Konferenz
11/26/2010

DeepSec: Faktor Mensch als Sicherheitslücke

Angreifer, die an geheime Firmen- oder Personendaten herankommen möchten, setzen heutzutage immer häufiger auf den Faktor Mensch. Denn wir geben oft unbewusst mehr Informationen preis, als wir glauben. Die Social Engineering-Expertin Sharon Conheady erzählt der FUTUREZONE, wie gefinkelt derartige Angriffe ausfallen können und warum im Prinzip jeder darauf reinfallen kann.

von Barbara Wimmer

Oliver weiß, dass sich sein bester Freund derzeit auf Urlaub in London befindet. Plötzlich bekommt er über seinen Facebook-Account eine private Nachricht von seinem Freund, dass er in London seine Geldbörse verloren hat und er dringend finanzielle Hilfe benötigt. Das überwiesene Geld landet dann allerdings nicht beim Freund, sondern bei einem Betrüger. Dieses Beispiel ist eine Form von sozialer Manipulation, die als "Social Engineering" bezeichnet wird.

Gefahr von IT-Experten lange unterschätzt

Das Benutzen von Tricks, um an brisante Informationen zu kommen, ist so alt wie die Menschheit selbst. Die aus der Vergangenheit bekannten Fälle reichen von falschen Fax-Einladungen in den 1980er-Jahren bis hin zu den betrügerischen E-Mails und Facebook-Scams, wie wir sie von heute kennen, erzählt Sharon Conheady vom britischen Sicherheitsunternehmen First Defence Information Security. Sie klärt Unternehmen darüber auf, wie soziale Manipulation verwendet werden kann, um an Daten zu gelangen.

Die Gefahr wurde von Technikexperten lange unterschätzt. Dabei ist es heutzutage zum Teil wesentlich einfacher, ein Passwort zu knacken, indem man persönliche Informationen und Gewohnheiten von Mitarbeitern ausforscht, als mit Computerprogrammen. Erst seit wenigen Jahren wird auf IT-Konferenzen über "Social Engineering" referiert. So spricht Conheady am Freitag auch auf der DeepSec-Konferenz in Wien über die Zukunft der Attacken, die neben der Technik auf menschlichen Reaktionen beruhen.

Angriffe werden persönlicher

"Die Angriffe werden immer professioneller und glaubwürdiger. E-Mails werden immer besser getarnt und auch persönlicher. Sie lassen sich oft nicht mehr vom echten Adressaten unterscheiden", so Conheady. Kaum einer wundert sich beispielsweise nach der Rückkehr aus seinem Urlaub über eine Mail vom Reiseveranstalter mit dem Betreff: //"Wir haben Urlaubsfotos für Sie aus Los Angeles"//. Die Betrüger haben die Informationen über den Aufenthaltsort und die Dauer der Reise vom Betroffenen selbst - er hat sie schließlich auf seinem Profil bei einem Online-Netzwerk bekannt gegeben.

Durch die steigende Nutzerzahl von Netzwerken wie Facebook hat sich auch die Zielgruppe von sozialen Manipulateuren schlagartig vergrößert. "Je mehr Leute es verwenden, desto mehr Leute können die Angreifer auf diesem Weg adressieren." Die Angabe der Lieblingspizza kann einem genauso zum Verhängnis werden wie die Veröffentlichung des richtigen Geburtstsdatums. Die "Mir passiert schon nichts"-Taktik ist hier außer Kraft gesetzt, denn wer kann mit 100 prozentiger Sicherheit sagen, ob hinter den Profilen der Online-Freunde tatsächlich die "echten" Personen stecken, oder ein sogenannter "friendbot"?

Pizza und Gratis-Parkpickerl als Köder

Conheady führt in diesem Zusammenhang zwei Beispiele an, die tatsächlich stattgefunden haben: Ein Mitarbeiter wurde von einem vermeintlichen Pizzalieferanten im Büro überrascht, als dieser ihm zum Geburtstag eine Pizza - seine favorisierte Sorte - lieferte. Er nannte dabei den Namen eines Kollegen, der die Pizza für ihn bestellt haben soll. Der Mitarbeiter schöpfte keinen Verdacht, der Angreifer hatte freien Zugang zu den Unternehmensdaten. Hier wurden die persönlichen Daten wie Name und Lieblingsessen online via Facebook ausgeforscht und in der realen Welt zur Schwachstelle gemacht.

Dies geht allerdings auch auf umgekehrten Weg: In einem Parkhaus in den USA wurden auf den Autos Zettel abgelegt, die ein kostenloses Parkticket darstellen sollten. Um dieses einzulösen, müsse man sich lediglich auf der Website des Parkhauses registrieren. "Niemandem erschien das suspekt", meint Conheady. Die vermeintlich echt aussehende Website lieferte allerdings kein Parkticket, sondern Malware, also Schadprogramme.

Was kann man eigentlich tun?

Gegen derartige Angriffe kann man sich nur schwer schützen. Oft lässt sich Schadensbegrenzung betreiben, indem man etwa gleich nach einem Verdacht auf betrügerische Aktivitäten reagiert und mit dem betroffenen Unternehmen Kontakt aufnimmt, rät die Social Engineering-Expertin. In Unternehmen soll man zudem "so viel technische und physische Kontrollmechanismen wie möglich" installieren, und "auf das Problem aufmerksam machen".

"Callcenter-Mitarbeiter sind in der Kette die ersten, die Opfer von sozialer Manipulation werden. Sie sind darauf spezialisiert, immer hilfsbereit zu sein und freundlich Auskunft zu geben - und sie erzählen manchmal Dinge, die sie besser für sich behalten hätten", erzählt Conheady aus ihren Praxis-Erfahrungen in Unternehmen.

Zusammenarbeit als Schlüssel

Doch nicht nur die Opfer sind häufig in Callcentern zu finden: "Es gibt mittlerweile eigene Social Engineering-Callcenter, in denen sich riesige Gruppen zusammengeschlossen haben, um Leute zu betrügen", meint Conheady.

Ivan Ristic, Director of Engineering bei Qualys, der auf der DeepSec-Konferenz die Keynote gehalten hat, plädiert dafür, dass sich auch die Sicherheitsexperten von Unternehmen untereinander mehr austauschen sollten. "Die bösen Buben arbeiten alle zusammen. Auch wir müssen lernen, uns gegenseitig mit Informationen zu versorgen." Ristic zeigt sich optimistisch, dass dies in den nächsten fünf Jahren gelingen werde.

(Barbara Wimmer)

DeepSec-Konferenz

Die Sicherheitskonferenz DeepSec findet vom 23. bis einschließlich 26. November in Wien statt. Sie dient als Plattform für Sicherheitexperten aus allen Bereichen. Hacker und Forscher sind ebenso vertreten wie Entwickler und Administratoren.

Link:

DeepSec

Fall "Robin Sage"

Der US-Sicherheitsexperte Thomas Ryan entwickelte als Experiment eine Kunstfigur namens Robin Sage. Er legte mit einem Foto einer Schönheit, die sich als Expertin für Cyberkriminalität ausgab, zahlreiche Profile in Sozialen Netzwerken an und entlockte damit Sicherheitsexperten und Politikern brisante Informationen, etwa über den Afghanistan-Krieg. Auch Jobangebote und Essenseinladungen waren keine Seltenheit. Dabei versteckten sich im Profil sehr wohl kleine Ungereimtheiten, wie etwa eine "zehnjährige Berufserfahrung" der 25-Jährigen. Im Dezember 2009 präsentierte er auf der Black Hat-Konferenz die ernüchternden Ergebnisse.

Link:

Robin Sage auf Wikipedia