|
||||||||||
Home Themenübersicht / Sitemap Webmaster | ||||||||||
Schutz gegen Social Engineering - neue psychologische Ansätze
Autor: Philipp Schaumann
Was ist Social Engineering?Von Social Engineering spricht man immer dann, wenn ein Angreifer, z.B. für Zwecke der Industriespionage oder um an den Email-Account eines anderen zu kommen, menschliche Eigenschaften ausnutzt um sein Ziel zu erreichen. Social Engineering Angriffe sind leider eine extrem effiziente Methode des Angriffs gegen Firmen und zwar sehr oft ohne Einsatz von technischen Hilfsmitteln. Angreifer nutzen dafür natürliche menschliche Reaktionen aus, z.B. positive Eigenschaften wie Hilfsbereitschaft, Kundenfreundlichkeit, Dankbarkeit, Stolz auf die Arbeit und das Unternehmen oder weniger positive Aspekte wie Gutgläubigkeit, Respekt vor Autoritäten oder gar Bestechlichkeit und auch Eigenschaften wie Konfliktvermeidung und Liebesbedürfnis und der Wunsch, ein guter Teamplayer zu sein. Sehenswerte Demonstration in diesem YouTube-Video: how to break into your account in 2 minutes.... Babygeschrei wird eingeblendet und der genervte Helpdesk Mitarbeiter setzt ohne jeden Nachweis der Identität das Passwort zurück. Oft sind solche Angriffe eine Vorbereitung für einen Einbruch in das Firmennetz, z.B. indem auf diese Weise Benutzername und Passwort eines Mitarbeiters erschlichen werden oder indem das Vorspielen eines Wartungstechnikers für ein Eindringen auf das Werksgelände genutzt wird.
Social Engineering kann aber auch mit Gesprächen im Wirtshaus beginnen, bei denen ein Mitarbeiter Vertrauliches ausplaudert (vielleicht erzählt er stolz, an welchen Angeboten er derzeit arbeitet oder was für eine tolle Technologie die Firma gerade entwickelt), oder über Anrufe beim Empfang oder einer Sekretärin als vorgeblicher Mitarbeiter einer anderen Niederlassung, bis hin zum Vorstand, der einem (falschen) Journalisten gern ein Interview über Zukunftspläne des Unternehmens gibt. Aber auch Einstellungsgespräche sind Situationen in denen oft viele Interne ausgeplaudert werden. Und zwar in beide Richtungen: Die Bewerberin erzählt, was für tolle Sachen sie im vorigen Unternehmen alles entwickelt hat und welche Probleme oder Erfolge es dort gab. Und die Einstellende berichtet, welche tollen Pläne das Unternehmen hat und welche Aufgaben die zukünftige Mitarbeiterin alles bei den neuen Plänen übernehmen soll. Als Vorbereitung für einen Social Engineering Angriff wird zumeist eine gründliche Recherche im Internet verwendet. Zuerst wird mittels einer Suchmaschine das Unternehmen unter die Lupe genommen, dann kommen die Mitarbeiter dran: am einfachsten ist, wenn diese direkt auf der Website aufgelistet werden. Dann geht der Angreifer mit diesen Namen in Facebook, Xing und LinkedIn (siehe deren Passwort-Desaster) und schaut sich die Profile der Mitarbeiter des Zielunternehmens an. Aber auch ohne die Hilfe der Firmenwebsite sind die Mitarbeiter im Internet schnell gefunden und geben sehr viele private Informationen preis. Es gibt auch zahlreiche Methoden um an vertrauliche Informationen zu kommen oder gar gleich ins Netz eines Unternehmens einzudringen. Wichtige Angriffstechniken sind:
Hier noch einige der vielen Rollen, in die Angreifer schlüpfen können:
Auch hier ist das Internet für den Angreifer eine wichtige Quelle, dort finden sich sehr oft Listen von Kunden- und Partnerunternehmen, als deren Mitarbeiter sich ein Anrufer ausgeben kann. Im Kern vieler dieser Aktivitäten steht das Erreichen einer Legitimierung des Angreifers. Um dies zu erreichen wird ein routinierter Angreifer schrittweise und systematisch vorgehen. Er kontaktiert verschiedene Leute im Unternehmen und spürt sehr schnell, wer für welchen Angriff anfällig ist. Von jedem der Mitarbeiter bekommt er einige neue Zusatzinformationen, die er beim nächsten Anruf wiederum als Mittel zur