

Autor: Philipp Schaumann

Letzte Änderungen Juli 2010

Was ist Social Engineering?

Von Social Engineering spricht man immer dann, wenn ein Angreifer, z.B. für Zwecke der Industriespionage, menschliche Eigenschaften ausnutzt um an Informationen zu kommen. Social Engineering Angriffe sind leider eine extrem effiziente Methode zur Informationsbeschaffung und zwar ohne Einsatz von technischen Hilfsmitteln. Angreifer nutzen dafür natürliche menschliche Reaktionen aus, positive Eigenschaften wie Hilfsbereitschaft, Kundenfreundlichkeit, Dankbarkeit, Stolz auf die Arbeit und das Unternehmen oder weniger positive Aspekte wie Gutgläubigkeit, Respekt vor Autoritäten oder gar Bestechlichkeit und auch Eigenschaften wie Konfliktvermeidung und Liebesbedürfnis und der Wunsch, ein guter Teamplayer zu sein.

Oft sind solche Angriffe eine Vorbereitung für einen Einbruch in das Firmennetz, z.B. indem auf diese Weise Benutzername und Passwort eines Mitarbeiters erschlichen werden oder indem das Imitieren eines Telecom-Technikers für ein Eindringen auf das Werksgelände genutzt wird.

Social Engineering kann aber auch mit Gesprächen im Wirtshaus beginnen, wo ein Mitarbeiter Vertrauliches ausplaudert (vielleicht erzählt er stolz, an welchen Angeboten er derzeit arbeitet oder was für eine tolle Technologie die Firma gerade entwickelt), oder über Anrufe beim Empfang oder einer Sekretärin als Mitarbeiter einer anderen Niederlassung, bis hin zum Vorstand, der einem (falschen) Journalisten gern ein Interview über Zukunftspläne des Unternehmens gibt.

Als Vorbereitung für einen solchen Angriff wird zumeist eine gründliche Recherche im Internet verwendet. Zuerst wird mittels einer Suchmaschine das Unternehmen unter die Lupe genommen, dann kommen die Mitarbeiter dran: am einfachsten ist, wenn diese direkt auf der Website aufgelistet werden. Dann geht der Angreifer mit diesen Namen in Xing und LinkedIn und schaut sich die Profile an. Aber auch ohne die Hilfe der Firmenwebsite sind die Mitarbeiter im Internet schnell gefunden und geben sehr viele private Informationen preis.

Und es gibt auch zahlreiche Methoden, in das Netz und die Rechner eines Unternehmens einzudringen. Zwei wichtige Angriffstechniken sind:

  • Ein Außenstehender ruft beim Helpdesk an und behauptet, ein Mitarbeiter oder Kunde zu sein, der sein Passwort vergessen hat und darum bittet, dass sein Passwort auf einen definierten Wert zurückgesetzt wird. Ein gut vorbereiteter Angreifer hat sich vorher schlau gemacht und weiß, wie er die jeweilige Rolle am besten spielt. Durch das Erwähnen von internen Informationen, z.B. die Namen von anderen Mitarbeitern des Helpdesks, oder des Chefs vom Helpdesks, des Chefs des angerufenen Mitarbeiters kann er z.B. vorspielen, dass er ein Kollege ist. Er weiß ziemlich sicher auch den Namen des Vorstandschefs auf den er sich jetzt beruft, usw., usw.

  • bei einem anderen Angriff gibt der Angreifer vor, ein IT-Mitarbeiter (oder ein anderer Kollege) zu sein und fragt den Anwender nach seinem Passwort oder anderen sensiblen Informationen. Wieder ist das Telefonat gut vorbereitet und gespickt mit Detailwissen, welches den Anrufer scheinbar legitimiert

Im Kern vieler dieser Aktivitäten steht das Erreichen einer Legitimierung des Angreifers. Dafür kann er sehr viele Rollen einnehmen:

  • als Kollege der sich ganz schnell eine Datei, ein Email oder ein Fax zusenden lassen muss,
  • als Vorgesetzter (auch z.B. einer anderen Niederlassung), der jetzt am Hauptfirmensitz ist, aber Hilfe braucht, um auf sein Email zugreifen zu können,
  • als Mitarbeiter eines Kunden des Unternehmens (der z.B. sein Passwort vergessen hat oder der in Vertretung eines anderen Kollegen ganz schnell noch die Verkaufszahlen des letzten Jahres oder die aktuellen Preise braucht),
  • als Mitarbeiter eines Service-Unternehmens,
  • als Journalist,
  • oder sehr häufig als Mitarbeiter eines Umfrage-Instituts.

