Social Engineering trifft mitten ins Herz

Social Engineering trifft mitten ins Herz

Social Engineering trifft mitten ins HerzSocial Engineering: „Die Kunst, Menschen zu knacken“ (Eigentlich: The Art of Human Hacking) geht um. Gemeint sind jene Methoden von Cyberkriminellen, die mit sozialen Tricks ihre Opfer zu manipulieren suchen. Dabei geht es darum, sich Vertrauen von Mitarbeitern in Unternehmen zu erschleichen. Und es gelingt immer mehr. Schon vor ein paar Monaten berichtete das Hessische Landeskriminalamt von Fällen, in denen Mitarbeiter eines Unternehmens praktisch in letzter Minute einen Betrugsversuch aufdecken konnten. Jetzt aber hat es den Autozulieferer Leoni ernsthaft erwischt. Die Täter konnten 40 Millionen Euro erbeuten.

So sehen typische Tricks aus

Trick 1: Die neue Facebook-Freundin

Zu schön, um wahr zu sein: Wenn man auf Facebook von einer unglaublich hübschen, völlig unbekannten jungen Dame als „Freund geaddet“ wird, ist das weniger das große, dem Ego schmeichelnde Glück, sondern der Beginn eines simplen Social-Engineering-Angriffs. Nicht der private Kontakt ist das Ziel, sondern Firmen-Informationen, zu denen ein Mitarbeiter Zugang hat. Ein paar Stunden später – nach einem flirtigen Chat – besitzt der Mitarbeiter ein paar sexy Bilder aus einem Fotokatalog, sowie einen Trojaner auf seinem Rechner. Letzterer meldet nun jede Tastatureingabe nach Fernost weiter.

So stellen sich die Cyberkriminellen, die hinter dem hübschen Facebook-Foto stecken, einen schönen Erfolg vor.

Trick 2: Der Microsoft-Service-Anrufer

Die Betrugsmasche mit falschen Microsoft-Anrufern reißt laut dem LKA Hessen auch nicht ab. Bei dieser Social Engineering Methode rufen angebliche Mitarbeiter der Firma Microsoft willkürlich Haushalte an. Hebt jemand ab, teilen sie dem ahnungslosen Opfer mit, dass sein PC-System hochgradig gefährdet sei. Oft sprechen die Betrüger Englisch mit einem Akzent oder in gebrochenem Deutsch. Das Opfer sollte nun den privaten PC sofort hochfahren und die Anweisungen der falschen Service-Kräfte befolgen. Dabei handelt es sich meist um die Installation von Fernwartungssoftware. Diese Software wird auch legal eingesetzt, um sich von entfernten Orten auf einem PC anzumelden und für Wartungsarbeiten oder Reparaturen fernzusteuern.

Jedoch öffnet das arglose Opfer den Kriminellen mit dieser Software Tür und Tor. Die Kriminellen können nun sensible Daten ausspähen und weitere Schadsoftware auf das Zielsystem laden. Der Nutzer gibt die Verfügungsgewalt über sein System komplett in fremde Hände.

Da vor allem Unternehmen das Ziel der Cyberattacken sind, bleibt es nicht nur dabei, den privaten PC zu kapern. Die Opfer sind ja auch meist zuhause mit ihrem Arbeitgeber verbunden. Zumindest halten sie per eMail Kontakt.

Das auf dem privaten Computern gesammelte Wissen nützt Hackern, wenn sie in das System eines Unternehmens eindringen wollen.

Trick 3: Der Chef bittet

Beim Social Engineering in Unternehmen geben die Betrüger sich gern als Chefs aus. Ein Mitarbeiter des Unternehmens erhält von einem angeblichen Vorgesetzten eine eMail. Darin bittet „der Chef“ meist darum, dass der Inhalt vertraulich behandelt wird. Außerdem gibt er den Auftrag, eine Zahlung zu tätigen.

Damit der Plan des Täters nicht auffliegt, fordert dieser, dass der ahnungslose Mitarbeiter ausschließlich per eMail Kontakt hält. Im Fall des im MDAX notierte Autozulieferer Leoni handelt es sich um eine derartige Methode. Der Unterschied war, dass sich Unbekannte als Mitarbeiter mit besonderen Befugnissen im Unternehmen ausgaben.

