Es ist schwer, sich vor Social Engineering zu schützen, da solche Angreifer einfach Freundlichkeit und Hilfsbereitschaft ausnutzen. Mit einigen Tipps kann man aber vermeiden, zur bloßen Marionette eines Hackers zu werden.
Schon einmal von einem freundlichen Betrüger hereingelegt worden? Würde man das überhaupt merken? Hochstapler praktizieren eine subtile Kunst. Durch ihre Methoden, sofern sie richtig angewandt werden, sind die Opfer hinterher so klug wie zuvor und haben keine Ahnung, wie sie dem Angreifer Zugriff gewährt haben könnten.
Gewiefte Social Engineers nutzen Schwachstellen der menschlichen Natur aus, und nicht die der Software, um in ansonsten gut gesicherte Netze einzudringen.
Ein netter Einbrecher
Ein solcher Meister des Social Engineering ist Kevin Mitnick aus den USA, der wegen Computerkriminalität bereits dreimal im Gefängnis saß. Nach Verbüßen einer fünfjährigen Haftstrafe ließ Mitnick von seinen kriminellen Aktivitäten ab und betreibt nun das Beratungsunternehmen Defensive Thinking, das sich dem Schutz ahnungsloser Mitarbeiter vor den Tricks der freundlichen Betrüger verschrieben hat.
Als einer der erfolgreichsten Cyberkriminellen der USA drehte Mitnick ein paar beeindruckende Dinger. So erschlich er sich alle möglichen Informationen: Passwörter, Modemnummern und technische Informationen im Allgemeinen. Mitnick zur Frage, wonach ein Social Engineer sucht, wenn er einen nichts ahnenden Mitarbeiter in dem angepeilten Unternehmen anruft: "Die Absicht ist meistens, jemanden anzurufen und ihn dazu zu bringen, sein Passwort zu verraten. Es gibt jedoch wesentlich raffiniertere Attacken, bei denen nur kleine Informationsbröckchen benötigt werden."
Zielt man etwa auf ein Softwareunternehmen ab - Mitnick ist dafür bekannt, dass er sich in den 80er Jahren Sourcecode von DEC und später von Nokia, Sun Microsystems, Motorola und NEC beschaffte -, würde man nicht einfach den Administrator anrufen und sagen: "Geben Sie mir Ihr Passwort."
Nein, ein geschickter Angreifer würde die niedrigeren Ebenen anpeilen, möglicherweise eine Workstation im LAN des Unternehmens, über eine ganz alltägliche technische Schwachstelle. Mit Social Engineering könnte er dann herausfinden, welche der Maschinen im Netzwerk die gesuchten Informationen enthält. Dies würde ihm unzählige Stunden des Suchens im LAN ersparen, in denen er Gefahr liefe, einen Alarm auszulösen oder den Verdacht auf sich zu lenken. Zunächst sollten Mitarbeiter darin geschult werden, "Anfragen" isoliert zu betrachten, anstatt der Umstände, unter denen diese gestellt werden. Laut Mitnick benutzen Social Engineering-Betrüger Schmeicheleien ("Sie sind die Einzige, die schlau genug ist, um das für mich zu erledigen. Bitte führen Sie die angehängte Datei aus, die ich Ihnen gleich senden werde.") und Einschüchterung ("Wenn Sie mir nicht Ihr Passwort geben, damit ich mich einloggen kann, um meine E-Mails zu bekommen, dann sind Sie Ihren Job los.").
Trennt man die Umstände von der Anfrage, dann ist das laut Mitnick schon ein großer Vorteil: "Am wichtigsten ist es, Mitarbeiter darin zu schulen, legitime und illegitime Anfragen unterscheiden zu können."
Es gibt außerdem ein paar einfache Regeln und Richtlinien, die helfen können. Fast immer wird sich ein Social Engineer weigern, eine Rückrufnummer zu hinterlassen. "Er denkt sich eine Ausrede aus, etwa: 'Mein Handy-Akku ist fast leer'", erklärt Mitnick. Indem man eine Sicherheits-Regel einführt, die besagt, dass bei einer Anfrage vertraulicher Art, und wenn man den Anfragenden nicht persönlich kennt, dieser zurückgerufen werden muss, werden etwa sieben von zehn Social Engineering-Attacken vereitelt.