Vertrauensbildung einsetzen kann. Im Fall von RSA (siehe oben) haben wir bereits einen weiteren Angriffstyp kennengelernt: Computer-based Social Engineering - das Ausnutzen menschlicher Schwächen für Angriffe übers Internet, z.B. durch geschicktes Wählen der Betreff-Zeile eines E-Mails. Der Social Engineering Aspekt besteht bei diesen computer-unterstützten Angriffen sehr oft lediglich in der guten Wahl der Betreffzeile oder des Namen des Anhangs, z.b. "I love you" oder "Britney Spears nackt" um den Adressaten zum Öffnen des E-Mails zu bringen. Anderseits findet hier keine gegenseitige Interaktion statt, und die differenzierte Vorgehensweise, die ein menschlicher Angreifer ausnutzen kann, z.B. durch die Anwendung psychologischer Konflikte, findet hier nicht statt. Daher werden solche Vorgehensweisen in diesem Artikel von nun an nicht weiter behandelt, ein Beispiel diskutiere ich unter dem Titel Das Knacken von Captchas. Hier ein Text eines Informationsbeschaffers, der behauptet, dass er nicht mal illegale Tricks verwenden muss um an Informationen zu kommen. (Illegal ist es z.B., wenn man vorgibt, eine andere real existierende Person zu sein - der Text ist leider nicht mehr online).
Aktualisierung Nov. 2010: Hier schreibe ich mehr zu den Risiken von Social Networks. Und hier (weiter unten in diesem Artikel) erklärt ein Profi, wie er die Sozialen Netze ausnützt in HBGary gegen Anonymous . Ein anderer Artikel Underground call-centre for identity theft uncovered berichtet über illegale Call Center, die gegen Bezahlung Social Engineering Angriffe z.B. gegen Bankkunden durchführen und auf diese Weise versuchen, ohne Zugangscodes, TAN-Listen oder die Einmal-TANs zu kommen, die per SMS versendet werden. Sie geben dann z.B. vor, von der Servicestelle der Bank zu sein und helfen zu wollen. Noch ein Beispiel aus 2012: Careful Who You Friend: Taliban Posing as ‘Attractive Women’ Online berichtet darüber wie Soldaten in Afghanistan "friend" wurden mit angeblichen jungen Damen und dann z.B. über die Meta-Daten von Fotos ihre Standorte und die Standorte von Hubschraubern "verraten" haben. Nach dem Bericht hat ein Mörserangriff dann 4 Hubschrauber zerstört. Im gleichen Artikel wird geschildert, dass es gefälschte Auftritte von hohen NATO-Offizieren gibt mit deren Hilfe vertrauliche Inhalte erschlichen werden sollen.
|
||||||||||
Traditionelle SchutzkonzepteTraditionelle Schutzkonzepte (auch in den Büchern von Kevin Mitnick) gehen davon aus, dass es ausreichend ist, wenn das Unternehmen klare und stringente Sicherheitsregeln aufstellt und diese den Mitarbeitern vermittelt, wie z.B.
Aber die Realität sieht dann zumeist trotzdem anders aus: es findet sich immer 1 Bildschirm, der unversperrt ist („ich werde doch meinen Kollegen vertrauen können“), das Abräumen der Schreibtische ist viel zu mühsam und wenn hinter mir noch jemand durch das Werkstor will, dann gebietet doch schon die Höflichkeit, dass ich ihm oder ihr die Tür aufhalte. Passworte werden sehr wohl auf Zuruf zurückgesetzt, wenn der Kollege nur genügend Druck macht und auf das dringende Projekt hinweist, das heute Abend noch erledigt werden muss. Und nach kurzer Zeit dürfen Gäste auch wieder allein auf dem Werksgelände „herumstreunern“. Das heißt, diese Regeln sind zwar gut und notwendig, aber der Wunsch, den Kollegen vertrauen zu können, die Bequemlichkeit, die Kundenfreundlichkeit, die Höflichkeit der Mitarbeiter untergräbt die Regeln sehr schnell wieder. Strenge Regeln, die aber in „Notsituationen“ nicht anwendbar sind, helfen niemandem, sondern verlagern das Problem und den Konflikt zwischen Einhaltung der Regeln und Kundenfreundlichkeit (Höflichkeit, Bequemlichkeit, „gute Kinderstube“, Respekt vor Autoritäten) nur auf den Mitarbeiter. Außerdem findet sich immer wieder ein neuer Schmäh, der von den bisherigen Regeln nicht abgedeckt wird.
