Social-Engineering, oder: Wie man Menschen "knackt"

30. Jänner 2011, 12:09
36 Postings

Soziale Komponenten spielen immer wichtigere Rolle bei Angriffen - Soziale Netzwerke bergen neue Gefahren - Sharon ConTricks und historische Vorbilder

Während bei Berichten über Einbrüche in Computernetzwerke gern mal recht genau auf technische Details des Angriffs eingegangen wird, wird oft übersehen, dass soziale Komponenten eine zunehmend wichtiger werdende Rolle für gezielte Attacken spielen. Mithilfe von "Social Engineering" werden potentielle Opfer analysiert und spezifisch zugeschnittene Tricks eingesetzt, um den Angriff zu einem Erfolg zu machen. Seit mehreren Jahren setzt sich die Sicherheitsexpertin Sharon Conheady mit diesem Thema auseinander, in ihrem Job bei First Defence Information Security Ltd bietet sie gezielte "Social Engineering"-Schulungen für Unternehmen an - und testet deren Sicherheit auch gleich selbst.

Im folgenden Interview spricht sie über die neuen Möglichkeiten durch soziale Netzwerke, Massenbetrügereien, sowie den historischen Hintergrund von "Social Engineering". Das Gespräch führte Andreas Proschofsky im Rahmen der Ende November in Wien abgehaltenen Sicherheitskonferenz DeepSec, bei der "Social Engineering" eine prominente Rolle einnahm.

Das Interview gibt es auch im englischsprachigen Original.

derStandard.at: Welche aktuellen Trends sind derzeit rund um den Bereich "Social Engineering" festzustellen?

Sharon Conheady: Das Wesen von "Social Engineering" hat sich in den letzten drei bis vier Jahren stark verändert, dies vor allem durch die Verbreitung von sozialen Netzwerken. Diese bieten zunächst mal eine riesige Angriffsfläche, man kann jetzt hunderttausende Leute mit einem Angriff anvisieren, das war früher nicht so einfach. Vor allem aber werden dort viele Informationen preisgegeben, die für Angriffe genutzt werden können. Sei es der eigene Name und Geburtstag, die Lieblingspizza, ob man vorhat mit dem Rauchen aufzuhören, wo der eigene Arbeitsplatz ist, was dort gerade vorgeht, ob man seinen Boss mag oder nicht. All das kann als Basis für Angriffe genutzt werden.

derStandard.at: Soziale Netzwerke bieten also nicht nur mehr Informationen sondern auch eine größere Auswahl an Zielen?

Sharon Conheady: Ja, absolut. Und sie basieren auf Vertrauen - und genau das nutzen "Social Engineers" aus.

derStandard.at: Ein paar Entwicklungen jenseits von sozialen Netzwerken...?

Sharon Conheady: Nun Phishing ist in den letzten Jahren ja recht groß geworden, jetzt kommt Vishing neu dazu, wo man eine Mail mit der Aufforderung bekommt, jemand zurückzurufen. Vishing kann aber auch heißen, dass man einen Anruf auf der eigenen Sprachbox vorfindet, der vorgibt von der eigenen Bank zu kommen, und zum Besuch einer gefälschten Webseite oder zum Anruf einer nicht-authentischen Telefonnummer verlocken will. Eine weitere relativ neue Form von Angriffen nennt sich Smishing, wobei vor allem Textnachrichten verschickt werden, die vorgeben von der eigenen Bank zu kommen.

In der letzten Zeit beobachte ich dabei, dass die Leute immer vorsichtiger werden bei all dem, was sich auf ihrem Computer-Bildschirm abspielt, wenn so ein Angriff aber per Fax oder über das Mobiltelefon kommt gibt es eine viel größere Chance, dass es funktioniert.

derStandard.at: Lässt sich so etwas wie "Social Engineering" in Zahlen fassen, also in eine Art "Erfolgsrate"?

Sharon Conheady: Ich kann natürlich nur über meine eigene Arbeit sprechen, da sind wir zu mehr als 90 Prozent erfolgreich, wenn wir versuchen Zugang zu Firmen oder deren geheimen Informationen zu bekommen.

Allgemein ist es aber natürlich schwer so etwas in Zahlen zu fassen, vor allem weil die meisten gar nicht mitbekommen, wenn sie angegriffen wurden. Und wenn sie es herausfinden, sehen sie oft nur den technischen Teil des Angriffs, nicht den sozialen, der diesen überhaupt erst möglich gemacht hat.

derStandard.at: Woraus besteht Ihre tägliche Arbeit üblicherweise?

