Social Engineering - Theorie und Praxis

Social Engineering - Theorie und Praxis

Artikel erschienen in IT Magazine 2011/12

Die Angriffsvektoren

Im Allgemeinen versuchen Social Engineers, ihre Angriffe, abhängig von Motiv und Gelegenheit, über alle Kanäle auszuführen, die aus und in das Unternehmen führen, dazu gehören typischerweise:

- Online via E-Mails

- Telefon

- Abfallentsorgung

- Persönliche Kontakte

- Reverse Social Engineering

Es reicht jedoch nicht aus, nur diese Angriffspunkte zu (er)kennen, man muss sich auch entsprechend bewusst sein, auf was es die Angreifer abgesehen haben könnten. Deren Motive beruhen auf dem Streben nach Dingen, die uns alle antreiben: Geld, sozialer Aufstieg oder Selbstwertgefühl. Sie wollen Geld oder Ressourcen, sie wollen Anerkennung in der Gesellschaft oder unter ihresgleichen, und sie möchten stolz auf sich selbst sein. So versuchen Social Engineers, diese Ziele illegal durch Diebstahl oder Eindringen in Systeme zu erreichen. Angriffe jeder Art sind für ein Unternehmen kostspielig, sei es wegen entgangener Umsätze, entwendeter Ressourcen, veruntreuter Informationen, eingeschränkter Verfügbarkeit oder beschädigter Reputation. Im Hinblick auf die Abwehr und zur Identifikation des Nutzens entsprechender Härtungsmassnahmen wird selbstverständlich auch hier empfohlen das Instrument der Risikoanalyse unter Berücksichtigung der Wahrscheinlichkeit und des dadurch verursachten immateriellen und materiellen Schadens einzusetzen.

E-Mail und Internet

Elektronische Kommunikation erlaubt es Social Engineers, Mitarbeitenden aus der relativen Anonymität des Internets heraus (massenweise) zu kontaktieren. Social Engineers überreden einen Mitarbeitenden eines Unternehmens durch glaubhafte List zur Preisgabe von Informationen. Diese Informationen können das Ziel des Angriffes sein oder nur ein weiterer Schritt zur Erreichung des Zieles. Die erhaltenen Informationen können unter Umständen den sich anschliessenden Malware-Angriff unterstützen oder erst ermöglichen. Deswegen müssen die Mitarbeitenden regelmässig darin geschult werden, wie sich Social Engineering-Angriffe am besten erkennen und vermeiden lassen. «Seien Sie vorsichtig!».
Viele Mitarbeitende erhalten Dutzende oder sogar Hunderte E-Mails pro Tag, sei es von Computern von Unternehmen oder Privaten. Diese Menge an E-Mails macht es heute unmöglich, jeder Nachricht die ihr gebührende Aufmerksamkeit zu schenken. Diese Tatsache kommt einem Social Engineer leider sehr entgegen.
Es ist unrealistisch zu glauben, dass Mitarbeitende den Internetzugang des Unternehmens nur für geschäftliche Zwecke verwenden, auch wenn dies unter Umständen so vorgeschrieben wäre. Die meisten Angestellten surfen auch aus privaten Gründen im Web, um etwas zu kaufen oder eigene Recherchen durchzuführen. Durch privates Surfen können die Mitarbeitenden – und damit die Computersysteme des Unternehmens – in Kontakt mit Social Engineers kommen. Selbst wenn es diese Angreifer nicht auf ein spezifisches Unternehmen abgesehen haben, könnten sie dessen Mitarbeiter dazu missbrauchen, Zugriff auf dessen Unternehmensressourcen zu erlangen.

In diesem Zusammenhang sind natürlich auch die Social Media-Plattformen zu erwähnen. Jeder Social Engineer, der etwas auf sich hält, wird versuchen, via die entsprechenden Websites Informationen zu gewinnen, die er für seine Angriffe benutzen kann. Man muss sich nur vor Augen führen, wie schnell beispielsweise unbekannte Menschen zu «Freunden» werden und auf der anderen Seite, wie unkritisch viele Benutzer solcher Sites private und/oder geschäftliche Informationen einem erstaunlich weiten Kreis zur Verfügung stellen. Das gezielte Suchen von Informationen, in diesem Zusammenhang bekannt als «Information Gathering», beispielsweise über ein Zielsystem oder eine Firma, wird oftmals unter der Verwendung von Internetsuchmaschinen gemacht. Hierbei werden natürlich auch Foren, Newsgroups oder Blogs durchsucht. Da die meisten Menschen viel zu sorglos mit ihren persönlichen Daten umgehen, ist es hier ein Leichtes, an detaillierte Informationen zu kommen. Da auch vermeintlich abgeschlossene Bereiche wie z.B. myspace.com und ähnliche durchsucht werden können, ist auch hier Vorsicht bei der Eingabe von persönlichen oder gar firmeninternen Daten geboten.

Neuen Kommentar erfassen

Anti-Spam-Frage Aus welcher Stadt stammten die Bremer Stadtmusikanten?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER