Wenn Hacker Social Engineering einsetzen, um an Daten und Zugänge zu gelangen, ist die Gefahr groß. Immer wieder ist die Presse voll mit Nachrichten davon, wie Cyberangriffe über Social Engineering erfolgreich durchgeführt wurden. Kein Wunder, denn bei hier hilft keine Firewall und keine Multi-Faktor-Authentifizierung, da hier gezielt der Faktor Mensch mit all seinen Schwächen ausgenutzt wird.
Weil das Thema zuletzt wieder populär wurde, nämlich in Verbindung mit der Hackergruppe Lapsus$, die sich erfolgreich Zugang zu Unternehmen wie Microsoft, Nvidia, Samsung, Okta, Rockstar Games oder Uber verschaffte, dachten wir, ein entsprechender Artikel wäre überaus angebracht. Als klare Warnung, aber auch, um das Thema Social Engineering einmal etwas genauer zu betrachten.
Wie funktioniert Social Engineering?
Social Engineering nutzt keine technischen Schwachstellen oder Sicherheitslücken innerhalb einer Software aus, sondern den Menschen selbst, der diese steuert und somit kontrolliert. Dabei geht es darum, dass Hacker sich das Vertrauen von Mitarbeitern erschleichen, die dann wiederum bereitwillig Informationen preisgeben, die anschließend genutzt werden können, um sich Zugang zu den Systemen zu verschaffen.
Die meisten der großen Hacks der Geschichte basieren darauf, dass Hacker sich als hochrangige Mitarbeiter oder vertrauenswürdige Personen präsentierten. Ist das Vertrauen aufseiten der Mitarbeiter erst einmal da, geben diese fast alles preis, ohne die verlangten Informationen in irgendeiner Art und Weise zu hinterfragen. Das Konstrukt basiert also auf der Psychologie, sich als Teil von etwas auszugeben und daher vermeintlich legitim nach geheimen oder besonders geschützten Angaben zu fragen.
Social Engineering lässt sich demnach nicht ohne Weiteres unterbinden. Gleichgültig, wie hoch die Sicherheitsmaßnahmen auch ausfallen mögen, Systeme lassen sich nicht schützen, wenn diejenigen, die Zugriff darauf haben, entsprechende Zugangsdaten bereitwillig weitergeben oder Informationen bereitstellen, mit denen sich diese umgehen lassen. Doch schauen wir uns noch einmal an, über welche Methoden dies gelingt.
Methoden der Täuschung
Es gibt viele Methoden von Social Engineering, die sich alle mal mehr und mal weniger stark voneinander unterscheiden. Sie alle haben gemeinsam, dass sie versuchen, den Menschen, statt die Systeme dahinter anzugreifen. Sie geben alles, um der Person, die das System steuert, persönliche und sicherheitsrelevante Informationen zu entlocken, mit denen sie sich anschließend einen freien Zugang erstellen können.
Es wird beim Social Engineering also viel mit Psychologie gearbeitet, um an Informationen zu gelangen, die eigentlich geheim oder privater Natur sind. Das gelingt durch geschickt formulierte E-Mails, Kontaktaufbau via Social Media und oft auch durch persönliche Telefonate mit den Opfern. Social Engineering erfordert also auch eine Art soziales Talent, um die Opfer von der Legitimität des eigenen Anrufs zu überzeugen und ihnen dann noch die gewünschten Informationen zu entlocken.
Dabei sind folgende Methoden besonders verbreitet und haben eine hohe Erfolgsquote.
Baiting:
Beim Baiting wird ein Köder eingesetzt. Meist wird an einer bestimmten Stelle ein USB-Stick oder eine Speicherkarte platziert, die Opfer dazu verführen soll, selbige in den Rechner zu stecken und auszulesen. Dann installiert sich vornehmlich Malware, die dafür sorgt, dass Angreifer sich Zugang verschaffen können. Bei dieser Methode des Social Engineering wird also die Neugier des Menschen ausgenutzt.
Deal:
Es gibt durchaus auch Deals oder Quid pro quo Absprachen. Bei dieser Form von Social Engineering geht es also um einen konkreten Handel. Vertrauliche Informationen oder gesicherte Zugänge werden übergeben, weil es etwas dafür im Austausch gibt. Social Engineering ist das nur, weil hier ein persönlicher Kontakt für den Deal stattfinden muss.