Sharon Conheady: Vor allem aus verschiedenen Arten von "Social Engineering"-Tests und Trainingskursen. Das kann etwa bedeuten, dass wir eine Reihe von Phishing-Angriffen vornehmen, um herauszufinden, wie Angestellte darauf reagieren, und ob es über die Monate eine Verbesserung gibt. Oder wir versuchen Informationen über das Telefon zu bekommen, also Call-Center-Angestellte dazu zu bringen vertrauliche Daten herauszugeben. Weiters kann es auch der Versuch sein, physischen Zutritt zum Firmengebäude oder zum Rechenzentrum zu bekommen.

derStandard.at: Können Sie ein Beispiel geben, wie das konkret aussehen würde?

Sharon Conheady: Sicher. Vor kurzem habe ich ein solchen Test mit einer großen europäischen Organisation durchgeführt. Da habe ich dann einfach behauptet, dass ich aus deren US-Büros komme und den Namen einer tatsächlich dort arbeitenden Person verwendet. Ich bin dann in aller Früh zur Rezeption gegangen und habe mich vorgestellt, was natürlich zu einiger Verwirrung geführt hat, da sie mich ja nicht erwartet haben. Also haben sie sicherheitshalber in den US-Büros angerufen, was um die Uhrzeit freilich keinen Sinn macht, da es dort gerade mitten in der Nacht war. Im Endeffekt haben sie mir dann gesagt, dass ich einfach rauf ins Gebäude gehen soll und mir ein beliebiges Besprechungszimmer aussuchen kann.

derStandard.at: Das war's schon?

Sharon Conheady: Ja. Oft ist es wirklich unglaublich einfach.

Für eine E-Mail-Attacke habe ich hingegen mal recht viel Zeit investiert, um eine Organisation zu durchleuchten. Im Endeffekt habe ich dann auf der Webseite herausgefunden, dass einige Mitarbeiter gerade erst an einem Marathon teilgenommen haben. Also habe ich vorgegeben, dass ich von der Organisation des Marathons wäre, und ein Mail geschickt mit dem Inhalt "Gratulation an John und Jack, die das Ziel in einer großartigen Zeit erreicht haben, die exakten Zeiten finden sie im Anhang". Und im Anhang war natürlich ein Proof-of-concept-Trojaner, der die Rechner der Firma im Fall eines echten Angriffs kompromittiert hätte.

Über das Telefon werden derzeit sogenannte "Murmel-Attacken" immer häufiger. Das sind eigentlich ziemlich grausame Angriffe, wo jemand behauptet, dass er für jemanden anruft, der Sprachprobleme hat. Und wenn der Telefonist dann mit der betreffenden Person direkt sprechen will, imitiert man diese Behinderung einfach. Das ist natürlich ziemlich unangenehm, führt aber immer wieder dazu, dass der telefonische Ansprechpartner Sicherheitsbeschränkungen umgeht, weil er einfach nicht versteht, was das Gegenüber gerade sagt. Es gibt tatsächlich einige dokumentierte Fälle, dass so etwas erfolgreich ist.

derStandard.at: Sie sprechen eigentlich von zwei recht unterschiedlichen Formen von Angriffen. Da sind einerseits die Massenbetrügereien auf der anderen Seite gibt es aber auch sehr gezielte und spezifische Angriffe gegen eine Person oder Organisation. Verschiebt sich hier Relevanz?

Sharon Conheady: Es zeichnet sich derzeit definitiv ein klarer Trend ab. Die Massenangriffe wird es immer geben, weil es immer genügend Leute gibt, die darauf hereinfallen. Aber wir können immer mehr sehr gezielte Attacken feststellen, wo man etwa statt einem pauschalen Phishing-Mail eine auf eine Person ausgerichtete Nachricht vorfindet. Das führt natürlich dazu, dass man sehr viel häufiger auf den Betrug hereinfällt. Und mit sozialen Netzwerken ist das wie gesagt wesentlich einfacher geworden.

derStandard.at: Wer ist das Ziel von solch spezifischen Angriffen?