Mitnick ist kein IT-Sicherheitsgeneralist; sein Revier ist Social Engineering. Während seiner Erfolgszeit als krimineller Angreifer studierte er die hier mitspielenden psychologischen Aspekte und hat nun aus diesem Verständnis ein Geschäft aufgebaut.
"Die Sozialpsychologie sagt uns, dass Menschen zwischen zwei Denkmodi wechseln: dem systematischen und dem heuristischen Modus", erklärt Mitnick. Wenn sich ein Mensch im systematischen Modus befindet, kann er klar denken. Im heuristischen Modus jedoch "sind wir nicht bei der Sache. Wir sind abgelenkt, wir denken an etwas anderes. Das ist zu 90 Prozent der Zeit der Fall."
Das sind die Phasen, in denen wir am ehesten mit einem Angreifer kooperieren. Der Hochstapler kann den Willen seines Opfers beeinflussen und lässt ihm keinen guten Grund, lange zu zögern. Er kann dies tun, indem er um etwas bittet, bei dem es um einen Gefallen oder um etwas, das an sich nicht zur üblichen Arbeit der Zielperson gehört. Auch sich bei jemandem einzuschmeicheln, steht auf der Hitliste.
"Wenn Sie mit jemandem sprechen und feststellen, dass dieser rein zufällig in derselben Gegend aufgewachsen ist oder er sich für dieselben Hobbys oder denselben Sport interessiert... Der Angreifer möchte Ihnen ein Spiegelbild vorhalten, denn psychologisch neigen Sie eher dazu, jemanden zu mögen, der Ihnen ähnelt", sagt Mitnick. "Und wenn Sie jemanden mögen, gehen Sie eher auf seine Anfrage ein. Sind zu viele Zufälligkeiten vorhanden, kann das eine gelbe Flagge sein." Mitnick befürwortet die Einführung von roten und gelben "Flaggen" um Mitarbeitern zu helfen, festzustellen, wann sie jemand hinters Licht führen möchte. "Wenn Sie mit jemandem sprechen und dieser Sie mit Schmeicheleien überhäuft, wenn er Ihnen sagt, dass Sie die Einzige seien, die schlau genug ist, seine Anweisungen zu befolgen, kann das eine rote Flagge sein", erklärt er.
Es ist die Neigung der Menschen, Fremden automatisch zu vertrauen, statt ihnen zu misstrauen, die den Marionettenspielern des Social Engineering ihre Macht gibt. Wie oft hat man schon im eigenen Unternehmen einem Fremden die Tür aufgehalten und diesen so ins Gebäude gelassen, ohne dass dieser sich ausweisen musste? Menschen möchten beliebt sein, auch bei Fremden, und so erweisen sie ihnen Gefallen. Und natürlich ist es nur höflich, wo möglich einen Gefallen zu erwidern. Diese menschliche Neigung ist laut Mitnick ein großes Einfallstor für gewiefte Angreifer. Das Ausnutzen dieses Charakterzugs zählte zu seinen eigenen erfolgreichsten Methoden.
"Wenn Ihnen jemand einen Gefallen erweist, ist es die Regel in jeder menschlichen Gemeinschaft, entsprechend freundlich zu reagieren. Das ist in jeder Gesellschaft fest verwurzelt, besonders in den USA", so Mitnick. "Ein Angreifer wird vorgeben, Ihnen bei der Lösung eines Problems behilflich zu sein. Oder er wird ein Problem erfinden und so tun, als ob er Ihnen helfen würde."
