Social Engineering: Die unterschätzte Gefahr
Mit einer Zero-Day-Sicherheitslücke in Chrome und einer weiteren zur Rechteausweitung in Windows sind Angreifer gut gerüstet – aber um in den Rechner oder das Unternehmensnetzwerk hineinzukommen, brauchen sie noch eine weitere Sicherheitslücke: den Menschen. Viele Menschen unterschätzen diese Gefahr bis heute. Ihre Sorglosigkeit beim Umgang mit den sozialen Medien macht es Angreifern leicht. Diese können so komplexe Maschen entwickeln, bei denen die üblichen, technischen Vorsichtsmaßnahmen nicht mehr greifen.
"Wir sehen Social Media als einen Raum, in dem wir uns mitteilen können – und nicht als eine Goldmine für Angreifer, die Informationen abgreifen, die sie gegen uns verwenden können" , erklärt die Social-Engineering-Spezialistin Christina Lekati. Die studierte Psychologin berät Firmen und leitet Seminare zu Angriffsmethoden und Schutzmöglichkeiten bei der Sicherheitsfirma Cyber Risk. Am wenigsten erwarten Menschen einen Angriff abends zu Hause. Nach dem Feierabend seien viele Menschen entspannter, unterhielten sich privat mit Freunden und Familie in sozialen Netzwerken, sagt Lekati. Optimale Bedingungen für einen Angriff.
Hallo, hier ist Mia
Auf diese Weise wurden beispielsweise Mitarbeiter saudi-arabischer Unternehmen aus der Telekommunikations- und Ölindustrie angegriffen. Mit einem gefälschen Social-Media-Profil der angeblichen Fotografin Mia Ash(öffnet im neuen Fenster) aus London kontaktierten Angreifer die betroffenen Mitarbeiter per LinkedIn.
Die Kontaktaufnahme sei Teil einer Übung, um Menschen auf der ganzen Welt zu erreichen, erklärte Ash dem Mitarbeiter. In den folgenden Tagen tauschten sich die beiden über Berufe, Fotografie und Reisen aus. Nach einer Woche regte Mia an, die Konversation auf Facebook zu verlagern und sie als Freundin hinzuzufügen.
Ungefähr einen Monat nach der Kontaktaufnahme schickte Mia ihrem Facebook-Freund eine E-Mail mit einer Excel-Datei, die eine Umfrage zum Thema Fotografie enthalten sollte. Sie ermunterte ihn dazu, die Datei auf seinem Arbeitsrechner zu öffnen und Makros zu erlauben, damit die Umfrage richtig funktioniere. Das Opfer öffnete die Datei und sorgte so für die Installation der Schadsoftware Pupyrat. Der alte Sicherheitstipp "Öffne keine Dateien von jemandem, den du nicht kennst oder die du nicht erwartest" wurde so einfach außer Kraft gesetzt.
Für solche Angriffe ist es wichtig, möglichst viel über die Opfer in Erfahrung zu bringen, sie einschätzen zu können und ihre Schwachstellen zu kennen. Aus den Profilen in sozialen Netzwerken können die Angreifer mit psychologischen Methoden oft mehr herauslesen, als die Poster über sich verraten wollten.
Ab in die Matrix
Social Engineers werten die auf sozialen Netzwerken verfügbaren Informationen aus und stellen sie zu einem Profil zusammen, auf dessen Basis sie das Opfer optimal manipulieren können. Das nennt sich Social Media Intelligence, kurz SOCMINT, und ist eine Untervariante der Open Source Intelligence (OSINT). Die Analyse beginne bei den geposteten Bildern, sagt die Social-Engineering-Expertin Christina Lekati. Durch sie lernen die Angreifer die Charaktereigenschaften und den Gemütszustand ihrer Opfer kennen.
