G 5.42 Social Engineering
Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch "Aushorchen" zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln. Ein typischer Fall von Angriffen mit Hilfe von Social Engineering ist das Manipulieren von Mitarbeitern per Telefonanruf, bei dem sich der Angreifer z. B. ausgibt als:
- Vorzimmerkraft, deren Vorgesetzter schnell noch etwas erledigen will, aber sein Passwort vergessen hat und es jetzt dringend braucht,
- Administrator, der wegen eines Systemfehlers anruft, da er zur Fehlerbehebung noch das Passwort des Benutzers benötigt,
- Telefonentstörer, der einige technische Details wissen will, z. B. unter welcher Rufnummer ein Modem angeschlossen ist und welche Einstellungen es hat,
- Externer, der gerne Herrn X sprechen möchte, der aber nicht erreichbar ist. Die Information, dass Herr X drei Tage abwesend ist, sagt ihm auch gleichzeitig, dass der Account von Herrn X in dieser Zeit nicht benutzt wird, also unbeobachtet ist.
Wenn kritische Rückfragen kommen, ist der Neugierige angeblich "nur eine Aushilfe" oder eine "wichtige" Persönlichkeit.
Eine weitere Strategie beim systematischen Social Engineering ist der Aufbau einer längeren Beziehung zum Opfer. Durch viele unwichtige Telefonate im Vorfeld kann der Angreifer Wissen sammeln und Vertrauen aufbauen, das er später ausnutzen kann.
Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen erworben wurden.
Beispiel:
- Ein Angreifer hat leichteres Spiel, wenn er das Opfer dazu bringt, ihn von sich aus zu kontaktieren. Beispielsweise kann der Angreifer die Telefonanlage der Ziel-Organisation so manipulieren, dass alle Anrufe an den Administrator an ihn weitergeleitet werden. Dies kann zum Beispiel nach einem erfolgreichen Social-Engineering-Angriff auf den Telefontechniker oder einer erfolgreichen Kompromittierung einer unsicher konfigurierten Telefonanlage von außen geschehen. Gelingt es dem Angreifer dann beispielsweise, einen Denial-of-Service-Angriff durchzuführen, wird das Opfer des Angriffes den Administrator verständigen. Durch die Manipulation der Telefonanlage erreicht das Opfer aber nur den Angreifer. Dass dieser kein "echter" Administrator ist, wird aber normalerweise niemand im normalen Tagesgeschäft hinterfragen.
Viele Anwender wissen, dass sie Passwörter an niemanden weitergeben dürfen. Social Engineers wissen dies und müssen daher über andere Wege an das gewünschte Ziel gelangen. Beispiele hierfür sind:
- Ein Angreifer kann das Opfer bitten, ihm unbekannte Befehle oder Applikationen auszuführen, z. B. weil dies bei einem IT-Problem helfen soll. Dies kann eine versteckte Anweisung für eine Änderung von Zugriffsrechten sein. So kann der Angreifer an sensible Informationen gelangen.
- Viele Benutzer verwenden zwar starke Passwörter, aber dafür werden diese für mehrere Konten genutzt. Wenn ein Angreifer einen nützlichen Netzdienst (wie ein E-Mail-Adressensystem) betreibt, an dem die Anwender sich authentisieren müssen, kann er an die gewünschten Passwörter und Logins gelangen. Viele Benutzer werden die Anmeldedaten, die sie für diesen Dienst benutzen, auch bei anderen Diensten verwenden.
Beim Social Engineering tritt der Angreifer nicht immer sichtbar auf, es gibt auch diverse Varianten, bei denen er im Hintergrund bleibt. Oft erfährt das Opfer niemals, dass es ausgenutzt wurde. Ist dies erfolgreich, muss der Angreifer nicht mit einer Strafverfolgung rechnen und besitzt außerdem eine Quelle, um später an weitere Informationen zu gelangen.
Die Nutzung von E-Mail und Internet-Diensten bietet viele Möglichkeiten, unter Vorspiegelung falscher Tatsachen an Informationen zu gelangen. Hierzu gehört beispielsweise das sogenannte "Phishing".
Phishing ist ein Kunstwort aus "Passwort" und "Fishing" und bezeichnet Methoden, bei denen IT-Benutzern Passwörter, Kreditkartendaten oder andere vertrauliche Informationen entlockt werden. Hierzu senden die Angreifer zum Beispiel geschickt formulierte E-Mails an die Benutzer.
Beispiel:
- Viele Online-Banking-Benutzer erhielten E-Mails, die scheinbar von der Service-Abteilung ihrer Bank kamen. Darin wurden sie informiert, dass sie sich aufgrund von Service-Änderungen auf der angegebenen Webseite mit ihrem Standard-Banking-Passwort anmelden und die neuen Dienstleistungen mit einer TAN freischalten sollten. Die Webseite sah zwar authentisch aus, hatte aber mit der genannten Bank nichts zu tun und diente ausschließlich dem Zweck, die Zugangsdaten zu fremden Konten zu erlangen. Ähnliche Angriffe gab es auch auf Nutzer beliebter E-Commerce- und Auktions-Webseiten.