8/7/2020

Social Engineering & Data Stealing

Human Hacking erfreut sich großer Beliebtheit. Wir zeigen Ihnen, wie schnell Sie am Ha(c)ken hängen und was Sie präventiv dagegen unternehmen können.
Von
Michael Döhmen
Marketing Coordinator & IT-Security Enthusiast
und

Als Roland am Tag danach zur Arbeit kam, war irgendwie alles anders

Es ist 16:37 Uhr, als Roland ein letztes Mal für diesen Arbeitstag sein E-Mail Postfach prüft. Nach einem längeren Abstimmungsmeeting ist da sicherlich noch etwas passiert. Roland arbeitet als Sachbearbeiter in der Buchhaltung und ist froh, einen planbaren Job bei einem renommierten Unternehmen in der Region Lüneburg zu haben. Zahlen waren schon früher genau sein Ding und seine Arbeit macht ihm auch nach 5 Jahren noch viel Spaß. Sein Wirkungskreis bezieht sich auf wenige Software-Programme, insbesondere aus der Microsoft-Suite. Als Excel-Experte steht er jedem Mitarbeiter des Unternehmens mit Rat und Tat zur Seite und ist nicht nur deshalb im Kollegium geschätzt und beliebt. Mit einigen Kollegen, darunter auch sein Chef Daniel, spielt er regelmäßig Doppelkopf.

Was Roland nicht weiß: Dieser Nachmittag wird einen seltsamen Verlauf nehmen.

Roland prüft sein Postfach und entdeckt eine E-Mail von Daniel. „Der ist doch eigentlich im Urlaub“ denkt sich Roland, öffnet diese aber trotzdem. Daniel meldet sich mit Urlaubsgrüßen. Er freue sich schon auf die nächste Doppelkopfrunde und sendet im Anhang eine Bilddatei. Tatsächlich ist das Bild ein Urlaubsfoto, aber das kommt ihm irgendwie bekannt vor. Roland schreibt eine kurze E-Mail zurück und beendet dann seinen Arbeitstag. Was Roland nicht weiß: Er wurde gerade Opfer von Social Engineering und hat es leider nicht bemerkt.

Social Engineering liegt laut dem Global Security Report 2019 an der Spitze der kompromittierten Angriffsmethoden. Dazu zählen unter anderem: Phising, Vishing, Smishing, Social Media Phising, Deepfakes, CEO-Fraud, Spear Phising, Baiting, Media Dropping, Honeyspots, Scareware, Quid pro Quo. Wenn Sie jetzt denken: Bitte was? Dann bleiben Sie unbedingt dran.

Doch bevor wir uns die Methoden genauer anschauen, werfen wir einen Blick auf die Motive von Cyberkriminellen. Diese lassen sich grundsätzlich in drei Kategorien clustern:

  1. Kommerzielle Datenhändler. Diese versuchen in Infrastrukturen von Unternehmen einzudringen und dort über einen möglichst langen Zeitraum, möglichst viele Daten abzugreifen. Dadurch sind sie in der Lage bei z. B. einer Erpressung den größtmöglichen Druck aufzubauen.
  2. Erwerbsmäßige Betrüger. Im Fokus dieser Gruppe steht klassischerweise Geld oder Warenwirtschaftsbetrug. Dies kann sowohl Unternehmen als auch Privatpersonen treffen – da es allein darum geht, sich selbst zu bereichern.
  3. Stalker und Mobber. Diese Gruppe hat in der Regel eine persönliche Beziehung zum Opfer und möchte diesem den größtmöglichen Schaden zuführen.

Millionen von Angriffen werden mit diesen Intentionen durchgeführt. Und so wurde auch Roland letztlich ausgewählt und Opfer von Social Engineering.

Was war eigentlich passiert? Woher kannte der Angreifer seinen Doppelkopffreund Daniel und wie konnte er sogar ein Urlaubsfoto mitsenden? Die Antwort lautet: Social-Media. Je mehr Informationen Personen auf diesen Netzwerken preisgeben, desto einfacher haben es Angreifer. So war es dann auch bei Roland: Seine Doppelkopfrunden werden regelmäßig unter seinem echten Namen bei Instagram dokumentiert. Auf den Bildern sind ebenfalls seine Freunde verlinkt – mit echtem Namen. Die Vorgehensweise der Angreifer ist dabei immer identisch - der klassische Social Engineering Approach:

Bei LinkedIn kann jeder einsehen, bei welcher Firma Roland arbeitet und auch in welcher Abteilung. Vor allem die Buchhaltung ist natürlich ein hoch sensibler Bereich mit wichtigen und interessanten Daten. Über diese Plattform hatte der Angreifer Roland dann mit einem Fake-Account eine Vernetzungsanfrage gesendet. Nach Annahme hat es nicht lange gedauert bis der Angreifer wusste, mit welchen Kollegen er sich austauscht und wer sein Chef ist. Tatsächlich hätte es diese Vernetzungsanfrage gar nicht gebraucht, denn die Privacy Einstellungen bei LinkedIn lassen sich über die Google Suche relativ leicht umgehen. Das Urlaubsfoto hat er dann bei seinem Chef Daniel auf der Facebook-Seite gestohlen. Es war zwar eines aus dem letzten Jahr, aber Roland ist das nicht aufgefallen. Was Roland natürlich nicht weiß: Das Foto war infiziert mit Schad-Ware und diese hat sich beim Öffnen der Datei auf seinem Computer installiert und damit das Tor für einen großen Angriff geöffnet.

