Der Schutz von Unternehmensinformationen, Netzwerken und Workstations vor sich ständig ändernden externen und internen Bedrohungen ist eine ähnliche Aufgabe wie das Schießen auf ein sich bewegendes Ziel. Und Social Engineering macht diese Arbeit zu einer fast unmöglichen Leistung. Aktivitäten, die darauf abzielen, das menschliche Bewusstsein zu "hacken", sind in der Regel unsichtbar und können sehr tief in das Unternehmenssystem eindringen.
Was ist Social Engineering?
Im weitesten Sinne umfasst dieses Konzept alle Situationen, in denen Kriminelle mit den Merkmalen der menschlichen Psyche spielen und Personen so manipulieren, dass sie gegen die üblichen Sicherheitsverfahren und -protokolle verstoßen. Angreifer versuchen nicht, durch Systemschwachstellen in das Unternehmensnetzwerk einzudringen. Ihre Angriffe richten sich gegen Menschen. Und sie selbst teilen vertrauliche Informationen, die den Zugriff auf Büroräume, Systeme oder Netzwerke ermöglichen.
Selbst wenn das Unternehmen über die besten Cyber-Abwehrsysteme, Firewalls und Verfahren verfügt, könnte sich eines Tages herausstellen, dass Cyberkriminelle es geschafft haben, wichtige sensible Daten zu erhalten.
Angriffsstruktur
Ein Angriff mit Methoden des Social Engineering wird immer durchdacht und an die individuellen Merkmale des Angriffsziels angepasst, im Gegensatz zu gewöhnlichen Phishing-Angriffen mit zufälligen Massen-E-Mails oder Anrufen an Tausende von Menschen. Dies erfordert mehr Vorbereitung, aber die Erfolgschancen steigen erheblich.
Zunächst suchen Angreifer nach spezifischen Informationen über das Zielunternehmen, seine Organisationsstruktur und die Mitarbeiter. Ihre Aktionen können sich gegen Mitarbeiter bestimmter Abteilungen oder gegen Personen mit geringem Zugriff auf Systeme richten, über die Sie höhere Ebenen erreichen können. Die Idee ist nicht, nach einem schwachen Glied im Sicherheitssystem zu suchen, sondern eine gefährdete Person zu finden. Angreifer spielen mit seinen Ängsten, seiner Gier oder seiner Neugier und zwingen ihn, das Protokoll zu brechen.
Zu diesem Zweck sucht der Kriminelle in Online- und Offline-Quellen nach Informationen und identifiziert potenzielle Opfer. Das Internet und die sozialen Medien haben den Zugriff auf solche Daten erheblich vereinfacht.
Ein guter Ausgangspunkt für indirekte Maßnahmen sind Organigramme. Soziale Netzwerke wie LinkedIn und Facebook sind ein Informationsspeicher. Auf LinkedIn ist es beispielsweise sehr einfach, eine Liste von Personen zu finden, die in einem bestimmten Unternehmensbereich arbeiten. Als nächstes können Sie ihr Verhalten auf Facebook beobachten, um die leichtgläubigsten Personen zu berechnen. Danach müssen die Kontaktinformationen (E-Mail-Adresse, Telefonnummer) abgerufen werden.
Angreifer versuchen, das Vertrauen des Opfers zu gewinnen oder mit Angst- und Eilegefühlen zu spielen, damit die Person keine Zeit hat, über die Situation richtig nachzudenken.
