Social Engineering: Angriff auf Mitarbeiter-Konten

Anhand der Profildaten kann der Angreifer anschließend herausfinden, für welches Unternehmen ein User tätig ist. Damit nicht genug: Die Wahrscheinlichkeit ist hoch, dass auch Kollegen des Nutzers in dessen Freundesliste aufgeführt sind. „Diese Informationen lassen sich auf mehrfache Weise nutzen“, erläutert Cox. „Ein Angreifer kann beispielsweise einen gehackten Account eines Social-Media-Dienstes nutzen, um an die Freunde des Opfers E-Mails mit Links zu bösartigen Web-Seiten zu versenden.“

Beim Besuch solcher Seiten wird der Rechner des Empfängers auf Sicherheitslücken gescannt, etwa nicht eingespielte Betriebssystem-Patches oder veraltete Anwendungssoftware. Diese Informationen lassen sich wiederum dazu nutzen, um einen gezielten Angriff auf den Rechner des Opfers zu starten, etwa mithilfe eines präparierten PDF-Dokuments.

Elektronische Post vom „Kollegen“

„Der unbedarfte Umgang mit Informationen ist die eigentliche Gefahr“, bestätigt Andreas Stein, Managing Director der Services-Sparte von Dell, die unter anderem unter dem Namen „Secureworks“ gemanagte Sicherheitsdienste anbietet. „Mitarbeiter geben zum Teil in sozialen Netzwerken Informationen über sich und ihre Arbeit preis, die es einem potenziellen Angreifer leicht machen, unerkannt in das Unternehmensnetzwerk einzudringen – beispielsweise über eine scheinbar authentische E-Mail.“

Auch solche Angriffe nutzen Daten von Profilen auf Social-Media-Plattformen, zu denen sich ein Cyber-Krimineller Zugang verschafft hat. Schritt eins: Der Angreifer prüft, ob sich unter den Personen, mit denen sich der Inhaber des unterwanderten Accounts (in unserem Beispiel Pascal Schmitt) vernetzt hat, auch Kollegen aus demselben Unternehmen befinden, beispielweise Miriam Müller. Schritt zwei: Er recherchiert, nach welchem Muster die E-Mail-Adressen der Firma aufgebaut sind, etwa mmueller@mustefirma.de oder miriam.mueller@musterfirma.de. Dies ist auch ohne Experten-Know-how leicht herauszufinden.

Gefährliche Links

Schritt drei: Der Angreifer verschickt im Namen von Pascal Schmitt (pascal.schmitt@musterfirma.de) E-Mails an Miriam Müller und weitere Empfänger, die er mittels der Daten des gehackten Social-Media-Accounts als Kollegen von Pascal Schmitt identifiziert hat. Links in solchen Nachrichten verweisen beispielsweise auf verseuchte Web-Seiten, auf denen angeblich Fotos von der letzten Betriebsfeier zu sehen sind. Oder sie enthalten Dateianhänge mit Malware, die den Rechner des Adressaten kompromittieren.

Mithilfe dieser Methode lassen sich auch direkte Angriffe auf Firmeninformationen starten. Der Angreifer fordert beispielsweise über eine gefälschten E-Mail unternehmensinterne Informationen an, etwa Kundenlisten oder Vertriebsinformationen. „Aber selbst vermeintlich schlichte Angriffe werden von den Mitarbeitern leider allzu oft nicht als solche identifiziert“, moniert Andreas Stein. „E-Mails mit Anhängen werden immer noch zu schnell geöffnet – selbst dann, wenn der Absender kein vermeintlicher Kollege ist, sondern über eine kryptische E-Mail-Adresse verfügt.“

Tools für das Ausspähen von Internet-Usern

Im Internet gibt es eine ganze Reihe von Tools, die solche Social-Engineering-Angriffe einfacher machen. Sicherheitsfachleute setzen sie bei Penetrationstests ein, also Überprüfungen der IT-Sicherheitsmaßnahmen von Unternehmen. Allerdings stehen diese Tools auch Cyber-Kriminellen zur Verfügung.

Mit der Open-Source-Anwendung Maltego ist es beispielsweise möglich, die Beziehungen zwischen Menschen in Form von Grafiken aufzuzeigen, die über Facebook miteinander „befreundet“ sind oder in derselben Firma oder demselben Sportverein aktiv sind. Maltego ist dabei nicht an E-Mail- oder Benutzernamen gebunden. Die Software kann auch eine Analyse anhand von IP-Adressen durchführen, etwa welche Adressen häufig auf bestimmte Websites oder Server zugreifen.

Standort von Personen ermitteln

Dagegen setzt Cree.py von Yiannis Kakavas auf Geolocation – also die Verknüpfung von Standortdaten mit bestimmten Personen. Das ist für Nutzer von Geolocation-Services wie Foursqare nichts Übles, im Gegenteil: Sie wollen Freunden oder Bekannten bewusst mitteilen, wo sie sich gerade befinden. Cree.py, das ebenfalls kostenlos verfügbar ist, erlaubt es jedoch, auch den aktuellen Standort von Usern von Flickr, Twitter und anderen Services zu ermitteln.

Er wolle mit dem Programm keinesfalls Social-Engineering-Angriffe erleichtern, so Kakavas. Seine Absicht sei, die Nutzer von Social-Networking-Diensten zu größerer Vorsicht beim Umgang mit ihren persönlichen Daten zu animieren. Allerdings kann sich das Tool auch für Cyberkriminelle als wertvoll erweisen, die Social-Engineering-Angriffe starten möchten.

Ist beispielsweise bekannt, dass sich ein Mitarbeiter derzeit nicht in der Firmenzentrale, sondern in einer Filiale aufhält, kann dies den Boden für Angriffe nach folgendem Muster bereiten: Ein „IT-Fachmann“ erfragt bei der Assistentin des betreffenden Mitarbeiters dessen E-Mail-Passwort, weil der „Experte“ angeblich vor Ort in der Filiale den E-Mail-Client auf dem defekten Notebook des Kollegen neu einrichten muss.