Home      Themenübersicht / Sitemap      Webmaster      

 

Schutz gegen Social Engineering - neue psychologische Ansätze

Aktuell bei Social Engineering: CEO-Betrug - Business email compromise (BEC)

Sehr aktiv bereits seit 2015: Betrüger schreiben Mails im Namen des Chefs an Mitarbeiter die für Zahlungen zuständig sind und drängen auf dringende Überweisungen außerhalb der regulären Zahlungsabläufe. Vorwand sind oft angebliche (noch) geheime Geschäftsübernahmen und ähnliches Dringendes. Das ganze läuft unter dem Begriff "CEO-Betrug". Klappen kann das nur, weil die Mitarbeiter aus irgendwelchen Gründen sich nicht trauen, den Chef persönlich zu kontaktieren und zurückzufragen, oder sich nicht trauen zu warten, bis eine Rückfrage auf den regulären Kanälen möglich ist.

Es klappt leider extrem oft. Das FBI schätzt den Schaden in den letzten 3 Jahren in den USA auf 2,3 Milliarden US-Dollar. In Österreich verlor die FACC immerhin 50 Mio Euro. Und gleich noch 2 aktuelle Fälle: Internetbetrüger nehmen 2 oberösterreichische Firmen aus. Und aus Deutschland: Betrüger kamen mit Chef-Masche in Deutschland bereits zu 110 Mio. Euro.

Eine Variation dieser Angriffe besteht darin, dass die Betrüger sich Hintergrundinformationen über wirkliche Kunden eines Unternehmens beschaffen und dann im Namen dieses Kunden Mails schreiben, in denen neue Konten für Zahlungen bekannt gegeben werden. Die Betrüger verfügen oft über detaillierte Kenntnisse und stellen auf der Basis dieses Wissens dann auch fiktive Rechnungen aus. Dagegen schützt sich ein Unternehmen wenn es strenge Regeln für die Konto-Änderungen seiner Lieferanten hat, und zwar auf der Basis des 4-Augen-Prinzips.

An anderer Stelle mehr zu CEO-Betrug.

Autor: Philipp Schaumann
Letzte Ergänzungen: März 2019

 

Was ist Social Engineering?

Von Social Engineering spricht man immer dann, wenn ein Angreifer, z.B. für Zwecke der Industriespionage oder um an den Email-Account eines anderen zu kommen, menschliche Eigenschaften ausnutzt um sein Ziel zu erreichen. Social Engineering Angriffe sind leider eine extrem effiziente Methode des Angriffs gegen Firmen und zwar sehr oft ohne Einsatz von technischen Hilfsmitteln. Angreifer nutzen dafür natürliche menschliche Reaktionen aus, z.B. positive Eigenschaften wie Hilfsbereitschaft, Kundenfreundlichkeit, Dankbarkeit, Stolz auf die Arbeit und das Unternehmen oder weniger positive Aspekte wie Gutgläubigkeit, Respekt vor Autoritäten oder gar Bestechlichkeit und auch Eigenschaften wie Konfliktvermeidung und Liebesbedürfnis und der Wunsch, ein guter Teamplayer zu sein.

Sehenswerte Demonstration in diesem YouTube-Video: how to break into your account in 2 minutes.... Babygeschrei wird eingeblendet und der genervte Helpdesk Mitarbeiter setzt ohne jeden Nachweis der Identität das Passwort zurück.

Oft sind solche Angriffe eine Vorbereitung für einen Einbruch in das Firmennetz, z.B. indem auf diese Weise Benutzername und Passwort eines Mitarbeiters erschlichen werden oder indem das Vorspielen eines Wartungstechnikers für ein Eindringen auf das Werksgelände genutzt wird.

Link-Konventionen:
Fette Links öffnen ein fremde Seite in einem neuen Fenster
Blau hinterlegte Links bleiben auf der sicherheitskultur.at

Social Engineering kann aber auch mit Gesprächen im Wirtshaus beginnen, bei denen ein Mitarbeiter Vertrauliches ausplaudert (vielleicht erzählt er stolz, an welchen Angeboten er derzeit arbeitet oder was für eine tolle Technologie die Firma gerade entwickelt), oder über Anrufe beim Empfang oder einer Sekretärin als vorgeblicher Mitarbeiter einer anderen Niederlassung, bis hin zum Vorstand, der einem (falschen) Journalisten gern ein Interview über Zukunftspläne des Unternehmens gibt.

Aber auch Einstellungsgespräche sind Situationen in denen oft viele Interne ausgeplaudert werden. Und zwar in beide Richtungen: Die Bewerberin erzählt, was für tolle Sachen sie im vorigen Unternehmen alles entwickelt hat und welche Probleme oder Erfolge es dort gab. Und die Einstellende berichtet, welche tollen Pläne das Unternehmen hat und welche Aufgaben die zukünftige Mitarbeiterin alles bei den neuen Plänen übernehmen soll.

Als Vorbereitung für einen Social Engineering Angriff wird zumeist eine gründliche Recherche im Internet verwendet. Zuerst wird mittels einer Suchmaschine das Unternehmen unter die Lupe genommen, dann kommen die Mitarbeiter dran: am einfachsten ist, wenn diese direkt auf der Website aufgelistet werden. Dann geht der Angreifer mit diesen Namen in Facebook, Xing und LinkedIn (siehe deren Passwort-Desaster) und schaut sich die Profile der Mitarbeiter des Zielunternehmens an. Aber auch ohne die Hilfe der Firmenwebsite sind die Mitarbeiter im Internet schnell gefunden und geben sehr viele private Informationen preis.

