Social Engineering: Das mächtige Werkzeug der Hacker

bei

Image taken from: https://unsplash.com/photos/Hx2LzoAPMmU - License: https://unsplash.com/license

Social Engineering ist ein Konzept, dessen Ursprünge weit vor das Computerzeitalter zurückreichen. Gemeint ist damit gemeinhin die Erreichung eines Ziels mit Hilfe zwischenmenschlicher Beeinflussung. Doch wie genau funktioniert Social Engineering und was für mögliche Auswirkungen kann es haben? Warum ist es eines der effizientesten Werkzeuge für Hacker und was sind mögliche Gegenmaßnahmen?

1. Formen von Social Engineering

Phishing

Unter Phishing versteht man die ungezielte digitale Variante des Social Engineering.

Abbildung 1: Beispielhafte Phishing-Mail

Phishing wird analog zu einem Fischernetz angewendet. Das heißt, es werden sehr viele Nutzer mit wenig spezifischen Angriffen attackiert. Die Angreifer setzen darauf, dass zumindest einige der Angegriffenen auf diesen Phishing-Angriff reinfallen.

In der nebenstehenden Abbildung ist ein beispielhafter Phishing-Angriff dargestellt. Der Angreifer stellt sich als Zahlungsdienstleister PayPal dar und versucht die Anmeldedaten des Angegriffenen abzufangen. Falls dieser den Anhang öffnet, wird er oder sie zum Opfer des Phishing-Angriffs.

Spear Phishing

Eine Variante des Phishings ist das Spear Phishing. Für diese spezialisierte Form werden vor dem Angriff Daten über das Opfer gesammelt und dann für den Angriff verwendet. Diese Attacken zeichnen sich dadurch aus, dass sie bedeutend erfolgreicher sind als das klassische Phishing. Verwendet werden sie meistens im kommerziellen oder sogar militärischen Umfeld.

Whaling

Whaling ist eine weitere Spielart des Phishings, die sich vom Spear Phishing nur durch die Art der Ziele unterscheidet. Angriffsflächen des Whalings sind CEOs und andere Führungspersonen.

Vishing

Vishing wiederum bezeichnet Phishing über das Telefon. Angreifer versuchen mit Hilfe von Telefonie Personen zur Herausgabe von persönlichen Informationen wie Zugangsdaten zu bewegen.

Baiting

Baiting, ist eine weitere Form des Phishings, die den Angegriffenen zur physischen Interaktion zwingt. Dabei wird zum Beispiel versucht Personen mit einem USB-Stick als Werbegeschenk zu ködern. Sobald dieser Stick in dem Zielsystem eingeführt wird, wird eine Malware ausgeführt.

Da das Einführen von fremden USB-Sticks mittlerweile hohe Aufmerksamkeit erhalten hat, müssen Hacker diese Form des Angriffs weiterentwickeln. Eine sehr kreative und wirkungsstarke Form ist das manipulierte USB-Kabel. Dieses Kabel führt beim Einstecken in ein USB-Gerät einen Angriff aus.[1]

Pretexting

Diese Form des Social-Engineering-Angriffs charakterisiert sich durch das Verwenden eines zumeist erfundenen Vorwands (engl. pretext). Diese Vorwände können sehr komplex und präzise auf den Angegriffenen zugeschnitten sein. Pretexting findet für gewöhnlich in Zusammenarbeit mit anderen Formen des Social Engineerings statt. Beispiele für Pretexting sind zum Beispiel der sogenannte Enkeltrick, das Ausgeben als Servicetechniker, oder ähnlich gelagerte Vorgehensweisen.

Contact Spamming

Contact Spamming ist eine sehr effiziente Form des Angriffs, da hier Nachrichten von einer vertrauenswürdigen Quelle gesendet werden. Angreifer senden hierfür an alle Kontakte eines Opfers Phishing-Nachrichten. Da die Quelle vertrauenswürdig ist wird der Inhalt seltener hinterfragt oder verifiziert.

2. Warum ist Social Engineering so effizient         

Die Effizienz von Social Engineering beruht im Wesentlichen auf drei Faktoren.