Ein Angreifer ruft vielleicht den Support an und fragt die Mitarbeiter nach Störungsmeldungen, wobei er vorgibt, eine Untersuchung für die Geschäftsleitung durchzuführen. Ist er dann im Besitz der Details einer Störungsmeldung, kann er sich als Support-Mitarbeiter ausgeben und den Anwender mit den Problemen anrufen und diesem bei der Problemlösung helfen. Warum? Ganz einfach: Damit, wenn der Angreifer ein paar Stunden später wieder anruft und sagt: "Hallo, hier ist Robert vom Support, ich habe Ihnen vor kurzem mit Ihrem E-Mail-Problem geholfen. Wenn ich Ihnen ein Diagnose-Tool per E-Mail schicke, könnten Sie das für mich dann ausführen? Das würde mir wirklich sehr helfen", der Anwender natürlich mitmachen wird. Das ist ein ziemlich einfacher Trick, könnte jedoch viele intelligente, wenn auch nichts ahnende Anwender hinters Licht führen.
Noch eine psychologische Methode, der sich Spezialisten für Social Engineering bedienen, sind "beiderseitige Zugeständnisse". "In diesem Fall bittet der Angreifer um einen Gefallen, der zu viel Zeit in Anspruch nehmen wird oder zu vertraulich ist... Er wird eine unzumutbare Bitte vorgebracht", erklärt Mitnick. Dann geht der Angreifer auf den "Wenn-Sie-mir-hierbei-nicht-helfen-können -könnten-Sie-dann-mit-jenem-helfen"-Ansatz über. "Dann meint das Opfer, nachgeben zu müssen", so Mitnick.
Jemanden dazu zu verleiten, dem Angreifer Informationen preiszugeben oder für diesen Handlungen auszuführen, ist laut dem Meister im Social Engineering mit einer guten Verkaufstechnik vergleichbar. "Hier werden Verkaufs- und Marketingstrategien benutzt und auf negative Weise angewendet", sagt er. "Man sollte einen Satz gelber oder roter Flaggen verwenden, welche Leute bezeichnen, die diese Taktiken verwenden."
Mitarbeiter müssen geschult und überprüft werden, so Mitnick. Die Risiken können zwar nicht beseitigt werden, sie lassen sich aber auf ein Mindestmaß reduzieren. Der Beweis? Vor kurzem wurde der Meister selbst getäuscht. Ein Reporter sagte Mitnick unlängst, sein Herausgeber habe ihn bevollmächtigt, über Einzelheiten seines neuen Buchs zu sprechen. Mitnick glaubte ihm, ohne die Anfrage zu überprüfen. "Ich bin selbst auf einen Hochstapler hereingefallen", gibt er zu. Der Banker
Das Nutzerkonto, auf das man einem Hochstapler auf keinen Fall Zugriff geben möchte, ist das Bankkonto. Der IT-Sicherheitsmanager der Bank of Queensland, Karl Hanmore, wurde gefragt, was er getan habe, um den Schutz vor Social Engineering zu verbessern. "Alle Mitarbeiter der Bank of Queensland erhalten während ihrer Einarbeitungsphase in der Firma IT-Sicherheitsschulungen, gefolgt von regelmäßigen Mitteilungsblättern", sagt Hanmore. "Dies ist die erste Verteidigungslinie bei Social Engineering: zu versuchen, die Attacke von vornherein zu vermeiden."
Die Bank erlaubt keine telefonischen Passwort-Resets "über elektronische Kanäle". Wenn ein Passwort für das Internet-Banking zurückgesetzt wird, werden dem Kunden die neuen Berechtigungsnachweise per Post an seine Postanschrift zugesandt.
Auch Bankmitarbeiter werden überwacht. "Es gibt etliche Überprüfungen hinsichtlich der Qualität der Leistung der Mitarbeiter. Unter anderem wird auch sichergestellt, dass sie den Kunden ordnungsgemäß identifizieren. Wir ergänzen das Standardverfahren mit extern bereitgestellten Qualitätsüberprüfungen der Call-Center-Antworten."