Es gibt auch zahlreiche Methoden um an vertrauliche Informationen zu kommen oder gar gleich ins Netz eines Unternehmens einzudringen. Wichtige Angriffstechniken sind:

  • Informationen über finanzielle Situationen von Menschen (z.B. um diese Informationen im Rahmen eines Scheidungsstreits zu verwenden) lassen sich durch Anruf bei der Bank, bzw. deren Call-Center erschleichen. Dabei gibt der Angreifer entweder vor, der Bankkunde selbst zu sein oder ein naher Verwandter, oder er stellt sich als Bank-Kollege einer anderen Bank vor, bei der das Opfer angeblich auch ein Konto hat.
  • In der Presse behandelt wurden auch einige der Tricks mit deren Hilfe es Journalisten geschafft hatten, auf Handy-Daten (z.B. die Einzelgesprächsabrechnung) und die Sprachboxen von anderen Menschen zu kommen. Sehr oft geht das über einen Anruf beim Helpdesk des Handynetz-Betreibers, man hätte leider das Passwort vergessen und andere Schmähs.
  • Um in das Computernetz einer Firma zu kommen ruft z.B. ein Außenstehender beim Helpdesk an und behauptet, Mitarbeiter oder Kunde zu sein, der sein Passwort vergessen hat und bittet darum, sein Passwort auf einen definierten Wert zurückzusetzen. Ein gut vorbereiteter Angreifer hat sich vorher schlau gemacht und weiß, wie er die jeweilige Rolle am besten spielt. Durch das Erwähnen von internen Informationen, z.B. die Namen von anderen Mitarbeitern des Helpdesks, oder des Chefs vom Helpdesks, des Chefs des angerufenen Mitarbeiters kann er z.B. vorspielen, dass er ein Kollege ist. Er weiß ziemlich sicher auch den Namen des Vorstandschefs auf den er sich jetzt beruft, usw., usw.
    Das kann sogar in extremen Fällen gelingen: Angreifer haben sich in Australien als Web-Administratoren bei dem externen Hoster eines großen Billing-Providers gemeldet und haben die Zugangspassworte für die Firmenwebsite bekommen - d.h. die Schwachstelle kann auch außerhalb des eigenen Unternehmens liegen.
  • Sehr öffentlich ist der erfolgreiche Angriff auf das Sicherheitsunternehmen RSA. Dort haben Angreifer mittels 4 geschickten Emails (mit dem Betreff "Recruitments 2011") es geschafft, so in das Firmennetz einzudringen, dass sie sehr vertrauliche Algorithmen stehlen konnnten und damit ca. 60 Mio.USD Schaden anzurichten. Dieser Angriff kann auch unter Social Engineering eingereiht werden, weil die geschickte Wahl der Betreffzeile ausreichend Motiviation für einen der 4 Empfänger war, das Mail aus dem Spam-Verzeichnis zu holen und den Anhang zu öffnen. Dadurch wurde die Infektion ausgelöst.

Beispiele aus der Welt der Cloud-Dienste

Zwei eindrucksvolle Beispiele aus 2012 und 2014 für Angriffe auf Twitter- und Gmail-Accounts habe ich an anderer Stelle ausführlich dokumentiert (siehe Link).

Dieser Text zeigt sehr dramatisch, wie sehr bei den heutigen Cloud-Diensten das Zurücksetzen der Passworte zum riesigen Sicherheitsproblem geworden ist.

2013 werden im Rahmen der DeepSec in Wien ähnliche Tests durchgeführt. IT-Sicherheitsforscher Ashar Javed von der Universität in Bochum hat sich 50 populäre Social Media-Websites näher angesehen. Bei 7 davon gelang es ihm bei sieben durch eine Support-Anfrage mit dem Betreff: „Passwort verloren“ und der Bitte, ihm ein Neues zuzusenden. Sieben Netzwerke kamen dieser Bitte nach, ohne seine Identität und seine Anfrage zu hinterfragen.

Und noch ein Beispiel: Government agency compromised by fake Facebook hottie und eine Präsentation von der 2013 IT-SecX in St.Pölten Robin-Sage-Experiment.

Hier der Link zu einem professionellen Angriff mittels Social Engineering: April 2014: The Persistence and Evolution of a Dual-Pronged Social Engineering Attack. Operation Francophoned, first uncovered by Symantec in May 2013, involved organizations receiving direct phone calls and spear phishing emails impersonating a known telecommunication provider in France, all in an effort to install malware and steal information and ultimately money from targets.

Die Syrian Electronic Army (SEA) stellt sich als Meister im Social Engineering heraus.

Noch ein in 2014 leider sehr aktiver Social Engineering Angriff: Microsoft tech support scam. Anrufer behaupten von Microsoft zu sein und leiten die Nutzer an, auf ihrem PC Schadsoftware zu installieren. Der verlinkte Artikel beschäftigt sich mit der Historie solcher Angriffe.

Noch 3 Beispiele aus der Welt der Cloud-Dienste: Dem Technologie-Journalist Mat Honan nehmen Angreifer seine Amazon-, Apple-, Gmail- und Twitter-Accounts ab und löschen dann seinen privaten Laptop (2012). Dem CIA-Direktor nehmen Teenager seinen privaten AOL-account weg und Brian Krebs berichtet daüber wie unheimlich leicht es ist, jemandem seinen Paypal account zu stehlen (2015). Auch US-Geheimdienstkoordinator James Clapper bekommt seinen Mail-Account gestohlen (2015).

Ganz neu 2019:
Social Engineering in einem kommenden Krieg.
Bei einem NATO-Manöver wurden die Soldaten im Internet angegriffen, und zwar real und sehr erfolgreich. Das erinnert an ein fiktives Szenario der Eroberung von Taiwan durch die Volksrepublik ohne einen einzigen Schuss. Der Hack des Office of Personnel Management (OPM) in 2015 ist übrigens eine optimale Basis für solche Strategien. Irgendjemand hat damals 21,5 Mio Personaldaten von Bundesangestellten, inkl. Militär und Geheimdiensten gestohlen. Auch der Marriot Hotel Hack 2018 könnte damit zusammenhängen, 383 Mio Kunden, oft mit Führerschein oder Passdaten.