  1. In den meisten Kulturen und Gesellschaftsformen werden Menschen zu einer allgemeinen Offenheit erzogen. Die meisten von ihnen sind anderen gegenüber offen und hilfsbereit, solange bestimmte Regeln eingehalten werden. Dies ist ein wichtiger Faktor für das harmonische Zusammenleben in einer Gemeinschaft. Leider lässt sich dieses positive Verhalten durch böswillige Angreifer ausnutzten. Zu der grundsätzlichen Bereitschaft zu helfen kommt im geschäftlichen Umfeld oft auch noch das Thema Hierarchien hinzu.[2] Kann ein Angreifer glaubhaft machen, z.B. durch Kleidung, Auftreten und seine Sprache, einer höheren Hierarchie-Ebene anzugehören, öffnet dies oft Tür und Tor.
  2. Zusätzlich zu dieser Offenheit werden bestimmten Rollenbildern gewisse Pflichten aber auch Rechte zugesprochen. Wenn eine Reinigungsfachkraft sich in einem Unternehmensgebäude mit einer Reinigungsausrüstug bewegt, stellt dies normalerweise niemand in Frage, denn mit dieser Rolle wird die Aufgabe der Reinigung assoziiert. Damit geht aber natürlicherweise auch das Recht einher, sich relativ frei zu bewegen. Angreifer können diese Einschätzung nutzen und ein bekanntes Rollenbild erfüllen. Mit Hilfe von simplen Mitteln können hier oft erstaunliche Ergebnisse erzielt werden. Allein das entsprechende Auftreten und die passende Kleidung qualifiziert in vielen Fällen zur Managerin oder zum Manager. Eine Warnweste und ein Helm legitimieren einen Straßenarbeiter, der den Verkehr aufhält. Entsprechende Kleidung und Ausrüstung tarnen einen Angreifer als Sanitäter oder Handwerker, dem Zugang zu sensiblen Bereichen gewährt wird.
  3. Zuletzt sind alle Menschen Individuen mit eigenen Interessen und persönlichen Schwächen. Diese lassen sich gezielt sammeln und für Social Engineering ausnutzen. Das Wissen über Vorlieben kann in Gesprächen gezielt genutzt werden, um Menschen zu beeinflussen. Ähnliche Interessen erwecken zum Beispiel in der Regel Sympathie. Wissen um Konflikte oder Ängste kann ähnlich verwendet werden.

Nach einer Studie des Max-Planck-Instituts für ausländisches und internationales Strafrecht fühlen sich lediglich 16 % der befragten Unternehmen von Social Engineering gefährdet.[3] Dies zeigt, dass trotz der Wirksamkeit und der im nächsten Abschnitt vorgestellten Auswirkungen dem Social Engineering nicht der notwendige Respekt entgegengebracht wird.

3. Auswirkungen von Social Engineering

Social Engineering wird häufig als Türöffner für technische Hackerangriffe verwendet. Insbesondere Ransomware-Angriffe und Datendiebstahl beginnen oft mit Social Engineering-Angriffen. Das Ponemon-Institut hat für das Jahr 2017 genauere Zahlen über Hackerangriffe erhoben. Danach wurden mindestens 69% der befragten Unternehmen Opfer von Social-Engineering-Angriffen.[4]

Erfolgreiche Social-Engineering-Angriffe können Schäden in enormer Höhe nach sich ziehen. Ein Beleg hierfür ist zum Beispiel die Attacke auf Twitter im Jahr 2020. Die Angreifer nutzten hierfür Spear Vishing, um Zugang zu internen Tools zu erhalten. Nachdem die Hacker Zugriff auf diese internen Tools hatten, konnten sie ohne technisches Know-how Passwörter von Twitter-Konten verändern und die Zwei-Faktor-Authentifizierung deaktivieren. Über die so gekaperten Accounts verfassten die Angreifer Tweets, die Nutzer dazu aufforderten Geld an sie zu überweisen. Über diese stumpfe Methode konnten die Angreifer über 120.000 $ erbeuten.[5] Zusätzlich zu dem direkten finanziellen Schaden der Nutzer nahm der Börsenwert von Twitter um über eine Milliarde US-Dollar ab.[6] Neben diesen messbaren Auswirkungen musste das Unternehmen Glaubwürdigkeit und Vertrauen einbüßen. Außerdem wurden von ausgewählten Nutzern die Direktnachrichten eingesehen und in deren Namen Nachrichten versendet. Dieses Beispiel zeigt, dass Social-Engineering-Angriffe finanzielle Schäden in Milliardenhöhe verursachen können. Darüber hinaus zeigt dieses Beispiel, dass Datendiebstahl mit Social-Engineering-Angriffen leicht durchgeführt werden kann.

4. Welche Gegenmaßnahmen gibt es?

Wie können Unternehmen sich vor Angriffen durch Social Engineering schützen? Tatsächlich gibt es kein Allheilmittel gegen Social-Engineering-Angriffe, ein gut geplanter Angriff hat immer große Chancen erfolgreich zu sein. Allerdings können präventive Maßnahmen ergriffen werden, um die Wahrscheinlichkeit von erfolgreichen Attacken zu verringern. Zudem können die Auswirkungen von erfolgreichen Angriffen durch gestaffelte und redundante Sicherheitsmechanismen begrenzt werden.