Auch hier ist das Internet für den Angreifer eine wichtige Quelle, dort finden sich sehr oft Listen von Kunden- und Partnerunternehmen, als deren Mitarbeiter sich ein Anrufer ausgeben kann.

Dabei wird ein routinierter Angreifer schrittweise und systematisch vorgehen. Er kontaktiert verschiedene Leute im Unternehmen und spürt sehr schnell, wer für welchen Angriff anfällig ist. Von jedem der Mitarbeiter bekommt er einige neue Zusatzinformationen, die er beim nächsten Anruf wiederum als Mittel zur Vertrauensbildung einsetzen kann.

Oft wird ein weiterer Angriffstyp unter Social Engineering subsummiert: Computer-based Social Engineering - das Ausnutzen menschlicher Schwächen für Angriffe übers Internet, z.B. durch geschicktes Wählen der Betreff-Zeile eines E-Mails. Mehr dazu im McAfee Security Journal -CYBERCRIME GETS PERSONAL (leider werden die Texte in der deutschen Ausgabe manchmal durch sinnentstellende Übersetzungen beschädigt). Der weitere Text auf dieser Website konzentriert sich auf die direkte Interaktion zwischen Menschen.

Hier ein Text eines Informationsbeschaffers, der behauptet, dass er nicht mal illegale Tricks verwenden muss um an Informationen zu kommen. (Illegal ist es z.B., wenn man vorgibt, eine andere existierende Person zu sein).

    John Nolan, founder of the Phoenix Consulting Group, has some amazing stories of what people will tell him over the phone. This is the man who got his fingers burned in the infamous "dumpster diving" espionage case in 2001 involving Procter & Gamble and Unilever. Nolan won't comment on the case, which was settled out of court, but he insists that there's no need for his company to break the law. "In our experience, it's just not worth it," he explains.

    Nolan has other ways of getting people to talk. In fact, people like him are the reason that seemingly benign lists of employee names, titles and phone extensions, or internal newsletters announcing retirements or promotions, should be closely guarded. That's because the more Nolan knows about the person who answers the phone, the better he can work that person for information.

    "I identify myself and say, 'I'm working on a project, and I'm told you're the smartest person when it comes to yellow market pens. Is this a good time to talk?'" says Nolan, describing his methods. "Fifty out of a hundred people are willing to talk to us with just that kind of information."

    The other fifty? They ask what Phoenix Consulting Group is. Nolan replies (and this is true) that Phoenix is a research company working on a project for a client he can't name because of a confidentiality agreement. Fifteen people will then usually hang up, but the other 35 start talking. Not a bad hit rate. Nolan starts taking notes that will eventually make their way into two files. The first file is information for his client, and the second is a database of 120,000 past sources, including information about their expertise, how friendly they were, and personal details such as their hobbies or where they went to graduate school.

       
 

 

Traditionelle Schutzkonzepte

Traditionelle Schutzkonzepte (auch in den Büchern von Kevin Mitnick) gehen davon aus, dass es ausreichend ist, wenn das Unternehmen klare und stringente Sicherheitsregeln aufstellt und diese den Mitarbeitern vermittelt, wie z.B.

  • konsequentes Sperren von Bildschirmen beim Verlassen des Arbeitsplatzes

  • konsequentes Abräumen der Schreibtische am Ende des Arbeitstags

  • Zugangspassworte werden nur dann zurückgesetzt, wenn der unmittelbare Vorgesetzte dies anordnet oder der Mitarbeiter persönlich beim Helpdesk vorspricht

  • alle Mitarbeiter tragen deutlich sichtbar ihre Firmenausweise, Fremde sind leicht zu erkennen

  • alle Mitarbeiter nutzen ihre elektronische Zugangskarten

  • alle Besucher werden beim Empfang abgeholt und sind nie unbeaufsichtigt auf dem Firmengelände

Aber die Realität sieht dann zumeist trotzdem anders aus: die Bildschirme sind unversperrt („ich werde doch meinen Kollegen vertrauen können“), das Abräumen der Schreibtische ist viel zu mühsam und wenn hinter mir noch jemand durch das Werkstor will, dann gebietet doch schon die Höflichkeit, dass ich ihm oder ihr die Tür aufhalte. Passworte werden sehr wohl auf Zuruf zurückgesetzt, wenn der Kollege nur genügend Druck macht und auf das dringende Projekt hinweist, das heute Abend noch erledigt werden muss. Und nach kurzer Zeit dürfen Gäste auch wieder allein auf dem Werksgelände „herumstreunern“.