Mitarbeiterschulung und Risikobeurteilung sind die Schlüssel zu einer Verringerung der Risiken. "Die Fokussierung auf Mitarbeiterschulung, dokumentierte Verfahrensweisen und bekannte Eskalationspfade sind entscheidend. Eine Risikobeurteilung der angebotenen Dienstleistungen, bei denen wie bei Call-Centern die Authentifizierung besonders anfällig ist für Social Engineering, ist sehr empfehlenswert", sagt Hanmore.
Der Ex-Polizist
Bittet man den früheren Polizisten Neil Campbell darum, zum Zweck einer Prüfung mit Social Engineering-Methoden Daten im eigenen Unternehmen auszuspähen, wird er sich weigern. "Das ist für mich eine schwierige Sache. Als ich neu im Bereich IT-Sicherheit war, habe ich die Tests schon durchgeführt, doch überwiegt die nachteilige Wirkung der Tests die Vorteile", sagt Campbell, der nun die Sicherheitsabteilung von Dimension Data leitet. "Ganz gleich, wie gut die Organisation auf die Prüfung ihrer Sicherheitsinfrastruktur vorbereitet ist: Es ist immer sehr schmerzhaft, diesen Prozess durchzumachen. Hat man Erfolg, dann ist es für Einzelne peinlich. Als Anbieter ist es schwierig, diese Übung durchzuführen und dann die gute Beziehung zu erhalten."
"Kommt man nicht rein, hat man versagt, und kommt man rein, hat man jemanden bloßgestellt und damit aus Beziehungssicht versagt", fasst Campbell zusammen.
Trotz der Risiken geben Unternehmen nicht viel dafür aus, ihren Mitarbeitern Fachschulungen von Unternehmen wie Mitnicks Beratungsfirma anzubieten, so Campbell. "Um es etwas zynisch auszudrücken - wie kann ich meinem Boss sagen: 'Hey, ich habe 50.000 Dollar für die Sensibilisierung ausgegeben' und das rechtfertigen?", fragt er. "Ich glaube, dass das eines der kritischsten Sicherheitsprobleme ist, mit dem wir uns befassen müssen. Es gibt schon Dienstleistungen dafür, doch kauft sie niemand." Social Engineering kann unspektakuläre Formen annehmen. Der Internetwurm "I love you" war ein schockierendes Beispiel. Wurmschreiber und Betrüger üben sich gleichermaßen in Social Engineering, um ihre Viren und Betrügereien zu verbreiten. Ob es nun darum geht, jemanden dazu zu verleiten, seine Passwörter für das Online-Banking preiszugeben - in einer als "Phishing" bezeichneten Attacke - oder den Empfänger einer E-Mail zu überreden, einen Virenanhang auszuführen: Social Engineering ist inzwischen auch für massenhafte Verbreitung geeignet, wenn es mit Spamming-Methoden kombiniert wird.
Daniel McNamara aus Canberra schätzt diese Art von Betrug überhaupt nicht, weswegen er beschloss, etwas dagegen zu unternehmen. Er richtete eine Website namens Code Fish Spam Watch ein, um die Plage zu bekämpfen. McNamara überwacht Phishing-Betrügereien und Trojanische Pferde in Spams, in der Hoffnung, diese zu entlarven. Dies hält ihn aber nicht ab davon, Opfer mancher Social Engineering-Attacken in nicht gerade schmeichelhaften Tönen zu beschreiben: "Social Engineering zielt auf den habgierigeren und leichtgläubigeren Teil der Gesellschaft ab. Und ich muss leider sagen, dass dieser Anteil da draußen ziemlich hoch ist."
Es ist verblüffend, wie weit Betrüger zu gehen bereit sind. Sie nutzen die Ängste des vorgesehenen Opfers aus, indem sie eine Mitteilung in den Nachrichten mit Einzelheiten eines Terrorangriffs im Lande oder eine E-Mail von der Bank, die angeblich Geld vom Konto des Opfers eingezogen hat, vorgeben, oder sogar, dass gegen den Empfänger wegen einer Verstrickung in Kinderpornographie ermittelt werde.
