Social Engineering

Methoden und Schutzmaßnahmen

Was ist Social Engineering?

Social Engineering ist an sich nichts Neues. Früher nannte man dies “Trickbetrügerei”, nur dass heute im digitalen Zeitalter diese „Kunst“ der Kommunikation äußerst effektive eingesetzt wird.

Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität von Betrügern ausgenutzt, um Personen so zu manipulieren, dass diese Dinge tun, welche der Social-Engineer von ihnen verlangt. Oft werden die Opfer dazu verleitet vertrauliche Informationen preiszugeben, Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf deren privatem Gerät oder einem Computer im Firmennetzwerk zu installieren.

Das Social Engineering nutzt Menschenkenntnisse aus, um Sicherheitskontrollen zu umgehen. Oft ist das Social Engineering erst der Anfang (Einfallstor) um andere Hacker-Methoden nutzen zu können, z.B. das Eindringen in ein Rechenzentrum um Zugang zu einem IT-System des Kunden zu erlangen („Oceans 11“ lässt grüßen).

Öffentlich bekannt wurde das “Social Engineering” vor allem durch den Hacker Kevin Mitnick. Er selber war eine zeitlang die meistgesuchte Person der Vereinigten Staaten. Nach seiner Entlassung wurde Mitnick Sicherheitsberater und veröffentlichte das Buch “Die Kunst der Täuschung” [1]. Dieses Buch beschreibt anhand von Beispielen die Techniken des Social Engineering. Die Wichtigsten möchte ich kurz aufzählen und beschreiben, sowie aufklären wie man sich gegen solche Angriffe am besten schützen kann. Mitnick selbst meint, Social Engineering sei die bei weitem effektivste Methode, um an ein Passwörter zu gelangen. Es schlägt technische Ansätze des Hackens in Sachen Geschwindigkeit um Längen. 

Meiner Meinung nach basieren alle Social-Engineering-Angriffe auf den folgenden menschlichen Eigenschaften:

• Reziprozität (Wechselseitigkeit): Hier wird das Bedürfnis sich für eine erhaltene Gefälligkeit zu revanchieren vom Social-Engineering-Angreifer ausgenutzt.
• Konsistenz: Hier wird vom Social-Engineering-Angreifer das geradezu zwanghafte Verhalten der Menschen sich mit ihren vorherigen Handlungen im Einklang zu bleiben ausgenutzt.     
• Vertrauen:  Hier wird dem Opfer des Social-Engineering-Angreifers vorgemacht, dass dieser jemand sei, dem das Opfer vertrauen kann. Aus diesem Grund tut das Opfer auch das, was der Sozial-Engineering-Angreifer von ihm verlangt. 
• Autorität: Hier wir das Opfer vom Social-Engineering-Angreifer eingeschüchtert etwas zu tun, was von ihm verlangt wird. Der Grund warum er es tut, ist der, dass der Social-Engineering-Angreifer als Autoritätsperson auftritt – oft als Vorgesetzter, Kunde, Polizist oder Verkäufer.
• Sympathie: Hier tritt der Social-Engineering-Angreifer mit Sympathie auf und verleitet das Opfer etwas zu tun, was dieses sonnst nie tun würde. Oft strahlt der Social-Engineering-Angreifer Schönheit und Sexualität aus.  

Was sind die häufigsten Social-Engineering-Angriffe?

Phishing E-Mails:

Hierbei handelt es sich um E-Mail-Nachrichten, die die Opfer verleiten sollen auf einen Link zu klicken oder Dateien aus dem Anhang zu öffnen. Dabei erscheinen die Absender solcher Email als vertrauenswürdige Absender, obwohl sie es nicht sind. 