Beispiele für Angriffsszenarien:
- Mit einer gefälschten Absenderadresse lassen Angreifer die Leute glauben, dass der Brief von einem Top-Manager (z. B. einem Generaldirektor), einem Mitarbeiter oder einem Geschäftspartner gesendet wurde. Als nächstes wird Malware gestartet, indem Sie auf den Anhang oder Link im Nachrichtentext klicken. Oder der Brief enthält eine Aufforderung zur dringenden Bereitstellung von Verschlusssachen. Stellen Sie sich vor, Sie erhalten einen Brief vom Direktor des Unternehmens oder Kollegen, in dem er Sie auffordert, Ihre Gedanken zu dem beigefügten Dokument mitzuteilen. Ihre erste Reaktion ist das Herunterladen der Datei. Ein weiteres Beispiel: Sie haben einen Brief von einem regulären Anbieter erhalten, in dem er sich darüber beschwerte, dass seine Autorisierungsdaten nicht funktionierten, und er brauchte Ihre Hilfe, um ein bestimmtes Segment des Systems zu betreten. In dieser Situation haben Sie möglicherweise auch einen impulsiven Wunsch zu helfen. Warum nicht? Am Ende hat der Anbieter wirklich Zugriff. Und Sie wollen kaum die Person sein, die die dringende Lieferung unterbrochen hat.
- Ein Mitarbeiter kann einen "Rückruf" vom "technischen Support" erhalten. Der Angreifer ruft die Gruppe der Mitarbeiter der Organisation an und äußert den Wunsch, Informationen zu einer Anfrage zu sammeln, die zuvor an das Support-Team gesendet wurde. Es besteht die Möglichkeit, dass er wirklich die Person findet, die eine solche Anfrage gesendet hat oder einfach nur helfen möchte. Wenn ein leichtgläubiges Opfer gefunden wird, wird es von Kriminellen dazu verleitet, Anmeldeinformationen einzugeben oder zu versuchen, Malware aus der Ferne zu installieren.
- Simulation eines Anrufs der IT-Abteilung bezüglich eines Verstoßes gegen eine Sicherheitsrichtlinie oder eines Verlusts von Autorisierungsinformationen. Das Opfer wird gebeten, persönliche Informationen zum „Zurücksetzen des Kennworts“ anzugeben, eine Datei zu installieren, einen Befehl auszuführen oder dem Link zu folgen, um zu überprüfen, ob die Liste der gefährdeten Kennwörter Daten enthält. In Wirklichkeit führen diese Aktionen zur Installation von Malware.
- Ein Anruf von einem „Wirtschaftsprüfer“, einem „Strafverfolgungsbeamten“ oder anderen Regierungsbeamten, die „das Recht haben“, Zugang zu sensiblen Informationen zu erhalten.
- Um das Opfer davon zu überzeugen, dass es von einer bestimmten Firma aus anruft, verwenden die Kriminellen eine bestimmte Fachsprache oder telefonische musikalische „Beats“.
- Kriminelle hinterlassen ein USB-Laufwerk mit einer attraktiven Kennzeichnung („Gehalt“ oder „Kostenvoranschlag“) an einer auffälligen Stelle auf dem Firmengelände, z. B. auf einem Parkplatz, in einem Aufzug oder an anderen öffentlichen Orten. Ein Mitarbeiter, der ein Flash-Laufwerk findet, kann es entweder an den Sicherheitsdienst übertragen oder aus Neugier an sein Büro oder seinen Heimcomputer anschließen. Auf die eine oder andere Weise findet eingebettete Malware ihren Weg in das System.
- Ein Angreifer kann mit einem Mitarbeiter, der eine Schlüsselkarte besitzt, ein geschlossenes Gebäude betreten. In diesem Fall verhält sich der Täter so, als hätte er tatsächlich das Recht auf Zugang zu den Räumlichkeiten. Dazu kann er eine Firmenuniform anziehen oder eine Karte in den Händen halten, die der echten ähnelt.
- Angreifer erhalten Zugriff, indem sie eine bestimmte Gruppe von Websites infizieren, denen ein Mitarbeiter vertraut. In diesem Fall fälschen sie Links mit Domainnamen, die in Aussehen und Klang ähnlich sind.
- Angreifer geben sich als technische Mitarbeiter, Reinigungskräfte oder Sicherheitskräfte aus, um beim Informationsdiebstahl nicht zu viel Aufmerksamkeit zu erregen.
Warum sind Social-Engineering-Angriffe gefährlicher?
