Social Engineering

Auftragsangriff, der nur teilweise auf Technologie basiert und zum Ziel hat, über Manipulation von Personen an geschützte Informationen zu gelangen.

Social Engineering ist eine Sicherheitsüberprüfung, bei der versucht wird, dass Zielpersonen geltende Sicherheitsrichtlinien und -vorgaben bewusst oder unbewusst brechen. Die Durchführung von Social Engineering-Tests eignet sich:

• Präventiv
  Für die Überprüfung der Security Awareness der Mitarbeiter und dem Security Policy-konformen Handeln derselben
• Reaktiv
  Nach erfolgten Informations-/Datenverlusten (nicht im Zusammenhang mit dem Themenkreis Backup/Restore)

Beim Social Engineering wird versucht mit gezielten Angriffstechniken, eine Zielperson soweit zu manipulieren, dass sie bestimmte Aktionen ausführt, um vertrauliche Daten wie beispielsweise strategische Informationen, Dokumente, Passwörter oder Zugangscodes preiszugeben. Dies geschieht mittels Einsatz von mehr oder weniger subtilen Methoden wie z.B. durch:

• Vortäuschen falscher Tatsachen
• Ausnutzen menschlicher Schwächen

Konkrete Beispiele sind:

• Appellieren an die Hilfsbereitschaft
• Ausnutzen von Bequemlichkeit
• Instrumentalisierung der Neugier oder des Unterhaltungstriebs
• Ausnutzen des Geltungsdrangs
• Erzeugung des vermeintlichen «Entscheidungszwangs» unter Zeitdruck
• Einschüchterung
• Belauschen von Gesprächen
• Ausspähung von Bildschirminhalten im Beisein der Zielperson

Beim Social Engineering kann der Angriff über unterschiedliche Wege erfolgen.

Social Engineering Angriffstypen

• Pretexting: Bezeichnet die Erfindung eines Szenarios (dem «Pretext») um die Zielperson zu überreden, vertrauliche Informationen preiszugeben. Dies wird üblicherweise telefonisch versucht, kann aber auch von Angesicht zu Angesicht erfolgen.
• Phishing: Ist eine Aktivität um zu Betrugszwecken an persönliche Informationen zu gelangen. Typischerweise sendet der Angreifer eine E-Mail unter Vortäuschung einer vertrauenswürdigen Institution beispielweise einer Bank, einem Kreditkartenunternehmen, einem Online-Shop oder dem Arbeitgeber der Zielperson. In der E-Mail werden die Empfänger aufgefordert, Authentisierungsinformationen (User-ID, Passwort, Bankverbindung, Sozialversicherungsnummer etc.) zwecks «Verifikation» preiszugeben, normalerweise unter Androhung ernsthafter Konsequenzen, falls sie den Anweisungen nicht Folge leisten. Sehr oft lotst die E-Mail ihre Opfer auf eine gefälschte Website, deren Echtheit durch ein Firmenlogo und einem täuschend echten Layout vorgegaukelt wird. Die Website enthält ein Formular, mittels welchem der Nutzer alle möglichen für den Angreifer interessanten Informationen eingeben soll. Eine spezielle Form des Phishing ist das IVR/Phone Phishing, bei welchem anstelle einer manipulierten Webseite ein interaktives Voice Response System (IVR) eingesetzt wird, welches eine echt tönende Kopie der vorgetäuschten Firma (Bank, etc.) suggeriert.
• Trojan Horse: Trojanische Pferde nutzen die Neugier oder die Gier der Zielperson um Malware zu installieren. Ein typisches Beispiel ist eine E-Mail, welche im Text verspricht, einen coolen oder sexy Screensaver, eine witzige PowerPoint-Präsentation oder einen wichtigen Security Patch als Attachment zu enthalten. Naive Nutzer neigen dazu, das Attachment zu öffnen und damit die Malware zu installieren.
• Road Apple: Ein Road Apple unterscheidet sich vom Trojan Horse nur dahingehend, dass das Trägermedium physisch ist. Dazu werden vom Angreifer infizierte und mit Interesse weckendem Aufdruck versehene CD-ROMs oder USB Memory Sticks so platziert, dass sie mit Sicherheit gefunden werden (z.B. im Gang, Lift, Aufenthaltsraum, dem Parkplatz oder der Toilette). Der Angreifer muss nur warten bis eine neugierige Person den Inhalt des gefundenen Datenträgers sichtet.
• Quid pro quo: Bei dieser Attacke geht es um ein Tauschgeschäft nach dem Motto: «Ich geb Dir was und nehm Dir was». Ein Beispiel: Der Angreifer ruft nach dem Zufallsprinzip Telefonnummern bei der Zielfirma an und behauptet, vom IT-Helpdesk zurückzurufen. Voraussichtlich wird die eine oder andere angerufene Person wirklich ein IT-Problem haben und froh sein, dass sich jemand vom IT-Helpdesk meldet. Der Angreifer hilft zwar der angerufenen Person – verleitet die angerufene Person aber dazu, während des Support-Calls Aktionen auszuführen, welche dem Angreifer Zugriff auf den Computer des Angerufenen verschafft oder den Computer mit Malware infiziert.

Um die Grenzen eines Social Engineering Projekts klar abzustecken, ist es wichtig, vorgängig allgemeine Regeln zu definieren.

Social Engineering Regeln

Social Engineering Projekte werden bei OneConsult nach folgenden Regeln und ethischen Grundsätzen durchgeführt:

• Legalität: Es werden nur legale Aktivitäten in Betracht gezogen. Ausgeschlossen sind deshalb Erpressung, Bestechung, Androhung physischer und psychischer Gewalt, Einbruch, Anstiftung zu einer Straftat etc.
• Vermeidung von technischen Schäden: Es werden keine Aktivitäten durchgeführt, die technische Schäden verursachen könnten. Ausgeschlossen sind somit z.B. Denial-of-Service Attacken. Bei Malware-gestützen Attacken kommt nur von OneConsult entwickelte Software zum Einsatz.
• Kein Involvieren von Dritten: Es werden keine Informationen via Dritte beschafft wie z.B. über die Telekom Provider des Kunden.
• Keine Preisgabe von vertraulichen Informationen: Es werden keine vertraulichen Informationen des Kunden im Projekt einbezogen.
• Keine Verletzung der Rechte der Mitarbeiter: Die betroffenen Mitarbeiter werden im abschliessenden Projektbericht nicht namentlich erwähnt. Weder Test Cases noch Findings dürfen für die betroffenen Angestellten negative Folgen haben.

Da die Qualität und die Aussagekraft eines Social Engineering Projekts stark von den Rahmenbedingungen abhängen, wird beim Kick-Off Meeting genau definiert, was das Projektziel ist und welche Angriffsmethoden eingesetzt werden sollen. Zudem wird festgelegt, welche Grundsätze und Regeln neben den bereits erwähnten einzuhalten sind sowie welche Personen über das Projekt informiert werden sollen. Am Ende des Projekts werden das Vorgehen, die erzielten Ergebnisse und empfohlene Gegenmassnahmen zur Schliessung aufgedeckter Sicherheitslücken umfassend dokumentiert (als Option OSSTMM-konform).

Security Audit Kompetenz

Unsere Mitarbeiter haben für unsere Kunden seit 2003 mehr als 450 technische Security Audits nach OSSTMM durchgeführt. Die OneConsult GmbH ist ISECOM Licensed Auditor (Platinum Level), ISECOM Partner (akkreditierter Schulungsanbieter) und das - an der Anzahl OSSTMM-konformer Security Audits gemessen - führende Unternehmen in Europa.