Hier noch einige der vielen Rollen, in die Angreifer schlüpfen können:

  • als Kollege der sich ganz schnell eine Datei, ein Email oder ein Fax zusenden lassen muss,
  • als Vorgesetzter (auch z.B. einer anderen Niederlassung), der jetzt am Hauptfirmensitz ist, aber Hilfe braucht, um auf sein Email zugreifen zu können,
  • als Mitarbeiter eines Kunden des Unternehmens (der z.B. sein Passwort vergessen hat oder der in Vertretung eines anderen Kollegen ganz schnell noch die Verkaufszahlen des letzten Jahres oder die aktuellen Preise braucht),
  • als Mitarbeiter eines Service-Unternehmens das die Zufriedenheit seiner Kunden testen lassen möchte und deswegen einige Details der Nutzung braucht,
  • als Journalist, der mit dem Vorstand ein Interview über die Erfolge und das Erfolggeheimnis des Betreffenden machen möchte - wie schmeichelhaft
  • oder sehr häufig als Mitarbeiter eines angeblichen Umfrage-Instituts oder einer Forschungseinrichtung, der leider nicht zurückgerufen werden kann, weil er/sie ja im Call-Center arbeitet.
  • Job-Interviews eine gute Quelle vertraulicher Informationen über den jetzigen oder frühere Arbeitgeber. Das geht in beide Richtungen. Der Spion kann sich bewerben und seinen zukünftigen Aufgabenbereich erklären lassen, das Unternehmen wird versuchen, sich in einem positiven Licht zu zeigen. Oder der Spion gibt vor, Headhunter zu sein, sucht in Xing oder LinkedIn nach Mitarbeitern des Unternehmens und macht denen sehr gute Job-Angebote. Auch sie werden sich in einem positiven Licht zeigen wollen und erklären ziemlich genau, was sie derzeit alles tun. Hier findet sich mehr zu Social Networks als Technik der Industriespionage.

Unter dem Titel Psychology of Phishing findet sich eine Übersicht über die effektivsten Phishing Themen.

    . . . the most successful themes for email lures are Social Networking (preying on the human desire for social interaction and belonging), Financial Account Warnings and Order Confirmations (preying on the desire for financial stability) and Breaking News Stories (preying on human curiosity and compassion). However fake LinkedIn Invitations are by far the most dangerous achieving a click rate 4x that of any other type of email lure.

Der Bericht schreibt von Click-Thru Raten von bis zu 10%, traditionelle Marketing Fachleute rechnen normalerweise nur mit ca 2%. (Die Tipps am Ende des Artikel sind allerdings m.E. nicht sehr weit führend.)

Auch hier ist das Internet für den Angreifer eine wichtige Quelle, dort finden sich sehr oft Listen von Kunden- und Partnerunternehmen, als deren Mitarbeiter sich ein Anrufer ausgeben kann.

Im Kern vieler dieser Aktivitäten steht das Erreichen einer Legitimierung des Angreifers. Um dies zu erreichen wird ein routinierter Angreifer schrittweise und systematisch vorgehen. Er kontaktiert verschiedene Leute im Unternehmen und spürt sehr schnell, wer für welchen Angriff anfällig ist. Von jedem der Mitarbeiter bekommt er einige neue Zusatzinformationen, die er beim nächsten Anruf wiederum als Mittel zur Vertrauensbildung einsetzen kann.

Im Fall von RSA (siehe oben) haben wir bereits einen weiteren Angriffstyp kennengelernt: Computer-based Social Engineering - das Ausnutzen menschlicher Schwächen für Angriffe übers Internet, z.B. durch geschicktes Wählen der Betreff-Zeile eines E-Mails. Der Social Engineering Aspekt besteht bei diesen computer-unterstützten Angriffen sehr oft lediglich in der guten Wahl der Betreffzeile oder des Namen des Anhangs, z.b. "I love you" oder "Britney Spears nackt" um den Adressaten zum Öffnen des E-Mails zu bringen. Anderseits findet hier keine gegenseitige Interaktion statt, und die differenzierte Vorgehensweise, die ein menschlicher Angreifer ausnutzen kann, z.B. durch die Anwendung psychologischer Konflikte, findet hier nicht statt. Daher werden solche Vorgehensweisen in diesem Artikel von nun an nicht weiter behandelt, ein Beispiel diskutiere ich unter dem Titel Das Knacken von Captchas.

Hier ein Text eines Informationsbeschaffers, der behauptet, dass er nicht mal illegale Tricks verwenden muss um an Informationen zu kommen. (Illegal ist es z.B., wenn man vorgibt, eine andere real existierende Person zu sein - der Text ist leider nicht mehr online).

    John Nolan, founder of the Phoenix Consulting Group, has some amazing stories of what people will tell him over the phone. This is the man who got his fingers burned in the infamous "dumpster diving" espionage case in 2001 involving Procter & Gamble and Unilever. Nolan won't comment on the case, which was settled out of court, but he insists that there's no need for his company to break the law. "In our experience, it's just not worth it," he explains.
    Nolan has other ways of getting people to talk. In fact, people like him are the reason that seemingly benign lists of employee names, titles and phone extensions, or internal newsletters announcing retirements or promotions, should be closely guarded. That's because the more Nolan knows about the person who answers the phone, the better he can work that person for information.
    "I identify myself and say, 'I'm working on a project, and I'm told you're the smartest person when it comes to yellow market pens. Is this a good time to talk?'" says Nolan, describing his methods. "Fifty out of a hundred people are willing to talk to us with just that kind of information."
    The other fifty? They ask what Phoenix Consulting Group is. Nolan replies (and this is true) that Phoenix is a research company working on a project for a client he can't name because of a confidentiality agreement. Fifteen people will then usually hang up, but the other 35 start talking. Not a bad hit rate. Nolan starts taking notes that will eventually make their way into two files. The first file is information for his client, and the second is a database of 120,000 past sources, including information about their expertise, how friendly they were, and personal details such as their hobbies or where they went to graduate school.

