Social Engineering – Definition, Methoden, Schutz
14. März 2018 | Allgeier CyRis
Social Engineering – Definition
Social Engineering wird durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) folgendermaßen definiert:
Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch “Aushorchen” zu erlangen.
Der Begriff “Social Engineering” bezeichnet eine Methode oder Vorgehensweise, um unberechtigten Zugang zu Informationen oder IT-Systeme zu erlangen. Ein Angreifer (Social Engineer) beeinflusst die Zielperson durch psychologische Tricks und nutzt zwischenmenschliche Beziehungen aus, um sensible Informationen zu erhalten oder eine Aktion auszuführen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Angst, Respekt vor Autorität, Eitelkeit, Gier, Vertrauen oder Hilfsbereitschaft ausgenutzt.
Vorgehensweise bei Social Engineering
Dem Mensch ist Hilfsbereitschaft und Nettigkeit angeboren. Jeder möchte seinem Gegenüber gefallen und Anerkennung genießen. Menschen die sich in Notsituationen befinden muss geholfen werden – was im Grundgedanken nicht falsch ist. Kriminelle machen sich dieses beim Social Engineering zunutze, indem Sie eine Notsituation vorspielen und die Hilfsbereitschaft ausnutzen.
Ein typischer Fall von Angriffen durch Social Engineering ist das Manipulieren von Mitarbeitern per Telefonanruf. Ein Angreifer gibt sich als Sekretär(-in) bzw. Assistenz der Geschäftsleitung aus, deren Vorgesetzter schnell etwas erledigen will, sein Passwort vergessen hat und es jetzt dringend braucht. Ein anderes Beispiel ist der Techniker, der vertrauliche Zugangsdaten benötigt, weil er sonst wichtige Arbeiten nicht abschließen kann. In der Regel hat der Angreifer im Vorfeld aus öffentlich zugänglichen Quellen Informationen über das Unternehmen gesammelt und kennt die Unternehmenshierarchie sowie Verfahrensweisen. Mit diesen Informationen kann er sich als Insider des Unternehmens ausgeben, Smalltalk über gemeinsame Kollegen halten oder mit Namen von Vorgesetzten drohen.
Social Engineering Methoden
Die Methode um schnell an Informationen zu gelangen wird Hunting genannt. Die Angreifer nutzen E-Mails, Telefonanrufe oder soziale Medien, um die Zielperson zur Herausgabe der Daten zu bringen. Eine andere Form des Social Engineering nennt sich Farming. Beim Farming wird eine enge Beziehung zwischen dem Opfer und dem Angreifer aufgebaut. Auf diese Weise ist der Täter in der Lage viele Informationen zu bekommen, die er zu seinem Vorteil nutzen kann.
Phishing
Eine beliebte Methode für Social Engineering Angriffe ist Phishing. Das Wort Phishing ist ein Kunstwort aus dem Englischen und setzt sich aus “password” und “fishing” zusammen. Im Kontext des Online-Betrugs werden mit diesem Begriff Bemühungen bezeichnet, mit denen Kriminelle über gefälschte Webpräsenzen und E-Mails versuchen, an vertrauliche Daten von Internetnutzern zu gelangen. Die Zielperson wird bei diesem Angriff willkürlich oder im Zusammenhang mit anderen Betrugsmethoden wie dem CEO Fraud gezielt ausgewählt.
Spear Phishing
Beim Spear Phishing (abgeleitet von der englischen Übersetzung des Begriffs Speer) handelt es sich um eine besondere Form von Phishing. Dieser Angriff zielt meist auf konkrete Unternehmen ab und erfolgt häufig über eine E-Mail Adresse, die von einer vertrauenswürdigen Quelle zu stammen scheint. Die Angreifer gehen raffiniert vor und suchen den Empfänger sorgfältig aus. Da Spear Phishing Angriffe auf konkrete Organisationen oder Personen abzielen, ist die Vorbereitung, aber auch die Wirksamkeit dieses Angriffs deutlich höher, als bei normalen Phishing Angriffen.
Dumpster Diving
Des einen Müll ist des anderen Schatz. Dumpster Diving ist eine Methode, die bei Social Engineering häufig zum Einsatz kommt. Der Angreifer durchsucht den Müll von Personen oder Unternehmen nach verwertbaren Informationen. Diese können in einem darauf folgenden Anruf verwendet werden, um das Vertrauen des Opfers zu bekommen. Der Angreifer beschränkt sich nicht nur auf das Durchwühlen von Papierkörben, um an Passwörter und Benutzernamen zu kommen. Harmlose Informationen wie Veranstaltungstermine, ausgedruckte E-Mails oder Organisationsdiagramme werden benutzt, um einen Angreifer bei Social Engineering zu unterstützen. Dumpster Diving wird häufig für die Vorbereitung von Spear Phishing Angriffen verwendet.