Das heißt, die Regeln sind zwar gut, aber der Wunsch, den Kollegen vertrauen zu können, die Bequemlichkeit, die Kundenfreundlichkeit, die Höflichkeit der Mitarbeiter untergräbt die Regeln sehr schnell wieder. Strenge Regeln, die aber in „Notsituationen“ nicht anwendbar sind, helfen niemandem, sondern verlagern das Problem und den Konflikt zwischen Einhaltung der Regeln und Kundenfreundlichkeit (Höflichkeit, Bequemlichkeit, „gute Kinderstube“, Respekt vor Autoritäten) nur auf den Mitarbeiter.

 
 

 

Die Herausforderung

Die eigentliche Herausforderung beim Verhindern von Social Engineering liegt darin, dass viele der menschlichen Eigenschaften, die der Angreifer ausnutzt, auch für das Unternehmen sehr erwünscht sind. So ist die Hilfsbereitschaft eine Voraussetzung für Kundenfreundlichkeit, Vertrauen in andere Menschen zu setzen ist eine Voraussetzung für das Arbeiten in einer Gruppe und im Team.

Ein Problem entsteht immer dann, wenn die Mitarbeiter nicht wissen

  • wie vertraulich die jeweilige Information tatsächlich ist (z.B. die Privatnummern der Kollegen, Details der Unternehmensstruktur und Zuständigkeiten)

  • welcher Grad an Flexibilität und Kunden-Entgegenkommen ohne Gefährdung der Vertraulichkeit der anvertrauten Informationen noch gefahrlos möglich ist

  • ob ihr Chef auch dann hinter ihnen steht, wenn sie den Wunsch des anscheinend extrem wichtigen Kunden ablehnen, der soeben damit gedroht hat, dass er den Firmenchef persönlich kennt

  • welche alternativen Möglichkeiten sie haben, die Legitimierung des Anrufers festzustellen, wenn ein Anrufer sich auf dem normalen Weg nicht legitimieren kann

  • wen sie nachts oder am Wochenende zu raten ziehen können, wenn eine knifflige Bitte am äußersten Rand der Regeln liegt

  • wie sie die anderen Helpdesk-Kollegen warnen können, dass bei einem der Kunden-Accounts ein eigenartiger Anruf stattgefunden hat, bei dem sie ein ganz schlechtes Gefühl haben

Das heißt, traditionelle Schutzversuche beschränken sich zumeist auf das Aufstellen von fixen Regeln, deren starre Einhaltung die betroffenen Mitarbeiter häufig in einen Konflikt zwischen dem Bedürfnis, die Unternehmensregeln einzuhalten und dem Wunsch, den eigenen ethischen und moralischen Grundsätzen zu folgen, stürzt.

Unternehmen fordern von ihren Mitarbeitern gleichzeitig Kundenfreundlichkeit und Einhaltung der Regeln, lassen ihre Mitarbeiter dann aber oft mit dem daraus resultierenden Konflikt allein. Die Mitarbeiter verfügen zumeist nicht über eine ausreichende Sensibilisierung in Bezug auf die angewandten psychologischen 'Tricks', um im konkreten Fall entscheiden zu können, ob ein Angriff vorliegt.

Eine recht gute Einführung in dieses Thema ist das Buch "The Art of Deception" von Kevin Mitnick, einem Profi auf dem Gebiet des Social Engineerings, der für seine "Künste" einige Jahre im Gefängnis gesessen hat. Mitnick zeigt auf, wie der Angriff aus einer Folge von Telefonaten besteht, bei denen mit jedem Telefonat ein wenig mehr Information aus dem Unternehmen erfragt wird, und wie diese neue zusätzliche Information dann jeweils beim nächsten Anruf als Legitimatierung eingesetzt wird.