 

Aktualisierung Nov. 2010:
Ein gutes Beispiel wie einfach und effizient Social Engineering in Social Networks ist: Der virtuelle Lockvogel. Ein Test hat in Facebook eine Kunstfigur geschaffen: Robin Sage, 25 Jahre alt, Absolventin der renommierten Technischen Hochschule in Massachusetts, Analystin für Cybersicherheit der US-Marine samt zehn Jahren Berufserfahrung. Die Fotos der Dame stammten von einer Porno-Website. Ergebnis: An die 300 hochrangige Militärs, Mitarbeiter der NSA, Industrielle und Politiker schickten ihr Freundschaftsanfragen und ließen sich nur allzu freimütig vertrauliche Informationen entlocken, inkluse militärische Geheimnisse.

Hier schreibe ich mehr zu den Risiken von Social Networks. Und hier (weiter unten in diesem Artikel) erklärt ein Profi, wie er die Sozialen Netze ausnützt in HBGary gegen Anonymous .

Ein anderer Artikel Underground call-centre for identity theft uncovered berichtet über illegale Call Center, die gegen Bezahlung Social Engineering Angriffe z.B. gegen Bankkunden durchführen und auf diese Weise versuchen, ohne Zugangscodes, TAN-Listen oder die Einmal-TANs zu kommen, die per SMS versendet werden. Sie geben dann z.B. vor, von der Servicestelle der Bank zu sein und helfen zu wollen.

Noch ein Beispiel aus 2012: Careful Who You Friend: Taliban Posing as ‘Attractive Women’ Online berichtet darüber wie Soldaten in Afghanistan "friend" wurden mit angeblichen jungen Damen und dann z.B. über die Meta-Daten von Fotos ihre Standorte und die Standorte von Hubschraubern "verraten" haben. Nach dem Bericht hat ein Mörserangriff dann 4 Hubschrauber zerstört. Im gleichen Artikel wird geschildert, dass es gefälschte Auftritte von hohen NATO-Offizieren gibt mit deren Hilfe vertrauliche Inhalte erschlichen werden sollen.

 
 

 

Traditionelle Schutzkonzepte

Traditionelle Schutzkonzepte (auch in den Büchern von Kevin Mitnick) gehen davon aus, dass es ausreichend ist, wenn das Unternehmen klare und stringente Sicherheitsregeln aufstellt und diese den Mitarbeitern vermittelt, wie z.B.

  • konsequentes Sperren von Bildschirmen beim Verlassen des Arbeitsplatzes, so dass Betriebsfremde die sich Zutritt zum Gebäude erschlichen haben, keine Zugriff auf das Computernetz haben
  • konsequentes Abräumen der Schreibtische am Ende des Arbeitstags
  • Zugangspassworte werden nur dann zurückgesetzt, wenn der unmittelbare Vorgesetzte dies anordnet oder der Mitarbeiter persönlich beim Helpdesk vorspricht
  • alle Mitarbeiter tragen deutlich sichtbar ihre Firmenausweise, Fremde sind leicht zu erkennen
  • alle Mitarbeiter nutzen ihre elektronische Zugangskarten
  • alle Besucher werden beim Empfang abgeholt und sind nie unbeaufsichtigt auf dem Firmengelände

Aber die Realität sieht dann zumeist trotzdem anders aus: es findet sich immer 1 Bildschirm, der unversperrt ist („ich werde doch meinen Kollegen vertrauen können“), das Abräumen der Schreibtische ist viel zu mühsam und wenn hinter mir noch jemand durch das Werkstor will, dann gebietet doch schon die Höflichkeit, dass ich ihm oder ihr die Tür aufhalte. Passworte werden sehr wohl auf Zuruf zurückgesetzt, wenn der Kollege nur genügend Druck macht und auf das dringende Projekt hinweist, das heute Abend noch erledigt werden muss. Und nach kurzer Zeit dürfen Gäste auch wieder allein auf dem Werksgelände „herumstreunern“.

Das heißt, diese Regeln sind zwar gut und notwendig, aber der Wunsch, den Kollegen vertrauen zu können, die Bequemlichkeit, die Kundenfreundlichkeit, die Höflichkeit der Mitarbeiter untergräbt die Regeln sehr schnell wieder. Strenge Regeln, die aber in „Notsituationen“ nicht anwendbar sind, helfen niemandem, sondern verlagern das Problem und den Konflikt zwischen Einhaltung der Regeln und Kundenfreundlichkeit (Höflichkeit, Bequemlichkeit, „gute Kinderstube“, Respekt vor Autoritäten) nur auf den Mitarbeiter.

Außerdem findet sich immer wieder ein neuer Schmäh, der von den bisherigen Regeln nicht abgedeckt wird.

 
 

 

Die Herausforderung

Die eigentliche Herausforderung beim Verhindern von Social Engineering liegt darin, dass viele der menschlichen Eigenschaften, die der Angreifer ausnutzt, auch für das Unternehmen sehr erwünscht sind. So ist die Hilfsbereitschaft eine Voraussetzung für Kundenfreundlichkeit, Vertrauen in andere Menschen zu setzen ist eine Voraussetzung für das Arbeiten in einer Gruppe und im Team.

Ein Problem entsteht immer dann, wenn die Mitarbeiter nicht wissen

  • wie vertraulich die jeweilige Information tatsächlich ist (z.B. die Privatnummern der Kollegen, Details der Unternehmensstruktur und Zuständigkeiten)
  • welcher Grad an Flexibilität und Kunden-Entgegenkommen ohne Gefährdung der Vertraulichkeit der anvertrauten Informationen noch gefahrlos möglich ist
  • ob ihr Chef auch dann hinter ihnen steht, wenn sie den Wunsch des anscheinend extrem wichtigen Kunden ablehnen, der soeben damit gedroht hat, dass er den Firmenchef persönlich kennt
  • welche alternativen Möglichkeiten sie haben, die Legitimierung des Anrufers festzustellen, wenn ein Anrufer sich auf dem normalen Weg nicht legitimieren kann
  • wen sie nachts oder am Wochenende zu raten ziehen können, wenn eine knifflige Bitte am äußersten Rand der Regeln liegt
  • wie sie die anderen Helpdesk-Kollegen warnen können, dass bei einem der Kunden-Accounts ein eigenartiger Anruf stattgefunden hat, bei dem sie ein ganz schlechtes Gefühl haben

Das heißt, traditionelle Schutzversuche beschränken sich zumeist auf das Aufstellen von fixen Regeln, deren starre Einhaltung die betroffenen Mitarbeiter häufig in einen Konflikt zwischen dem Bedürfnis, die Unternehmensregeln einzuhalten und dem Wunsch, den eigenen ethischen und moralischen Grundsätzen zu folgen, stürzt.

