Social-Engineering-Attacken erkennen und abwehren – Teil 1

Im Blogartikel «Deception – Täuschung» hat Lenti über das Thema Deception geschrieben. In diesem Beitrag gehen wir genauer darauf ein, zeigen mögliche Angriffsszenarien sowie Abwehrstrategien und erläutern, wie wir die Abwehr trainieren können.

Nach wie vor ist das Thema der Bannung von Social Engineering viel wichtiger, als oft angenommen wird. Der Mensch bleibt das schwächste Glied in der Kette der möglichen Angriffspunkte. Es bleibt weiterhin wichtig, eine gute Abwehr auf Basis von Software und Hardware zu beschaffen und diese stets aktuell zu halten. Dies allein reicht jedoch nicht aus, wenn diese Schutzmassnahmen durch die Mitarbeiter leicht umgangen werden können.

Der Social Engineer setzt die Technik gleich ein, wie wir das täglich machen, wenn wir bei den Mitmenschen etwas erreichen möchten. Wir schlüpfen in Rollen, versuchen Vertrauen aufzubauen und fordern gegenseitige Verpflichtungen ein. Die gleichen Techniken verwendet auch der «Profi», nur dass er dies äusserst manipulativ, auf eine höchst unethische Art und Weise macht. Dies hat schlussendlich fatale Folgen für das Opfer und dessen Firma.

Das Thema ist recht umfangreich und deshalb werden wir es in zwei Teilen veröffentlichen.

Im Teil 1 mit Fokus darauf, wie Angriffe gemacht werden. Die «Angriffsvektoren» sind in jeweils einem eigenen Unterkapitel dargestellt, um einen schnellen Zugriff zu ermöglichen und damit nicht der gesamte Text gelesen werden muss, falls die Zeit knapp ist.

Im Teil 2 zeigen wir, wie diese abgewehrt und die Abwehr geübt werden können.

Die Merkmale der Rolle

Der Social Engineer schlüpft in eine Rolle und verstärkt diese durch spezifisches Verhalten oder durch geeignete Kleidung. Die meisten von uns neigen dazu, Lücken auszufüllen, wenn nur ein paar Merkmale einer Rolle vorhanden sind.

Beispiel: Wir sehen einen Mann als Manager gekleidet → wir gehen davon aus, dass er intelligent, konzentriert und zuverlässig ist.

Bei fast jedem Angriff nutzt der Angreifer Merkmale der gewünschten Rolle, damit die Zielperson daraus auf weitere Merkmale schliesst und entsprechend handelt.

Mögliche Rollen sind z. B. die eines IT-Mitarbeiters, eines Kunden, eines neuen Mitarbeiters oder einer anderen Person, die die Befolgung bestimmter Wünsche begünstigen.

Glaubwürdigkeit

Der erste Schritt bei einem Angriff ist der Aufbau von Glaubwürdigkeit. Dies ist eine gute Grundlage für alles Folgende.

Beispiel: Man versucht, mit jemandem zum Mittagessen zu gehen, damit andere sehen, dass man mit dieser Person in Kontakt steht.

Oder wenn das Opfer die Trojaner-Software auf ihr Geheiss heruntergeladen hat: «Bitte geben Sie Ihr Passwort ein, aber verraten Sie es mir auf keinen Fall.» Es wird betont, dass niemand das Passwort weitergeben soll, um Vertrauen zu schaffen.

Oder wenn der Angreifer gut vorbereitet ist, kann er eine Aussage treffen, die eintritt, nachdem er sie angekündigt hat, und „hilft“ anschliessend bei der Lösung. Dies gelingt problemlos, da der Angreifer den Angriff selbst initiiert hat und genau kennt.

Das Ziel in eine Rolle zwingen und der Wunsch zu helfen

Der Social Engineer manövriert das Opfer in eine andere Rolle. Unterwerfung kann durch aggressives Verhalten erzwungen werden.

Beispiel: Noch besser als Unterwerfung ist es, wenn der Angreifer sein Opfer in die «Helferrolle» bringt. Dabei wird eine Situation geschaffen, in der sich das Opfer wohlfühlt, indem es dem Angreifer hilft.

In einer solchen Situation ist es nicht einfach, sich der Hilfeleistung zu entziehen. Der Wunsch zu helfen ist gross. Psychologen haben viele Vorteile gefunden, die Menschen empfinden, wenn sie anderen helfen. Helfen kann uns das Gefühl geben, selbstbestimmt zu sein. Es kann uns aus einer schlechten Stimmung helfen und dazu beitragen, dass wir uns selbst besser fühlen. Social Engineers finden viele Möglichkeiten, unsere Neigung zur Hilfsbereitschaft auszunutzen.