Telefonanrufe: 

Hier ruft ein Social-Engineering-Angreifer Mitarbeiter einer Organisation oder Privatpersonen an und weist sich dabei als eine vertrauenswürdige Person aus. Diese ist er nicht. Das Ziel ist es Vertrauen zu gewinnen und das Opfer zu verleiten bestimmte Aufgaben zu erfüllen, z.B. der Angreifer gibt sich als IT-Servicekraft einer Telefongesellschaft aus und fragt den Privatkunden nach seinem Passwort. 

Tailgating: 

Das ist ein Versuch, einen eingeschränkten Arbeitsbereich zu betreten. Z.B. geben sich Social-Engineering-Angreifer als Raucher aus und betreten während „illegaler Raucherpausen“ zusammen mit anderen Rauchern, getarnt als zugehörige Mitarbeiter, das Gelände.

Knappheit: 

Hier wird dem Opfer seitens des Social-Engineers Knappheit vorgegaukelt. Z.B. eine Nachricht, dass von dem neuen iPhone-Angebot nur noch 200 Stück verfügbar sind. Oft führt solch ein „proaktives“ Handeln zu einem Phishing- oder Trojaner-Angriff.

Dringlichkeit:

Sie erahnen es: Hier wird dem Opfer sofortiges Handeln vorgegaukelt. Z.B. der Fall, in dem das Unternehmen scheinbar um 1.000.000 € verklagt wird, wenn nicht unverzüglich gewisse Formulare vor Freitag ausgefüllt, unterschrieben und verschickt werden. Oft führt ein Link in einer Email zu diesem „vertrauenswürdigen“ Formular, wo man natürlich auch sein „Passwort“ eingeben muss.

Pretexting:

Das „Pretexting“ gehört zur hohen Kunst des Social-Engineering. Hierbei versucht der Angreifer durch das so genannte Pretexting eine gemeinsame Beziehung zu seinem Opfer herzustellen. Social-Engineering-Angreifer  informieren sich oft vor dem ersten Gespräch über ihre Opfer. Um einen Vorwand für das erste Gespräch zu finden, recherchiert der Hacker im Privat- und Berufsleben seiner Opfer. Daraus leitet er eine erste erfundene Geschichte ab welche ihm als Einstieg (deshalb Pretexting) für ein erstes Gespräch dient. Diese Methodik des Social-Engineering ist sehr alt und wurde bereits von Geheimdiensten, Behörden und der Presse genutzt um Zugang zu Informationen zu erhalten. Heute ist es wegen der zahlreichen Sozialen Netzwerke noch leichter geworden Informationen über seine Opfer zu sammeln, um daraus eine erste Geschichte für das „Pretexting“ zu erstellen. Meiner Meinung nach ist dies die effizienteste und gefährlichste Vorgehensweise des Social-Engineerings.  

Quid pro Quo: 

Dieser Social-Engineering-Angriff basiert auf Vertrauen, bzw. auf dem Prinzip „eine Hand wäscht die andere“. Hierbei bietet der Social-Engineering-Angreifer dem Opfer etwas Wünschenswertes im Austausch gegen persönliche oder geschäftliche Informationen an. Häufig handelt es sich bei solchen „Gefälligkeit“ um eine Hilfestellung bei der Bearbeitung von bestimmten Aufgaben des Opfers und im Gegenzug erhält der Angreifer vertrauenswürdige Informationen. 

Chefanruf:

Dieser Social-Engineering-Angriff wird auch Chef-Trick/CEO-Betrug/CEO-Fraud genannt. Der Social-Engineering-Angreifer gibt sich in einer gefälschten E-Mail oder in einem Telefonat als Vorstandsmitglied oder Geschäftsführer aus und bittet um sensible Firmendaten oder Aktivitäten. Dieser Trick basiert darauf, dass wenn eine vermeintliche Autoritätsperson dazu auffordert allgemeine Sicherheitsbestimmungen zu ignorieren, diese von den Angestellten auch gemacht werden. Vor allem wenn eine Notsituation vorgespielt wird. Es bedarf einer enormen Vorbereitung (Pretexting) um diesen Angriff auch erfolgreich durchzuführen. Meiner Meinung nach ist der Chef-Trick für Unternehmen einer der gefährlichsten Social-Engineering-Angriffe. Der wirtschaftliche Schäden aus solchen Angriffen sind enorm.

