Im Rahmen des IT-Grundschutz-Tages 2019 am 07. März 2019 in Braunschweig durfte ich einen Vortrag mit dem Titel Human Hacking – Die Kunst des Social Engineerings halten. Sie finden ihn hier oder auf der Webseite des BSIs (Bundesamt für Sicherheit in der Informationstechnik).
Darin habe ich herausgestellt, dass Angriffe auf Unternehmen und Institutionen nicht immer nur technischer Natur sein müssen. Stattdessen werden Mitarbeiter ins Visier genommen und mittels geschickter Frage- und Manipulationstechniken zur Herausgabe vertraulicher oder sonstwie nützlicher Informationen gebracht.
Auf der Suche nach dem Juwel vom Nil
Wertvolle Informationen für einen Angreifer können zum Beispiel Passwörter, Telefonnummern oder Abteilungsbezeichnungen sein. Dieses Vorgehen ist Teil der Target Reconnaissance. Zu deutsch: Zielaufklärung.
Erst zu einem späteren Zeitpunkt erfolgt dann ein Angriff auf die technischen Schutzmaßnahmen, Server oder Datenspeicher selbst. Tatsächlich gibt es auch Technik-unabhängige Social-Engineering-Attacken etwa durch Love-Scamming oder die Nigeria-Connection.
Angriffziel Mensch
Social Engineering beinhaltet das Ausnutzen menschlicher Eigenschaften wie Unerfahrenheit, Angst, Gier oder Geltungssucht. Besonders perfide an diesem Vorgehen ist die Tatsache, dass sich auch positive Merkmale der menschlichen Natur ansprechen lassen: Hilfsbereitschaft, Gutmütigkeit, Liebe und Zuneigung.
Je nachdem welche Eigenschaften einer Zielperson angesprochen werden sollen, muss sich der Angreifer anders präsentieren und positionieren. Bei unerfahrenen Mitarbeitern wie Azubis oder Lehrlingen bietet sich ein autoritäres und dominantes Auftreten an, bei dem für den Fall der Nicht-Kooperation mit spürbaren Konsequenzen gedroht wird.
In dem Vortrag habe ich kurz einige Beispiele für Social Engineering vorgestellt. Zum Abschluss gab ich eine Empfehlung, wie die Chance eines erfolgreichen Angriffs durch Social Engineering reduziert werden kann.
Nur ein Wort: Vielen Dank
Ich bedanke mich bei der Firma Bredex und dem Bundesamt für Sicherheit in der Informationstechnik für einen spannenden Tag mit vielen neuen Kontakten und einem interessanten Austausch.
Sprechen Sie mich immer gerne an!
PS: Irren ist menschlich, vergeben göttlich! Falls zur Überprüfung von Awareness-Maßnahmen anschließend testweise Phishing- oder ähnliche Social Engineering- Angriffe durchgeführt werden, müssen die Erkenntnisse anonymisiert ausgewertet werden. Das Verhalten einzelner Mitarbeiter darf nicht durchleuchtet werden. (Siehe auch EU-Datenschutzgrundverordnung.) Ich bitte meinen Irrtum zu entschuldigen und bedanke mich bei der betreffenden Zuhörerin für den freundlichen Hinweis.