Bedrohung

Social Engineering

Social Engineering erkennen und abwehren

Von Robert Korizek, Zürich

Social Engineering umgeht sämtliche technischen Abwehrmaßnahmen und nutzt direkt den Menschen als Schwachstelle. Um solche Angriffe zu erkennen und zu bekämpfen, braucht man gut ausgebildete und sensibilisierte Mitarbeiter sowie passende Policies.

Jedes IT-System ist in irgendeiner Form von Menschen abhängig – die Menschen stellen vielleicht sogar die wichtigsten Teile der Informationsverabeitung dar. Der Mensch als Sicherheitslücke ist daher universell: unabhängig von Plattformen, Software, Netzwerk oder der Systemkonfiguration. Social Engineering greift diesen Teil der IT-Infrastruktur direkt an.

Konkret beschäftigt sich Social Engineering meist mit psychologischen Taktiken und Tricks, die (in- oder externe) unbefugte Personen auf IT-Benutzer anwenden, um sie zur Herausgabe von Passwörtern, vertraulichen Informationen oder Ähnlichem zu veranlassen. Es ist die Kunst, Menschen derart zu manipulieren, dass sie Handlungen vollziehen, die sie normalerweise nicht tun würden. Die gewonnenen Informationen nutzt der Angreifer üblicherweise zum unbefugten Eindringen in IT-Systeme.

Leider ist Social Engineering bei unternehmensweiten IT-Risikoanalysen genauso selten ein Thema wie bei in- oder externen IT-Revisionen, auch wenn professionelle IT-Sicherheitsberatungsfirmen sie durchführen. Außerdem findet dieses Thema auch in den Standardwerken wie Cobit oder ISO 17799 keine Erwähnung.

Direkte Attacken

Ein wesentliches Merkmal des unmittelbaren Social Engineering ist der Versuch einer meist unbekannten Person, ein Vertrauensverhältnis zu einem Mitarbeiter eines Unternehmens aufzubauen. Sobald dieses Vertrauen hergestellt ist, missbraucht sie es dann. Die eigentlichen Aktionen reichen weit in Gebiete der angewandten Psychologie: Neurolinguistische Programmierung, Verhaltensforschung und anderes können Social Engineering für ungeschulte, nicht sensibilisierte Mitarbeiter in kritischen Positionen zu einer veritablen und unter Umständen nur schwer zu entdeckenden Bedrohung machen.

Sich als Mitarbeiter ausgeben

Help-Desks großer Unternehmen sind heutzutage fast chronisch überlastet. Gleichzeitig oder gerade deshalb bilden sie auch eines der häufigsten Angriffsziele. Ein üblicher Vorwand ist das Vortäuschen eines Passwortverlusts und die Bitte um die Ausstellung eines neuen. Ohne etablierte, erprobte und zuverlässige Prüfprozesse kommt es häufig vor, dass das neue Passwort auch einem Unbefugten direkt per Telefon gesagt wird.

Selbst bei schärferen Kontrollen der Anruferidentität muss man davon ausgehen, dass ein gut vorbereiteter Angreifer diese Kontrollen problemlos überwindet, sofern er sich ausgiebig über die Person erkundigt hat, die er zu sein vorgibt.

Die Attacke lässt sich verschärfen, wenn der Angreifer vorgibt, eine hochgestellte Person im Unternehmen zu sein. Er kann (zeitlichen) Druck ausüben und mit Beschwerde beim Vorgesetzten des Help Desk-Angestellten drohen.

Vermeintliche Berechtigung vortäuschen

Durch sorgfältige Vorbereitung – wie sie nicht nur bei professionellen Angriffen fast immer geschieht – kann der Angreifer Namen fachlich hochgestellter Mitarbeiter herausfinden und ihre Autorität ausnutzen, um an die gewünschte Information zu gelangen. So kann der Angreifer beim Kontakt zum Help-Desk oder hierarchisch unterstellten Mitarbeitern behaupten, die Anforderung bestimmter Daten schon mit der bewussten Person abgeklärt zu haben. Noch stärker wird dieses Argument (und noch größer die Unsicherheit im Unternehmen), wenn sich diese tatsächlich im Urlaub befindet oder anderweitig unerreichbar ist.

Sich als PC-Supporter ausgeben

Der Angreifer kann auch vortäuschen, ein Mitarbeiter des internen Support-Teams zu sein und wichtige Wartungs-, Reparatur- oder Installationsarbeiten ausführen zu müssen, wozu das Passwort des Benutzers unbedingt notwendig ist ...

Vor Ort operieren

Social Engineering ist nicht auf Telekommunikation beschränkt. Angreifer können im Bürogebäude der Opferfirma auftauchen und vorgeben, Mitarbeiter, Gast, externer Berater, Reinigungsangestellter, Blumen-/Paket-/Pizzakurier oder was-auch-immer zu sein. Wesentlich ist dabei eine zur Rolle glaubwürdige Erscheinung, Kleidung usw.

Abfall durchsuchen

Besonders bei fehlender Klassifikationsregelung darf man annehmen, dass sich im üblichen Büroabfall auch vertrauliche oder geheime Informationen befinden, die einen Social-Engineering-Angriff vereinfachen oder bereits die gewünschten Daten enthalten.

Indirekte Attacken

Neben Social Engineering durch menschliche Aktivitäten, gibt es auch technikbasierte Attacken. Dabei bedient sich ein Angreifer einer Software, die das Opfer veranlasst, die gewünschten Daten einzugeben oder bestimmte Programme auszuführen, beispielsweise ein Trojanisches Pferd. Selbst Virenangriffe wie "I love You" können als gelungene Beispiele betrachtet werden. Neugierde und Leichtgläubigkeit spielen immer wieder eine wesentliche Rolle bei erfolgreichen Social Engineering-Angriffen.

Passwörter per Internetdienst generieren -- DigiCrime.com warnt auf amüsante Weise vor Naivität (vgl. [7]) und demonstriert reichlich "Web-Schabernack" (dennoch sollte man auch dort besser keine sensitiven Daten angeben).

Popup-Fenster

Der Angreifer kann aktive Inhalte im Netz des Opfers oder auf einer häufig besuchten externen Website platzieren, die eine Meldung auf den Bildschirm der Mitarbeiter bringt, die Verbindung zum Netzwerk sei verloren gegangen und man müsse sich durch die Eingabe des Passworts neu anmelden. Bei der Neueingabe wird das Passwort jedoch gespeichert und auf einem definierten Weg zum Angreifer übertragen.

Mit Java und JavaScript lässt sich ohne großen Aufwand ein einfaches Trojanisches Pferd [6] aufsetzen, das einen arglosen Anwender womöglich zur Preisgabe seines Dial-up-Pasworts verleitet.

E-Mail-Attachments

Fehlende Virenerkennungssoftware und mangelnde Sensibilisierung lassen die Wahrscheinlichkeit erheblich steigen, dass E-Mail-Attachments wie "I Love You", "Fun Love" oder "Anna Kournikova" bedenkenlos geöffnet werden und dann Viren, Trojanische Pferde usw. diese menschliche Schwäche ausnützen.

Erkennungsmuster

Um einen Social-Engineering-Angriff zu erkennen, bedarf es sensibilisierter Mitarbeiter, die über die Thematik, das Potenzial solcher Attacken und ihre Methoden informiert sind. Bei Kontakten mit Außenstehenden sollte man beispielsweise auf folgendes Verhalten achten:

• Falsche, zu formelle, ungewohnte Bezeichnungen für Organisationseinheiten, Prozesse, Systeme, Applikationen usw.: In jedem Unternehmen haben sich gewisse Begriffe eingebürgert, die man intern wie selbstverständlich verwendet, die aber für Außenstehende eine nicht ganz einfach zu überwindende Slang-Barriere bilden, die nirgends explizit beschrieben und nicht ohne weiteres zu erlernen ist.
• Wenn ein Gesprächspartner vorgibt, nicht erreichbar zu sein und später zurückzurufen oder eine ungültige Telefonnummer hinterlässt, sollte dies den Verdacht auf einen Social-Engineering-Angriff erhärten.
• Sobald eine auffällige Unwissenheit über (IT-) Prozesse oder interne Weisungen offensichtlich wird, sollte dies die Vorsicht der Mitarbeiter erhöhen: beispielsweise wenn ein angeblicher Systemadministrator behauptet, ein Passwort sei seit einem Jahr nicht mehr gewechselt worden (trotz wiederholtem Anmelden), während das System automatisch einen Wechsel nach 3 Monaten erzwingt, oder wenn ein angeblicher IT-Mitarbeiter den Help-Desk nach dem verwendeten Betriebssystem fragt.
• Einschüchterung, das Androhen von Strafmaßnahmen oder Beschwerden bei Nichterfüllen der geforderten Wünsche kann ebenfalls ein Indiz für Social-Engineering-Angriffe sein.
• Fragen nach geheimen Informationen wie Passwörtern, Produktplänen, buchhalterischen Kennziffern usw. können ebenfalls auf einen Social Engineering-Angriff hinweisen.

Die Erkennungsmuster für technikbasiertes Social Engineering sind ähnlich wie beim Virenbefall, aber sehr schwer zu entdecken. Welcher normale Benutzer würde bei der heutigen (In-)Stabilität der IT-Systeme zum Beispiel das wiederholte Erscheinen einer (manipulierten) Eingabemaske, die eine erneute Passworteingabe wegen vermeintlichen Netzwerkabsturzes verlangt, ohne weiteres als einen Social-Engineering-Angriff deuten?

