Techniken
„Social Engineers“ nutzen mit Social-Engineering-Techniken, bestimmte Schwächen der menschlichen Entscheidungsfindung aus, welche als kognitive Verzerrungen („Fehler in der menschlichen Hardware“) bekannt sind, um daraus persönliche Vorteile zu erlangen.
Phishing
Phishing beschreibt Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben.
In der Regel wird ein seriöses Unternehmen imitiert, und um die „Überprüfung“ von Informationen gebeten. Meist wird zu einer, legitim erscheinenden, betrügerischen Webseite weitergeleitet, welche ein Formular enthält, in dem alle möglichen sensiblen Daten abgefragt werden. Um den Nutzer eher zur Übermittlung dieser Daten zu bewegen, wird vor schlimmen Folgen gewarnt.
- Vishing
Beim Telefon-Phishing („Voice-Phishing“, „Vishing“) wird das Opfer mithilfe eines interaktiven Sprachdialogsystem dazu verleitet, persönliche und finanzielle Informationen freizugeben.
- Smishing
Die Verwendung von SMS-Textnachrichten, um die Opfer zu einer bestimmten Handlung, wie das Anklicken eines bösartigen Links, zu verleiten.
Beispiele sind Textnachrichten, die vorgeben, von einem Spediteur (z. B. FedEx) zu stammen, und in denen behauptet wird, dass ein Paket unterwegs ist, wobei ein Link angegeben wird.
- Spear-Phishing
Beim Spear-Phishing werden durch gezielte Angriffe private Informationen erlangt. Es werden beispielsweise stark angepasste E-Mails an wenige Endbenutzer versendet, anstelle von großen Mengen allgemeiner E-Mails, in der Erwartung, dass nur wenige Personen darauf reagieren werden.
- Page hijacking
Beim Page Hijacking werden legitime Webseiten kompromittiert und verändert, um den Benutzer auf eine bösartige Website oder ähnliches zu leiten.
- Pharming
„Pharming“ basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern, um den Benutzer auf gefälschte Websites umzuleiten.
[Pharming]
[Phishing]
Dumpster Diving
Hierbei wird der Müll (digital & physisch) des Opfers durchwühlt und nach Hinweisen und Anhaltspunkten über das soziale Umfeld gesucht.
Diese können dann in einem darauf folgenden Anruf dazu verwendet werden, um sich das Vertrauen des Opfers zu erschleichen.
USB Drop
Es werden, mit Malware infizierte, physische Datenträger (z.B. USB-Stick, CD-ROM, …) als Trojanisches Pferd genutzt.
Sie werden mit legitimen und neugierig machenden Beschriftungen versehen, und geeignet verteilt oder abgelegt, damit diese von neugierigen, gierigen oder gutmütigen Personen an ein System angeschlossen werden, um dort eine Schadsoftware zu installieren, welche den Angreifern Zugang verschafft.
Nachahmung
Der Angreifer gibt vor, eine andere Person zu sein, mit dem Ziel, sich physischen Zugang zu einem System oder Gebäude zu verschaffen.
Tailgating
Ein Angreifer, der sich Zutritt zu einem gesperrten Bereich verschaffen will, folgt einer vorangehenden Person und nutzt somit dessen Berechtigung.
Dabei bittet der Angreifer den Angestellten beispielsweise, die Tür für ihn aufzuhalten, gibt vor seinen Identitätsnachweis vergessen oder verloren zu haben oder er gibt vor, mit einem Mobiltelefon zu telefonieren, um eine Befragung zu verhindern.
E-Mail-Spoofing
Auf einfachem Weg kann der Absender für sich selbst eine E-Mail-Adresse angeben, die entweder nicht ihm gehört oder nicht existiert. Bei schlecht geschützten E-Mail-Diensten, sieht es für den Empfänger auf den ersten Blick so aus, als sei dies die richtige Absenderadresse. Somit lässt sich Legitimität erzeugen.
Pretexting
Unter „Pretexting“ versteht man die Schaffung und Nutzung eines erfundenen Szenarios (der Vorwand), um ein Opfer so zu beeinflussen, dass es Informationen preisgibt oder Handlungen ausführt, die unter normalen Umständen unwahrscheinlich wären.