Unternehmen fordern von ihren Mitarbeitern gleichzeitig Kundenfreundlichkeit und Einhaltung der Regeln, lassen ihre Mitarbeiter dann aber oft mit dem daraus resultierenden Konflikt allein. Die Mitarbeiter verfügen zumeist nicht über eine ausreichende Sensibilisierung in Bezug auf die angewandten psychologischen 'Tricks', um im konkreten Fall entscheiden zu können, ob ein Angriff vorliegt.

Eine recht gute Einführung in dieses Thema ist das Buch "The Art of Deception" von Kevin Mitnick, einem Profi auf dem Gebiet des Social Engineerings, der für seine "Künste" einige Jahre im Gefängnis gesessen hat. Mitnick zeigt auf, wie der Angriff aus einer Folge von Telefonaten besteht, bei denen mit jedem Telefonat ein wenig mehr Information aus dem Unternehmen erfragt wird, und wie diese neue zusätzliche Information dann jeweils beim nächsten Anruf als Legitimatierung eingesetzt wird.

Mitnick greift jedoch bei den Schutzkonzepten m.E. deutlich zu kurz. Auch er predigt die übliche Vorgehensweise, nämlich strenge Sicherheitspolicys aufzustellen, die die Mitarbeiter dann nur noch einhalten müssen. Natürlich ist es wichtig, vernünftige Prozesse für den Umgang mit Betriebsfremden, z.B. Kunden oder auch Journalisten, etc. zu haben und die auch den Mitarbeiter nahe zu bringen. Diese Vorgehensweise ignoriert jedoch die inherenten Konflikte, die ein geschickter Angreifer ausnützt, um genau eine solche Übertretung der Regeln zu erreichen. Mehr zu meinen weiterführenden Schutzkonzepten weiter unten.

Wissen Sie eigentlich, was über ihr Unternehmen öffentlich kommuniziert wird?

Der erste und wichtigste Angriffsschritt ist für Informationsbeschaffer immer die Suche in öffentlichen Quellen, heute vor allem das Internet. Weiß Ihr Unternehmen eigentlich, was dort alles über das Unternehmen zur Verfügung steht? Suchen Sie doch einfach mal über eine Suchmaschine, hilfreich ist dabei die Erweiterte Suche. Dort können Sie z.B. auch Dateiformate eingeben, z.B. alle .doc oder .xls in denen der Firmenname oder wichtige andere Begriffe aus ihrem Unternehmen vorkommen. Geben Sie doch mal zusätzlich die Suchbegriffe "vertraulich" und "confidential" ein.

Wissen Sie, was in Twitter alles über ihr Unternehmen gesagt wird? So finden Sie es heraus: http://search.twitter.com/search?q="ihr+unternehmen". Sie können dann einen automatischer RSS-Feed für diese Anfrage einrichten und täglich über die neusten Gerüchte über ihr Unternehmen informiert werden.

Da ist z.B. Addict-o-matic - inhale the web. Hier werden sehr viele Social Networking Websites, Fotosharing und Blogs durchsucht und man bekommt einen sehr guten Überblick über das, was aktuell so über ein Unternehmen geredet wird.

Und dann gibt es Google Alerts. Dort programmiere ich Suchabfragen die dann täglich durchgeführt und mir als Email zugestellt werden. Auf diese Weise werde ich automatisch darüber informiert, was auf Google neu indiziert wurde.

Und dann wären da noch die Filesharing Peer-to-peer-Netze, Pirate Bay, Kickass Torrents, Popcorn Time, Gnutella, etc. Dort finden Sie natürlich jede Menge Musik und Filme, aber auch eine gigantische Menge von .doc, .xls, .pdf, und ähnlichen Formaten. Eine der Möglicheiten, wie die vertraulichen Firmendaten dahin kommen, beschreibe ich in den Notizen.

 
 

 

Neue Schutzkonzepte

Eine notwendige Klärung: Was ist eigentlich alles vertraulich im Unternehmen?

Der allerwichtigste Schritt zum Schutz vertraulicher Informationen ist, dass alle Mitarbeiter verstehen müssen, was eigentlich (im Unternehmen) vertraulich ist. Das ist nämlich alles andere als trivial. Viele Informationen gelangen in die Öffentlichkeit, weil sie aktiv und bewusst auf der externen Website veröffentlicht wurden, oft obwohl sie als Vertraulich gekennzeichnet wurden. Die Fotos von einem Seminar mit ihren Kunden, dürfen die auf der Website gezeigt werden? Der Datenschutz sagt Nein, außer es haben ALLE Kunden der Veröffentlichung zugestimmt. Aber auch wenn alle Kunden zugestimmt haben, möchten Sie wirklich, dass die Mitbewerber ihre Kunden kennen?

Die nächste Herausforderung ist, dass natürlich manchmal, z.B. in einem Verkaufsgespräch, auch Informationen weitergegeben werden die nicht in die Öffentlichkeit gehören, z.B. über zukünftige Produktweiterentwicklungen. Es kann aber für dieses Verkaufsgespräch entscheidend sein, dass der Kunde über die Zukunftspläne Ihres Unternehmens informiert ist. In diesem Fall ist es wichtig, dass der Verkäufer entscheiden muss, ob DIESER Kunde die Informationen wirklich braucht und ob man ihm vertrauen kann. Und natürlich muss der Verkäufer sich eine Vertraulichkeitserklärung (NDA, non-disclosure-agreement) unterschreiben lassen. Auch wenn solche Vertraulichkeitserklärungen nur eine begrenzte juristische Wirkung haben (die Beweislast für die aktive Weitergabe liegt beim geschädigten Unternehmen), so kann es doch für den Ins-Vertrauen-gezogenen eine psychologische Schranke bedeuten, dass sie z.B. 10000 Euro zahlen muss, wenn man ihr den Vertrauens-Missbrauch nachweisen kann.