Baiting (Köder)
Eine andere Technik des Social Engineering setzt auf Köder. Das so genannte Baiting nutzt die Neugierde des Menschen aus, um an Informationen zu gelangen oder um schadhafte Software zu verbreiten. Ein beliebtes Szenario ist das bewusste Liegenlassen eines infizierten Datenträgers an öffentlichen Orten. Das Ziel der Angreifer ist, dass diese Datenträger durch Mitarbeiter gefunden und in den Computer eingesteckt werden. Sobald der präparierte Datenträger eingesteckt wird, wird unbemerkt Schadsoftware ausgeführt oder dem Angreifer eine Hintertür ins Unternehmensnetzwerk geöffnet. Im Jahr 2015 haben die Sicherheitsexperten von Kaspersky aufgedeckt, dass eine bislang unbekannte Hacker-Gruppe seit 2001 rund 500 Organisationen wie Ölfirmen, Banken und Kraftwerke auf dieser Weise ausspioniert hat (Artikel sueddeutsche.de).
Scareware
Scareware ist die automatisierte Form von Social Engineering. Es kommen spezielle Schadprogramme zum Einsatz, die den Nutzer verängstigen und zu bestimmten Handlungen bewegen sollen. Dem Benutzer wird über die Software eine Bedrohung vermittelt und gleichzeitig ein Lösungsweg aufgezeigt. Häufig werden Webseiten genutzt, die den Nutzer auf ein vermeintliches Sicherheitsproblem hinweisen und gleichzeitig ein kostenloses Antivirenprogramm mit Schadsoftware oder anderen unerwünschten Funktionen zum Download anbieten.
Watering Hole
Bei Watering Hole Angriffen infizieren Angreifer Webseiten, von denen sie wissen, dass ihre Zielgruppe diese immer wieder aufsucht. Der Angreifer sammelt vor dem Angriff Informationen über eine bestimmte Gruppe von Personen, um herauszufinden, welche Webseiten regelmäßig besucht werden. Diese Webseiten werden im Anschluss durch Sicherheitslücken mit Malware infiziert. Im Laufe der Zeit werden immer mehr Mitglieder der Zielgruppe beim Aufruf der Webseite durch veraltete Browser oder Betriebssysteme infiziert und der Angreifer kann somit auf das vermeintlich sichere System zugreifen.
Pretexting
Pretexting ist eine Praxis des Social Engineering. Der Angreifer spielt dabei eine fremde Identität vor, um an vertrauliche Informationen zu kommen. Dabei wird nicht nur eine kurze Lüge vorgespielt, sondern ganze Identitäten mit Visitenkarten, Webseiten- und Social-Media-Auftritten erschaffen.
Tailgating
Eine Methode um Zugang zu einem Gebäude oder einem anderen geschützten Bereich zu erhalten, nennt man Tailgating. Dabei wartet der Angreifer auf einen autorisierten Benutzer, der eine Zutrittssicherung öffnet und folgt dann direkt dahinter. Meist wird hierbei auch die Hilfsbereitschaft von Menschen ausgenutzt in dem der Angreifer die Hände voll hat oder durch z.B: Gehhilfen hilfsbedürftig erscheint.
Social Engineering früher
Eine frühe Form von Social Engineering im IT-Umfeld wurde in den 1980er Jahren mit Phreaking ausgeübt. Die Angreifer (Phreaker) riefen bei Telefongesellschaften an und gaben sich als Administratoren aus. Das Ziel dieser Angriffe war es, Passwörter zu bekommen, mit denen für die Angreifer, kostenlose Modemverbindungen hergestellt werden konnten.
Social Engineering wurde vor allem durch Kevin Mitnick bekannt. Der Hacker war eine der meistgesuchten Personen in den Vereinigten Staaten, weil er sich mit Hilfe von Social Engineering Methoden in das Netzwerk des Verteidigungsministeriums der Vereinigten Staaten eingedrungen ist. Das von Kevin Mitnick veröffentlichte Buch “The Art of Deception” (“Die Kunst der Täuschung”) beschreibt anhand von Beispielen die Techniken des Social Engineerings und gibt Hilfen, wie man sein Unternehmen vor diesen schützen kann. Mitnick meint, Social Engineering sei die effektivste Methode, um an ein Passwort zu gelangen und schlage technische Ansätze in Sachen Geschwindigkeit.
Im Jahr 2010 wurde der IT-Experte Thomas Ryan mit seiner Kunstfigur Robin Sage bekannt. Mit Hilfe dieser Kunstfigur entlockte der IT-Experte vertrauliche Informationen von Militärs, Politikern und Industriellen über Soziale Netzwerke. Thomas Ryan veröffentlichte die Ergebnisse des Experiments, um vor dem Umgang mit sozialen Netzwerken zu warnen.