Diese Beispiel sind darauf ausgelegt, das Opfer aus dem Konzept zu bringen. Anstatt zu denken: "Sollte ich die angehängte Datei ausführen?", überlegen sie: "Ob wohl mein Kind bei dem Terroranschlag umgekommen ist?"
Es überrascht kaum, dass McNamara von der Online-Betrügergemeinde nicht besonders geliebt wird. Unlängst versandten verärgerte Phisher Spam-Nachrichten mit McNamaras E-Mail-Adresse als Antwortadresse. Da die Spams mit Kinderpornographie zu tun hatten, wurde McNamaras Posteingang mit Hassbriefen überflutet. Die Empfänger der Spams wurden mit Social Engineering dazu verleitet, McNamara direkt anzugreifen. Er hat dies gelassen als Erfahrung hingenommen und dabei ein paar interessante Beobachtungen über Autoresponder gemacht, die E-Mail-Anwendern ermöglichen, automatisch auf alle E-Mails – auch Spam – zu antworten, wenn sie nicht im Büro sind.
„Eines der Dinge, die ich im jüngsten Angriff gelernt habe... ist, dass Leute ein paar sehr persönliche Dinge in ihren automatischen Antworten mitteilen. Normalerweise richten Leute Autoresponder ein, um andere darüber zu informieren, wann sie nicht bei der Arbeit sind, dass sie krank sind und so weiter", sagt McNamara. „Das ist alles gut und schön, doch ist den meisten nicht bewusst, dass ihnen unbekannte Leute diese Nachrichten am Ende lesen könnten und nicht alle der von ihnen mitgeteilten Informationen preisgegeben werden sollten.“
„Während des Angriffs auf meine Site erhielten wir ungefähr 2500 bis 3000 automatische Antworten. Die meisten davon waren recht profan, andere dagegen gaben ausführlich an, wann der Absender nicht im Büro sein würde, welche Krankheit er hat – ein Beispiel war ein gebrochener Oberarmknochen –, und viele Unternehmen in den USA schienen mit Wonne Autoresponder für ehemalige Mitarbeiter einzurichten. Eines gab sogar an, dass der Betreffende wegen Fehlverhaltens gefeuert worden sei“, fügt er hinzu. „Diese Informationen sind für jemanden, der ein Unternehmen im Visier hat, sehr nützlich.“ Der Sicherheitsberater Daniel Lewkovitz wurde mit der Durchführung eines Social Engineering-Audits eines großen Unternehmens beauftragt.
"Das Ziel der Übung war, im Rahmen eines umfassenden Sicherheitsaudits Fernzugriff auf das Netzwerk zu erlangen und auf bestimmte Dateien zuzugreifen. Ursprünglich war geplant, systematisch (mit einem 'War Dialer') Telefonnummern durchzuprobieren, um Einwahlserver zu finden. Es wurde davon ausgegangen, dass IT-Mitarbeiter und Führungskräfte diesen Zugang haben. Die ersteren waren anhand von Pagern, T-Shirts und ähnlicher Ausrüstung einfach zu erkennen", erklärt Lewkovitz.
"Es stellte sich heraus, dass das Unternehmen allen Mitarbeitern erlaubte, sich über die Unternehmens-Webseite einzuloggen. Daher hätten es die Angaben von jedem Beliebigen getan. Nachdem das Passwort zurückgesetzt war, wurde der Zugriff auf alle möglichen vertraulichen Unternehmensdaten gewährt."
Zunächst beschaffte sich Lewkovitz den Namen eines Mitarbeiters und rief unter dessen Namen den Support des Unternehmens an. Der Supportmitarbeiter teilte ihm vergnügt mit, er würde zur Durchführung eines Passwort-Resets seine Mitarbeiternummer und Login-ID benötigen. Lewkovitz legte einfach den Hörer auf und machte sich daran, diese Informationen zu beschaffen.
Der Login-Name war einfach zu besorgen, und Mitarbeiternummern standen offen auf Mitarbeiterausweisen, die den Mitarbeitern um den Hals hingen. Lewkovitz schlenderte einfach während der Mittagszeit in ein von Mitarbeitern des Unternehmens frequentiertes Lokal und notierte sich ein paar Namen von den Ausweisen.