Basis jeder Strategie gegen Social-Engineering-Angriffe sollte das Training der Mitarbeiter darstellen. Mit Hilfe von Mitarbeiterschulungen kann die Sensibilität gegenüber Social Engineering deutlich gesteigert werden. Alle Mitarbeiter müssen ein gesundes Misstrauen gegenüber externen Quellen erlernen. Jede Nachricht von einem nicht vertrauenswürdigen Absender ist potenziell ein Angriff, der im schlimmsten Fall zu einem ernsten IT-Sicherheitsvorfall führen kann. Auf Grundlage dieses Misstrauens dürfen in keinem Fall Informationen, selbst die trivial wirkendsten, an Fremde gegeben werden. Jede noch so kleine Information kann einem Social-Engineering-Angriff dienen. Außerdem müssen Mitarbeiter im Erkennen solcher Attacken geschult werden. Zusätzlich zur Vorsicht gegenüber externen Quellen sollte der gesamten digitalen Kommunikation ein gesundes Maß an Misstrauen entgegengebracht werden, denn selbst wenn eine Quelle vertrauenswürdig erscheint, könnte es sich um einen Angreifer handeln. Selbst wenn nur geringe Zweifel an der Echtheit der empfangenen Nachricht bestehen, sollten Mitarbeiter telefonisch, oder am besten persönlich die Nachricht verifizieren.

Des Weiteren ist es möglich technisch zu beschränken welche Links aus E-Mails verwendet

Abbildung 2: getarnter Link

werden dürfen. So kann zum Beispiel das Öffnen von Links von externen Absendern gesperrt werden. Außerdem ist es möglich bei allen E-Mails über einen Link zu hovern, um dessen Inhalt zu sehen. Im nebenstehenden Beispiel führt der Link nicht auf Google, sondern auf eine vermutlich bösartige Quelle.

Um das Misstrauen der eigenen Mitarbeiter gegenüber externen Quellen zu sensibilisieren,

Abbildung 3: nicht vertrauenswürdiger Absender

können diese automatisch als ausdrücklich nicht vertrauenswürdig markiert werden. Zusätzlich sollten alle internen Mails mithilfe von Zertifikaten signiert werden. Wenn ein Absender nicht bekannt ist, kann die Absenderadresse genauer betrachtet werden. In der nachfolgenden Abbildung ist ein Beispiel für eine solche definitiv nicht vertrauenswürdige Absenderadresse zu sehen.

Das Least-Privilege-Prinzip ist eine wichtige Gegenmaßnahme, die sich dadurch charakterisiert, dass Nutzer nur die Berechtigungen haben, die zur Bearbeitung ihrer Aufgaben tatsächlich benötigt werden. Somit werden viele Nutzer uninteressant als Ziel für Social Engineering-Angriffe, oder es müssen verschiedene Mitarbeiter identifiziert und manipuliert werden, wodurch erfolgreiche Angriffe deutlich unwahrscheinlicher werden.

Eine weitere effektive Maßnahme ist es, Befugnisse für kritische Prozesse auf mehrere Personen aufzuteilen, sodass in kritische Prozesse mehrere Personen involviert werden müssen. Ein klassisches Beispiel hierfür ist, dass niemals dieselben Personen einen neuen Zulieferer anlegen und gleichzeitig Rechnungen von diesem freigeben können sollte.

KI-basierte E-Mail-Überprüfung wiederum kann zur präventiven Erkennung von bösartigen E-Mails verwendet werden. Diese Erweiterung zu standardmäßigen Spamfiltern kann sehr hohe Erfolgsquoten bei der Abwehr von E-Mail basierten Social-Engineering-Angriffen erreichen. Jedoch darf der Einsatz eines solchen Tools nicht zu einem Gefühl der Sicherheit führen, denn gezielte Angriffe können auch diese KI-basierten Ansätze überwinden.

Im Allgemeinen ist ein „Defense in Depth“-Konzept wichtig, denn jede Gegenmaßnahme für sich kann von versierten Angreifern umgangen werden. Das Verknüpfen und Zusammenschließen einer Vielzahl von Gegenmaßnahmen führt zu einer weniger anfälligen IT-Umgebung.

Zuletzt ist es möglich die eingeführten Gegenmaßnahmen durch externe Dienstleister überprüfen zu lassen. Diese Experten versuchen mittels Social-Engineering-Penetration-Testing Zugriff auf das Unternehmen zu bekommen. Der Vorteil hiervon ist es, dass Mitarbeiter hierdurch geschult werden und technische Maßnahmen geprüft werden können.

Fazit

Social Engineering ist eines der, wenn nicht sogar das mächtigste Werkzeug von erfolgreichen Hackern. Da sich Unternehmen auf technischer Ebene immer besser gegen Cyber-Bedrohungen schützen, wird Social Engineering in Zukunft eine noch bedeutendere Rolle bei gezielten Attacken spielen. Auch wenn Unternehmen dieses Angriffs-Konzept nicht vollständig abwehren können, sollten entsprechende Schutzmaßnahmen auf keinen Fall vernachlässigt werden. Hier ist ein „Defense in Depth“-Konzept unabdingbar.