Social Engineering heute
Angreifern stehen heute viele Möglichkeiten bereit, um Informationen über eine Zielperson zu sammeln. Mit Hilfe von OSINT (Open Source Intelligence) lassen sich detaillierte Benutzerprofile erstellen. Mit automatisierten Tools werden Suchmaschinen nach Personen und E-Mail Adressen durchsucht. Durch XING und Facebook werden die Beziehungen der Zielperson analysiert, die Interessen, das Familienumfeld und Aktivitäten der Zielperson helfen den Angreifern eine Vertrauensbeziehung aufzubauen. Eine ausgeschriebene Stellenbeschreibung eines Unternehmens für eine IT-Stelle, liefert dem Angreifer Informationen über die verwendete IT-Infrastruktur im Unternehmen. Ein ausgeschriebenes Event auf der Unternehmenshomepage liefert den richtigen Aufhänger, um einen effektiven Angriff zu starten. Der Absender einer E-Mail wird durch Spoofing gefälscht.
Diese Möglichkeiten erlauben effektive Angriffe auf das Unternehmen. Die Zielperson erhält beispielsweise eine E-Mail von einem Kollegen, der den mitgesendeten Anhang angeblich nicht öffnen kann und deshalb die Zielperson bittet, dies zu erledigen. Dieser Angriff ist genauso vielversprechend wie eine E-Mail vom Vorgesetzten, der seine Buchhaltung zum Überweisen eines Millionenbetrags anweist (CEO Fraud). Der Fall des Autozulieferers “Leoni” ist ein Paradebeispiel für diese Betrugsmasche.
Bedrohung durch Social Engineering
Die Bedrohung durch Social Engineering steigt seit Jahren stark an. Angriffe zielen vermehrt auf Menschen und nicht auf Schwachstellen in Software ab. Im April 2016 hat die US-Polizeibehörde FBI eine Warnung über die zunehmende Anzahl von E-Mail Betrug veröffentlicht. Demnach ist den Unternehmen in den vergangenen drei Jahren ein Schaden von 2,3 Milliarden US-Dollar entstanden. Laut FBI ist die Zahl der Betroffenen und der ergaunerten Gelder seit Anfang 2015 um rund 270 Prozent gestiegen.
Von welchen der folgenden Handlungen war Ihr Unternehmen innerhalb der letzten zwei Jahre betroffen?
Das Ergebnis einer Umfrage im Auftrag der Bitkom e.V. verdeutlicht nochmal die Bedrohung durch Social Engineering in Unternehmen. Demnach sind 73% der befragten Unternehmen bereits von Social Engineering (Analog + Digital) in den letzten zwei Jahren betroffen gewesen oder vermuten, betroffen zu sein.
Auch das BSI warnt in seinem Lagebericht IT-Sicherheit 2017 über die wachsende Bedrohung durch Social Engineering. Es sei aktuell eine zunehmende Professionalisierung der Angriffe zu beobachten. Das erschwert die einfache Erkennung durch Mitarbeiter oder technische Systeme drastisch.
Schutz gegen Social Engineering
Für Unternehmer ist es wichtig, dass Sie Ihre Mitarbeiter auf das Thema Social Engineering aufmerksam machen. Nur wer weiß, gegen was er sich schützen muss, kann sein Verhalten anpassen. Aufklärung ist beim Social Engineering wichtig. Als Mitarbeiter agieren Sie erfolgreich gegen Social Engineering, wenn Sie mit vertraulichen Daten sorgfältig umgehen. Durch die technische Weiterentwicklung der Schadprogramme und immer besser gestaltete Phishing Mails verlieren klassische Abwehrmaßnahmen zunehmend an Wirksamkeit. Auf klassische Antiviren-Lösungen und Firewalls sollten sich Administratoren nicht mehr verlassen, sondern IT-Sicherheit als Gesamtkonzept unter Einbeziehung der Nutzer umsetzen.
Laut Lagebericht IT-Sicherheit 2017 setzen Unternehmen zunehmend auf Sensibilisierungsmaßnahmen zur Schulung der Mitarbeiter. Diese Schulungen werden nur sporadisch angeboten, es mangelt an Regelmäßigkeit und dem zeitnahen Hinweis auf aktuelle Methoden und Varianten der Angreifer. Ein umfassender Schutz gegen Social Engineering kann nur durch kontinuierliche und in ein Gesamtkonzept eingebundene Sensibilisierungsmaßnahmen erzielt werden.
Layer8 bietet eine kontinuierliche Sensibilisierungsmaßnahme für Ihr Unternehmen. Durch Schulungsvideos und Phishing-Kampagnen können Sie die IT-Sicherheit und die Achtsamkeit Ihrer Mitarbeiter kontinuierlich steigern. Über unser Alarmticker werden Sie über neue Bedrohungen und aktuelle Methoden der Angreifer informiert und können passende Kampagnen in Ihrem Unternehmen durchführen.