Das Folgende ist eine direkte Niederschrift des Telefonats, das stattfand, nachdem sich Lewkovitz die erforderlichen Informationen besorgt hatte (die Namen wurden geändert):
Supportmitarbeiter [SM]: Support-Center, guten Morgen!
Daniel Lewkovitz [DL]: Eigentlich ist es doch eher schon 'Guten Tag'?
SM: Huch, Verzeihung! Guten Tag [lacht]! Was kann ich für Sie tun?
DL: [Lacht] Hier ist John Smith. Mein Computer sagt, dass ich mich nicht einloggen kann.
SM: Ähm . . . Wenn Sie sagen, dass Sie sich nicht einloggen können, was für eine Nachricht erscheint da genau?
DL: Tut mir Leid, das weiß ich nicht mehr genau. Es war, nachdem ich mein Passwort eingegeben hatte.
SM: Oh, okay. Fängt die Nachricht an mit "Das Passwort ist falsch, bitte geben Sie..."?
DL: [unterbricht] Ja, das war’s. Ich hab das ein paar Mal bekommen und jetzt komm' ich überhaupt nicht mehr rein!
SM: Ich verstehe. Windows XP sperrt Sie aus, wenn Sie das Passwort mehr als zweimal falsch eingeben. Ich kann es zurücksetzen, wenn Sie das möchten.
DL: Danke! Dieses Mal tipp' ich es richtig ein.
SM: Eigentlich müssen wir Ihnen ein neues Passwort geben.
DL: Das ist okay, dieses Mal schreib ich es mir auf [lachend].
SM: [lachend] Mir sind hier schon viele Leute begegnet, denen das passiert ist. Entschuldigung, wie war Ihr Name noch mal?
DL: John Smith.
SM: Danke. Ich brauche auch die Nummer Ihres Mitarbeiterausweises.
DL: Kein Problem, das ist die 2231.
SM: Danke. Ihr Passwort wurde in "Dienstag" umgeändert. Sie müssen es nach Ihrem ersten Einloggen ändern, und außerdem dauert es ungefähr zwei Minuten, bis es in Lotus und im Intranet aktualisiert ist. Kann ich sonst noch etwas für Sie tun?
DL: Nein, danke, das war's. Sie waren mir eine große Hilfe. Nochmals vielen Dank.
SM: Gerne. Tschüss!
Lewkovitz analysiert das Gespräch wie folgt:
Man sieht, dass der Supportmitarbeiter freiwillig Angaben über das Betriebssystem des Unternehmens macht, die bei einem Angriff nützlich sein könnten. Außerdem nennt er unaufgefordert Einzelheiten der Verfahrensweise für Passwörter, die bei Crack-Versuchen hilfreich sein könnten, und zwar, dass die Passwörter auf den jeweiligen Tag der Woche gesetzt und sich Mitarbeiter ihre Passwörter aufschreiben.
Außerdem stellt er eine Alternativfrage, die allein aufgrund der in der Frage enthaltenen Informationen mit "ja" oder "nein" beantwortet werden konnte, zum Beispiel "Benutzen Sie Windows?" anstelle von "Welches Betriebssystem benutzen Sie?"
Die entgegenkommende Art des Telefonats nimmt dem Zielobjekt die Befangenheit: Er bemüht sich, hilfsbereit, höflich und freundlich zu sein, obwohl dies gegen ihn verwendet wurde. Sicherheit muss vor Position oder Ego Vorrang haben. Man kann höflich sein und trotzdem auf Wahrung der Sicherheit achten.
