Lade Inhalt...

Die Methoden des Social Engineering. Überblick und mögliche Gegenmaßnahmen

Seminararbeit 2017 26 Seiten

AdA EDV / DV / IT / Telekommunikation

Leseprobe

Inhaltsverzeichnis

II. Abbildungsverzeichnis

1. Einleitung

2. Grundlagen zu Social Engineering
2.1 Geschichte des Social Engineering
2.2 Begriff des Social Engineering und die Charakterisierung der möglichen Zielpersonen
2.3 Ablauf einer Attacke

3. Social Engineering Vorgehensweise und mögliche Gegenmaßnahmen
3.1 Human Based Social Engineering
3.2 Computer Based Social Engineering
3.3 Reverse Social Engineering
3.4 Risikomatrix zur Ermittlung der Dringlichkeit von Gegenmaßnahmen

4. Fazit

IV. Literaturverzeichnis

V. Anhang

II. Abbildungsverzeichnis

Abbildung 1 Eigenschaften von Zielpersonen, die ausgenutzt werden können

Abbildung 2 Prozess des Social Engineering Angriffes

Abbildung 3 Phishing Mail Beispiel

Abbildung 4 Beispiel einer Risikomatrix

1. Einleitung

„Die Organisationen stecken Millionen von Dollars in Firewalls und Sicherheitssysteme und verschwenden ihr Geld, da keine dieser Maßnahmen das schwächste Glied der Sicherheitskette berücksichtigt: Die Anwender und Systemadministratoren.“1 -Kevin Mitnick, ein bekannter Hacker und Buchautor. Dass er Recht hat, bestätigt eine 2016 von der Universität Luxemburg und der International School of Management Stuttgart durchgeführte Umfrage. Das Ergebnis dieser war, dass mehr als ein Drittel der 1200 befragten Personen bereit ist, das eigene Passwort gegen eine kleine Entschädigung, wie z. B. eine Tafel Schokolade preiszugeben.2

IT-Sicherheitsthemen gewinnen immer mehr an Bedeutung weltweit, da sowohl Kosten von IT Attacken als auch der Imageverlust enorm hoch sind. Die damit verbundenen Kosten steigen von Jahr zu Jahr. Die Studie „2015 Cost of Cyber Crime Study: Germany“3 fand heraus, dass die Durchschnittskosten (der Schaden der durch den Angriff verursacht wurde) pro Angriff in Deutsch von 6,1 Millionen Euro im Jahr 2014 auf 6,6 Millionen im Jahr 2015 gestiegen sind. Deutschland ist dabei auf Platz 2 hinter den USA, wo der Durchschnittswert doppelt so hoch ist. Dabei sind Unternehmen aus allen Branchen und aller Größen betroffen. Die Kosten pro Mitarbeiter sind dabei bei kleinen Unternehmen sieben Mal so hoch wie bei großen Unternehmen (1.886,00 Euro im Vergleich zu 258,00 Euro).

Die Fälle bei den Unternehmen einen großen Schaden erleiden, weil Mitarbeiter unwissentlich Daten oder Informationen an Betrüger herausgeben, bzw. Handlungen vornehmen, um die sie von Betrügern gebeten wurden, häufen sich. Erst im August 2016 wurde der Automobilzulieferer Leoni AG mit Sitz in Nürnberg Opfer eines sog. „Fake President“ Angriffes. Dabei wurde Mitarbeitern von Fremden vorgetäuscht über „besondere Befugnisse“ zu verfügen, sodass 40 Millionen Euro auf ausländische Konten transferiert wurden.4

Es existieren zahlreiche weitere Beispiele für solche Angriffe aus der Praxis. Eine von Bitkom im Dezember 2015 durchgeführte Umfrage, bei der 504 Unternehmen in Deutschland gefragt wurden, von welchen Handlungen das Unternehmen in den letzten 2 Jahren betroffen war, zeigt, dass 17 % Social Engineering Attacken zum Opfer wurden5. Das alles lässt auf die Aktualität des Themas schließen. Da jeder Angriff für das Unternehmen mit sehr hohen Kosten verbunden ist, ist es wichtig sich mit dieser Thematik auseinander zu setzen.

Das Ziel der vorliegenden Arbeit ist es, die Methoden des Social Engineering6 und die dazugehören Gegenmaßnahmen strukturiert darzustellen und eine beispielhafte Risikomatrix zu erarbeiten, die in Unternehmen zur Risikoabschätzung eingesetzt werden kann, zu erarbeiten.