In den meisten Fällen wird eine vorherige Recherche oder Vorbereitung um Legitimität herzustellen. Die beim Angriff erhaltenen Informationen können dann auch für weitere Angriffe verwendet werden, um sich noch besser legitimieren zu können.
Water holing
„Water Holing“ nutzt das Vertrauen der Nutzer in von ihnen regelmäßig besuchte Websites aus. Dort fühlen sie sich sicher, sonst als gefährlich angesehene Dinge zu tun, wie beispielsweise direkt auf Links klicken.
Der Angreifer bereitet also eine Falle für die unvorsichtige Beute an einer beliebten Wasserstelle vor.
Dazu müssen Informationen über, von der Zielperson häufig besuchte Websites, gesammelt werden, um danach diese auf Schwachstellen zu untersuchen, durch welche Code eingeschleust werden kann, der das System eines Besuchers mit Malware infiziert.
Quid pro quo („Dies für Das“)
Der Angreifer „hilft“ bei der Lösung eines Problems und bringt dabei den Benutzer dazu, Aktionen auszuführen, die dem Angreifer Zugang verschaffen oder Malware starten.
Beispielsweise ruft ein Angreifer zufällige Nummern in einem Unternehmen an und gibt vor, vom technischen Support zurückzurufen. Irgendwann trifft diese Person jemanden mit einem legitimen Problem, der dankbar ist, dass jemand zurückruft, um ihm zu helfen.
Shoulder surfing
Der Angreifer liest sensible Informationen von nicht abgeschirmten oder ungeschützten Bildschirmen und Eingabegeräten aus.
Social-Media-Betrug
Die Zielperson wird auf einer Social-Networking-Website kontaktiert und es wird nach und nach ein Vertrauen aufgebaut, durch welches der Angreifer Zugang zu sensiblen Informationen wie Passwörtern oder Bankkontodaten erhalten kann.
[Social-Engineering]
Social Engineering
Allgemein
Social Engineering bedeutet, aus dem Englischen übersetzt, in etwa „angewandte Sozialwissenschaft“ oder „soziale Manipulation“. Während es, in sozialen und politischen Wissenschaften, teils andere Bedeutungen hat, geht es hier um die Definition im Kontext der Informationssicherheit.
Dabei beschreibt Social Engineering zwischenmenschliche Beeinflussungen mit dem Ziel bei Personen bestimmte Verhaltensweisen hervorrufen. Diese sind im Normalfall nicht im besten Interesse der beeinflussten Person, wie beispielsweise die Preisgabe von vertraulichen Informationen oder Freigabe von Finanzmitteln.
[Social-Engineering]
Ziele
Social Engineering verfolgt verschiedenste Ziele, wie zum Beispiel:
Preisgabe von vertraulichen Informationen (z.B.: Passwörter, Bankkontodaten, …)
Freigabe von Finanzmitteln
Erhalt von unbezahlten Dienstleistungen
Eindringen in ein fremde Computersysteme (Social Hacking)
Ausführung einer schädlichen Aktion (z.B.: Viren installieren, Fernzugriff erlauben, …)
Knacken privater E-Mails und Chatverläufe und deren Manipulation, um Geld zu erpressen oder Misstrauen unter Einzelpersonen zu schaffen
Knacken von Websites von Unternehmen oder Organisationen und Zerstörung ihres Rufs
[Social-Engineering]
Seven Principles of Persuasion
Social Engineering stützt sich in hohem Maße auf die sieben Prinzipien der Beeinflussung, die von Robert Cialdini aufgestellt wurden. Die Beeinflussungstheorie von Cialdini basiert auf sieben Schlüsselprinzipien:
„Geben und Nehmen“
Menschen bleiben meist konsistent, in dem, was sie früher gesagt oder getan haben.
Menschen orientieren sich in ihrem Verhalten daran, wie sich andere Mitmenschen verhalten.
Menschen lassen sich leichter von Menschen, die sie mögen, überreden, als von jemandem den sie nicht mögen.
Als Autorität angesehen zu werden, erhöht die Wahrscheinlichkeit, dass einem Folge geleistet wird.
„solange der Vorrat reicht“ „nur für begrenzte Zeit“ (Dringlichkeit)
Je mehr man sich einer Gruppe zugehörig fühlt, desto mehr lässt man sich von dieser Gruppe beeinflussen.
