IT Security Analysen
Social Engineering

 

Der beste Angriffspunkt ist oft der Mensch

Social Engineering ist eine verbreitete und beliebte Methode, vertrauliche Informationen auszuspionieren. Angriffspunkt sind Sie, der Mensch.

Dabei wird Ihre Hilfsbereitschaft und Gutgläubigkeit, oft aber auch die Unsicherheit einer Person ausgenutzt. Alles ist hier möglich: Fingierte Telefonanrufe, Personen die sich als jemand anderes ausgeben, bis hin zu Phishing-Attacken.
Kriminelle versuchen als erstes, möglichst viele Informationen über das Opfer zu finden. Anhand dieser Informationen lässt sich das Opfer leichter täuschen. Zum Beispiel kann sich der Kriminelle als eine Ihnen bekannte Person ausgeben. Ideal, um an Informationen zu gelangen, eignet sich das Internet. Vor allem Soziale Netzwerke wie z.B. Facebook, Xing etc. sind dafür eine ideale Quelle. Anhand dieser Informationen kann der Angreifer gezielt auf Sie zugehen und wirkt vertrauenswürdig.

Informationssammlung

Über öffentliche Informationsquellen im Internet wird versucht, Informationen über die Mitarbeiter
des Unternehmens ausfindig zu machen. Dazu werden u.a. folgende Quellen genutzt:

  • Internetseite des Unternehmens
  • Metadaten öffentlicher Dokumente
  • Analyse von E-Mails
  • Suchmaschinen
  • Soziale Medien

Ziel ist es, möglichst umfangreiche Informationen über die Organisationsstruktur und IT-Interna in
Erfahrung zu bringen, um spätere Angriffe vorzubereiten. Dazu zählen insbesondere:

  • Organigramme
  • Namenslisten
  • Telefonnummern
  • E-Mailadressen
  • Servernamen
  • Zuständigkeiten


Wenn Sie r-tec für Social Engineering engagieren, werden Ihnen nach Abschluss dieser Phase die gesammelten Informationen zur Verfügung gestellt, sodass Sie eine „schwarze Liste“ mit Personen erstellen können, die nicht Ziel der nachfolgend beschriebenen Angriffe sein dürfen.

Angriffsszenarien

Es wird telefonisch versucht, zufällig ausgewählte Mitarbeiter zu überreden, unwissentlich einen
„Trojaner“ zu installieren. Dazu wird r-tec sich beispielsweise als Mitarbeiter der IT-Abteilung
ausgeben. Die weitere Vorgehensweise wird im Vorfeld mit dem Auftraggeber abgestimmt. Mögliche
Ansätze sind die Nutzung von Teamviewer zur angeblichen Störungsbeseitigung oder die
Übermittlung eines angeblichen Tools zur Malwareanalyse.

Es wird mit dem Auftraggeber eine Phishing-Kampagne abgestimmt, die einen direkten
Unternehmensbezug haben, aber auch vollkommen losgelöst durchgeführt werden kann. Ziel der
Kampagne ist die Prüfung des Sicherheitsbewusstseins der Mitarbeiter in Bezug auf gefälschte E-Mails mit präparierten Links oder Anhängen.
Für die Zustellung der E-Mails werden die im Rahmen der Informationsgewinnung angelegten
Mitarbeiterprofile genutzt. Alternativ können vom Auftraggeber gewünschte E-Mail-Adressen der
Empfänger gestellt werden.
Die genaue Vorgehensweise wird vor Beginn der Untersuchungen mit dem Auftraggeber
abgestimmt. Dabei kann aus verschiedenen Qualitäts- und Auswertungsstufen gewählt werden. Zwei mögliche Beispiele sind:

2.1 Beispiel 1: XING

Ausgewählte Mitarbeiter erhalten per E-Mail eine gefälschte Kontaktbestätigung einer erfundenen
Person auf XING. Wahlweise kann hier auch eine bekannte Person aus dem Unternehmensumfeld
genutzt werden. Die genaue Vorgehensweise wird bei Beauftragung einvernehmlich abgestimmt. Das Layout entspricht einer originalen XING-Mail.
Enthaltene Links, die vermeintlich zum XING-Profil führen, zeigen auf eine von r-tec kontrollierte
Auswertungsplattform. Nach einem Klick auf den Link werden Datum, Uhrzeit, IP-Adresse sowie
Informationen zum genutzten Webbrowser auf dem Server der r-tec gespeichert. Es erfolgt eine
sofortige Weiterleitung auf die originale Webseite www.xing.com, sodass die Auswertung schwer bis gar nicht erkennbar ist.
Zusätzlich kann auf Wunsch auch gefälschtes XING-Anmeldeformular vorgeschaltet werden.