Wissen Ihre Entwickler, was sie bei einem Einstellungsgespräche bei einem Mitbewerber über laufende Projekte erzählen dürfen und was nicht? Natürlich hat der Mitarbeiter das Recht, sich bei der Konkurrenz zu bewerben und natürlich bekommt sie die Stelle nur, wenn sie auch darstellen kann, welche Erfahrungen sie hat und welche Technologien sie kennt, aber andererseits geben solche Auskünfte auch wertvolle Hinweise auf laufende Entwicklungen. Solche Einstellungsgespräche, echt oder auch nur fingiert, sind eine wichtige Informationsquelle für Informationsbeschaffer.

Alle diese Stärken und Schwächen können zur Manipulation von Menschen genutzt werden - das ist social engineering

 

Psychologische Aspekte

Ich bin der Überzeugung, dass man das Thema "Schutz vor Social Engineering" auf jeden Fall auch psychologisch angehen muss. Denn wenn die oben beschriebenen Methoden der Informationssammlung im Internet oder durch (fingierte) Einstellungsgespräche, etc. nicht genug Informationen liefern, dann kommen gezieltere Angriffe durch Profis. Dabei nutzen die professionellen Angreifer menschliche Stärken (wie z.B. Hilfsbereitschaft) ebenso wie menschliche Schwächen (wie z.B. Eitelkeit). Mit beiden Klassen von Eigenschaften lassen sich Menschen zu bestimmten Handlungen bringen. Die Grafik links zeigt die große Palette von Angriffsoptionen die von Angreifern ausgenutzt werden.

Dabei wird es der Profi-Angreifer nicht bei einer Emotion belassen. Viel effektiver ist der Wechsel zwischen Emotionen. Hier ein Beispielangriff: Der Anrufer ist da vielleicht zu Beginn sehr freundlich und nett, dann wird er aber extrem wütend und laut, und dann bietet er einen überraschend einen Kompromiss der zwar leicht außerhalb der Regeln des Unternehmens ist, aber diese für den Mitarbeiter unangenehme Situation beendet. Der Mitarbeiter wird in Versuchung kommen, dem Kompromiss zuzustimmen um aus diesem unangenehmen Gespräch herauszufinden ohne dass seine Vorgesetzten merken, dass er hier überfordert war.

Weitere Details dazu gibt es auch in meinen Slides zu psychologischen Ansätzen beim Social Engineering Schutz (pdf).

Daher muss auch der Schutz auch auf diesen Ebenen ansetzen. Einfach nur strengere Regeln zu erlassen und die Einhaltung dieser Regeln zu fordern trägt den inherenten Konflikt zwischen dem Wunsch, dem Kunden zu helfen und der strengen Vorschrift, die dies nur bei sicherer Legitimierung zulässt, auf dem Rücken der Mitarbeiter aus.

Hier ein Beispiel: Der Kunde behauptet am Telefon sein Passwort vergessen zu haben und möchte ein Neues, er kann sich aber nicht wirklich ausweisen. Die Vorschrift sagt (korrekterweise), dass hier eine sichere Authentisierung erfolgen muss (aus gutem Grund, denn auf diese Weise werden die meisten Zugangsode gestohlen). Wenn aber die einzige Option in einer Zusendung des Passworts per Post besteht, dann bringt das Unternehmen die Helpdesk-Mitarbeiter in die unangenehme Lage, dass sie bei dieser plausiblen Bitte die Hilfe verweigern müssen. Die Lösung muss darin bestehen, dass alternative/schnelle Wege zum sicheren Wiedererlangen des Zugangs geschaffen werden (z.B. Hinterlegen von mehreren Email-Adressen).

Tiefenpsychologische Studie zu den Schwächen und Stärken die die Angreifer ausnützen

Die Firma known-sense hat gemeinsam mit Partnern eine sehr interessante Studie durchgeführt, bei der in Gesprächen mit Mitarbeitern verschiedener Unternehmen die Stärken und Schwächen, die Angriffspunkte für Social Engineering bieten, hinterfragt wurden. Immerhin ist bei mindestens 60% aller großen Cyber-Angriffe Social Engineering zumindest Teil des Angriffs.

Die Autoren betonen, dass speziell der Übergang von der analogen Kommunikation zur modernen digitalen die Zahl der Kommumikationskanäle so eingeschränkt hat, dass viele der Warnelemente die sich über Jahrmillionen beim Erkennen von Betrügern entwickelt haben, wegfallen. Die Opfer werden oft über Email oder Social Networks angesprochen und auch beim Umstieg auf Messaging wie WhatsApp gehen die Warnlampen selten an. Statt Sprechverhalten und Stimmlage dienen jetzt (gefälschte) Fotos zum Vertrauensaufbau um Vertrautheit herzustellen. Und das in Zeiten, wo die Grenzen zwischen Privatleben und Berufsleben sowieso immer weiter verschwimmen.

Die Psychologinnen fanden nur eine geringe Bereitschaft der Teilnehmer an der Studie, ihre persönlichen Schwachstellen (wie Druck, Angst, Hilfsbereitschaft, Leichtgläubigkeit oder Neugier) zu hinterfragen. Hier finden sich einige Auszüge aus Bluff me if you can.