2. Grundlagen zu Social Engineering

2.1 Geschichte des Social Engineering

Die erstmalige Verwendung des Begriffes „sociale ingenieurs“ wurde 1894 in einer Publikation von Jacob C. van Marken dokumentiert. Die Kernaussage war, dass die Arbeiter „sociale ingenieurs“ brauchen um die personellen Aspekten im Unternehmen zu managen.7 Dabei wurde dem Begriff jedoch eine andere Bedeutung beigemessen, als es heute der Fall ist. Zu Beginn des 20. Jahrhunderts erfuhr der Begriff einen Wandel in Richtung Politik, später Sozialwissenschaften, wo der Begriff nun den Aspekt der Verhaltensmanipulation umfasste.8

Zu den ersten sozialen Ingenieuren kann Charles Ponzi gezählt werden. Der gebürtige Italiener, der 1903 in die USA einwanderte, gilt als der Begründer des Ponzi-Systems. Welches einem Schnellballsystem ähnelt. Dabei werden den Investoren hohe Renditen aus Investitionen, die nur auf Papier bestehen, vorgegaukelt. Die Zahlungen an die ersten Teilnehmer des Systems erfolgen durch die Zahlungen der später dem System beigetretener Investoren. Bis keine neuen Investoren gefunden werden und der Betrug auffliegt. Die Aufgabe des Social Engineers ist hierbei immer weitere Personen zu überzeugen Geld in das System anzulegen.9

Als Begründer des modernen Social Engineerings gilt Kevin Mitnick10, der zwischen 1970 bis zu seiner Verhaftung im Jahr 1995 diverse Unternehmen gehackt hat. Dazu zählten zum Beispiel Unternehmen wie Nokia und Motorola. Heute betreibt er ein IT Sicherheit Beratungsunternehmen.11

2.2 Begriff des Social Engineering und die Charakterisierung der möglichen Zielpersonen

Beim Social Engineering richtet sich die Attacke nicht direkt auf die IT Systeme, die durch diverse technische Mittel geschützt sind, sondern auf die Anwender dieser. So werden auch die installierten IT Sicherheitssysteme komplett umgangen, denn keins der computerbasierten Systeme ist gänzlich frei von menschlichen Faktor, der das System bedient, wartet oder Ähnliches.12

Es wird versucht den Opfern persönliche und / oder betriebliche Informationen, wie Nutzernamen, Passwörter, Zugangscodes, Kreditkartennummer usw. unter Vorgaukeln falscher Tatsachen zu entlocken oder die Personen zu bestimmten Handlungen zu bewegen. Dabei werden solche menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst von Konsequenzen beim Fehlverhalten und Hörigkeit den hierarchisch höher gestellten Personen ausgenutzt.13

Die Ausprägung der Charaktereigenschaften spielt eine nicht zu unterschätzende Rolle dabei, wie angreifbar die Person ist. Die Abbildung 1 zeigt, welche Eigenschaften wie ausgenutzt werden können.

Personen, die einfach Vertrauen aufbauen, sind angreifbarer, als Menschen, die von Natur aus skeptisch gegenüber anderen sind. Auch risikofreudige Menschen sind größerer Gefahr ausgesetzt, von Social Engineers ausgenutzt zu werden, da diese nicht so detailliert über die Konsequenzen des Handelns nachdenken.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 Eigenschaften, die ausgenutzt werden können. Quelle: Kaspersky Lab, 2013

Mitarbeiter dagegen, die eine gewisse technische Affinität aufweisen und über das Thema der Datensicherheit besser informiert sind, werden seltener Opfer solcher Angriffe.14

Menschen, die nett und hilfsbereit sind, sind ebenfalls anfällig für die Avancen der Social Engineers, so zum Beispiel kann der Täter ins geschützte Gebäude gelangen, weil er einen großen Stapel Akten trägt und ein Mitarbeiter so nett ist, ihm die Tür aufzuhalten. Auch Personen, die ein ausgeprägtes Hörigkeitsgefühlt gegenüber Vor- gesetzen haben, sind leichte eine leichte Beute für die Angreifer, die souverän vorgeben ganz weit oben in der Hierarchie des Unternehmens zu sein. Der Mitarbeiter traut sich oft nicht diese Angaben zu überprüfen, da er Ärger und Konfrontationen vermeiden möchte und gibt dem Anfragenden so die gewünschten Daten heraus.15

Weitere Faktoren, die den Erfolgt von Social Engineering Attacken begünstigen, ist der Zeitdruck unter dem avisierte Mitarbeiter steht, sodass er geneigt ist schnell zu handeln um weiter seinen primären Aufgaben nachgehen zu können und die „eine Hand wäscht die andere“ Mentalität, wenn man jemanden bereits etwas schuldig ist, neigt man dazu, die Wünsche zu erfüllen.16