Der Ansatz des Social Engineering ist immer komplexer als bei anderen Cyber-Angriffen und stellt daher eine erhebliche Bedrohung dar. Hier sind einige Gründe, die Social Engineering gefährlicher machen als andere Angriffe:
- Angreifer versuchen immer, auf den ersten Blick eine völlig natürliche Situation zu schaffen. Ihre Quellen scheinen vertrauenswürdig zu sein. Fälschungen können nur erkannt werden, wenn Sie ständig in Alarmbereitschaft sind.
- Kriminelle erhalten häufig Informationen von Mitarbeitern des Unternehmens außerhalb ihres Arbeitsplatzes in einer entspannteren und komfortableren Umgebung. Zum Beispiel, wenn Sie sich in einer Bar, einem Park, einem Fitnesscenter oder anderen ähnlichen Orten treffen.
- Firewalls und Cybersicherheitsmaßnahmen sind unwirksam, da Kriminelle nicht versuchen, eine Sicherheitsanfälligkeit in der Software oder im System des Unternehmens auszunutzen. Stattdessen provozieren sie normale Mitarbeiter, um einen Fehler zu machen, und das anschließende Eindringen in das System erfolgt unter dem Deckmantel der Berechtigungsnachweise legaler Benutzer.
- Wenn es Kriminellen gelingt, Zugang zu erhalten, wird der Angriff schrittweise fortgesetzt, wobei die möglichen Funktionen zum Erkennen abnormaler Aktivitäten umgangen werden. Angreifer verstecken sich an einer auffälligen Stelle und verschmelzen mit dem System, wobei sie einige Zeit lang seine Schwachstellen und Zugangspunkte untersuchen. Sie streben danach, Fuß zu fassen, ihre Fähigkeiten zu erweitern, andere Segmente zu durchdringen, so viele Daten wie möglich für die Übertragung außerhalb zu sammeln und vorzubereiten, auch unter dem Deckmantel des normalen Netzwerkverkehrs.
- Angreifer zerstören manchmal Beweise für ihre Anwesenheit, wenn sie sich durch das System bewegen, und entfernen Malware aus den Segmenten, in denen sie bereits wichtige Informationen erhalten haben.
- Angreifer können einen versteckten Einstiegspunkt (die sogenannte Hintertür) verlassen, sodass sie jederzeit zum System zurückkehren können.
- Angreifer können das System durch Mitarbeiter externer Organisationen mit einer bestimmten Zugriffsebene infiltrieren. Dies sind beispielsweise Geschäftspartner oder Cloud-Speicherdienstleister. Da das von dem Angriff betroffene Unternehmen die Sicherheitsverfahren von Partnern oder Dienstanbietern nicht kontrollieren kann, steigt das Risiko eines Datenverlusts. Ein anschauliches Beispiel ist ein Datenleck im Einzelhandelsgiganten Target.
- Social Engineering ist besonders gefährlich, wenn es mit plattformübergreifenden Angriffen kombiniert wird. Die Verfolgung solcher Fälle ist noch schwieriger. Der Heimcomputer oder das persönliche Gerät des Opfers ist im Allgemeinen viel weniger sicher als Büronetzwerke. Durch das Hacken kann Malware auch auf einen sichereren Computer und damit auf andere Teile des Unternehmenssystems gelangen.
- Herkömmliche Tools zum Schutz vor Malware können unwirksam sein, da Angreifer Zugriff auf die im System zugelassene Software erhalten und diese für die weitere Durchdringung verwenden.
Sicherheitsvorkehrungen
Angriffe mit Methoden des Social Engineering sind recht ausgefeilt und es ist nicht einfach, sie zu stoppen oder zumindest zu erkennen. Wie bereits erwähnt, sind Hack-Erkennungssysteme in dieser Hinsicht möglicherweise nicht effektiv genug. Es gibt jedoch einige nützliche
Methoden , um Angriffe zu verhindern:
- Unternehmen sollten ihre Mitarbeiter regelmäßig schulen, indem sie sie über gängige Social-Engineering-Techniken informieren. Das Modellieren von Situationen mit der Aufteilung von Mitarbeitern in Teams von Eindringlingen und Verteidigern kann effektiv sein. Mitarbeiter von Partnerunternehmen sollten nach Möglichkeit in diesen Prozess einbezogen werden.