Sharon Conheady: Oft sind es Unternehmen, aber solche Angriffe passieren auch immer häufiger gegen einzelne Individuen. Identitätsdiebstahl ist ja bereits ein riesiges Problem.

derStandard.at: Wen würden Sie sich innerhalb einer Firma als Angriffspunkt aussuchen, um an geheime Informationen zu kommen?

Sharon Conheady: Für jeden Angriff muss man zunächst mal sehr viel Recherche betreiben, sicher 90 Prozent meiner Arbeit bestehen daraus, die richtigen Leute auszusuchen. Am häufigsten werden aber wohl die Telefonzentrale oder der IT-Help-Desk ausgewählt, einfach weil dort Leute sind, die oft Zugriff auf sensible Informationen haben. Wenn man sich physisch Zutritt zu einem Gebäude verschaffen will, sind natürlich die Rezeption oder die Sicherheitsbeamten ausschlaggebend. Aber ganz ehrlich kann heute praktisch jeder vom mittleren Management bis zu den Leuten, die in ihrer Kantine arbeiten der Angriffspunkt werden.

derStandard.at: Haben Sie Beispiele für real ausgeführte Angriffe?

Sharon Conheady: Natürlich. Es gab etwa vor kurzem einen Vorfall bei einer Firma, wo die Angreifer einige Mitarbeiter identifizierten, die soziale Netzwerke nutzen. Also haben sie einen dieser Accounts übernommen und so herausgefunden, dass ein Firmenpicknick bevorsteht. Dann haben sie das Kommunikationsverhalten der betreffenden Person analysiert und fünf enge Freunde ausgemacht. Gleich nach dem Picknick haben sie dann diesen fünf Personen eine vermeintlich von ihrem Freund kommende Nachricht geschickt, in der sie vorgaben im Anhang Fotos von der Veranstaltung mitzuschicken. Und da die Angegriffenen davon ausgehen mussten, dass die Nachricht von ihrem Freund kommt, haben sie natürlich das Attachment geöffnet, wodurch prompt ein Keylogger installiert wurde. Dadurch kamen die Angreifer an den Firmenlogin einer Mitarbeiterin, was sie natürlich ausnutzten. Im Endeffekt haben sie zwei Wochen im internen Netzwerk verbracht, Informationen gesammelt und dabei auch zwei Server unter ihre Kontrolle gebracht.

Schlussendlich sind sie nur aufgeflogen, weil einer der Betroffenen seinen Freund auf die Nachricht - und die nicht angezeigten Fotos - angesprochen hat und der davon natürlich nichts wusste. Also haben sie die IT-Abteilung informiert, die in Folge den Einbruch entdeckte.

derStandard.at: Social Engineering bekommt in den letzten Jahren eine zunehmende Aufmerksamkeit, aber handelt es sich dabei wirklich um ein neues Phänomen?

Sharon Conheady: Social Engineering gibt es seit es die Menschheit gibt, in den letzten 20 Jahren hat man sich halt auf die Informationstechnologie gestürzt. Social Engineering passt sich immer der Zeit an, für jede neue Technologie finden sich Betrüger und Kriminelle, die diese zu ihrem Vorteil zu nutzen wissen. Der "Vorschussbetrug" hat ja auch zuerst mit Briefen seinen Anfang genommen, bevor er über Telex und Fax schließlich bei E-Mail gelandet ist. - und jetzt langsam auf soziale Netzwerke übergeht. Anstatt von unbekannten Personen aus Nigeria kommt dieser Angriff also nun - vorgeblich - von den eigenen Freunden - und da ist es sehr schwer sich dagegen zu verteidigen, weil jeder einem Freund in Not helfen möchte.

derStandard.at: Haben Sie Beispiele dafür wie "Social Engineering"-Techniken vor dem Informationszeitalter eingesetzt wurden.?

Sharon Conheady: Der Vorschussbetrug ist hier wieder ein gutes Beispiel. Schon vor hunderten Jahren, zur Zeit der Spanischen Armada, gab es einen Betrug, der auf die britische Aristokratie ausgerichtet war. Der Betrüger behauptete dabei aus Spanien zu sein, und hatte immer eine gut aussehende spanische Frau an seiner Seite. So trat er dann an einen Aristokraten mit der Geschichte heran, dass der Vater dieser Dame in Spanien gefangen sei, und er Geld für seine Flucht brauche. Im Gegenzug für diese Hilfe würde der Aristokrat dann nicht nur einen Haufen Geld bekommen, sondern dürfe auch dessen Tochter heiraten. Und das hat tatsächlich regelmäßig funktioniert, die Betroffenen haben das Geld hergegeben und natürlich nie wieder etwas von der hübschen Frau gehört.