[Seven-Principles-of-Persuasion]
Techniken
„Social Engineers“ nutzen mit Social-Engineering-Techniken, bestimmte Schwächen der menschlichen Entscheidungsfindung aus, welche als kognitive Verzerrungen („Fehler in der menschlichen Hardware“) bekannt sind, um daraus persönliche Vorteile zu erlangen.
Phishing
Phishing beschreibt Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben.
In der Regel wird ein seriöses Unternehmen imitiert, und um die „Überprüfung“ von Informationen gebeten. Meist wird zu einer, legitim erscheinenden, betrügerischen Webseite weitergeleitet, welche ein Formular enthält, in dem alle möglichen sensiblen Daten abgefragt werden. Um den Nutzer eher zur Übermittlung dieser Daten zu bewegen, wird vor schlimmen Folgen gewarnt.
Beim Telefon-Phishing („Voice-Phishing“, „Vishing“) wird das Opfer mithilfe eines interaktiven Sprachdialogsystem dazu verleitet, persönliche und finanzielle Informationen freizugeben.
Die Verwendung von SMS-Textnachrichten, um die Opfer zu einer bestimmten Handlung, wie das Anklicken eines bösartigen Links, zu verleiten. Beispiele sind Textnachrichten, die vorgeben, von einem Spediteur (z. B. FedEx) zu stammen, und in denen behauptet wird, dass ein Paket unterwegs ist, wobei ein Link angegeben wird.
Beim Spear-Phishing werden durch gezielte Angriffe private Informationen erlangt. Es werden beispielsweise stark angepasste E-Mails an wenige Endbenutzer versendet, anstelle von großen Mengen allgemeiner E-Mails, in der Erwartung, dass nur wenige Personen darauf reagieren werden.
Beim Page Hijacking werden legitime Webseiten kompromittiert und verändert, um den Benutzer auf eine bösartige Website oder ähnliches zu leiten.
„Pharming“ basiert auf einer Manipulation der DNS-Anfragen von Webbrowsern, um den Benutzer auf gefälschte Websites umzuleiten.
[Pharming]
[Phishing]
Dumpster Diving
Hierbei wird der Müll (digital & physisch) des Opfers durchwühlt und nach Hinweisen und Anhaltspunkten über das soziale Umfeld gesucht. Diese können dann in einem darauf folgenden Anruf dazu verwendet werden, um sich das Vertrauen des Opfers zu erschleichen.
USB Drop
Es werden, mit Malware infizierte, physische Datenträger (z.B. USB-Stick, CD-ROM, …) als Trojanisches Pferd genutzt. Sie werden mit legitimen und neugierig machenden Beschriftungen versehen, und geeignet verteilt oder abgelegt, damit diese von neugierigen, gierigen oder gutmütigen Personen an ein System angeschlossen werden, um dort eine Schadsoftware zu installieren, welche den Angreifern Zugang verschafft.
Nachahmung
Der Angreifer gibt vor, eine andere Person zu sein, mit dem Ziel, sich physischen Zugang zu einem System oder Gebäude zu verschaffen.
Tailgating
Ein Angreifer, der sich Zutritt zu einem gesperrten Bereich verschaffen will, folgt einer vorangehenden Person und nutzt somit dessen Berechtigung.
Dabei bittet der Angreifer den Angestellten beispielsweise, die Tür für ihn aufzuhalten, gibt vor seinen Identitätsnachweis vergessen oder verloren zu haben oder er gibt vor, mit einem Mobiltelefon zu telefonieren, um eine Befragung zu verhindern.
E-Mail-Spoofing
Auf einfachem Weg kann der Absender für sich selbst eine E-Mail-Adresse angeben, die entweder nicht ihm gehört oder nicht existiert. Bei schlecht geschützten E-Mail-Diensten, sieht es für den Empfänger auf den ersten Blick so aus, als sei dies die richtige Absenderadresse. Somit lässt sich Legitimität erzeugen.
Pretexting
Unter „Pretexting“ versteht man die Schaffung und Nutzung eines erfundenen Szenarios (der Vorwand), um ein Opfer so zu beeinflussen, dass es Informationen preisgibt oder Handlungen ausführt, die unter normalen Umständen unwahrscheinlich wären.