Mitnick greift jedoch bei den Schutzkonzepten m.E. deutlich zu kurz. Auch er predigt die übliche Vorgehensweise, nämlich strenge Sicherheitspolicys aufzustellen, die die Mitarbeiter dann nur noch einhalten müssen. Natürlich ist es wichtig, vernünftige Prozesse für den Umgang mit Betriebsfremden, z.B. Kunden oder auch Journalisten, etc. zu haben und die auch den Mitarbeiter nahe zu bringen. Diese Vorgehensweise ignoriert jedoch die inherenten Konflikte, die ein geschickter Angreifer ausnützt, um genau eine solche Übertretung der Regeln zu erreichen. Mehr zu meinen weiterführenden Schutzkonzepten weiter unten.

In vielen Klassifikationen von Social Engineering findet sich auch der Begriff "Computer-based Social Engineering". Dabei geht es darum, dass viele Spammer und andere Verteiler von Schadsoftware natürlich versuchen, durch eine gute Wahl der Betreffzeile oder des Namen des Anhangs, z.b. "I love you" oder "Britney Spears nackt" den Adressaten zum Öffnen des E-Mails zu bringen. Anderseits findet hier keine gegenseitige Interaktion statt, und die differenzierte Vorgehensweise, die ein menschlicher Angreifer ausnutzen kann, z.B. durch die Anwendung psychologischer Konflikte, findet hier nicht statt. Daher werden solche Vorgehensweisen hier nicht weiter behandelt, ein Beispiel diskutiere ich unter dem Titel Das Knacken von Captchas.

Wissen Sie eigentlich, was über ihr Unternehmen kommuniziert wird?

Der erste und wichtigste Angriffsschritt ist für Informationsbeschaffer immer die Suche in öffentlichen Quellen, heute vor allem das Internet. Weiß Ihr Unternehmen eigentlich, was dort alles über das Unternehmen zur Verfügung steht? Suchen Sie doch einfach mal über eine Suchmaschine, hilfreich ist dabei die Erweiterte Suche. Dort können Sie z.B. auch Dateiformate eingeben, z.B. alle .doc oder .xls in denen der Firmenname oder wichtige andere Begriffe aus ihrem Unternehmen vorkommen. Geben Sie doch mal zusätzlich die Suchbegriffe "vertraulich" und "confidential" ein.

Wissen Sie, was in Twitter alles über ihr Unternehmen gesagt wird? So finden Sie es heraus: http://search.twitter.com/search?q="ihr+unternehmen". Sie können dann einen automatischer RSS-Feed für diese Anfrage einrichten und täglich über die neusten Gerüchte über ihr Unternehmen informiert werden.

Da ist z.B. Addict-o-matic - inhale the web. Hier werden sehr viele Social Networking Websites, Fotosharing und Blogs durchsucht und man bekommt einen sehr guten Überblick über das, was aktuell so über ein Unternehmen geredet wird.

Und dann gibt es Google Alerts. Dort programmiere ich Suchabfragen die dann täglich durchgeführt und mir als Email zugestellt werden. Auf diese Weise werde ich automatisch darüber informiert, was auf Google neu indiziert wurde.

Und dann wären da noch die Filesharing Peer-to-peer-Netze, BitTorrent, eMule, Gnutella, etc. Dort finden Sie natürlich jede Menge Musik und Filme, aber auch eine gigantische Menge von .doc, .xls, .pdf, und ähnlichen Formaten. Eine der Möglicheiten, wie die vertraulichen Firmendaten dahin kommen, beschreibe ich in den Notizen.

 
 

 

Neue Schutzkonzepte

Was ist eigentlich alles vertraulich im Unternehmen?

Der allerwichtigste Schritt zum Schutz vertraulicher Informationen ist, dass alle Mitarbeiter verstehen müssen, was eigentlich (im Unternehmen) vertraulich ist. Das ist nämlich alles andere als trivial. Viele Informationen gelangen in die Öffentlichkeit, weil sie aktiv und bewusst auf der externen Website veröffentlicht wurden, oft obwohl sie als Vertraulich gekennzeichnet wurden. Die Fotos von einem Seminar mit ihren Kunden, dürfen die auf der Website gezeigt werden? Der Datenschutz sagt Nein, außer es haben ALLE Kunden der Veröffentlichung zugestimmt. Aber auch wenn alle Kunden zugestimmt haben, möchten Sie wirklich, dass die Mitbewerber ihre Kunden kennen?