2.2 Beispiel 2: Mitarbeiterumfrage

Mit Hilfe vom Auftraggeber bereitgestellten Informationen wird eine Mitarbeiterumfrage mit
Unternehmensbezug inszeniert. Die versendeten E-Mails stammen dabei vermeintlich von einem
Mitarbeiter des Auftraggebers. Ein entsprechend authentischer E-Mail Footer wird zu diesem Zweck entweder vom Auftraggeber gestellt oder im Vorfeld von r-tec recherchiert.
In der E-Mail wird zur Teilnahme an der Umfrage über einen enthaltenen Link aufgefordert. Der Link
führt zu einer von r-tec kontrollierten Webseite, die dem Layout einer Webseite des Auftraggebers
nachempfunden ist. Das Thema der Umfrage wird im Vorfeld gemeinsam abgestimmt. Die Zugriffe
werden in Bezug auf Datum, Uhrzeit, IP-Adresse sowie Informationen zum genutzten Webbrowser
ausgewertet.
Vor die Umfrage wird auf Wunsch eine Anmeldemaske geschaltet, die dazu auffordert die
persönlichen Windows-Zugangsdaten einzugeben. Die genaue Auswertung der Anmeldemaske wird
im Vorfeld einvernehmlich abgestimmt. Möglich ist beispielsweise eine vollständige oder nur eine
teilweise Speicherung der eingegebenen Daten.

r-tec präpariert eine zuvor definierte Anzahl an USB-Sticks mit Malware und platziert diese an
strategisch günstigen Stellen im Umfeld des Auftraggebers (z. B. Tiefgarage, Gebäudeeingang,
Toiletten, Kantine etc.). Die Platzierung der USB-Sticks kann auf Wunsch auch durch den
Auftraggeber selbst erfolgen. Ziel ist es, zu untersuchen, ob Mitarbeiter diese USB-Sticks an
dienstliche PCs anschließen und die enthaltene Malware ggf. ausführen.
Die Malware wird zusammen mit harmlosen, scheinbar privaten Inhalten (z. B. Fotos, Dokumente
etc.) auf den USB-Sticks platziert. Die Art der Malware und der Auswertung wird mit dem
Auftraggeber im Vorfeld abgestimmt.

Ziel ist die Überprüfung der Zutrittskontrollmaßnahmen sowie die Wachsamkeit der Mitarbeiter in
Hinblick auf fremde Personen. r-tec wird versuchen, in zuvor definierte Räumlichkeiten des
Auftraggebers einzudringen. Es kommen dabei ausschließlich „weiche“ Methoden zum Einsatz (z. B.
Ablenkung des Pförtners, Zutritt durch Tiefgaragen oder Nebeneingänge etc.). Es werden keine
Manipulationen an Zutrittskontroll-, Alarm- oder Überwachungsanlagen durchgeführt.
Nach erfolgreichem Zutritt werden auf Wunsch weitere Prüfungsmodule, wie z. B. der Anschluss
eines Testgeräts an das interne Unternehmensnetzwerk, durchgeführt.

Projektabschluss

Die Ergebnisse wird r-tec schriftlich in einem umfassenden Bericht festhalten. Dieser beinhaltet ein
Management-Summary, einen Teil mit Beschreibungen der identifizierten Schwachstellen sowie
einen Teil mit priorisierten Maßnahmenempfehlungen. Die Maßnahmenempfehlungen sind nach
Wirksamkeit priorisiert und berücksichtigen dafür den Grad der Risikominimierung im Verhältnis zum Aufwand.
Die durchgeführten Social Engineering Angriffe werden im Bericht statistisch ausgewertet und in
anonymisierter Form dargestellt, sodass keine Rückschlüsse auf Mitarbeiter des Auftraggebers
möglich sind.
Der Bericht liefert somit eine solide Grundlage für Entscheidungen im Hinblick auf die Gestaltung der
Sicherheitsstrategie, die Implementierung von Sicherheitsmaßnahmen und ggf. damit einhergehende Investitionen.

Zudem wird jedes Projekt bei einem Vor-Ort-Termin mit einer Präsentation der Ergebnisse abgeschlossen. Dieser Termin dient der Kommunikation der Ergebnisse gegenüber dem Management und den betroffenen Fachabteilungen sowie zur Klärung offener Fragen, um identifizierte Probleme richtig einzuordnen, Verantwortlichkeiten zu bestimmen und konkrete Handlungspakete auf den Weg zu bringen.