|
||||||||||
Die HerausforderungDie eigentliche Herausforderung beim Verhindern von Social Engineering liegt darin, dass viele der menschlichen Eigenschaften, die der Angreifer ausnutzt, auch für das Unternehmen sehr erwünscht sind. So ist die Hilfsbereitschaft eine Voraussetzung für Kundenfreundlichkeit, Vertrauen in andere Menschen zu setzen ist eine Voraussetzung für das Arbeiten in einer Gruppe und im Team. Ein Problem entsteht immer dann, wenn die Mitarbeiter nicht wissen
Das heißt, traditionelle Schutzversuche beschränken sich zumeist auf das Aufstellen von fixen Regeln, deren starre Einhaltung die betroffenen Mitarbeiter häufig in einen Konflikt zwischen dem Bedürfnis, die Unternehmensregeln einzuhalten und dem Wunsch, den eigenen ethischen und moralischen Grundsätzen zu folgen, stürzt. Unternehmen fordern von ihren Mitarbeitern gleichzeitig Kundenfreundlichkeit und Einhaltung der Regeln, lassen ihre Mitarbeiter dann aber oft mit dem daraus resultierenden Konflikt allein. Die Mitarbeiter verfügen zumeist nicht über eine ausreichende Sensibilisierung in Bezug auf die angewandten psychologischen 'Tricks', um im konkreten Fall entscheiden zu können, ob ein Angriff vorliegt. ![]() Eine recht gute Einführung in dieses Thema ist das Buch "The Art of Deception" von Kevin Mitnick, einem Profi auf dem Gebiet des Social Engineerings, der für seine "Künste" einige Jahre im Gefängnis gesessen hat. Mitnick zeigt auf, wie der Angriff aus einer Folge von Telefonaten besteht, bei denen mit jedem Telefonat ein wenig mehr Information aus dem Unternehmen erfragt wird, und wie diese neue zusätzliche Information dann jeweils beim nächsten Anruf als Legitimatierung eingesetzt wird. Mitnick greift jedoch bei den Schutzkonzepten m.E. deutlich zu kurz. Auch er predigt die übliche Vorgehensweise, nämlich strenge Sicherheitspolicys aufzustellen, die die Mitarbeiter dann nur noch einhalten müssen. Natürlich ist es wichtig, vernünftige Prozesse für den Umgang mit Betriebsfremden, z.B. Kunden oder auch Journalisten, etc. zu haben und die auch den Mitarbeiter nahe zu bringen. Diese Vorgehensweise ignoriert jedoch die inherenten Konflikte, die ein geschickter Angreifer ausnützt, um genau eine solche Übertretung der Regeln zu erreichen. Mehr zu meinen weiterführenden Schutzkonzepten weiter unten. Wissen Sie eigentlich, was über ihr Unternehmen öffentlich kommuniziert wird? Der erste und wichtigste Angriffsschritt ist für Informationsbeschaffer immer die Suche in öffentlichen Quellen, heute vor allem das Internet. Weiß Ihr Unternehmen eigentlich, was dort alles über das Unternehmen zur Verfügung steht? Suchen Sie doch einfach mal über eine Suchmaschine, hilfreich ist dabei die Erweiterte Suche. Dort können Sie z.B. auch Dateiformate eingeben, z.B. alle .doc oder .xls in denen der Firmenname oder wichtige andere Begriffe aus ihrem Unternehmen vorkommen. Geben Sie doch mal zusätzlich die Suchbegriffe "vertraulich" und "confidential" ein. Wissen Sie, was in Twitter alles über ihr Unternehmen gesagt wird? So finden Sie es heraus: http://search.twitter.com/search?q="ihr+unternehmen". Sie können dann einen automatischer RSS-Feed für diese Anfrage einrichten und täglich über die neusten Gerüchte über ihr Unternehmen informiert werden. Da ist z.B. Addict-o-matic - inhale the web. Hier werden sehr viele Social Networking Websites, Fotosharing und Blogs durchsucht und man bekommt einen sehr guten Überblick über das, was aktuell so über ein Unternehmen geredet wird. Und dann gibt es Google Alerts. Dort programmiere ich Suchabfragen die dann täglich durchgeführt und mir als Email zugestellt werden. Auf diese Weise werde ich automatisch darüber informiert, was auf Google neu indiziert wurde. Und dann wären da noch die Filesharing Peer-to-peer-Netze, Pirate Bay, Kickass Torrents, Popcorn Time, Gnutella, etc. Dort finden Sie natürlich jede Menge Musik und Filme, aber auch eine gigantische Menge von .doc, .xls, .pdf, und ähnlichen Formaten. Eine der Möglicheiten, wie die vertraulichen Firmendaten dahin kommen, beschreibe ich in den Notizen.