Ablenkung vom systematischen Denken

Sozialpsychologen haben festgestellt, dass wir Menschen auf zwei Arten eingehende Informationen verarbeiten – systematisch und heuristisch.

Systematisches Denken ist mit sorgfältigem Nachdenken verbunden. Bei heuristischem Verhalten versuchen wir, eine mentale Abkürzung zu nehmen. Der Angreifer versucht also, sein Opfer in den heuristischen Modus zu versetzten, da es im systematischen Modus eher unwahrscheinlich ist, einen Zugang zu erhalten oder einen Wunsch erfüllt zu bekommen.

Beispiel: Eine Taktik besteht darin, das Ziel fünf Minuten vor einem Termin anzurufen, beispielsweise am Ende des Arbeitstages (wenn Zug oder Tram bald fährt), und darauf zu spekulieren, dass die Angst vor einer Verspätung die Zielperson dazu verleitet, einem Ersuchen nachzukommen, das sonst möglicherweise abgelehnt worden wäre.

Eigendynamik der Einhaltung

Diese Taktik besteht darin, eine Reihe von Anfragen in Folge zu stellen, wobei mit harmlosen Fragen begonnen wird.

Beispiel: Colombo (wer sich noch daran erinnert). Der etwas schäbig wirkende Detektiv stellt viele kleine, unbedeutende Fragen. Bevor er sich auf den Weg macht und dies klar andeutet, entspannt sich das Opfer und ist froh nichts preisgegeben zu haben. Es fährt die «Abwehrkräfte» herunter und dann kommt die «letzte Frage», auf die Colombo die ganze Zeit zugearbeitet hat. Es ist die Schlüsselfrage zur Aufklärung des Mordes.

Social Engineers verwende oft diese Taktik des «Noch-etwas».

Attribution

Attribution bezieht sich auf die Art und Weise, wie Menschen ihr eigenes Verhalten und dass von anderen erklären. Der Angreifer versucht, bestimmte Eigenschaften wie Fachwissen, Vertrauenswürdigkeit und Glaubwürdigkeit zu erzeugen.

Beispiel: Ein Social Engineer könnte auf einen Portier zugehen, einen 5-Euro-Schein auf den Tresen legen und sagen: «Das habe ich auf dem Boden gefunden. Hat jemand gemeldet, dass er Geld verloren hat?»

Der Portier würde der Person die Eigenschaften Ehrlichkeit und Vertrauenswürdigkeit zurechnen. Wenn wir einen Mann sehen, der einer älteren Dame die Tür aufhält, denken wir, es sei Höflichkeit; wenn die Frau jung und attraktiv ist, schreiben wir ihm wahrscheinlich ganz andere Beweggründe zu. Oder etwa nicht?

Gefällt mir

Wir sagen eher ja, wenn wir jemanden sympathisch finden.

Beispiel: Menschen mögen jene, die ihnen ähnlich sind, z. B. ähnliche berufliche Interessen, den gleichen Bildungshintergrund oder vergleichbare persönliche Hobbys haben.

Der Angreifer wird häufig den Hintergrund seiner Zielperson recherchieren und sich so informieren, damit er das gleiche Interesse an Dingen hat wie die Zielperson – Sei es Segeln oder Tennis, antike Flugzeuge, das Sammeln alter Waffen oder was auch immer. Durch gezielte Komplimente und Schmeicheleien wird die Sympathie gesteigert. Auch ein attraktives Erscheinungsbild kann genutzt werden, um die Sympathie zu steigern.

Furcht

Diesen Faktor hat Lenti schon im Blog über Deception erwähnt. Statusbasierte Angriffe (meist in der untersten Hierarchiestufe) basieren häufig auf Angst. Ein Social Engineer, getarnt als Führungskraft, kann es auf eine/n Büroangestellte/n oder eine Nachwuchskraft abgesehen haben, indem er eine «dringende» Forderung stellt und andeutet, dass die betroffene Person in Schwierigkeiten geraten oder sogar entlassen werden könnte, wenn sie der Anweisung nicht folgt.

Beispiel: Getarnt als CFO kann der Angreifer eine Buchhaltungsmitarbeiter mit Drohungen dermassen unter Druck setzen, dass dieser Zahlungen genehmigt, obwohl es ausserhalb seiner Kompetenz liegt.

Reaktanz

Für mich ein sehr wichtiges Kapitel. Die psychologische Reaktanz ist die negative Reaktion, die wir erleben, wenn wir das Gefühl haben, dass uns Entscheidungen oder Freiheiten weggenommen werden. In einer Situation der Reaktanz verlieren wir den Sinn für die Perspektive, da unser Wunsch nach dem Verlorenen alles andere in den Schatten stellt.

