Social-Engineering
Spear-Phishing die Stirn bieten
Fortsetzung des Artikels von Teil 3
Expertenkommentar: Social-Engeneering
Rolf Haas, Principal Security Engineer bei McAfee: "Social-Engeneering, der englische Begriff für „angewandte Sozialwissenschaft“ oder auch „soziale Manipulation“, bezeichnet die zwischenmenschliche Beeinflussung mit dem Ziel, bei Personen bestimmte Verhalten hervorzurufen.
Während früher Informationen zu Personen direkt und persönlich recherchiert wurden, hat sich die Informationsbeschaffung für das Social-Engeneering seit zunehmend auf digitale Medien übertragen. Durch die Digitalisierung sind nicht nur persönliche Informationen leichter zu finden, auch die Vielfalt und Detailliertheit ist ungleich höher. Cyber-Kriminelle wissen dies zu schätzen und nutzen Social-Engeneering-Metoden für Spear-Phishing-Attacken.
In jüngster Zeit etablieren sich Methoden, Personen bzw. Personengruppen gezielt auszuspionieren. Spear-Phishing zielt meist auf einen überschaubaren Personenkreis, bei dem die Wahrscheinlichkeit, eine Personen erfolgreich zu triggern, sehr hoch ist. Meist werden kleine Personengruppen gezielt und mit für die Gruppe geeigneten Inhalten angesprochen. Darüber hinaus existieren sogenannte Target-Attacken. Hierbei wird eine einzige Person gezielt angesprochen (etwa Vorstand, Vertriebschef etc.).
Zwei Beispiele:
- Es wird versucht, beispielsweise über eine Studentenvertretung herauszubekommen, welche E-Mail-Adressen die Studenten an einem bestimmten Ort haben und woher sie kommen. Gezielt wird eine Phishing-Attacke auf deren E-Mail-Adresse angewandt, um wohnortbezogene Bankdaten auszuspähen. Die Wahrscheinlichkeit einer hohen Trefferquote ist gegeben, da viele Studenten hier auch Bankkunden sind.
- Eine gezielte Phishing-Attacke wird auf eine einzelne Person (meist Führungspositionen) ausgeübt. Die Angreifer beziehen Erstinformation aus sozialen Netzwerken wie beispielsweise "Xing" oder "LinkedIn". Hier pflegen viele Führungskräfte ein öffentliches Profil samt persönlichen Interessen. Der Angriff erfolgt oftmals über eine gefälschte E-Mail-Adresse einer weiteren Person aus dem direkten Umfeld des Opfers (eine Person mit dem das Opfer laut Sozialem Netzwerk befreundet ist). Beispiel: Laut "LinkedIn" ist der Vorstandsvorsitzende an Golfen interessiert: der Angreifer schreibt eine Target-Attacke auf Basis einer Werbebroschüre in PDF-Format, in dem zu einem neuen Golfplatz in der Nähe seines Heimortes geworben wird. Die Absender-Adresse (leicht fälschbar) ist vermeintlich von einem Bekannten.
Doch wie kann man sich vor diesen Gefahren schützen? Insbesondere bei Variante 2 wird kein Virenscanner oder Spamschutz warnen oder schützen, da dieser Virus/Spam nur für dieses eine Opfer einmalig erstellt wurde. Da der Angreifer darauf vertraut, dass der Virenscanner seine Arbeit zuverlässig verrichtet und er den Absender des Mails vermeintlich kennt, ist die Wahrscheinlichkeit sehr hoch, dass er auf einen Link oder ein angehängtes PDF klickt. Damit kann von den Kriminellen eine Botnet-Verbindung über klassische https-Ports erstellt werden, die dann die eigentlichen Daten abziehen. Diese Form der (Wirtschafts-)Spionage hat hochkonjunktur.
Neue Methoden wie Sandbox-Technologien, die dynamisch und statisch Dokumente und auch Anhänge sowie Links analysieren, bieten heute sicher den größten technischen Schutz. Viele Unternehmen haben jedoch solche Lösungen und Technologien noch nicht im Einsatz. Generell gilt, niemand sollte arglos auf Links und Mail-Attachments klicken, gerade wenn man keine Korrespondenz vom Absender erwartet, die sie vorgibt zu sein. Analog gilt dies auch für breitgefächerte E-Mails. Keine Bank der Welt fragt nach PINs oder TANs, durch die sich Personen aus Sicherheitsgründen authentifizieren sollen."
- Spear-Phishing die Stirn bieten
- Gefahr und Schaden in Zahlen
- Expertenkommentar: "Wasserloch-Attacken - neuer Sidekick des Spear-Phishing"
- Expertenkommentar: Social-Engeneering
Lesen Sie mehr zum Thema