In den meisten Fällen wird eine vorherige Recherche oder Vorbereitung um Legitimität herzustellen. Die beim Angriff erhaltenen Informationen können dann auch für weitere Angriffe verwendet werden, um sich noch besser legitimieren zu können.
Water holing
„Water Holing“ nutzt das Vertrauen der Nutzer in von ihnen regelmäßig besuchte Websites aus. Dort fühlen sie sich sicher, sonst als gefährlich angesehene Dinge zu tun, wie beispielsweise direkt auf Links klicken.
Der Angreifer bereitet also eine Falle für die unvorsichtige Beute an einer beliebten Wasserstelle vor. Dazu müssen Informationen über, von der Zielperson häufig besuchte Websites, gesammelt werden, um danach diese auf Schwachstellen zu untersuchen, durch welche Code eingeschleust werden kann, der das System eines Besuchers mit Malware infiziert.
Quid pro quo („Dies für Das“)
Der Angreifer „hilft“ bei der Lösung eines Problems und bringt dabei den Benutzer dazu, Aktionen auszuführen, die dem Angreifer Zugang verschaffen oder Malware starten.
Beispielsweise ruft ein Angreifer zufällige Nummern in einem Unternehmen an und gibt vor, vom technischen Support zurückzurufen. Irgendwann trifft diese Person jemanden mit einem legitimen Problem, der dankbar ist, dass jemand zurückruft, um ihm zu helfen.
Shoulder surfing
Der Angreifer liest sensible Informationen von nicht abgeschirmten oder ungeschützten Bildschirmen und Eingabegeräten aus.
Social-Media-Betrug
Die Zielperson wird auf einer Social-Networking-Website kontaktiert und es wird nach und nach ein Vertrauen aufgebaut, durch welches der Angreifer Zugang zu sensiblen Informationen wie Passwörtern oder Bankkontodaten erhalten kann.
[Social-Engineering]
Abwehr
in Notsituationen unbürokratisch zu helfen und Hilfe zu erhalten
auf Hilfe mit Gegenhilfe zu reagieren
…
Im privaten Umfeld
Es können verschiedene Vorsichtsmaßnahmen getroffen werden, um das Risiko zu verringern, Opfer von Social-Engineering-Betrug zu werden:
mehrstufige Authentifizierung
Spam-Filter-Software
Möglichst nicht auf Anhänge aus unbekannten Quellen klicken
Links zu Seiten, die persönliche Daten verlangen, manuell im Browser eingeben
Keine persönlichen oder finanziellen Informationen per E-Mail, Telefon oder Textnachrichten weitergeben
Auch scheinbar unwichtige Informationen nicht sorglos offengelegen (Könnten für zukünftige Angriffe genutzt werden)
Vorsicht bei Personen, die Sie nicht im wirklichen Leben kennen
Treffen Sie keine sofortigen Entscheidungen, sondern nehmen Sie sich wenn möglich 5 Minuten Zeit, um die dargebotenen Informationen zu bewerten.
Seien Sie auf der Hut vor Angeboten, die zu schön sind, um wahr zu sein
Identität und Berechtigung eines Ansprechenden zweifellos sicherstellen
weitere potenzielle Opfer
Sicherheitsabteilung des Unternehmens
Kontaktadresse des E-Mail-Providers
Mitmenschen und Institutionen, deren Angaben zur Vorspiegelung falscher Tatsachen missbraucht wurden.
Im beruflichen Umfeld
Organisationen reduzieren ihre Sicherheitsrisiken durch:
Schulungen in den für ihre Position relevanten Sicherheitsprotokollen
Festlegung und Schulung des Personals, wann/wo/warum/wie mit sensiblen Informationen umgegangen werden sollte)
Festlegung von Sicherheitsprotokollen, Richtlinien und Verfahren für den Umgang mit sensiblen Informationen.
Ermittlung und Bewertung der Sensibilität und Anfälligkeit von Informationen
Durchführung unangekündigter, regelmäßiger Tests des Sicherheitsrahmens
Aufbau einer Resistenz gegen Überredungsversuche, indem man sich ähnlichen oder verwandten Versuchen aussetzt.
Regelmäßige Überprüfung der oben genannten Schritte: Keine Lösung für die Informationsintegrität ist perfekt.
Umsetzung eines sicheren Abfallmanagements, im physischen sowie im digitalen Bereich, um Angreifern den Zugriff zu erschweren.