- Es ist nützlich, sichere E-Mail- und Web-Gateways einzurichten, die schädliche Links filtern.
- Briefe sollten von einem externen Netzwerk außerhalb des Unternehmens überwacht und empfangen werden.
- Sie können das Benachrichtigungssystem so konfigurieren, dass Domänennamen erkannt werden, die dem Firmennamen ähnlich sind.
- Das Unternehmensnetzwerk sollte in separate Elemente unterteilt werden. Die Kontrolle über den Zugang zu ihnen muss verschärft werden, und die Befugnis sollte nur entsprechend dem Grad der offiziellen Bedürfnisse des Arbeitnehmers erteilt werden. Bei der Verwaltung von Zugriffsrechten sollte das Prinzip des Zero Trusts zugrunde liegen.
- Schlüsselsysteme mit wichtigen Informationen und Konten von Mitarbeitern, die mit vertraulichen Daten arbeiten, müssen durch Zwei- oder Multi-Faktor-Authentifizierung geschützt werden.
- Es ist wichtig, den breiten Zugang und die Redundanz der Autorität zu minimieren.
- Es ist erforderlich, die Überwachung des Zugriffs auf Systeme, die Analyse der erhaltenen Daten und die Bestimmung abnormaler Aktivitäten zu konfigurieren.
- Der interne Datenverkehr muss regelmäßig auf abnormale Trends überprüft werden, um ein langsames Kopieren von Daten aus dem System zu erkennen. Es sollte notiert werden und Situationen untersuchen, in denen ein Mitarbeiter mit Zugriff auf bestimmte Daten diese regelmäßig nach Stunden kopiert. Oder so, wenn Daten aus dem Büro kopiert werden und der Mitarbeiter die Räumlichkeiten bereits verlassen hat. Versuche, Insiderinformationen zu sammeln, sollten ebenfalls beobachtet und verfolgt werden.
- Benutzerlisten sollten regelmäßig überprüft und mit den am besten zugänglichen Konten gekennzeichnet werden, insbesondere mit administrativen Konten. Besondere Aufmerksamkeit sollte der Active Directory-Überprüfung gewidmet werden, da viele böswillige Aktivitäten Spuren auf diesem System hinterlassen.
- Sie müssen abnormale oder redundante LDAP-Abfragen überwachen. Intelligenz mit ihrer Hilfe ist ein wichtiger Bestandteil von Angriffen, da die Netzwerkstrukturen verschiedener Unternehmen unterschiedlich sind und Angreifer jedes einzeln untersuchen. Dieses Verhalten unterscheidet sich stark von den Verhaltensmustern normaler Benutzer und ist leicht zu erkennen.
- Es ist hilfreich, den Bereich vertrauenswürdiger Programme für Server mit geringen Aufgaben zu beschränken.
- Es ist wichtig, auf allen Workstations neue Patches zu installieren.
- Eine Risikobewertung sollte regelmäßig durchgeführt werden.
- Das Unternehmen sollte Verfahren entwickelt und implementiert haben, damit autorisierte Änderungen dringend verarbeitet werden können, um dringende Anfragen des Managements zu bearbeiten. Alle Mitarbeiter, die Zugang zu vertraulichen Informationen haben, sollten mit ihnen und ihren neuesten Versionen vertraut sein.
- Wenn ein Angriff erkannt wird, sollten Hintertüren gefunden und beseitigt werden.
Angreifer müssen ernsthafte Anstrengungen unternehmen, um den Angriff zu koordinieren. Es gibt jedoch viele Websites und spezialisierte Online-Foren im Internet, die unerfahrenen Kriminellen helfen, ihre Social-Engineering-Fähigkeiten mit vorgefertigter Software und detaillierten theoretischen Informationen zu verbessern. Daher erfordert der Schutz einer Organisation vor solchen illegalen Aktivitäten eine erhöhte Aktivität und Aufmerksamkeit. Alle Bemühungen werden sich jedoch in vollem Umfang auszahlen, da auf diese Weise Vorfälle wie in Target vermieden werden können.