Mitarbeiterausweise müssten als vertrauliches Material betrachtet werden, da sie zur Rücksetzung von Passwörtern verwendet werden können. Stattdessen sind die auf ihnen enthaltenen Informationen einfach zu beschaffen, wenn die Mitarbeiter sie in aller Öffentlichkeit zeigen. Das betreffende Unternehmen hat seitdem seinen Mitarbeitern erlaubt, ihre eigenen privaten Fragen zu benennen, zum Beispiel die Lieblingspuppe ihres Kindes, anstatt das Geburtsdatum oder die Mitarbeiterausweisnummer vorzuschreiben. Es gibt viele Unternehmen, die noch immer einfach zu beschaffende Informationen als Privatkennung verwenden. Das Geburtsdatum einer Person lässt sich gewöhnlich einfach ermitteln, etwa per Social Engineering bei der Meldebehörde. Sicherheitsberater Adam Pointon wurde beauftragt, einen Penetrationstest bei einem relativ kleinen und ziemlich unbekannten Unternehmen mit hoch vertraulichen Geschäftsdaten durchzuführen. Die Unternehmensleitung schrieb vor, dass das Audit eine physische und Social Engineering-Komponente beinhalten solle. Aufgrund der Größe des Unternehmens beschloss Pointon, dass ein Passwort-Reset zu riskant wäre - alle Mitarbeiter kannten sich untereinander. So ging er auf einen anderen Plan über. Er würde einem Mitarbeiter einen angepassten Trojaner zuschicken, den er in C++ geschrieben hatte und der ihm Zugriff auf das Unternehmens-LAN geben würde. Bei dessen Ausführung würde dieser eine Verbindung zu einem von Pointons Systemen aufbauen.
"Aufgrund der Prüfung der automatischen Telefonanlage, die außerhalb der Geschäftszeiten ausgeführt wurde, konnte ich die Namen von Mitarbeitern in Schlüsselpositionen im Unternehmen herausfinden, einschließlich des vollständigen Namens und der Telefonnummer des Kommunikationsmanagers. Ich erhielt außerdem uneingeschränkten Schreib-/Lesezugriff auf seine Voice-Mail - das ist aber eine Sache für sich", sagt Pointon.
"Am nächsten Tag rief ich dort an und bat darum, mit dem Kommunikationsmanager verbunden zu werden. Ohne seinen Namen zu erwähnen, wurde ich durchgestellt."
Das Folgende ist eine Niederschrift des von Pointon geführten Telefonats. Er nutzt sein Vorwissen über den Nachnamen des Kommunikationsmanagers (Schmidt) um ihm bei seinem Social Engineering-Versuch zu helfen. Die Namen der Mitarbeiter und der Unternehmen wurden geändert.
Kommunikationsmanager [KM]: Guten Tag, wer spricht da bitte?
Adam Pointon [AP]: Hallo, Herr Smith, hier ist Matt Myers von der Telesecurity AG. Ich rufe Sie an, um Ihnen zu sagen, dass wir hinter dem Gebäude High Street 28 ein neues Glasfaserkabel installieren, und ich brauche in dieser Angelegenheit Ihre Hilfe.
KM: [Unterbricht] Sie machen was? Sie installieren ein Glasfaserkabel und brauchen meine Hilfe?
AP: Ja. Wir erweitern unsere Glasfaser-Teilnehmerleitung um einen neuen Abschnitt, was erfordert, dass wir Zugang zur Rückseite Ihrer Räumlichkeiten bekommen. Ich muss wissen, ob jemand am Samstag von 9 bis 16 Uhr da sein wird, der uns Zugang verschaffen kann.
KM: Einen Moment bitte. Wo genau wird dieses Glasfaserkabel gelegt?
AP: An der Rückseite des Gebäudes High Street 28. Dort ist ein Schacht der Telesecurity AG, über den zurzeit die Leitungen in Ihr Gebäude laufen. Wir müssen diesen Schacht öffnen und ein paar Kabel durchziehen.
KM: Tja, ich bin mir nicht sicher, ob jemand am Wochenende hier sein wird. Können wir uns dann auch an diese neue Glasfaserleitung anschließen lassen? Wir haben Ihre Firma schon oft gefragt, ob für uns eine schnellere Verbindung möglich ist, aber bisher hat uns nie jemand Bescheid gegeben.