|
||||||||||
Neue Schutzkonzepte
Eine notwendige Klärung: Was ist eigentlich alles vertraulich im Unternehmen?Der allerwichtigste Schritt zum Schutz vertraulicher Informationen ist, dass alle Mitarbeiter verstehen müssen, was eigentlich (im Unternehmen) vertraulich ist. Das ist nämlich alles andere als trivial. Viele Informationen gelangen in die Öffentlichkeit, weil sie aktiv und bewusst auf der externen Website veröffentlicht wurden, oft obwohl sie als Vertraulich gekennzeichnet wurden. Die Fotos von einem Seminar mit ihren Kunden, dürfen die auf der Website gezeigt werden? Der Datenschutz sagt Nein, außer es haben ALLE Kunden der Veröffentlichung zugestimmt. Aber auch wenn alle Kunden zugestimmt haben, möchten Sie wirklich, dass die Mitbewerber ihre Kunden kennen? Die nächste Herausforderung ist, dass natürlich manchmal, z.B. in einem Verkaufsgespräch, auch Informationen weitergegeben werden die nicht in die Öffentlichkeit gehören, z.B. über zukünftige Produktweiterentwicklungen. Es kann aber für dieses Verkaufsgespräch entscheidend sein, dass der Kunde über die Zukunftspläne Ihres Unternehmens informiert ist. In diesem Fall ist es wichtig, dass der Verkäufer entscheiden muss, ob DIESER Kunde die Informationen wirklich braucht und ob man ihm vertrauen kann. Und natürlich muss der Verkäufer sich eine Vertraulichkeitserklärung (NDA, non-disclosure-agreement) unterschreiben lassen. Auch wenn solche Vertraulichkeitserklärungen nur eine begrenzte juristische Wirkung haben (die Beweislast für die aktive Weitergabe liegt beim geschädigten Unternehmen), so kann es doch für den Ins-Vertrauen-gezogenen eine psychologische Schranke bedeuten, dass sie z.B. 10000 Euro zahlen muss, wenn man ihr den Vertrauens-Missbrauch nachweisen kann. Wissen Ihre Entwickler, was sie bei einem Einstellungsgespräche bei einem Mitbewerber über laufende Projekte erzählen dürfen und was nicht? Natürlich hat der Mitarbeiter das Recht, sich bei der Konkurrenz zu bewerben und natürlich bekommt sie die Stelle nur, wenn sie auch darstellen kann, welche Erfahrungen sie hat und welche Technologien sie kennt, aber andererseits geben solche Auskünfte auch wertvolle Hinweise auf laufende Entwicklungen. Solche Einstellungsgespräche, echt oder auch nur fingiert, sind eine wichtige Informationsquelle für Informationsbeschaffer.