Ende des achtzehnten Jahrhunderts gab es dann einen Mann namens Eugène François Vidocq, der als Krimineller anfing, dann aber zum Gründer der modernen Polizei werden sollte. Und dieser hat in seinen Memoiren die eigene Gefängniszeit und die damals vorherrschenden Betrugsmethoden dokumentiert. Eines der hier dokumentierten Beispiele nennt sich der "Brief aus Jerusalem", bei dem sich Kriminelle an Aristokraten als Gehilfe eines Marquis oder jemand anderes mit reichlich Geld ausgaben. In diesen Schreiben wurde dann behauptet, dass der Marquis eine Unmenge an Juwelen verloren hat, und dass er nur eine vergleichsweise geringe Menge an Geld brauche, um die nötigen Leute zu rekrutieren, die ihm seine Reichtümer zurückverschaffen könnten. Dies natürlich kombiniert mit dem Versprechen, die Juwelen anschließend mit dem noblen Helfer teilen zu wollen.

Vidocq spricht in seinen Memoiren davon, dass 20 von hundert dieser Briefe erfolgreich waren. Die Erfolgsrate ist heute natürlich nicht mehr so hoch, aber die Statistik ist hier noch immer ziemlich interessant.

derStandard.at: Wenn man betrachtet, dass diese Attacken verblüffend ähnlich zu heute genutzten Betrugsmaschen sind, heißt dass, dass die Menschheit aus solchen Vorfällen einfach nichts lernt?

Sharon Conheady: Ich denke schon, dass die Leute dazulernen, aber die Welt ist mittlerweile auch einfach wesentlich größer geworden. Also funktionieren die selben Tricks immer und immer wieder. Und in dem betreffenden Fall nutzt man einfach aus, dass die Leute gerne ein gutes Geschäft machen, vor allem wenn sie nichts dafür tun müssen, Menschen sind habgierig.

Es gibt unzählige Beispiele dafür. In den 1920iger Jahren gab es einen Mann namens Victor Lustig, der vorgab die Regierung in deren Plänen zu vertreten den Eiffelturm als Altmetall zu verkaufen. Und das ist natürlich ein Geschäft, dass eigentlich zu gut ist, um wahr zu sein. Trotzdem war er damit tatsächlich erfolgreich. Zudem war dieser Vorfall den Betrogenen so peinlich, dass sie nicht zur Polizei gingen. So nebenbei: Erst dieses Jahr hat ein Lastwagenfahrer versucht das Ritz-Hotel in London zu verkaufen.

derStandard.at: Und wie weit ist er dabei gekommen?

Sharon Conheady: Ziemlich weit, er hat sich als Freund der Eigentümer ausgegeben und so einen Vorschuss von einer Million Pfund kassiert.

derStandard.at: Wenn Sie versuchen würden, an meine E-Mails zu kommen, wie würden Sie das anstellen?

Sharon Conheady: Zuerst würde ich damit beginnen, so viel wie möglich über Sie herauszufinden. Ich würde schauen, ob Sie auf LinkedIn sind, ob Sie andere soziale Netzwerke verwenden. Dann würde ich wohl ein an diese Informationen angepasstes Phishing-Mail schicken. Wenn Sie öffentlich machen, in welche Bars oder Clubs sie gehen, würde ich eventuell dort auf Sie warten.

derStandard.at: Persönlich?

Sharon Conheady: Ja, vielleicht. Eventuell würde ich Ihre Tasche stehlen, um ihr Telefon zu bekommen. Ich könnte auch versuchen den Account eines Ihrer Freunde zu übernehmen, um mich als dieser auszugeben. Und ich könnte natürlich in Ihr Haus oder Ihr Büro einbrechen, um herauszufinden, ob Sie ihre Passwort irgendwo niedergeschrieben haben. Es gibt einfach so viele Möglichkeiten...

derStandard.at: Wir danken für das Gespräch.

(Andreas Proschofsky, derStandard.at, 30.01.11)

Der WebStandard auf Facebook

  • Bild nicht mehr verfügbar
Share if you care.