Die nächste Herausforderung ist, dass natürlich manchmal, z.B. in einem Verkaufsgespräch, auch Informationen weitergegeben werden die nicht in die Öffentlichkeit gehören, z.B. über zukünftige Produktweiterentwicklungen. Es kann aber für dieses Verkaufsgespräch entscheidend sein, dass der Kunde über die Zukunftspläne Ihres Unternehmens informiert ist. In diesem Fall ist es wichtig, dass der Verkäufer entscheiden muss, ob DIESER Kunde die Informationen wirklich braucht und ob man ihm vertrauen kann. Und natürlich muss der Verkäufer sich eine Vertraulichkeitserklärung (NDA, non-disclosure-agreement) unterschreiben lassen. Auch wenn solche Vertraulichkeitserklärungen nur eine begrenzte juristische Wirkung haben (die Beweislast für die aktive Weitergabe liegt beim geschädigten Unternehmen), so kann es doch für den Ins-Vertrauen-gezogenen eine psychologische Schranke bedeuten, dass sie z.B. 10000 Euro zahlen muss, wenn man ihr den Vertrauens-Missbrauch nachweisen kann.

Wissen Ihre Entwickler, was sie bei einem Einstellungsgespräche bei einem Mitbewerber über laufende Projekte erzählen dürfen und was nicht? Natürlich hat der Mitarbeiter das Recht, sich bei der Konkurrenz zu bewerben und natürlich bekommt sie die Stelle nur, wenn sie auch darstellen kann, welche Erfahrungen sie hat und welche Technologien sie kennt, aber andererseits geben solche Auskünfte auch wertvolle Hinweise auf laufende Entwicklungen. Solche Einstellungsgespräche, echt oder auch nur fingiert, sind eine wichtige Informationsquelle für Informationsbeschaffer.

Psychologische Aspekte

Ich bin der Überzeugung, dass man das Thema "Schutz vor Social Engineering" auf jeden Fall auch psychologisch angehen muss. Denn wenn die oben beschriebenen Methoden der Informationssammlung im Internet, durch (fingierte) Einstellungsgespräche, etc. nicht genug Informationen liefern, dann kommen gezieltere Angriffe. Dabei nutzen die Angreifer menschliche Stärken (wie z.B. Hilfsbereitschaft) oder menschliche Schwächen (wie z.B. Eitelkeit) aus, um die Mitarbeiter reinzulegen. Daher kann auch der Schutz nur auf diesen Ebenen ansetzen. Einfach nur strengere Regeln zu erlassen und die Einhaltung dieser Regeln zu fordern trägt den inherenten Konflikt zwischen dem Wunsch, dem Kunden z.B. auch dann zu helfen, wenn er sein Passwort vergessen hat und der Vorschrift, ohne Passwort gar nichts zu tun, auf dem Rücken der Mitarbeiter aus.

D.h. strenge Regeln, die aber in Notsituationen nicht anwendbar sind, helfen niemandem, sondern verlagern das Problem nur auf den Mitarbeiter. Hier einige Ansätze die aus psychologischer Sicht den Mitarbeitern die Abwehr von Social Engineering-Angriffen erleichtern:

Das persönliche Schwachstellen-Profil

  • Kenntnis der (psychologischen) Angriffstechniken und eine entsprechende Sensibilisierung, denn nur wer die Techniken kennt, kann überhaupt in der Lage sein, den Angriff zu erkennen

  • Kenntnis der eigenen psychologischen Schwächen und Angriffspunkte, so dass der Mitarbeiter weiß, ob er z.B. eher durch Schmeicheleien oder durch Drohungen oder über seine Angst vor Autoritäten angreifbar ist. Diese Kenntnis erlaubt es dem Mitarbeiter, sich von den durch den Angreifer bewusst ausgelösten Gefühlen leichter innerlich zu distanzieren. (Hierfür habe ich einen Test ausgearbeitet, der es den Mitarbeitern im Rahmen eines Trainings ermöglicht, ihre eigenen "Schwachstellen" besser einzuschätzen)