Beispiel: Bei einem typischen Angriff, der auf Reaktanz basiert, teilt der Angreifer seinem Ziel mit, dass der Zugriff auf Computerdateien für eine gewisse Zeit nicht möglich sein wird, und nennt dabei eine inakzeptable Dauer.

Er könnte beispielsweise sagen: «Sie werden zwei Wochen lang keinen Zugriff auf Ihre Dateien haben, aber wir werden unser Bestes tun, damit es nicht noch länger dauert.» Das Opfer bietet dem Angreifer daraufhin an, bei der schnelleren Wiederherstellung der Dateien zu helfen. Dazu benötigt der Angreifer nur den Benutzernamen und das Passwort des Ziels. Das Ziel, erleichtert über die Möglichkeit, den drohenden Verlust abzuwenden, wird in der Regel gerne nachgeben.

Zu den Gegenmassnahmen kommen wir im Teil 2. Wir möchten Sie jedoch nicht ohne einen Denkanstoss weiterziehen lassen und geben Ihnen etwas zum Nachdenken mit.

Wer in Ihrem Umfeld beherrscht das Social Engineering am besten? Von wem können Sie viel lernen? Von den echten Profis natürlich!

Haben Sie Kinder? Wenn Sie keine eigenen Kinder haben, sind Sie vielleicht Patin oder Pate?

^[1] Viele Kinder (oder sind es die meisten?) haben ein erstaunliches Mass an manipulativen Fähigkeiten – ähnlich wie die Fähigkeiten von Social Engineers. Im Unterschied zu den Social Engineers verlieren die Kinder allerdings in den meisten Fällen diese Eigenschaften, wenn sie heranwachsen und sozialisierter werden.

Beispiel

Auszug aus dem Buch ^[1] Kapitel 10.

Als Bill Swimon und ich dieses Buch zu Ende schrieben, wurde ich Zeuge, wie ein Kind Social-Engineering-Angriff mit voller Wucht ausübte. Meine Freundin Darci und ihr neunjähriges Kind die Tochter Briannah, waren zu mir nach Dallas gekommen, während ich dort geschäftlich unterwegs war. Im Hotel am letzten Tag vor dem abendlichen Flug, stellte Briannah die Geduld ihrer Mutter auf die Probe, indem sie verlangte, dass sie in ein Restaurant gehen, dass sie für das Abendessen ausgesucht hatte. Dies versuchte sie mit einem typischen kindlichen temperamentvollen Wutanfall durchzusetzen. Darci wandte die milde Strafe an, ihr vorübergehend den Gameboy wegzunehmen und sie damit ihre Computerspiele einen Tag lang nicht benutzen dürfe.

Briannah ließ sich das eine Zeitlang gefallen und begann dann nach und nach mit verschiedenen Möglichkeiten, ihre Mutter davon zu überzeugen, ihr die Spiele wieder zu überlassen. Sie war immer noch dabei, als ich zurückkam und mich zu ihnen gesellte. Das Kind war ständig nervig am Quengeln; dann wurde uns klar, dass sie versuchte, die Gesellschaft zu manipulieren.

Ich begann mir Notizen zu machen:

• «Mir ist langweilig. Kann ich bitte meine Spiele wiederhaben.» (Gesprochen als Forderung, nicht als Frage).
• «Ich mache dich verrückt, wenn ich nicht meine Spiele spielen kann.» (Begleitet von einem Wimmern.)
• «Ohne meine Spiele habe ich im Flugzeug nichts zu tun.» (Gesprochen in einem Tonfall von „Jeder Idiot würde dies verstehen.“)
• «Es wäre doch in Ordnung, wenn ich nur ein Spiel spielen würde, oder?» (als Frage getarntes Versprechen).
• «Ich werde brav sein, wenn du mir mein Spiel zurückgibst.» (Die Untiefen der aufrichtigen Aufrichtigkeit).
• «Gestern Abend war ich wirklich brav, warum kann ich nicht jetzt ein Spiel spielen?» (Ein verzweifelter Versuch, der auf einer verworrenen Argumentation beruht).
• «Ich werde es nie wieder tun. (Pause.) Kann ich jetzt ein Spiel spielen?» („Ich werde es nie wieder tun“ – für wie leichtgläubig hält sie uns?)
• «Kann ich es jetzt zurückhaben, bitte?» (Wenn Versprechen nicht funktionieren, vielleicht hilft ein wenig Betteln…)
• «Ich muss morgen wieder zur Schule gehen, also werde ich nicht in der Lage sein mein Spiel zu spielen, wenn ich nicht sofort loslegen kann.» (Okay, wie viele verschiedene Formen des Social Engineering gibt es? Vielleicht hätte sie an diesem Buch mitarbeiten sollen).
• «Es tut mir leid und ich war falsch. Kann ich nur eine Weile spielen?» (Die Beichte mag gut für die Seele sein, aber sie wirkt vielleicht nicht so sehr als Manipulation).
• «Kevin hat mich dazu gezwungen.» (Ich dachte, das sagen nur Hacker!)
• «Ich bin wirklich traurig ohne mein Spiel.» (Wenn nichts anderes funktioniert, versuchen Sie es auf der Suche nach ein wenig Sympathie).
• «Ich habe mehr als den halben Tag ohne mein Spiel verbracht.» (Mit anderen Worten: „Wie viel Leid ist genug Leid?“)
• «Das Spielen kostet kein Geld.» (Ein verzweifelter Versuch, die Vermutungen anstellen, was der Grund für die Verlängerung der Frist durch die Mutter sein könnte für eine so lange Strafe. Schlecht geraten.)
• «Es ist mein Geburtstagswochenende und ich kann meine Spiele nicht spielen.» (Ein weiterer kläglicher Versuch, Mitleid zu erregen.)

