Unter dem Begriff IT-Sicherheit verstehen viele alleinig die technische Sicherheit der Systeme.
Um Systeme umfassend schützen zu können, ist es jedoch notwendig die Sicherheit als ein großes ganzes zu sehen, bei dem sich ein potentieller Angreifer im Zweifel immer den leichtesten Weg sucht.
In diesem Beitrag soll die Relevanz von Social Engineering sowie verschiedene Arten dieser aufgezeigt werden.
Was ist Social Engineering ?
Unter Social Engineering versteht man die Möglichkeit auf sozialer Ebene also von Mensch zu Mensch an vertrauliche Informationen und Daten zu kommen.
Die Schwachstelle ist hier also nicht technischer Natur sondern der Mensch, der mit teilweise psychologischen Tricks manipuliert wird.
Die Ziele gehen von Identitäts und Datendiebstahl bis hin zu Industriespionage.
Unter anderem machen sich Angreifer die folgenden Eigenschaften zu nutzen:
Menschen...
- ...wollen Ärger und Konflikten prinzipiell ausweichen
- ...möchten anderen Menschen gerne helfen
- ...werden gerne geachtet und sind gerne beliebt
- ...haben das Bedürfnis anderen Menschen vertrauen zu können
Diese Eigenschaften (und einige mehr) machen sich Social Engineers gezielt zu nutze, indem sie Beispielsweise:
an die Hilfsbereitschaft appellieren:
Ich bin ein Kollege aus der marketing Abteilung. Ich müsste nur schnell eine E-Mail beantworten. Mein PC ist bereits runter gefahren. Dürfte ich ganz kurz ihren Rechner nutzen, solange sie Pause machen?
jemandem schmeicheln:
Ich bin Journalist und schreibe über kreative Unternehmer im FinTec Bereich. Sie sind mir sehr positiv aufgefallen. Haben Sie ein paar Minuten ? Ich würde Sie gerne über ihre Person und aktuelle Vorhaben befragen
Dies erscheint nun erstmal merkwürdig, jedoch ist die Erfolgsrate von solchen Angriffen enorm hoch. Ein guter Social Engineer weiß, wie man z.B mit Small Talk vertrauen zu Personen aufbauen kann.
Grundlegend kann man einen Social Engineering Angriff in folgende Schritte aufteilen:
1. Informationen zur Zielperson sammeln
2. Kontakt aufbauen
3. Vortäuschen einer falschen Identität
4. Informationen beschaffen
5. Sich unauffällig und zeitnah aus dem Staub machen
6. Anwenden der "erbeuteten" Informationen
Welche Arten gibt es ?
Es gibt eine Menge verschiedener Arten von Social Engineering Angriffen. Im Folgenden soll eine Übersicht bekannter Vorgehensweisen kurz erläutert werden.
Phishing
Phishing ist die am häufigsten genutzte Variante von Social Engineering. Hierbei wird sich meist in Form einer gespooften (gefälscht / nachgebauten) Internet Seite oder E-Mail als jemand anderes ausgegeben.
Weitere Informationen zu Phishing, sowie gängige Varianten habe ich bereits in einem Beitrag beschrieben. Daher möchte ich an dieser Stelle nicht weiter darauf eingehen.
Interessante Zahlen und Fakten sind in den APWG Phishing Reports zu finden.
USB-Dropping
Wer ist nicht neugierig, wenn er einen USB Stick findet ? Vielleicht möchte man aber auch einfach nur die Person ausfindig machen, die den Stick verloren hat. Die erste Intuition ist oftmals: "Mal schauen, was da drauf ist".
Dies ist allerdings sehr gefährlich, da über eine modifizierte Firmware oder ein als USB Stick getarnter Minicomputer Malware auf die Systeme gelangen kann.
Dumpster Diving
Der Begriff selbst verrät schon, was hierbei passiert: Papiermüll-Container werden nach sensiblen Informationen durchsucht. Nicht umsonst gibt es Aktenvernichter, die genutzt werden sollten, wenn die Dokumente vertraulich sind.
Auch hier reicht es im Zweifel, wenn ein Angestellter ein Post-It mit einer Notiz eines Kennwortes sorglos wegschmeißt.
Shoulder Surving
Vorallem wenn mobil gearbeitet wird, ist es möglich, dass ein Social Engineer einem bei der Arbeit "über die Schulter" schaut.
Quelle
Daher sollte man, vor allem wenn Passwörter eingegeben werden oder sensible Daten bearbeitet werden aufpassen, dass niemand Einblick hat. Was man wohl intuitiv bei der Eingabe der PIN am Geldautomat macht sollte man also auch am PC/Smartphone beachten.
Tail Gating
Hierbei wird versucht, ohne Zugangsberechtigung in gesicherte Bereiche zu gelangen. Hinter jemandem herlaufen und durch die gerade zufallende Tür gehen ist meist sehr leicht. Wenn jemand mit einem großen und scheinbar schweren Karton kommt wärt ich sicher auch so nett und würdet dem armen Mensch die Tür aufhalten.... oder ?
Weitere Verfahren
Neben den hier erwähnten Herangehensweisen gibt es weitaus mehr. Je nach Situation können Social Engineering Angriffe sehr lange Zeit geplant werden. Dies könnte soweit gehen, dass eine Partnerschaft vorgetäuscht wird, um an die entsprechenden Informationen zu gelangen.
Wie kann ich mich schützen ?
Da der Mensch selbst hier "angegriffen" wird, gilt es diesen auch primär zu "schützen".
Nachdem ihr diesen Beitrag gelesen habt, besitzt ihr bereits ein Grundverständnis davon, dass es Social Engineering überhaupt gibt, und wie solche Angriffe aussehen könnten.
Wichtig ist es prinzipiell sensibel gegenüber Angriffsvektoren dieser Art zu sein. Ich sage hier nicht, ihr sollt nicht mehr nett sein und jemandem die Tür aufhalten oder bei Problemen helfen ;). Die grundsätzliche Kenntnis sowie ein Sicherheitsbewusstsein hilft oftmals schon, Social Engineering Angriffe zu erkennen.
Im Umfeld von Unternehmen empfiehlt sich eine Policy, die einzuhalten ist. Zusätzlich ist es sinnvoll Awarenestrainings zu entwickeln, die abhängig von der Position und der Tätigkeit innerhalb des Unternehmens bestimmte Anwendungsszenarien adressieren und beim Aufbau eines Sicherheitsbewusstseins helfen.
Ich hoffe euch einen groben Überblick über Social Engineering gegeben zu haben.
In diesem Sinne: Bleibt sicher aber übertreibt es auch nicht ;)