Aktuelle Beispiele für Social Engineering

Angriff auf Mat Honan (2012) [7]

Der Journalist Mat Honan und sein Twitteraccount wurden erfolgreich Ziel eines Hackerangriffs. In Folge dessen wurden über Mat Honans Account homophobe und rassistische Nachrichten verbreitet.

Die Angreifer konnten mithilfe des Amazon Supports 4 Ziffern von Mat Honan’s Kreditkarte bekommen. Dem Support von Apple genügten diese 4 Ziffern zur Verifikation von Mat Honan’s Identität.

Mit Hilfe der Apple Zugangsdaten konnte auf den iCloud Schlüsselbund zugegriffen werden, in dem die Zugangsdaten zu Twitter abgelegt waren.

Angriff Google und Facebook (2016) [8]

Im Jahr 2016 wurden Google und Facebook Opfer eines gezielten Social Engineering-Angriff. Hierfür wurden von den Angreifern tatsächliche Dienstleister der beiden Tech-Giganten nachgeahmt. In deren Namen sendeten die Angreifer Rechnungen an Mitarbeiter mit Finanzverantwortung.

Dieser Angriff erfuhr eine positive Wendung, da der Kopf des Angriffs identifiziert und gefasst werden konnte.

Angriff auf Crelan Bank in Belgien (2016) [9]

Die Bank wurde Opfer eines Social Engineering Angriffs, bei dem sie über 70 Millionen Euro verloren hatte. Durchgeführt wurde dieser Angriff, indem die Angreifer sich als hochgradigen Manager der Bank ausgaben und Mitarbeiter zu Überweisungen angewiesen hatten.

Toyota-Teilezulieferer E-Mail-Betrug (2019) [10]

Im August 2019 überzeugten Angreifer einen Angestellten der Toyota Boshoku Corporation, welcher über finanzielle Befugnisse verfügte, die Kontodaten einer elektronischen Überweisung zu ändern. Das Unternehmen verlor so über 4 Milliarden ¥ (37 Millionen $).

Telefonbetrug durch angebliche Polizei (2021) [11]

Die Angreifer, welche sich telefonisch als Polizisten ausgaben, behaupteten, dass ein Kind der Angegriffenen einen Unfall verursacht habe. Das Kind wurde angeblich in Untersuchungshaft gehalten und nur gegen Zahlung einer hohen Kaution freigelassen. Wie viel Geld mit dieser Methode bisher erbeutet worden ist, steht noch nicht fest. Die Angreifer forderten ca. 80.000€ Kaution.

Quellen:

[1] https://www.futurezone.de/digital-life/article233239937/manipuliertes-usb-kabel-fuer-iphone-co-wer-es-anschliesst-wird-opfer-von-angriffen-ueber-wlan.html

[2] https://mobil-krankenkasse.de/wissen-gesundheit/magazin/01-2018/helfen-macht-gluecklich.html

[3] https://wiskos.de/files/pdf4/M3_Komplett_Online_neu_doi.pdf (Seite 43)

[4] https://www.pwc.de/de/cyber-security/cyberangriffe-gegen-unternehmen-in-deutschland.pdf (Seite 29)

[5] https://www.businessinsider.com/twitter-reels-from-colossal-hack-as-new-details-surface-2020-7?r=DE&IR=T

[6] https://www.businessinsider.com/twitter-market-value-losses-after-massive-hack-2020-7

[7] https://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/

[8] https://www.cnbc.com/2019/03/27/phishing-email-scam-stole-100-million-from-facebook-and-google.html

[9] https://www.helpnetsecurity.com/2016/01/26/belgian-bank-crelan-loses-e70-million-to-bec-scammers/

[10] https://www.forbes.com/sites/leemathews/2019/09/06/toyota-parts-supplier-hit-by-37-million-email-scam/?sh=151ff5795856

[11] https://www.fnp.de/hessen/telefonbetrueger-setzen-auf-panik-bei-opfern-zr-91025310.html

Über den Autor / die Autorin:


Paul Arndt (40) ist Managing Director der 2020 gegründeten Ginkgo Cybersecurity GmbH, ein auf Cybersecurity spezialisiertes Beratungshaus und Tochterunternehmen der Ginkgo Management GmbH. In dieser Funktion berät er Kunden unterschiedlichster Branchen national und international zu den Themen Cybersecurity. Bereits seit seinem Informatik-Studium an der Technischen Universität Darmstadt beschäftigt Arndt sich mit dem Thema IT-Sicherheit. Vor seinem Start bei Ginkgo war der gebürtige Frankfurter in unterschiedlichen Positionen für die internationale Technologieberatung Invensity GmbH tätig - zuletzt als Leiter des Bereichs Cybersicherheit und Datenschutz.