Diese Methode nennt sich Spear-Phishing. Dabei ist in der Regel kein allzu großer Rechercheaufwand notwendig, um eben genau diese Zusammenhänge - wie im Falle Rolands - zu recherchieren. Je mehr Daten online zur Verfügung stehen, desto leichter ist es für den potenziellen Angreifer. Diese Attacken sind in der Regel sehr erfolgreich, da sie durch die direkte Ansprache und den Inhalt sehr vertrauenswürdig erscheinen. Wo hätte Roland denn eigentlich misstrauisch werden sollen?

Grundsätzlich ist es immer ratsam den Absender, also die E-Mail-Adresse zu überprüfen. Diese lässt sich in der Regel nicht fälschen. Auch ist ein gesundes Misstrauen ratsam. Hat Daniel denn in der Vergangenheit schon mal Urlaubsgrüße gesendet? Jede unerwartete Mail sollte kritisch hinterfragt werden. Eine gute Tarnung und Sock Puppets gehören mittlerweile zum Standard-Repertoire von Social Engineering Angriffen. Diese Sock Puppets werden mit Prepaid-Telefonen angelegt. Das beginnt mit einer Mail-Adresse über die dann Social-Media Accounts und letztlich falsche Identitäten aufgebaut werden und das innerhalb weniger Minuten.

Es ist also Vorsicht geboten: Nicht jede Kontaktanfrage sollte angenommen und nicht jede E-Mail sofort geöffnet werden. Gesundes Misstrauen ist enorm wichtig!

Das gesunde Misstrauen ist die Basis. Das gilt auch für weitere Angriffsmethoden. Denn häufig werden einfach andere Medien genutzt. Beim Smishing sind es SMS, beim Vishing tatsächlich ein Anruf, beim Media Dropping infizierte Datenträger, die plötzlich irgendwo auftauchen. Immer wird versucht, Menschen zu manipulieren, weshalb man hier auch von „Human Hacking“ spricht. Es funktioniert ähnlich wie ein Schachspiel, nur dass die Mitarbeiter dazu gebracht werden, sich auf die richtigen Felder zu stellen, sodass der Angreifer leichtes Spiel hat.

Menschen sind dann leicht zu manipulieren, wenn es um ihre Grundbedürfnisse geht. Deshalb funktionieren Themen wie z. B. Corona / COVID-19 besonders gut. Ein Thema, welches eine akute Bedrohung der Grundbedürfnisse darstellt. Natürlich wollen die Menschen sich darüber informieren und Webseiten mit entsprechendem Inhalt haben eine hohe Anziehungskraft. Das wissen natürlich auch die Kriminellen. Gleiches gilt für die Corona-App, ebenfalls ein Thema, welches online sehr präsent und kontrovers diskutiert wurde und wird.

Manipulation ist natürlich nicht leicht zu erkennen. Aber mit ein paar grundsätzlichen Techniken kann das Risiko deutlich reduziert werden, Opfer eines Angriffs zu werden. Dabei ist besonders wichtig zu erwähnen: Es ist nicht alleine der Mensch, der häufig als „Schwachstelle“ im Unternehmen definiert wird. Es ist das Zusammenspiel aus Mensch, Organisation und Technik. Ein System ist auch anfällig, besonders dann, wenn es falsch konfiguriert wurde. Gleiches gilt für den Menschen: Wenn die Mitarbeiter keine Tools und Techniken an die Hand bekommen, woher sollen sie dann die nötige Sensibilität für das Thema IT-Security haben? Die richtige Balance dieser drei Bereiche ist maßgeblich entscheidend.

Das Verständnis dafür, wie wichtig es ist, z. B. den Computer oder das eigene Smartphone zu sperren, muss internalisiert werden. Wenn ihre Mitarbeiter mit dem Fahrrad zur Arbeit fahren, schließen sie es am Ankunftsort ab. Auch das haben sie irgendwann gelernt und es ist mittlerweile ein Automatismus geworden.

Weitere Tipps zur Risiko-Reduzierung:

  • Verantwortungsvoller Umgang mit sozialen Netzwerken: Geben Sie nicht zu viele, echte Informationen in den sozialen Netzwerken preis.
  • Lassen Sie sich nicht hetzen: Erst mal zurücklehnen, nachdenken und ggfs. mit Kollegen oder Freunden austauschen.
  • Seien Sie misstrauisch! Wenden Sie die 3-Sekunden-Prüfung des BSI an:
  • Kenne ich den Absender?
  • Ist die Betreffzeile sinnvoll?
  • Erwarte ich einen Anhang?

Hinterfragen Sie grundsätzlich Nachrichten, die Ihnen seltsam erscheinen.

  • Nutzen Sie Awareness-Trainings, wenn diese von Ihrem Arbeitgeber angeboten werden.
  • Geben Sie niemals vertrauliche Informationen per E-Mail, Telefon oder SMS raus. Seriöse Unternehmen arbeiten so nicht.
  • Wenn Sie doch auf einen komischen Link geklickt haben: Verschweigen Sie das bitte nicht, gehen Sie auf die IT zu. So können die Experten zeitnah reagieren.

Bei Fragen rund um das Thema Social Engeneering, Phising oder Security-Awareness, zögern Sie nicht, uns zu kontaktieren.

Schützen Sie Ihre Mitarbeiter

Bieten Sie Ihren Mitarbeitern Awareness-Schulungen, um Ihre Sicherheitsstrategie zu optimieren.
Kontaktieren Sie uns!