Die Bilder geben einen ersten Einblick, was eine Person so macht und welche Interessen sie hat. Die Körpersprache auf den Bildern zeige zudem, ob eine Person eher offen und selbstbewusst oder verschlossen und introvertiert sei, erklärt Lekati. Ähnliches gelte für die Gesichtsausdrücke: Zeige eine Person auf jedem Bild den gleichen Gesichtsausdruck, könne das darauf hindeuten, dass sie nicht besonders sozial sei.
Aus den Farben der Bilder kann zudem auf den Gemütszustand geschlossen werden. "Dunklere Farben deuten auf unglückliche Personen bis hin zur Traurigkeit und Depression hin" , sagt Lekati. Lebendige Farben würden auf glückliche und selbstsichere Menschen hindeuten. Auch wenn eine Person an vielen unterschiedlichen Orten sei, könne von mehr Offenheit ausgegangen werden.
Die Schwachstellen sind das Gegenteil der Wünsche und Ziele
Ähnliches lässt sich mit einer Analyse der Wortwahl und der Ausdrucksweise bewerkstelligen. Aus Posts wie "Was wäre das Leben ohne ein bisschen Risiko" lässt sich beispielsweise eine Abenteuerlust ableiten. Auch eine eher extrovertierte oder introvertierte Art, Ehrgeiz und vieles mehr kann aus den Nachrichten herausgelesen werden. All diese Informationen können in einer Matrix gesammelt und sortiert werden.
Aus dieser Matrix können dann Schwachstellen abgeleitet werden. Sie ergeben sich oft aus dem Gegenteil des Selbstbildes und der Wünsche. "Es ist ein psychologisches Prinzip: Wenn du ein Ziel hast, auf das du zurennst, für das du brennst, wirst du dich von dessen Gegenteil fernhalten" , sagt Lekati. Ein Beispiel: Ein Mensch, der sich selbst als hart arbeitenden und selbstbewussten Mitarbeiter sieht, der Menschen gerne inspiriert und Ratschläge erteilt, möchte positiv wahrgenommen werden und Menschen beeinflussen.
Entsprechend dürfte die Person nicht gut mit Scheitern, Zurückweisung oder geringer Wahrnehmung bis hin zum Ignorieren umgehen können. Im Gegenteil wird die Person einiges dafür tun, dass dieses Bild nicht eintritt oder wieder korrigiert wird. Hier kann ein Social Engineer ansetzen und die Person beispielsweise durch Zurückweisung zu bestimmten Handlungen nötigen.
Auch die klassischen Schwachstellen, die Social Engineers nutzen, lassen sich über die sozialen Netzwerke bestens herausfinden: etwa die Sorgen und Probleme.
Ich hasse meinen Job
Posten die Zielpersonen beispielsweise etwas über ihre Spielsucht oder Geldsorgen, sind sie wahrscheinlich bestechlich. Sind sie einsam, können sie mit einem Romance-Scam, einer modernen Form des Heiratsschwindels, angegriffen werden.
Menschen, die sich öffentlich verachtend über ihren Arbeitsplatz äußern, eignen sich ebenfalls gut für Social-Engineering-Angriffe: Ihnen sei die Sicherheit in ihrem Unternehmen oft nicht wichtig oder sie kompromittierten sie sogar mit Absicht, erklärt die Social-Engineering-Expertin. Noch beliebter ist jedoch ein anderer Ansatz.
Ähnlich währt am längsten
Am häufigsten setzen Social Engineers nämlich darauf, über angebliche gemeinsame Interessen Vertrauen zu einer Person zu gewinnen. "Wir mögen Menschen, die uns ähnlich sind, und bauen zu diesen am besten eine Beziehung auf – also wird der Social Engineer einer Person sehr ähnlich sein: dir!" , erklärt die Social-Engineering-Expertin Lekati.
Wenn Menschen viel miteinander teilen, viele Gemeinsamkeiten haben, fühlen sie sich miteinander verbunden, zugehörig. Genau dieses Gefühl, auf derselben Seite zu stehen, versuchen Social Engineers zu erzeugen und darüber Vertrauen aufzubauen. Dieses weiten sie im Verlauf der Kommunikation immer weiter aus, gehen immer tiefer, bauen immer mehr Vertrauen auf.