D.h. strenge Regeln, die aber in Notsituationen nicht anwendbar sind, helfen niemandem, sondern verlagern das Problem nur auf den Mitarbeiter. Hier einige Ansätze die aus psychologischer Sicht den Mitarbeitern die Abwehr von Social Engineering-Angriffen erleichtern:

  • Kenntnis der (psychologischen) Angriffstechniken und eine entsprechende Sensibilisierung, denn nur wer die Techniken kennt, kann überhaupt in der Lage sein, den Angriff zu erkennen
  • Kenntnis der eigenen psychologischen Schwächen und Angriffspunkte, so dass der Mitarbeiter weiß, ob er z.B. eher durch Schmeicheleien oder durch Drohungen oder über seine Angst vor Autoritäten angreifbar ist. Diese Kenntnis erlaubt es dem Mitarbeiter, sich von den durch den Angreifer bewusst ausgelösten Gefühlen leichter innerlich zu distanzieren. (Hierfür habe ich einen Test ausgearbeitet, der es den Mitarbeitern im Rahmen eines Trainings ermöglicht, ihre eigenen "Schwachstellen" besser einzuschätzen)
  • Einübung von Gesprächstechniken, die es dem Mitarbeiter ermöglichen, Zeit zum Nachdenken zu gewinnen, sich dem Druck des Angreifers zu entziehen. Danach fällt es ihnen in Zweifelsfällen leichter, auch mal streng zu sein, ohne dabei Schuldgefühle zu bekommen. Dazu gehört auch, dass sie verstehen, dass ein falsches JA mehr Schaden anrichten kann, als z.B. ein Vertrösten des Kundens am Telefon auf den nächsten Tag, an dem das Problem in Ruhe gelöst werden kann

Das persönliche Schwachstellen-Profil

Zusätzlich gibt es eine ganze Reihe von weiteren Aktionen, mit denen ein Unternehmen seinen Mitarbeitern und seinen Kunden das Leben vereinfachen kann. Dazu gehören:

Quelle: Das empfehlenswerte Schulungsvideo von www.secorvo.de
  • Kundendienstmitarbeiter(innen), Sicherheitsabteilung, Risk-Management und andere Betroffene erarbeiten gemeinsam Regeln, die Entscheidungskonflikte für die Kundendienstmitarbeiter minimieren
  • Kund(inn)en haben die Möglichkeit, durch Hinterlegung von geeigneten Informationen bei ihrer späteren Identifikation (z.B. bei Passwort-Verlust) mitzuwirken
  • Durch geeignete Felder im CRM-System (Customer Relationship Management) haben die Kundendienstmitarbeiter(innen) die Möglichkeit, Auffälligkeiten für alle Kolleg(inn)en sehr deutlich anzumerken, so dass es nicht übersehen werden kann
  • Auch in Abend- und Nachtzeiten gibt es für die Kundendienstmitarbeiter(in) eine weitere Stelle, an die ungewöhnliche Anfragen weitergeleitet werden können, so dass nicht 1 Mitarbeiter(in) allein eine solchen Entscheidung fällen muss

D.h. der Schutz gegen Social Engineering erfordert vernünftige Regeln und Prozeduren, eine gute technische Unterstützung, Vorgesetzte auf die sich der Mitarbeiter verlassen kann, aber auch eine geeignete Sensibilisierung und vor allem gezieltes Training der Situation mit dem Kunden, z.B. mittels Rollenspielen.

Alle Unternehmen, für die Social Engineering ein Thema ist (und das sollten alle sein, die mit vertraulichen Informationen arbeiten), müssen sich fragen, wo bei Ihnen die möglichen Angriffspunkte liegen, wie Ihre Mitarbeiter auf solche Situation vorbereitet sind und wie sie die Mitarbeiter gegen solche Angriffe „abhärten“ können. Workshops mit den Betroffenen, auf denen auch alte Vorfälle endlich mal zur Sprache kommen, sind ein erster Schritt, gefolgt von einem Bündel von gezielten Maßnahmen.

 

Psychologie, Betrug und Informationssicherheit

Aktualisierung Juli 2009: In England wurde durch die Regierung schon vor einiger Zeit eine Initiative gegen Betrug (in einem sehr weiten Sinne) gestartet, die jetzt eine Reihe von Ergebnissen zeitigt. Eine Studie der National Fraud Strategic Authority (pdf, Seite 25) in England berichtet von mehreren Hunderttausenden Opfern pro Jahr und einem Schaden von 14 Milliarden Pfund, d.h. das zwei-einhalbfache von Einbruch, Diebstahl und Raub zusammen.

Das UK government's "Office of Fair Trading" und "Exeter University"'s psychology department haben eine sehr umfangreiche Studie The psychology of scams: Provoking and committing errors of judgement erstellt (260 Seiten). Dabei geht es grundsätzlich um die gleichen Problematiken wie oben behandelt: warum fällt jemand auf einen Betrug herein. Sie finden dabei auch einige Erkenntnisse, die überraschend sind. Die Opfer von Betrügereien wissen im Schnitt mehr über die betreffende Materie als die, die nicht darauf hereinfallen und sie haben auch mehr Gehirnschmalz in die Analyse der Sache investiert - "gefährliches Halbwissen".

Hier ein Link zum einer anderen wissenschaftlichen Untersuchung zu unterschiedlichen Betrugstechniken: Understanding scam victims: seven principles for systems security. Zitat: "The message of this paper is that hustlers and con artists know a lot more about the psychology of their victims than security engineers typically do; and therefore that the latter might learn useful lessons from the former."

Und hier ein Beispiel-Email für einen typischen Angriff auf Menschen, die bereits einmal Opfer gewesen sind und deswegen mit einer hohen Wahrscheinlichkeit wieder reinfallen.

 
 

 

Ähnliche Themen werden auch auf den folgenden beiden Seiten dieser Website behandelt: Benutzersensibilisierung und Training und Business Ethik und Unternehmenskultur.

Weiterführende Themen und viele dokumentierte Beispiele

Erst mal etwas zur Geschichte: How Scams Worked In The 1800s.

Ein Beispiel aus 2014 wie iranische Cyberkrieger versuchen, sich für Stuxnet zu revanchieren. Sie verwenden dabei nicht High-Tech wie die USA und Israel, sondern fortgeschrittenes Social Engineering - sehr aufwendig gemacht, mit falschen Internetprofilen die ihre Ziele erreichen. Auf diese Weise kommen sie auch die Firmengeheimnisse heran. Die Details sind im Artikel.

Hier ein Artikel, der erklärt, wie mit Hilfe von Social Engineering 2005 Fotos von Paris Hilton in die Öffentlichkeit kamen. Ein Trickbetrüger erschleicht sich vom Gefängnis aus mittels seines Handys seine Entlassungspapiere.