Psychologische AspekteIch bin der Überzeugung, dass man das Thema "Schutz vor Social Engineering" auf jeden Fall auch psychologisch angehen muss. Denn wenn die oben beschriebenen Methoden der Informationssammlung im Internet oder durch (fingierte) Einstellungsgespräche, etc. nicht genug Informationen liefern, dann kommen gezieltere Angriffe durch Profis. Dabei nutzen die professionellen Angreifer menschliche Stärken (wie z.B. Hilfsbereitschaft) ebenso wie menschliche Schwächen (wie z.B. Eitelkeit). Mit beiden Klassen von Eigenschaften lassen sich Menschen zu bestimmten Handlungen bringen. Die Grafik links zeigt die große Palette von Angriffsoptionen die von Angreifern ausgenutzt werden. Dabei wird es der Profi-Angreifer nicht bei einer Emotion belassen. Viel effektiver ist der Wechsel zwischen Emotionen. Hier ein Beispielangriff: Der Anrufer ist da vielleicht zu Beginn sehr freundlich und nett, dann wird er aber extrem wütend und laut, und dann bietet er einen überraschend einen Kompromiss der zwar leicht außerhalb der Regeln des Unternehmens ist, aber diese für den Mitarbeiter unangenehme Situation beendet. Der Mitarbeiter wird in Versuchung kommen, dem Kompromiss zuzustimmen um aus diesem unangenehmen Gespräch herauszufinden ohne dass seine Vorgesetzten merken, dass er hier überfordert war. Weitere Details dazu gibt es auch in meinen Slides zu psychologischen Ansätzen beim Social Engineering Schutz (pdf). Daher muss auch der Schutz auch auf diesen Ebenen ansetzen. Einfach nur strengere Regeln zu erlassen und die Einhaltung dieser Regeln zu fordern trägt den inherenten Konflikt zwischen dem Wunsch, dem Kunden zu helfen und der strengen Vorschrift, die dies nur bei sicherer Legitimierung zulässt, auf dem Rücken der Mitarbeiter aus. Hier ein Beispiel: Der Kunde behauptet am Telefon sein Passwort vergessen zu haben und möchte ein Neues, er kann sich aber nicht wirklich ausweisen. Die Vorschrift sagt (korrekterweise), dass hier eine sichere Authentisierung erfolgen muss (aus gutem Grund, denn auf diese Weise werden die meisten Zugangsode gestohlen). Wenn aber die einzige Option in einer Zusendung des Passworts per Post besteht, dann bringt das Unternehmen die Helpdesk-Mitarbeiter in die unangenehme Lage, dass sie bei dieser plausiblen Bitte die Hilfe verweigern müssen. Die Lösung muss darin bestehen, dass alternative/schnelle Wege zum sicheren Wiedererlangen des Zugangs geschaffen werden (z.B. Hinterlegen von mehreren Email-Adressen).
D.h. strenge Regeln, die aber in Notsituationen nicht anwendbar sind, helfen niemandem, sondern verlagern das Problem nur auf den Mitarbeiter. Hier einige Ansätze die aus psychologischer Sicht den Mitarbeitern die Abwehr von Social Engineering-Angriffen erleichtern:
Zusätzlich gibt es eine ganze Reihe von weiteren Aktionen, mit denen ein Unternehmen seinen Mitarbeitern und seinen Kunden das Leben vereinfachen kann. Dazu gehören:
D.h. der Schutz gegen Social Engineering erfordert vernünftige Regeln und Prozeduren, eine gute technische Unterstützung, Vorgesetzte auf die sich der Mitarbeiter verlassen kann, aber auch eine geeignete Sensibilisierung und vor allem gezieltes Training der Situation mit dem Kunden, z.B. mittels Rollenspielen. Alle Unternehmen, für die Social Engineering ein Thema ist (und das sollten alle sein, die mit vertraulichen Informationen arbeiten), müssen sich fragen, wo bei Ihnen die möglichen Angriffspunkte liegen, wie Ihre Mitarbeiter auf solche Situation vorbereitet sind und wie sie die Mitarbeiter gegen solche Angriffe „abhärten“ können. Workshops mit den Betroffenen, auf denen auch alte Vorfälle endlich mal zur Sprache kommen, sind ein erster Schritt, gefolgt von einem Bündel von gezielten Maßnahmen.