  • Einübung von Gesprächstechniken, die es dem Mitarbeiter ermöglichen, Zeit zum Nachdenken zu gewinnen, sich dem Druck des Angreifers zu entziehen. Danach fällt es ihnen in Zweifelsfällen leichter, auch mal streng zu sein, ohne dabei Schuldgefühle zu bekommen. Dazu gehört auch, dass sie verstehen, dass ein falsches JA mehr Schaden anrichten kann, als z.B. ein Vertrösten des Kundens am Telefon auf den nächsten Tag, an dem das Problem in Ruhe gelöst werden kann

Zusätzlich gibt es eine ganze Reihe von weiteren Aktionen, mit denen ein Unternehmen seinen Mitarbeitern und seinen Kunden das Leben vereinfachen kann. Dazu gehören:

Quelle: Das empfehlenswerte Schulungsvideo von www.secorvo.de
  • Kundendienstmitarbeiter(innen), Sicherheitsabteilung, Risk-Management und andere Betroffene erarbeiten gemeinsam Regeln, die Entscheidungskonflikte für die Kundendienstmitarbeiter minimieren

  • Kund(inn)en haben die Möglichkeit, durch Hinterlegung von geeigneten Informationen bei ihrer späteren Identifikation (z.B. bei Passwort-Verlust) mitzuwirken

  • Durch geeignete Felder im CRM-System (Customer Relationship Management) haben die Kundendienstmitarbeiter(innen) die Möglichkeit, Auffälligkeiten für alle Kolleg(inn)en sehr deutlich anzumerken, so dass es nicht übersehen werden kann

  • Auch in Abend- und Nachtzeiten gibt es für die Kundendienstmitarbeiter(in) eine weitere Stelle, an die ungewöhnliche Anfragen weitergeleitet werden können, so dass nicht 1 Mitarbeiter(in) allein eine solchen Entscheidung fällen muss

Weitere Informationen dazu gibt es auch in meinen Slides zu psychologischen Ansätzen beim Social Engineering Schutz (pdf, 280 KB) und in einem Artikel in techrepublic.com: the psychology that phishers use to try and fool us.

D.h. der Schutz gegen Social Engineering erfordert vernünftige Regeln und Prozeduren, eine gute technische Unterstützung, Vorgesetzte auf die sich der Mitarbeiter verlassen kann, aber auch eine geeignete Sensibilisierung und vor allem gezieltes Training der Situation mit dem Kunden, z.B. mittels Rollenspielen.

Alle Unternehmen, für die Social Engineering ein Thema ist (und das sollten alle sein, die mit vertraulichen Informationen arbeiten), müssen sich fragen, wo bei Ihnen die möglichen Angriffspunkte liegen, wie Ihre Mitarbeiter auf solche Situation vorbereitet sind und wie sie die Mitarbeiter gegen solche Angriffe „abhärten“ können. Workshops mit den Betroffenen, auf denen auch alte Vorfälle endlich mal zur Sprache kommen, sind ein erster Schritt, gefolgt von einem Bündel von gezielten Maßnahmen.

 

Psychologie, Betrug und Informationssicherheit

Aktualisierung Juli 2009: In England wurde durch die Regierung schon vor einiger Zeit eine Initiative gegen Betrug (in einem sehr weiten Sinne) gestartet, die jetzt eine Reihe von Ergebnissen zeitigt. Eine Studie der National Fraud Strategic Authority (pdf, Seite 25) in England berichtet von mehreren Hunderttausenden Opfern pro Jahr und einem Schaden von 14 Milliarden Pfund, d.h. das zwei-einhalbfache von Einbruch, Diebstahl und Raub zusammen.

Das UK government's "Office of Fair Trading" und "Exeter University"'s psychology department haben eine sehr umfangreiche Studie The psychology of scams: Provoking and committing errors of judgement erstellt (260 Seiten). Dabei geht es grundsätzlich um die gleichen Problematiken wie oben behandelt: warum fällt jemand auf einen Betrug herein. Sie finden dabei auch einige Erkenntnisse, die überraschend sind. Die Opfer von Betrügereien wissen im Schnitt mehr über die betreffende Materie als die, die nicht darauf hereinfallen und sie haben auch mehr Gehirnschmalz in die Analyse der Sache investiert - "gefährliches Halbwissen".