Und hier noch ein Leckerbissen: Aus dem Social Engineering Lehrbuch:
US-Polizeiwagen haben wohl eine fest installierte Kamera am Armaturenbrett. Ich halte das für eine gute Sache. Nicht nur, weil dabei dann so interessante Filme wie der folgende entstehen können.

Smooth-talking escapee evades police

    The dashboard camera of Carl Bordelon, a police officer for the town of Ball, La., captured (below) his questioning of Richard Lee McNair, 47. Earlier that same day, McNair had escaped from a federal penitentiary at nearby Pollock, La., reportedly hiding in a prison warehouse and sneaking out in a mail van. Bordelon, on the lookout, stopped McNair when he saw him running along some railroad tracks. What follows is a chillingly fascinating performance from McNair, who manages to remain fairly smooth and matter-of-fact while tripping up Bordelon.
    The officer notices that the guy matches the description of McNair -- who was serving a life sentence for killing a trucker at a grain elevator in Minot, N.D., in 1987 -- observes that he looked like he'd "been through a briar patch" and had to wonder why he would choose appalling heat (at least according to that temperature gauge in the police car) to go running, without any identification, on a dubious 12-mile run. But he doesn't notice when McNair changes his story -- he gives two different names (listen for it) -- and eventually, Bordelon bids him farewell, saying: "Be careful, buddy." McNair remains on the loose. (Note: Video is more than eight minutes long, but worth it.) Hier das Social Engineering Video des Vorfalls.

Auf der RSA Conference 2015 wurden die Ergebnisse einer Studie veröffentlicht, wer am leichtesten auf Phishing Emails reinfällt. Einige Ergebnisse:

    On average, users click one of every 25 malicious messages delivered. No organization observed was able to eliminate clicking on malicious links
    Middle management is a bigger target. Representing a marked change from 2013 when managers were less frequently targeted by malicious emails, in 2014 managers effectively doubled their click rates compared to the previous year. Additionally, managers and staff clicked on links in malicious messages two times more frequently than executives.
    Sales, Finance and Procurement are the worst offenders. Sales, Finance and Procurement (Supply Chain) were the worst offenders when it came to clicking links in malicious messages, clicking on links in malicious messages 50-80 percent more frequently than the average departmental click rate.

Und noch ein schönes Beispiel: der Dieb erschleicht sich mit Schokolade das Vertrauen der Bankangestellten und entkommt mit Diamanten im Wert von 14 Mill. Pfund: Thief woos bank staff with chocolates - then steals diamonds worth £14m. Und hier ein Beispiel für einen Social Engineering Test mittels "verlorenen" USB-Sticks. Hier Links zu 2 Studien zu Social Engineering-Anfälligkeit.

Im November 2007 habe ich zusammen mit meiner Frau auf dem Bestnet-Kongress an der Uni Linz zum Thema Schutz gegen Social Engineering Angriffe - angewandte Psychologie vorgetragen.

Aktualisierung März 2011:
Die Saga um HBGary gegen Anonymous (hinter der Verlinkung in vielen Details geschildert) gibt auch interessante Beispiele dafür, wie Social Engineering heute eingesetzt wird. Hier ein Zitat:

    Example. If I want to gain access to the Exelon plant up in Pottsdown PA I only have to go as far as LinkedIn to identify Nuclear engineers being employed by Exelon in that location. Jump over to Facebook to start doing link analysis and profiling. Add data from twitter and other social media services. I have enough information to develop a highly targeted exploitation effort.
    I can and have gained access to various government and government contractor groups in the social media space using this technique (more detailed but you get the point). Given that people work from home, access home services from work—getting access to the target is just a matter of time and nominal effort.
    Knowing about a target's spouse and college and business and friends makes it relatively easy to engage in a "spear phishing" attack against that person—say, a fake e-mail from an old friend, in which the target eventually reveals useful information.
    Ironically, when Anonymous later commandeered Greg Hoglund's separate security site rootkit.com, it did so through a spear phishing e-mail attack on Hoglund's site administrator—who promptly turned off the site's defenses and issued a new password ("Changeme123") for a user he believed was Hoglund. Minutes later, the site was compromised.

Hier dann die Details des Angriffs, eine Kombination aus technischem Hacking (SQL-Injection) gefolgt von Social Engineering um dann wirklich Root-Zugang zu bekommen (Seite 3 des Artikels zeigt dann die Social Engineering Emails).

 

Social Engineering Statistiken
Die folgenden Details und Graphiken beruhen auf dem Verizon 2012 Data Breach Investigation Report. Verizon verdingt sich an Firmen bei denen Sicherheitsvorfälle auftraten. Sie versuchen dann die Ursachen zu finden und die Löcher zu schließen. Verizon verwendet für diese Statistiken nur die Zahlen, die bei dieser Arbeit anfallen. D.h. ihn diesen Statistiken sind nur Firmen enthalten, die zumindest so groß sind, dass sie sich ein professionelles Unternehmen für die Aufräumarbeiten leisten können. Außerdem beschäftigen sie sich hauptsächlich mit "Data Breaches", d.h. dem Entwenden von Datensätzen. Sie haben dabei beobachtet, dass bei größeren Firmen Social Engineering Angriffe eine nennenswerte Rolle spielen. Hier einige Statistiken, die sie dabei gewonnen haben.

Die Techniken die bei großen Firmen eingesetzt wurden - Quelle: Verizon


Welche Kommunikationsmedien wurden bevorzugt eingesetzt- das wichtigste Hilfsmittel für "Sozial-Ingenieure" ist immer noch das Telefon - Quelle: Verizon

 

 

Die Details finden sich im oben verlinkten Report.

Kevin Mitnick, der Star der Social Engineering Szene (mit einigen Jahren Gefängnis auf dem Buckel) hat seine eigene Website, auf der er relevante Ereignisse kommentiert.

 



Philipp Schaumann, http://sicherheitskultur.at/

p>

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann. Creative Commons License
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.