Manchmal reicht eine einzige Information, um Vertrauen zu gewinnen. Etwa im folgenden Fall, von dem Lekati berichtet:
Ein Social Engineer, der Schadsoftware in ein Unternehmensnetzwerk einschleusen will, wendet sich an die Sekretärin der Firma. Er hat herausgefunden, dass sie ein kleines Kind hat. Am Empfang gibt er sich als Bewerber aus. Für sein Vorstellungsgespräch habe er alle Dokumente ausgedruckt, aber sein zwei Jahre altes Kind habe über sie gespuckt. Die Papiere seien nun nicht mehr zu gebrauchen – zu spät kommen wolle er aber auch nicht. Daher habe er die Papiere auf einen USB-Stick geladen. Ob die Sekretärin sie vielleicht kurz ausdrucken oder anschauen könne?
"Die Sekretärin möchte jemanden mit kleinem Kind, der in einer ähnlichen Situation wie sie selbst ist, nicht hängen lassen. Vielleicht hat sie sogar selbst schon Ähnliches erlebt" , sagt Lekati. Die Sekretärin steckt also den USB-Stick in ihren Rechner und fängt sich damit eine Schadsoftware ein.
Solche Impersonation-Attacken gehörten zu den beliebtesten Social-Engineering-Angriffen, erklärt die Spezialistin. Diese funktionieren nicht nur im direkten Kontakt oder über soziale Netzwerke, sondern auch über E-Mail.
4,8 Millionen US-Dollar durch einen einfachen Trick
Im September 2014 erhielt eine Mitarbeiterin in der Finanzbuchhaltung der Firma Medidata(öffnet im neuen Fenster) , eine E-Mail, die scheinbar vom Präsidenten des Unternehmens stammte: Im Absenderfeld standen sowohl dessen E-Mail-Adresse als auch dessen Name.
In der E-Mail hieß es, Medidata stehe kurz vor einer Akquisition. Daher werde sich ein Anwalt namens Michael Meyer bei ihr melden. Noch am selben Tag meldete sich tatsächlich der besagte Anwalt und erklärte der Mitarbeiterin, dass sie eine Überweisung von 4.770.226 US-Dollar einleiten solle – für eine physische Überprüfung reiche leider die Zeit nicht.
Die Mitarbeiterin erklärte, dass sie dazu eine E-Mail des Unternehmenspräsidenten mit einem Antrag sowie die Bestätigung von zwei Medidata-Managern benötige. Kurze Zeit später erhielten sie und die Manager einen entsprechenden Antrag per E-Mail, den die Medidata-Manager autorisierten. Anschließend veranlasste die Mitarbeiterin die Überweisung an Meyer. Das Geld war weg. Der Anrufer war ein Social Engineer, der auch die E-Mails des Unternehmenspräsidenten mitsamt dem Absender gefälscht (Spoofing) hatte.
Der Fall zeigt zum einen, wie einfach und effektiv Social Engineering sein kann, zum anderen, dass Angriffe oft aus verschiedenen Elementen bestehen, die geschickt kombiniert werden, um eine Glaubwürdigkeit herzustellen. Die Methode wird Fake President genannt und wird zum Teil auch noch weiter gedreht: Nach einer entsprechenden E-Mail ruft ein vermeintlicher Mitarbeiter der IT-Abteilung an(öffnet im neuen Fenster) und erklärt, dass man den Angriff entdeckt habe, die Polizei aber wolle, dass das Geld überwiesen werde, um den Täter zu schnappen. So nutzen Social Engineers sogar die Bekanntheit bestimmter Maschen aus.
Wie kann man sich gegen derartig vielfältige Angriffe schützen, die zum Teil die innersten Schwächen adressieren? Hierfür hat Lekati einige Ratschläge.
Was gegen Social Engineering hilft
Wie groß das Problem des Social Engineering tatsächlich ist, lässt sich schwer beziffern. Denn Unternehmen veröffentlichen entsprechende Angriffe aus Angst vor Reputationsverlust selten. Viele Social-Engineering-Angriffe würden zudem nicht einmal bemerkt, erklärt Lekati.