Und als wir uns auf die Fahrt zum Flughafen vorbereiteten, ging es weiter:

• «Ich werde mich am Flughafen langweilen.» (In der vergeblichen Hoffnung, dass Langeweile würde als furchterregende Sache betrachtet werden, die man tunlichst vermeiden sollte, um jeden Preis. Wenn Briannah sich genug langweilt, könnte sie vielleicht versuchen Bilder zu malen oder ein Buch zu lesen).
• «Es ist ein dreistündiger Flug und ich werde nichts zu tun haben!» (Immer noch die Hoffnung, dass sie das Buch nicht aufschlagen müsste, das für sie mitgenommen wurde.)
• «Es ist zu dunkel zum Lesen und zu dunkel zum Zeichnen. Wenn ich ein Spiel mache, kann ich den Bildschirm sehen.» (Der vergebliche Versuch einer Logik.)
• «Kann ich wenigstens das Internet benutzen?» (Es muss einen Kompromiss geben in deinem Herzen).
• «Du bist die beste Mutter der Welt!» (Sie ist auch geschickt mit Komplimenten und Schmeicheleien in einem schwachen Versuch, das zu bekommen, was sie will.)
• «Das ist nicht fair!!!» (Der letzte Versuch.)

Wenn Sie also besser verstehen wollen, wie Social Engineers ihre Ziele manipulieren und wie Sie Menschen aus dem Zustand des Denkens herausbringen und in einen emotionalen Zustand versetzen… hören Sie einfach auf Ihre Kinder.

Als Test können Sie bei den Sätzen oben versuchen das entsprechende Kapitel der Attacken zuzuweisen. 😀

Die Entschärfung von Social-Engineering-Angriffen erfordert eine Reihe von koordinierten Anstrengungen, darunter die folgenden:

• Entwicklung klarer und präziser Sicherheitsprotokolle, die einheitlich in der gesamten Organisation durchgesetzt werden
• Entwicklung von Schulungen zum Sicherheitsbewusstsein
• Entwicklung einfacher Regeln zur Festlegung, welche Informationen als sensibel gelten
• Entwicklung einer einfachen Regel, die besagt, dass immer dann, wenn ein Antragsteller eine eingeschränkte Aktion anfordert (d.h. eine Aktion, die eine Interaktion mit computergestützten Geräten erfordert, deren Folgen nicht bekannt sind), die Identität des Antragstellers gemäss der Unternehmensrichtlinien überprüft werden muss
• Entwicklung einer Datenklassifizierungspolitik
• Schulung der Mitarbeiter im Umgang mit Social-Engineering-Angriffe
• Testen der Anfälligkeit Ihrer Mitarbeiter für Social-Engineering-Angriffe durch die Durchführung einer Sicherheitsbewertung

Der wichtigste Aspekt des Programms besteht darin, geeignete Sicherheitsprotokolle festzulegen und die Mitarbeiter zu motivieren, sich an diese Protokolle zu halten.

Im nächsten Teil werden einige grundlegende Punkte erläutert, die zu beachten sind, bei der Entwicklung von Programmen und Schulungen zur Bekämpfung der Social Engineering-Bedrohung.

Sie sehen, die Social Engineers sind mit allen Wassern gewaschen und versuchen auf hinterlistige Art und Weise, ihre Opfer zu instrumentalisieren. Indem man die gängisten Tricks und Vorgehen der Angreifer kennt, kann man sich bereits zu einem guten Teil davor schützen. Denn fällt einem ein solches Verhalten auf, sollten direkt die Alarmglocken läuten. Den zweiten Teil zu diesem spannenden Thema werden wir hier in ein paar Wochen veröffentlichen.