Wie Social Hacker den Faktor Mensch ausnutzen (Teil 2)

Was als intellektuelle Herausforderung für einige "Phreaks" in den 80er Jahren begann, ist dank des digitalen Schwarzmarktes ein lohnendes "Geschäftsmodell" geworden: Mithilfe psychologischer Tricks erschleichen sich Social Hacker Zugriff zum geistigen Eigentum von Unternehmen, um es gewinnbringend zu verkaufen. Vor allem wegen der Vermischung des beruflichen und privaten Lebens in den sozialen Netzwerken ist die Gefahr der Spionage heute allgegenwärtig. Doch es gibt ein Gegenmittel: Geschulte Nutzer, die verdächtige Signale frühzeitig erkennen und angemessen reagieren.

Haben wir uns im ersten Teil vor allem auf die Ursprünge des Social Hackings konzentriert und den First-Level-Supports als besonders gefährdete Abteilung identifiziert, wollen wir in diesem Beitrag die diversen Facetten eines Social-Engineering-Angriffs näher beleuchten.

Am Anfang eines jeden Angriffs steht das Knüpfen und Pflegen von Kontakten innerhalb des anvisierten Unternehmens. Neben den klassischen Wegen via Telefon und E-Mail hat das Internet in den letzten Jahren einen noch viel weniger komplizierten Weg hervorgebracht: soziale Netzwerke.

Dank dieser haben es Social Hacker heute deutlich einfacher als ihre Vorreiter aus den USA der 80er Jahre. Sie können beliebige virtuelle Personen erschaffen, um sich das Vertrauen von Mitarbeitern zu erschleichen und aktiv wie passiv Informationen zu sammeln.

Dass dieses Szenario topaktuell ist, hat der New Yorker Thomas Ryan in einem Experiment gezeigt, auf das wir weiter unten eingehen. Zudem sollen Ansätze skizziert werden, wie sich die Tricks der Social Hacker durch aufmerksame Mitarbeiter unterbinden lassen. Dass und warum dies gar nicht so leicht ist, zeigt ein Blick auf die perfiden Methoden der Angreifer.

Der klassische Ansatz: Direkter Kontakt mit den Opfern

Wer an einen Social Engineer denkt, wird sich vermutlich einen wortgewandten Menschen mit ausgeprägtem schauspielerischem Talent vorstellen. Und diese Vorstellung ist tatsächlich gar nicht so verkehrt!

Denn um sein Ziel zu erreichen, braucht der Social Hacker genau wie jeder andere Einbrecher vor allem eines: Informationen! Diese kann er sich zumeist auf genau zwei Arten besorgen: Passiv, etwa durch das Durchsuchen des Mülls (Dumpster Diving) oder aktiv, indem er Kontakt mit Angestellten aufnimmt.

Den ersten Kontakt wird ein Social Engineer häufig via Telefon aufbauen, da das Risiko aufzufliegen relativ gering ist. Auch werden Telefongespräche nicht überwacht oder aufgezeichnet – im Gegensatz zu einem großen Firmengelände mit Sicherheitspersonal und Kamera-Überwachung.

Außerdem wird ein ausgefeilter Social-Engineering-Angriff selten aus nur einem einzigen Telefonat bestehen, indem der Angreifer auf Biegen und Brechen alle wichtigen Details erfragen will. Das würde auch beim naivsten Angestellten die Alarmglocken läuten lassen! Um das zu vermeiden, wird ein Angreifer mehrere Gespräche führen, in denen er immer nur Informationshäppchen sammelt.

Mit jedem Gespräch wird er nicht nur mehr über sein Ziel erfahren, sondern vor allem auch immer glaubwürdiger wirken. Sein Bild von den Arbeitsabläufen wird geschärft und seine Fragen deutlich gewagter und direkter. Vielleicht wird er sogar so weit gehen, sich als konkreter Kollege auszugeben, dessen Rechte und Pflichten innerhalb der Firma er dank Telefonaten mit diesem genau kennt.

Das Repertoire an Möglichkeiten, aus denen ein Betrüger schöpfen kann, ist schier unendlich und letztlich nur durch die Erfahrung und Dreistigkeit des Social Hackers selbst begrenzt. Manch einer wird sich womöglich sogar wie ein IT-Techniker kleiden und vor Ort auftauchen. Um anschließend ein Problem zu beheben, dass er vorher selbst geschaffen hat, beispielsweise eine Virus-Infektion. Diese Taktik wird auch als Reverse Social Engineering bezeichnet, da das Opfer dem Einbrecher quasi "freiwillig" Tür und Tor öffnet.

Die moderne Variante: Kontakte in sozialen Netzwerken knüpfen

Der zuvor skizzierte klassische Ansatz, der vom Social Engineer viel Übung, Erfahrung und auch Risikobereitschaft verlangt, wird in Zeiten von Facebook, Twitter und Co. zunehmend durch eine rein digitale Kontaktpflege ersetzt.

Die Vorteile liegen auf der Hand: Selbst ohne schauspielerisches Talent und Wortgewandtheit kann sich jeder in sozialen Netzwerken beliebige fiktive Persönlichkeiten erschaffen. Der Fantasie sind dabei keine Grenzen gesetzt, sodass ein Mann problemlos eine Frau und eine Frau mal eben ein Mann sein kann. Ein paar coole Fotos von anderen Profilen, ein glaubwürdiger Lebenslauf und fertig ist ein Alter Ego.

Dass dieses Szenario nicht allzu weit hergeholt ist, beweist der Fall Robin Sage, die als IT-Security-Spezialistin virtuelle Freundschaften zu Mitarbeitern des Militärs und der Regierung geknüpft hat. Dank eines beeindruckenden Lebenslaufs, eines sexy Fotos und lockeren Flirts gelang es ihr dann auch relativ schnell, so manchem Militärangehörigen und Politiker sensible Informationen zu entlocken.