Psychologie, Betrug und InformationssicherheitAktualisierung Juli 2009: In England wurde durch die Regierung schon vor einiger Zeit eine Initiative gegen Betrug (in einem sehr weiten Sinne) gestartet, die jetzt eine Reihe von Ergebnissen zeitigt. Eine Studie der National Fraud Strategic Authority (pdf, Seite 25) in England berichtet von mehreren Hunderttausenden Opfern pro Jahr und einem Schaden von 14 Milliarden Pfund, d.h. das zwei-einhalbfache von Einbruch, Diebstahl und Raub zusammen. Das UK government's "Office of Fair Trading" und "Exeter University"'s psychology department haben eine sehr umfangreiche Studie The psychology of scams: Provoking and committing errors of judgement erstellt (260 Seiten). Dabei geht es grundsätzlich um die gleichen Problematiken wie oben behandelt: warum fällt jemand auf einen Betrug herein. Sie finden dabei auch einige Erkenntnisse, die überraschend sind. Die Opfer von Betrügereien wissen im Schnitt mehr über die betreffende Materie als die, die nicht darauf hereinfallen und sie haben auch mehr Gehirnschmalz in die Analyse der Sache investiert - "gefährliches Halbwissen". Hier ein Link zum einer anderen wissenschaftlichen Untersuchung zu unterschiedlichen Betrugstechniken: Understanding scam victims: seven principles for systems security. Zitat: "The message of this paper is that hustlers and con artists know a lot more about the psychology of their victims than security engineers typically do; and therefore that the latter might learn useful lessons from the former." Und hier ein Beispiel-Email für einen typischen Angriff auf Menschen, die bereits einmal Opfer gewesen sind und deswegen mit einer hohen Wahrscheinlichkeit wieder reinfallen.
|
||||||||||
Weiterführende Themen und viele dokumentierte BeispieleErst mal etwas zur Geschichte: How Scams Worked In The 1800s. Ein Beispiel aus 2014 wie iranische Cyberkrieger versuchen, sich für Stuxnet zu revanchieren. Sie verwenden dabei nicht High-Tech wie die USA und Israel, sondern fortgeschrittenes Social Engineering - sehr aufwendig gemacht, mit falschen Internetprofilen die ihre Ziele erreichen. Auf diese Weise kommen sie auch die Firmengeheimnisse heran. Die Details sind im Artikel. Hier ein Artikel, der erklärt, wie mit Hilfe von Social Engineering 2005 Fotos von Paris Hilton in die Öffentlichkeit kamen. Ein Trickbetrüger erschleicht sich vom Gefängnis aus mittels seines Handys seine Entlassungspapiere.
Und hier noch ein Leckerbissen: Aus dem Social Engineering Lehrbuch:
Smooth-talking escapee evades police
Auf der RSA Conference 2015 wurden die Ergebnisse einer Studie veröffentlicht, wer am leichtesten auf Phishing Emails reinfällt. Einige Ergebnisse:
Und noch ein schönes Beispiel: der Dieb erschleicht sich mit Schokolade das Vertrauen der Bankangestellten und entkommt mit Diamanten im Wert von 14 Mill. Pfund: Thief woos bank staff with chocolates - then steals diamonds worth £14m. Und hier ein Beispiel für einen Social Engineering Test mittels "verlorenen" USB-Sticks. Hier Links zu 2 Studien zu Social Engineering-Anfälligkeit. Im November 2007 habe ich zusammen mit meiner Frau auf dem Bestnet-Kongress an der Uni Linz zum Thema Schutz gegen Social Engineering Angriffe - angewandte Psychologie vorgetragen.
Aktualisierung März 2011:
Hier dann die Details des Angriffs, eine Kombination aus technischem Hacking (SQL-Injection) gefolgt von Social Engineering um dann wirklich Root-Zugang zu bekommen (Seite 3 des Artikels zeigt dann die Social Engineering Emails).
Social Engineering Statistiken
Die Details finden sich im oben verlinkten Report.
Kevin Mitnick, der Star der Social Engineering Szene (mit einigen Jahren Gefängnis auf dem Buckel) hat seine eigene Website, auf der er relevante Ereignisse kommentiert.
Philipp Schaumann, http://sicherheitskultur.at/
p> Home
Copyright-Hinweis:
|