Hier ein Link zum einer anderen wissenschaftlichen Untersuchung zu unterschiedlichen Betrugstechniken: Understanding scam victims: seven principles for systems security. Zitat: "The message of this paper is that hustlers and con artists know a lot more about the psychology of their victims than security engineers typically do; and therefore that the latter might learn useful lessons from the former."

Und hier ein Beispiel-Email für einen typischen Angriff auf Menschen, die bereits einmal Opfer gewesen sind und deswegen mit einer hohen Wahrscheinlichkeit wieder reinfallen.

 
 

 

Weiterführende Themen

Hier noch ein interessanter Artikel zum Schutz vor Social Engineering mit konkreten Beispielen, was in diesem Fall an der Firmenkultur geändert werden muss. Ebenfalls lesenwert ist Faktor Mensch von der Initiative sicher-im-netz.de, eine einfache Einführung, die auch einige der psychologischen Aspekte berücksichtigt.

Und noch ein Artikel, der erklärt, wie mit Hilfe von Social Engineering Fotos von Paris Hilton in die Öffentlichkeit kamen.

Ähnliche Themen werden auch auf den folgenden beiden Seiten dieser Website behandelt: Benutzersensibilisierung und Training und Business Ethik und Unternehmenskultur. In der Regel gemischter Qualität ist der Reading Room von SANS - in diesem Fall sind einige sehr gute Dokumente dabei. Kevin Mitnick, der Star der Social Engineering Szene (mit einigen Jahren Gefängnis auf dem Buckel) hat seine eigene Website, auf der er relevante Ereignisse kommentiert.

Und hier noch ein Leckerbissen: Aus dem Social Engineering Lehrbuch

    US-Polizeiwagen haben wohl eine fest installierte Kamera am Armaturenbrett. Ich halte das für eine gute Sache. Nicht nur, weil dabei dann so interessante Filme wie der folgende entstehen können.

    Smooth-talking escapee evades police
    The dashboard camera of Carl Bordelon, a police officer for the town of Ball, La., captured (below) his questioning of Richard Lee McNair, 47. Earlier that same day, McNair had escaped from a federal penitentiary at nearby Pollock, La., reportedly hiding in a prison warehouse and sneaking out in a mail van. Bordelon, on the lookout, stopped McNair when he saw him running along some railroad tracks. What follows is a chillingly fascinating performance from McNair, who manages to remain fairly smooth and matter-of-fact while tripping up Bordelon.

    The officer notices that the guy matches the description of McNair -- who was serving a life sentence for killing a trucker at a grain elevator in Minot, N.D., in 1987 -- observes that he looked like he'd "been through a briar patch" and had to wonder why he would choose appalling heat (at least according to that temperature gauge in the police car) to go running, without any identification, on a dubious 12-mile run. But he doesn't notice when McNair changes his story -- he gives two different names (listen for it) -- and eventually, Bordelon bids him farewell, saying: "Be careful, buddy." McNair remains on the loose. (Note: Video is more than eight minutes long, but worth it.) Hier das Social Engineering Video des Vorfalls.

Und noch ein schönes Beispiel: der Dieb erschleicht sich mit Schokolade das Vertrauen der Bankangestellten und entkommt mit Diamanten im Wert von 14 Mill. Pfund: Thief woos bank staff with chocolates - then steals diamonds worth £14m. Und hier ein Beispiel für einen Social Engineering Test mittels "verlorenen" USB-Sticks. Hier Links zu 2 Studien zu Social Engineering-Anfälligkeit.

Im November 2007 habe ich zusammen mit meiner Frau auf dem Bestnet-Kongress an der Uni Linz zum Thema Schutz gegen Social Engineering Angriffe - angewandte Psychologie vorgetragen.

Viele Artikel zu Social Engineering finden sich auch im McAfee Security Journal Herbst 2008. Und Marko Rogge und Paul Ziegler (pdf) demonstrieren in diesem Artikel über Social Engineering, wie sie eine fiktive Person in Xing angelegt haben, die dann Kontakte geschlossen hat und über Job-Angebote und Informationsaustausch an vertrauliche Informationen gekommen ist. Hier findet sich mehr zu Social Networks als Technik der Industriespionage. Generell sind Job-Interviews eine gute Quelle vertraulicher Informationen über den jetzigen oder frühere Arbeitgeber.

 


Philipp Schaumann, http://sicherheitskultur.at/


Home

 

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.