AP: Ihre Anfrage muss wohl berücksichtigt worden sein, denn in dem Dokument, das ich hier habe, wird Ihr Unternehmen als eventueller Nutzer dieses Dienstes erwähnt.
KM: Was denn für ein Dokument?
AP: Ich kann es Ihnen zuschicken, wenn Sie wollen.
KM: OK, schicken Sie es her. Ich werde mit meinen Kollegen sprechen und sehen, ob irgendjemand am Wochenende hier sein wird.
AP: Gut. Bitte beachten Sie eines: Das Dokument ist ein geschütztes Telesecurity-Dokument im selbstextrahierenden .EXE-Format. Absender ist meine E-Mail-Adresse matt.myers@telesecurity.com.
KM: OK, schicken Sie's her [ungeduldig]!
AP: Geben Sie mir fünf Minuten.
KM: In Ordnung. Wiederhören.
Der Wunsch des Opfers nach einem schnelleren Internetanschluss für das Gebäude ist der wesentliche Auslöser für die Unachtsamkeit, erklärt Pointon. Hilfreich ist außerdem, dass bei dem TK-Unternehmen Telesecurity eine kostenlose E-Mail-Adresse eingerichtet werden konnte: Würde das Opfer Pointon eine Antwort schicken, hätte er diese sogar erhalten, was nicht möglich gewesen wäre, hätte er eine gefälschte E-Mail mit einer fiktiven Adresse geschickt.
Der E-Mail-Anhang wurde innerhalb von zwei Minuten ausgeführt, nachdem Pointon die Nachricht abgeschickt hatte. Im folgenden sind ein paar Warnzeichen aufgelistet, nach denen man laut Kevin Mitnick Ausschau halten sollte. In diesen Fällen ist es gut möglich, dass etwas nicht stimmt. Ein Anfragender:
- weigert sich, seine Kontaktinformationen zu geben,
- stellt eine ungewöhnliche Anfrage,
- möchte eine angeblich "dringende" Bitte schnell erledigt haben,
- übertreibt es mit Schmeicheleien,
- schüchtert durch Hinweis auf Anordnungen der Geschäftsleitung ein,
- bietet Hilfe bei einem unbekannten Problem an,
- behauptet, dass die Anfrage durch die Geschäftsführung genehmigt sei.
So entwickelt man Widerstandsfähigkeit gegenüber Manipulationen:
- Demonstration menschlicher Schwachstellen (Rollenspiel zur Demonstration von Social Engineering-Methoden)
- Schulung der Mitarbeiter darin, sich auf die Natur der Anfragen zu konzentrieren - und nicht auf den Zusammenhang, in dem sie gestellt werden
- Überprüfung der Identität der Anfragenden und ihrer entsprechenden Bevollmächtigung
- Änderung der Umgangsformen im Unternehmen
- Änderung der Einstellungen zu Informationen - Schützen statt Mitteilen
- Aufklärung der Mitarbeiter darüber, weshalb die Einhaltung von Sicherheitsrichtlinien entscheidend ist
- Anbieten von Stressmanagement- und Selbstbehauptungstraining für Mitarbeiter
So reagiert man auf Zwischenfälle:
- Zurkenntnisnahme von erfolgten Zwischenfällen (!)
- Schulung der Mitarbeiter hinsichtlich der ordnungsgemäßen Dokumentation von verdächtigen Ereignissen
- Auslösung von Sicherheitsalarmen, wenn verdächtige Aktivitäten bemerkt werden
Vereitelung von Social Engineering-Attacken:
- Festlegung von Sicherheitsrichtlinien und -verfahren
- Klassifizierung von Daten und Bearbeitungsverfahren
- Einführung einer "Clean-Desk-Policy" (Richtlinie für leere Schreibtische) - sonst lassen Mitarbeiter zu viele Informationen für jedermann ersichtlich herumliegen!
- Durchführung von Sicherheitssensibilisierungstraining
- Durchführung eines Social Engineering-Penetrationstests
- Regelmäßige Untersuchung der Abfallbehälter