2.3 Ablauf einer Attacke

1. Beschaffung erster Informationen
2. Sammeln weiterführenden Informationen / Aufbau einer Beziehung
3. Social Engineering Angriff

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 Prozess des Social Engineering Angriffes. Quelle: Rao, Nayak 2014, S. 308

Die Abbildung 2 zeigt den typischen Ablauf einer solchen Attacke unterteilt in vier Phasen: Die erste Phase startet nachdem ein be- stimmtes Unternehmen als Opfer des Angriffs ausgewählt wurde. Es können die sozialen Netzwerke oder die Fir- menwebseiten, Jahresberichte, Bran- chenzeitschriften usw. einen ersten

Überblick über das mögliche Ziel des Angriffes gewähren.17 Das Ziel kann dabei eine Person / Mitarbeiter eines Unternehmens sein.

In der zweiten Phase beginnt die finale Auswahl des Ziels. Dabei spielt die Wahr- scheinlichkeit, dass die Zielperson über die gewünschten Informationen verfügt eine Rolle, aber auch die Tatsache, wie angreifbar die Person ist. Die Aktivität in den ver- schiedenen Netzwerken kann ein Indiz dafür sein, dass die Person als Ziel geeignet ist, je mehr Aktivität derjenige zeigt, desto einfacher ist es diese zu kontaktieren.18

Bei der dritten Phase wird der Social Engineer versuchen eine Beziehung zur Zielperson aufzubauen um weitergehende Informationen zu erhalten. Dies kann auf verschiedenen Wegen geschehen: durch telefonische Kontakte oder durch Kontaktaufnahme in sozialen Netzwerken, in dem das Ziel aktiv ist. Dazu könnten die Täter so genannte Avatare, also gefälschte Profile erstellen, und diese für das Ausspähen des Opfers und die spätere Kontaktaufnahmen nutzen.19

In der vierten und letzten Phase findet der Angriff nun statt. Es werden Informationen, Daten, Berechtigungen und Ähnliches übergeben. Die Angreifer verwenden diese Daten anschließend um ihre Ziele zu erreichen. Diese können finanzieller Natur sein oder er geht einfach darum Schaden anzurichten. Zum Teil werden die Angriffe auch im Nachhinein durch die Opfer nicht entdeckt, bzw. sehr viel später entdeckt, wenn der Schaden bereits angerichtet wurde.

Der zentrale Unterschied von Social Engineering Attacken zu technischen Attacken ist, das diese eine ganz konkrete Zielvorgabe haben. Es sollen Informationen oder nicht autorisierte Person Zugang zu einem Rechnersystem erhalten. Außerdem sind Menschen in der Regel skeptisch, wenn es darum geht Software auf Ihre Rechner zu installieren und tendieren eher dazu Fremden zu vertrauen, die vorgeben keine Frem- den zu sein und dabei sicher und selbstbewusst erscheinen.20 Zudem können Daten, die durch Social Engineering gewonnen wurden, später durch Hacker eingesetzt werden.21

Zusammenfassend lässt sich feststellen, dass Social Engineering auf menschlichen Schwächen und Ausnutzen dieser durch geschulte Täter basiert. Social Engineers sind kommunikativ, selbstbewusst und gehen strukturiert vor um Ihre Ziele, wie das Erlan- gen von Informationen, Zugängen, finanziellen Mittels usw., zu erreichen. Im nächsten Kapitel wird aufgezeigt, in welche Kategorien man die Social Engineering Attacken einteilen kann.

3. Social Engineering Vorgehensweise und mögliche Gegen- maßnahmen

„Das meiste Unheil richtet Leichtgläubigkeit an.“ - Lucius Annaeus Seneca22

Die Social Engineering Methoden können in zwei Hauptkategorien unterschieden werden: die Human Based Methoden und zum anderen die Computer Based Metho- den. Die ersten Methoden basieren auf einer Kommunikation zwischen Personen um die angestrebte Aktion zu erreichen. Die zweite Gruppe von Methoden bedient sich rein technischer Mittel.23

Zusätzlich zu den Hauptkategorien stellt das Reverse Social Engineering eine Sonderform dar. Hier wird der Angreifer vom Opfer selbst kontaktiert.

In diesem Kapitel werden die einzelnen Methoden im Detail dargestellt.

3.1 Human Based Social Engineering

Die Gemeinsamkeit aller Human Based Methode liegt darin, dass es sich um Metho- den ohne Einsatz technischer Mittel handelt. Der zentrale Aspekt liegt hier in der Kommunikation zwischen Opfer/Ziel (Mitarbeiter eines Unternehmens oder auch Pri- vatperson), die über Informationen verfügen, die der Täter (Social Engineer) haben wollen.