Es gibt jedoch auch plumpe Angriffe. Ein Beispiel (inkl. Originaltippfehler), das ziemlich offensichtlich ist, stammt aus dem CERT Advisory CA-1991-04 Social Engineering [1]:

OmniCore is experimenting online – high resolution graphics
display on the UNIX BSD 4.3 system and it's derivitaves. But, we
need your help in testing our new product – TurboTetris. So, if
you are not to busy, please try out the ttetris game in your
machine's /tmp directory. just type:

/tmp/ttetris

Because of the graphics handling and screen-reinitialazation, you will
be prompted to log on again. Please do so, and use your real password.
Thanks you for your support. You'll be hearing from us soon!

Prävention und Abwehr

Die möglichen Präventiv- und Abwehrmaßnahmen gegen Social Engineering lassen sich in die Kategorien "Richtlinien" (Policies) und "Ausbildung" zusammenfassen. Richtlinien dienen allgemein als Basis für IT-Sicherheitsprogramme in Unternehmen. Sie geben das gewünschte Verhalten vor, dienen als Nachschlagewerk, Ausbildungsunterlage und gegebenenfalls auch als Hilfsmittel zur Beurteilung der Tragweite von Verstößen.

Im Zusammenhang mit den Risiken des Social Engineering sind besonders Richtlinien zu folgenden Themen wichtig:

• Passwörter: Erstellung, Handling, Verantwortlichkeiten, Ablauf
• Viren: Übertragung, Symptome, Reaktion usw.
• Benutzerkontenverwaltung und Benutzerrechteverwaltung: Verantwortlichkeiten, ggf. "Need to know"-Prinzip, Ablauf
• Help-Desk: Aufgaben, Verantwortlichkeiten, Stellvertretung, Eskalation, Tracking (eine telefonische Ansage, dass eingehende Anrufe zu Schulungs- und anderen Zwecken aufgezeichnet werden können, wirkt abschreckend – diese Massnahme muss jedoch in einen größeren Zusammenhang gestellt werden)
• Verstöße gegen Richtlinien und ihre Konsequenzen
• Klassifikation von Daten: Ownership-Prinzip, Aufbewahrung, Übermittlung, Deklassifizierung, Vernichtung und weitere Schritte dazwischen
• Informationsfluss aus dem Unternehmen: eine Zentralisierung aller das Unternehmen verlassenden Informationen ist nicht nur in Zeiten von Mergers & Aquisitions (M&A) eine grundsätzliche Notwendigkeit
• Physische Sicherheit: physische Zutrittskontrolle, zuverlässige Schließysteme, Überwachungskameras, Wachen usw.
• Physische Identifikation von Mitarbeitern: äußerlich sichtbare Zugehörigkeit zum Betrieb

Ausbildung

Ohne Unterricht, Training, Durch- und Umsetzung sind jedoch sämtliche Richtlinien wertlos. Es genügt nicht, sie bloß zu veröffentlichen. Sie entfalten ihre Wirkung erst durch konsequentes, systematisches und wiederholtes Betonen ihrer Bedeutung, Erklärung ihres Inhalts und eine planmäßige Pflege und Weiterentwicklung. Die Benutzer sollten das Verständnis der Richtlinien nach der Ausbildung durch eine Unterschrift bestätigen. Richtlinien können zudem einen Bestandteil des Arbeitsvertrags bilden.

Besonders im Hinblick auf Social Engineering sind folgende ausbildungs-orientierten Aktivitäten wertvoll:

• besondere Information der Help Desk-Mitarbeiter,
• Information betroffener Gruppen während und nach Angriffen,
• einfache und prägnante gedruckte Unterlagen zum gewünschten Verhalten,
• koordinierte unternehmensweite Reaktion sobald ein (entsprechend aufwändiger) Angriff erkannt wurde,
• definierte Eskalationswege,
• Vorgehen und rechtliche Aspekte zum Zurückverfolgen von Telefonanrufen.

Genau so wie Penetration Tests die Verwundbarkeit von Netzwerken überprüfen, sind auch Testangriffe zum Social Engineering denkbar, um den Sicherheitsstand des eigenen Unternehmens regelmäßig zu überprüfen.

Robert Korizek (CISSP) arbeitet als IT-Security Officer bei der Schweizerischen Rückversicherungsgesellschaft in Zürich und beschäftigt sich mit organisatorischen, personellen und rechtlichen Aspekten der IT-Sicherheit.

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 1/2002, Seite 10

Zurück zum Inhalt