Social Engineering
Es ist nur menschlich, jemanden beim Wort zu nehmen und ihm zu vertrauen. Dieses macht uns für Angriffe anfällig und wir werden zum schwächsten Glied in der Kette. Viele erfahrene Sicherheitsexperten heben diesen Umstand hervor und warnen vor den daraus resultierenden Gefahren. Egal wie viele Patches installiert werden und wie viele Firewalls im Einsatz sind - am Ende entscheidet das Verhalten von Frau Müller von der Buchhaltung oder von Herrn Meier vom Helpdesk über die Sicherheit der Unternehmensdaten.
Die grundlegenden Ziele von Social Engineering sind dieselben wie beim herkömmlichen Hacking: nicht autorisierten Zugang zu Systemen oder Daten erlangen, um damit Betrug oder Industriespionage zu begehen oder um in fremde Netzwerke einzudringen oder deren Betrieb zu stören. Waren früher noch ausschliesslich grosse Unternehmen die typischen Ziele von Social Engineering Attacken, bilden diese heute einen festen Bestandteil beinahe jeder geplanten Attacke durch Hacker. Der Einsatz von Social Engineering ist eben oft der einfachere Weg als der Einsatz komplizierter Formen von technischem Hacking. Sogar für technisch versierte Freaks ist es einfacher, den Telefonhörer in die Hand zu nehmen und jemanden nach dem Passwort zu fragen.
Die acribis bietet eine Auswahl von Dienstleistungen im Bereich Social Engineering an, welche eine Messung der aktuellen Situation in Ihrem Unternehmen ermöglichen:
Physische Angriffe
Bei dieser Art von Angriff versucht unser Spezialist sich Zugang zu einem oder mehreren Betriebs- respektive Verwaltungsgebäude(n) des Kunden zu erlangen. Von dort aus wird er versuchen, in den entsprechenden Abteilungen Informationen sammeln, die einerseits bereits Schwachstellen aufzeigen (zum Beispiel vertrauliche Dokumente, welche offen auf Tischen herumliegen oder zerknüllt im Mülleimer liegen), andererseits aber die Grundlage für weitere Angriffe und für die nächsten Schritte bilden (zum Beispiel Telefonverzeichnisse).
Bei elektronisch gesicherten Zugängen (wie Batch-Systeme) versucht unser Angreifer, sich entweder einen entsprechenden Schlüssel zu beschaffen oder aber sich Zugang über andere Wege (zum Beispiel gleichzeitiger Eintritt mit anderen Mitarbeitern) zu schaffen.
Psychologische Angriffe
Bei diesem Angriff prüft unser Spezialist die Standfestigkeit der Mitarbeiter am Telefon. Dazu nutzt er im Normalfall einen internen Telefonapparat und die eventuell gefundenen Daten (Telefonverzeichnisse). Der Angreifer wird versuchen, an Benutzernamen und Passwörter der Mitarbeiter heranzukommen.
Neben der Vortäuschung falscher Identitäten nutzt unser Angreifer eine spezielle Technik, bei welcher er der Zielperson unterstellt sie habe einen Fehler gemacht und sei nun dafür verantwortlich. Gleichzeitig bietet er Hilfe an und nutzt so den Druck auf den Mitarbeiter aus um an Informationen zu gelangen.
Zusätzlich kann unser Spezialist auf Wunsch die so genannte "Reverse Social Engineering"-Methode anwenden. Dabei wird gezielt Sabotage betrieben (zum Beispiel an einem Arbeitsplatz eines Mitarbeiters). Kurz darauf bietet sich unser Angreifer als helfende Person an und gibt vor, das Problem zu lösen. In dieser Phase der Betroffener-Helfer-Beziehung nutzt er das Vertrauen aus und versucht so, an Informationen heranzukommen.
Online Social Engineering (Phishing)
Eine weitere Möglichkeit des Social Engineerings besteht darin, über spezielle technische Hilfsmittel dem Mitarbeiter eine Situation vorzuspielen bei welcher er ohne weitere Einwirkung vertrauliche Informationen Preis gibt.
Die bekannteste Art von Online Social Engineering sind die so genannten Phishing-Attacken. Dabei wird mittels Email und/oder einer Website eine Umgebung simuliert, welche für den Benutzer vertraut ist. Beispielsweise kann der Benutzer über eine entsprechend gestaltete Email-Nachricht aufgefordert werden, sein Passwort umgehend zu ändern. Auch hier kann der Effekt verstärkt werden, wenn die Nachricht dem Mitarbeiter unterstellt, er habe einen Fehler gemacht und er müsse diesen nun sofort beheben.
Diese Art des Social Engineerings ist eine nette Zugabe zu den anderen Methoden und erlaubt es unseren Spezialisten, sich ein breiteres Bild über den aktuellen Zustand im Bezug auf die Security Awareness im Unternehmen zu schaffen. So können gleichzeitig ganze Abteilungen geprüft werden und die so gewonnen Daten statistisch verglichen werden.