Die Darpa(öffnet im neuen Fenster) , eine Forschungsagentur des US-Verteidigungsministeriums, geht jedoch davon aus, dass mehr als 80 Prozent der Cyberangriffe und über 70 Prozent der Angriffe aus Nationalstaaten auf die Schwachstelle Mensch setzen. Auch die Europäische Agentur für Netz- und Informationssicherheit (Enisa)(öffnet im neuen Fenster) listet Social Engineering als die häufigste Angriffsmethode. Gefolgt von Phishing-Angriffen , die zum Teil auf einzelne Personen zugeschnitten werden (Spearphisihing), und Scams, wie etwa ein vermeintlicher Anruf des Apple-Supports . Damit diese Angriffe nicht mehr so gut funktionieren, brauche es vor allem Bewusstsein und Bildung, sagt Lekati. Und Verschwiegenheit.
In einem Informatikstudium lernt man meist viel über die technische Absicherung von Geräten und Firmennetzwerken , die Abwehr von Social-Engineering-Angriffen steht indes normalerweise nicht im Lehrplan. Dabei sollte sie unbedingt Teil der Ausbildung sein, betont Lekati. Sicherheitsteams hätten meist keine Ahnung von Social Engineering.
Der Schutz gegen Social Engineering beginnt – ähnlich wie die Angriffe – bei den Menschen, also bei jedem selbst. Ein erster wichtiger Schritt ist es, sich bewusst zu machen, dass man Schwachstellen hat. Diese gilt es durch Selbstreflexion zu identifizieren. Das sei nicht einfach, aber allein das Bewusstsein helfe schon immens, meint Lekati. "Sei vorsichtig mit deinen Schwächen, beachte sie – und sei ehrlich zu dir selbst" , rät sie.
Privates nicht teilen
Und sei verschwiegen. Die innersten Gedanken und die Schwächen sollten nicht geteilt werden, schon gar nicht öffentlich. Lekati rät zudem, alle Social-Media-Profile auf "privat" zu stellen, so dass nur noch autorisierte Freunde und Follower die Inhalte sehen können. Freundschaftsanfragen und Follower sollten nicht ungeprüft angenommen werden, die bereits vorhandenen sollten verifiziert werden. Auch eine Zwei-Faktor-Authentifizierung sei ratsam.
"Sei dir der Informationen bewusst, die über dich verfügbar sind" , rät Lekati. Firmen sollten sich selbst einem OSINT unterziehen und alle verfügbaren Informationen ausfindig machen. Oft seien diese erstaunt, wie viel über sie herauszufinden sei, erzählt Lekati. Durch eine Sensibilisierung und Schulung der Mitarbeiter werde nicht nur das Unternehmen abgesichert und Bewusstsein für die Gefahr geschaffen, sondern auch das Risiko für die Social Engineers größer. Diese suchten sich lieber die einfacheren Ziele, erklärt Lekati. Entsprechend könne es durchaus sinnvoll sein, nach außen zu kommunizieren, dass das Unternehmen das Thema angeht.
Allerdings sollte das Unternehmen die Informationen sparsam dosieren und auch keine Standardseminare buchen, denn auch dies seien wertvolle Informationen für den Social Engineer, sagt die Spezialistin. Ein Angreifer wisse dann, welche Angriffstechniken vermittelt wurden – und welche nicht.
Wie im Sicherheitsbereich üblich, gibt es auch bei Social Engineering keinen absoluten Schutz. Ein bewusster Umgang mit den eigenen Schwachstellen, Trainings und klare Firmenpolicies können jedoch helfen. Auf keinen Fall solle man sich jedoch in falscher Sicherheit wiegen und davon ausgehen, dass Social Engineering bei einem selbst nicht klappt. Das hilft letztlich nur einem: dem Social Engineer.
Hinweis: Wir haben den Artikel am 24. November 2022 aktualisiert.