Honeypots

Unter Honeypots versteht man Personen oder Institutionen, die körperlich oder wirtschaftlich als attraktiv wahrgenommen werden. Private Honeypots richten sich an Privatpersonen und gaukeln eine persönliche Beziehung vor. Wirtschaftliche Honeypots richten sich an Unternehmen und geben sich als wichtige und lukrative Geschäftsbeziehungen aus. Ziel des Social-Engineering-Angreifer ist es kompromittierendes Material zu sammeln oder an sensible Unternehmensdaten zu gelangen. 

Baiting:

Hier macht sich der Social-Engineering-Angreifer der menschlichen Neugierde zu Nutze, indem er einen digitalen oder physischen Köder anbietet. Dieses enthält oft eine Malware, z.B. ein USB-Stick welcher als Werbegeschenk getarnt auf Messen verteilt wird und einen Download-Link enthält, der zu einem „kostenlosen“ Programm für den „Kunden“ führt. Das Ganze ähnelt stark dem Phishing aber hier wird oft etwas Konkretes als Köder verwendet.

Wie schützt man sich vor Social-Engineering-Angriffen?

1. Security Awareness: Mitarbeiter sollten regelmäßig über die Gefahren und das Vorgehen im Angriffsfall aufgeklärt werden, z.B. durch Test-Phishing-Nachrichten. Dies sind harmlose Nachrichten, welche von den Sicherheitsabteilungen verwendet werden, um zu sehen, wie viele Mitarbeiter sich an die Sicherheitsrichtlinien des Unternehmens halten.
2. Privacy Awareness: Grundsätzlich sollte mit der Preisgabe von privaten Informationen oder den Angaben über den Arbeitgeber in sozialen Netzwerken vorsichtig umgegangen werden. Diese werden häufig von Social-Engineers für das zuvor beschriebene Pretexting missbraucht.
3. Communicationcy Awareness: Niemals Passwörter oder andere persönliche Informationen telefonisch oder per Mail weitergeben.
4. Email Awareness: E-Mails haben für mich eine Sonderrolle. Grundsätzlich sind diese immer, wenn Sie von unbekannten Absendern stammen mit Vorsicht zu behandeln! Im Zweifel nie antworten oder schlimmer noch, Anhänge öffnen. Zur Not melden oder wenn es nicht anders geht Informationen über den Absender einholen. Oft ist der Domainname des Absenders „verkleidet“ in eine andere Domain, welche sich ähnlich schreibt, z.B. anstatt „meinebank.de“ lautet die Domain der Email „menebank.de“.

Zusammenfassung

Gemeinsam an allen ist, dass ein Opfer, welches auf die Täuschung eines Social-Engineers hereinfällt, im guten Glauben denkt, das Richtige zu tun. Ich empfehle jedem sich die Sitcom „The Americans“ [2] anzuschauen. Dort finden Sie Social-Engineering unterhaltsam in seiner reinsten Form dargestellt. Ich möchte nicht Spoilern, aber es geht um KGB-Offiziere, die sich während des Kalten Krieges in den 80ern als ein ganz normales amerikanisches Ehepaar ausgeben. Ebenfalls möchte ich auf die Internetseite des BSI [3] verweisen.

Ich hoffe, dass ich euch ein wenig zum Thema „Social Engineering“ aufklären konnte. Vertraut niemanden den ihr nicht kennt!

Euer Simon 

Referenzen

[1] Kevin D. Mitnick, William L. Simon: „Die Kunst der Täuschung, Risikofaktor Mensch“, Heidelberg 2013, ISBN 978-3-8266-9606-0

[2] https://de.wikipedia.org/wiki/The_Americans

[3] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/social-engineering_node.html