Social Engineers, die zu diesen Methoden greifen, sind keine klassischen Hacker, so wie man sich diese in der breiten Öffentlichkeit vorstellt, vielmehr sind es kommunikative Personen mit schauspielerischen Fähigkeiten und der Gabe sich in die Gefühlslage der Zielpersonen schnell hineinzuversetzen.24 Für das Anwenden dieser Methoden kann der Angreifer in unterschiedliche Rollen schlüpfen: als Kollege, Lieferant, Geschäftspartner, Behördenvertreter; er oder sie beherrscht dabei die notwendige Fachterminologie um einfacher Vertrauen aufzubauen.25

Im Folgenden wird auf die einzelnen Methoden näher eingegangen. Des Weiteren werden die möglichen Abwehrmaßnahmen zu den jeweiligen Methoden erläutert.

Pretexting. Hier wird in der Regel ein vorher erfundenes Szenario (oder „pretext“ aus dem Englischen, daher auch der Begriff) gespielt (oft geschieht dies telefonisch, da man hier besonders gut eine Beziehung zum Opfer aufbauen kann), für welches öffentlich verfügbare Informationen von der Firmenpräsenz oder den Profilen in den sozialen Netzwerken, genutzt werden. Dabei soll die Zielperson überzeugt werden Informationen herauszugeben oder eine Aktion auszuführen.26

Im Jahr 2016 ist diese Methode in Form von einem „Fake-President“ Angriff in die Presse geraten. Mitarbeiter der Buchhaltung wurde telefonisch von einer Person, der sich als Chef ausgab aufgefordert, sofort eine hohe Geldsumme unter irgendeinem Vorwand auf ein ausländisches Konto zu überweisen. Der Fall Leoni AG wurde bereits in der Einleitung erwähnt. Auch die Commerzbank spricht von bis zu dreißig Versuchen diesen Betrug durchzuführen.27

[...]


1 Vgl. Computer Bild 2016

2 Vgl. Happ, Melzer, Steffgen 2016

3 Weitere Informationen zur Studie sieh Anhang 1

4 Vgl. FOCUS Online 2016

5 Vgl. Anhang 2 Umfrage zur Art der Vorfälle von Computerkriminalität in Deutschland 2015

6 Kann als „soziale Manipulation“ übersetzt werden, Begriffsdefinition im Kapitel 2.2

7 Vgl. Theunissen 1999, S. 70

8 Vgl. Conheady 2014 online verfügbar

9 Vgl. Cross 2013

10 Autor des Buches „Die Kunst der Täuschung“, in dem Mitnick u. A. beschreibt, dass er von Kindesalter ein Talent dafür hatte Geheimnisse den Menschen zu entlocken und Menschen anschließend geschickt zu manipulieren. Seiner Aussage nach sind das die beiden wichtigsten Eigenschaften für einen erfolgreichen Social Engineer.

11 Vgl. Conheady 2014 online verfügbar

12 Vgl. Greacu-Serban 2014 S. 5

13 Vgl. Endler 2014

14 Vgl. Rocha Flores 2016 S. 18

15 Vgl. Greacu-Serban 2014 S. 7

16 Vgl. Fox 2013 S. 318

17 Vgl. Mitnick 2003 S. 375

18 Vgl. Hellerforth 2015 online verfügbar

19 Vgl. Hellerforth 2015 online verfügbar

20 Vgl. Greacu-Serban 2014 S. 6

21 Vgl. Khalid AL-Hamar 2010 S. 16 ff.

22 römischer Politiker, Dichter und Philosoph (4 vChr - 65)

23 Vgl. Peltier 2006 S. 15

24 Vgl. Hommel 2016 S. 15

25 Vgl. Mitnick 2003 S. 376-377

26 Vgl. Dalziel 2015 online verfügbar

27 Vgl. Wieduwilt 24.11.2016

Details

Seiten
26
Jahr
2017
ISBN (eBook)
9783668510708
ISBN (Buch)
9783668510715
Dateigröße
659 KB
Sprache
Deutsch
Katalognummer
v373699
Institution / Hochschule
FOM Hochschule für Oekonomie & Management gemeinnützige GmbH, Berlin früher Fachhochschule
Note
2,7
Schlagworte
Social Engineering Human Based Computer Based Reverse

Autor

Teilen

Zurück

Titel: Die Methoden des Social Engineering. Überblick und mögliche Gegenmaßnahmen