Nach knapp zwei Monaten war das Experiment vorbei und der New Yorker Thomas Ryan ging mit seinen Ergebnissen an die Öffentlichkeit. Robin Sage war seiner Fantasie entsprungen und sollte auf die Gefahren virtueller sozialer Netzwerke aufmerksam machen – mit erschreckendem Erfolg.

Abb.: Thomas Ryan und sein fiktives Alter Ego Robin Sage

Besonders pikant am Fall Robin Sage ist die Tatsache, dass Thomas Ryan an allen Ecken und Enden maßlos übertrieben hat: Ein hübsches weibliches Genie, das mit 25 Jahren bereits über zehn Jahre Berufserfahrung als IT-Security-Spezialistin verfügt? Das klingt einfach zu perfekt, um wahr zu sein! Einigen Kontakten fiel das zum Glück auch sofort auf, vielen jedoch leider nicht.

Warum Social Hacking so schwer zu bekämpfen ist

Sowohl der klassische als auch der moderne Ansatz zeigen bereits sehr deutlich, warum es keine einfache Lösung gibt, um Social Hacking ein für allemal zu unterbinden: Die Tricks der Social Engineers zielen oftmals auf fundamentale menschliche Bedürfnisse wie etwa den Wunsch nach Respekt und Anerkennung für die eigene Arbeit ab. Doch auch der Missbrauch sozial antrainierten Verhaltens wie Autoritätshörigkeit gehören zum Repertoire eines Betrügers, der um jeden Preis sein Ziel erreichen will.

So vielseitig die Tricks auch sind, so einfach lassen sich die meisten in zwei Kategorien einordnen:

  • Der Angreifer schafft eine angenehme Situation, in der sich das Opfer sicher fühlt, redselig wird und im Laufe eines "harmlosen" Gesprächs Informationen preisgibt.
  • Der Angreifer schafft eine stressige Situation, in der sich das Opfer unwohl fühlt und aus der es sich durch die Preisgabe von Informationen zu befreien versucht.

Damit Mitarbeiter in solchen Situationen richtig reagieren, müssen sie sich der Gefahr nicht nur bewusst sein, sondern vor allem klare Richtlinien an der Hand haben, denen sie folgen können, ohne Konsequenzen befürchten zu müssen.

Welche Informationen sind vertraulich zu behandeln? Wer darf diese überhaupt erhalten? Wie vergewissere ich mich der Echtheit eines Anrufers, ohne ihm auf den Schlips zu treten? Wen ziehe ich im Zweifelsfall zu Rate? Grundsätzlich gilt: Kann die Identität eines Anrufers nicht mit Sicherheit verifiziert werden, sollte das Anliegen höflich, aber bestimmt abgelehnt werden.

Eine Ratschlag zum Schluss: Richtlinien, die das Arbeitsklima schädigen würden oder allzu theoretischer Natur sind, werden ihr Ziel nur verfehlen und keinen Beitrag zur Sicherheit leisten. So ist Smalltalk wünschenswert – sofern er sich nicht um vertrauliche Themen dreht. Schnelle Hilfe ist etwas sehr positives – solange die Identität der Gegenseite klar ist. Starre Verbote solchen Verhaltens sind keine Lösung und führen zu keinem Zugewinn an Sicherheit.

Fazit

Social Hacking ist so perfide wie erfolgversprechend, da eigentlich sehr wünschenswerte zwischenmenschliche Verhaltensregeln missbraucht werden, um die Opfer in Situationen zu bringen, in denen sie sich selbst schaden.

Der Unterschied zwischen einer alltäglichen Situation und einem Social-Engineering-Angriff ist erfahrungsgemäß sehr schwer zu erkennen. Eine ständige, mit erheblichem Stress verbundene Alarmbereitschaft der Mitarbeiter ist ebenso wenig eine Lösung wie eine starre Richtlinienliste mit Verboten. Beides führt definitiv nicht zu mehr Sicherheit.

Wer sich gegen Social Hacking erfolgreich schützen will, muss Zuständigkeiten und Verantwortungsbereiche genau festlegen. Mitarbeiter müssen wissen, wer was darf und wie Identitäten höflich, aber bestimmt verifiziert werden, wen es im Zweifelsfall zu informieren gilt und dass "im Zweifel gegen den Anrufer" gelten muss.

Wer darüber hinaus noch unangekündigte und unregelmäßige Social-Engineering-Angriffe als Teil seines Sicherheitskonzeptes versteht, hat sich und seine Mitarbeiter für die Gefahren des Social Hackings bestens sensibilisiert.

Weiterführende Informationen

Haben Sie Fragen zum Thema IT-Sicherheit? Möchten Sie Risiken minimieren und Sicherheitslücken in Ihrem Unternehmen identifizieren und stopfen? Die erfahrenen IT-Experten von //SEIBERT/MEDIA/SYSTEMS beraten Sie gerne - bitte sprechen Sie uns unverbindlich an. Ausführliche Informationen finden Sie auch auf unserer speziellen Seite zum Thema Internet-Security-Beratung.

Password Manager Pro: Verschlüsselte und sichere Speicherung und Übertragung von Passwörtern
Warum Unternehmen Penetrationstests durchführen sollten (und eigentlich auch müssen)
Der Gefährdungskatalog des BSI zum Thema Social Engineering
Social-Engineering.org: Englischsprachiges Portal rund um Human Hacking


Mitwirkende an Konzeption und Umsetzung: Benjamin Kendinibilir, Alexander Seith


Mehr über die Creative-Commons-Lizenz erfahren