Phishing:
Durch Phishing oder auch Spear-Phishing können Opfern gezielt Informationen entlockt werden. Im besten Fall schafft es der Hacker, dass das Ziel auf bestimmte Links klickt oder sogar verschiedene Dateien herunterlädt. Auf diese Weise verschafft sich der Angreifer dann Zugang zum System oder kopiert massenhaft persönliche Informationen, die später von Nutzen sind.
Texting:
In Zeiten, in denen jeder Mitarbeiter auch öffentlich via Social Media erreichbar ist, scheint Social Engineering so einfach wie noch nie. Texting meint dabei, dass Hacker Kontakt aufnehmen und eine Art Freundschaft aufbauen. Diese Methode kann so weit gehen, dass eine Liebesbeziehung vorgespielt wird, deren Ziel es ist, möglichst viele persönliche Informationen zu erhalten. Eine sehr perfide Methode von Social Engineering, oft aber eben auch extrem zielführend. Der Mensch bleibt immer angreifbar, speziell in persönlicher Hinsicht und in Hinblick auf die Partnersuche.
Vishing:
Im Grunde ist Vishing dasselbe wie Phishing, nur eben via Telefonanruf. Auch das ist oft eine sehr vielversprechende Methode von Social Engineering, wenn sich Hacker gekonnt und geschickt durch das Telefonat hangeln. Häufig geben Mitarbeiter, die im Arbeitsalltag nur wenig Zeit haben über die Legitimität des Anrufers nachzudenken, bereitwillig vertrauenswürdige Informationen preis.
Schutzmaßnahmen
Weil Social Engineering sehr psychologisch ist und fast immer auf einem persönlichen Kontakt aufbaut, sind Schutzmaßnahmen nur schwierig zu realisieren. Es gibt keine Art Firewall und die Sicherheitslücken lassen sich auch nicht ohne Weiteres schließen, da sie in diesem Fall die Mitarbeiter selbst sind. Wie also kann Social Engineering erfolgreich verhindert werden?
Im Grunde nur, indem vorab und proaktiv besonders viele Sicherheitsmaßnahmen umgesetzt wurden. Allen voran steht hier immer die Schulung der eigenen Mitarbeiter. Durch Security Awareness Trainings, Live-Hacking Shows und Phishing Simulationen wird ein Bewusstsein für diese Art von Angriffen erzeugt. Hat jeder Mitarbeiter das Thema im Kopf, wird er auf eventuelle Anrufe auch automatisch anders reagieren, als wenn er noch nie etwas von Social Engineering gehört hat.
Mitarbeiter sollten sich zudem immer per Multi-Faktor-Authentifizierungsfaktoren (MFA) verifizieren müssen, diese niemals via Anfrage zurücksetzen und darauf achten, in eventuellen Rückmeldungen keine Sessioncookies zu übergeben. Doch damit all das bekannt ist, benötigt es eben auch Schulungen, die dieses Wissen erst einmal vermitteln. Denn ansonsten wird kaum einer Ihrer Mitarbeiter verstehen, warum die Weitergabe von Sessioncookies problematisch sein kann und eine große Gefahr birgt.
Gefahren von Social Engineering bannen
Die größte Gefahr, die ausgeht, ist, dass es nahezu jedes Unternehmen treffen kann. Es gibt keine physischen Schutzmaßnahmen gegen Social Engineering, da Mitarbeiter immer bestimmte Zugänge benötigen und sich diese zwar schützen lassen, aber eben nicht gegen eine Weitergabe von Logins, Sessionscookies oder menschliches versagen. Das ist das große Dilemma beim Social Engineering.
Weil Social Engineering durch die Manipulation des Menschen und seiner Gefühle funktioniert, ist es nur durch gezielte Aufklärung und Schulung zu verhindern. So etwas realisieren wir in Unternehmen gerne mit Phishing Simulationen, Live-Hacking Shows oder Security Awareness Trainings. Je mehr Mitarbeiter dabei live sehen, wie Social Engineering zum Erfolg führen kann, desto mehr achten sie auf die typischen Gefahren im Arbeitsalltag.
Allerdings zeigt die Erfahrung auch, dass solche Schulungen hauptsächlich dann funktionieren, wenn sie regelmäßig wiederholt werden. Denn nach kurzer Zeit verschwindet das Bewusstsein wieder oder aber die Methoden werden moderner und sollten in einer Vorstellung erneut präsentiert werden.