Die tatsächlichen Mitarbeiter haben, nachdem sie auf Anweisung bestimmte Geschäftsvorgänge einleiteten, insgesamt rund 40 Millionen Euro auf die Konten der Cyberkriminellen im Ausland überwiesen, berichtet heise online.

Social Engineering setzt auf Vertrauen

Social Engineering Methoden funktionieren deshalb so gut – besser und schneller als eine langwierige Suche nach technischen Schlupflöchern – weil sie auf Wissen aufbauen, das offiziell ja „niemand haben kann“. Das ist der Grund, warum sich Social Engineering weltweit immer mehr durchsetzt. Es passt sich der jeweiligen Zielgruppe an.

„Wie dumm – wäre mir aber nicht passiert!“, denken Mitarbeiter gern.

Wahrscheinlich dachten das auch die rund 2500 Probanden, die bei einem international angelegten Test an ihrem Arbeitsplatz auf einen simplen Trick hereinfielen: 2500 von insgesamt rund 12.000, also gut jeder Fünfte verriet die echten Zugangsdaten, nachdem sie ein Rabattmail erhielten.

Die Barriere, gutgläubig eMails nachzugeben, wird dann sogar noch niedriger, wenn die Kriminellen bereits eine geringe Menge an Informationen über die Unternehmensstruktur und das Personal andeuten können. Der Mitarbeiter vertraut dem angeblichen Chef-Mail in solchen Fällen eher.

Wissensvorsprung durch Metadaten

In diesem Zusammenhang werden Verbindungsdaten, auch als Metadaten bekannt, zum Schlüssel. Ein Beispiel: Wer würde skeptisch reagieren, wenn kurz nach dem Absenden einer Mail an einen DAX-30-Vorstand dessen angebliche Assistenz anruft und bittet, die Mail noch einmal an dessen private Mail-Adresse vorname.nachname@irgendwas.de zu schicken, weil sich der Anhang auf dem Gerät des Chefs angeblich nicht öffnen lässt? In diesem Beispiel genügen die Metadaten einer einzigen Mail (Absender, Empfänger, genaue Zeit, Dateinamen und -größen), um ohne weiteres einen erfolgversprechenden Social Engineering Angriff zu starten und wertvolle Informationen zu stehlen.

Metadaten sind also niemals harmlos.

Wie schützen Unternehmen ihre Mitarbeiter?

Nach heutigem Stand der Forschung lassen sich Metadaten auf drei verschiedene Arten schützen:

  1. wenn die Botschaft nicht an einen, sondern an eine Gruppe von Empfängern geht, wobei nur einer den richtigen Schlüssel zum Öffnen besitzt. Das Freenet-Projekt folgt dieser Methode und lässt sich privat gut nutzen, für Firmen ist es aber weniger geeignet.
  2. mit dem Einsatz von Mix-Netzen. Hier werden Nachrichten über mehrere Zwischenstationen (Mix-Knoten) geleitet. Auch damit lässt sich die Anonymisierung der Kommunikationsbeziehung erreichen. Die Sicherheitssoftware TOR nutzt diese Technik, die so gut schützt, dass die National Security Agency (NSA) annimmt, dass jeder, der einen Server dieses Netzwerks betreibt, terrorverdächtig ist.
  3. mit iDGARD und der in Deutschland entwickelten Sealed-Cloud-Technologie.

Sealed Cloud: Sicherer als Private Cloud

Die Basistechnologie Sealed Cloud setzt an zwei Punkten an:

  1. Sie sichert ein Rechenzentrum so ab, dass die Daten nicht nur beim Transport zum und vom Datenzentrum und im Speichersystem in der Datenbank geschützt sind, sondern auch während der gesamten Verarbeitung.
  2. Die ein- und ausgehenden Datenströme werden nach Volumen und Zeit verschoben (de-korreliert), so dass sich zwischen den Verbindungen keine Bezüge herstellen lassen.

Die Sealed Cloud Technologie schützt sowohl Inhalte als auch Metadaten und ist damit sogar noch sicherer als ein firmeneigenes Rechenzentrum (Private Cloud).

So setzen Unternehmen den Dienst für Zusammenarbeit und Datenaustausch, iDGARD, sinnvoll ein!