20 Dez 2013

Social Engineering: Das Hacken des menschlichen Betriebssystems

Sicherheit

Social Engineering, manchmal auch die Wissenschaft und Kunst des Menschen-Hackings genannt, ist durch die wachsende Zahl von E-Mails, Sozialen Netzwerken und anderen Formen elektronischer Kommunikation in letzter Zeit immer beliebter geworden. Im Bereich der IT-Sicherheit wird dieser Begriff meist genutzt, um eine Vielzahl von Techniken zu beschreiben, die von Kriminellen genutzt werden, um ihre Opfer zu manipulieren und dadurch vertrauliche Informationen zu erhalten oder die Opfer dazu zu bringen, Dinge zu tun, die ihren Computer kompromittieren könnten.

Social Engineering_1

Sogar heute, mit all den erhältlichen Sicherheitsprodukten, hat nach wie vor der Anwender den Schlüssel zu seinem Königreich. Seien es Zugangsdaten (Nutzername und Passwort), eine Kreditkartennummer oder die Daten für das Online-Banking – das schwächste Glied der Sicherheitskette ist meist nicht in der Technologie zu finden, sondern im Menschen. Und wenn man psychologisch manipuliert wird, ist es extrem wichtig, zu wissen, welche Tricks heute dabei angewendet werden, und zu verstehen, wie diese funktionieren, um sie abwehren zu können.

Social Engineering ist nichts Neues und wird schon seit Beginn der Zeit angewandt. Und bekannte Experten wie Kevin Mitnick oder Frank Abagnale, die heute zu den renommiertesten Sicherheitsberatern gehören, zeigen, dass die Wandlung vom Kriminellen zum White-Hat-Guru möglich ist. Frank Abagnale war zum Beispiel einer der berühmtesten Betrugskünstler aller Zeiten. Er hat sich zahlreiche Identitäten geschaffen, Schecks gefälscht und die Menschen dazu gebracht, Informationen an ihn zu geben, die er für seine Betrügereien benötigte. Wenn Sie jemals den Film „Catch Me If You Can“gesehen haben, wissen Sie ziemlich genau, was man mit Social Engineering erreichen kann, wenn man ein klares Ziel vor Augen hat. Denken Sie daran, dass ein Social Engineer sich wahrscheinlich nicht nur auf technische oder Computerbetrügereien verlassen wird, um an Ihre Informationen zu gelangen. Deshalb müssen Sie auf alltägliche Aktivitäten achten, die verdächtig scheinen.So könnte zum Beispiel Ihr Passwort bei einem Telefonat offenbart werden. Es ist zwar unklug, irgendjemandem Ihr Passwort zu sagen, doch das ändert sich, wenn Sie am Sonntagmorgen vom „Technik-Support“ Ihres Arbeitgebers angerufen werden, der verlangt, dass Sie für ein kleines technisches Update auf Ihrem Computer ins Büro kommen sollen. Natürlich sagen Sie dem „Netzwerk-Administrator“ Ihr Passwort. Und Sie werden sich sogar noch bedanken! Aber vielleicht sind Sie auch vorsichtig genug, um darauf hereinzufallen. Viele Ihrer Kollegen werden es jedoch nicht sein.

„Eine Firma kann Hunderttausende Dollar in Firewalls, Verschlüsselung und andere Sicherheitstechnologien stecken. Doch wenn ein Angreifer eine eigentlich vertrauenswürdige Person anrufen kann, diese sich hereinlegen lässt und der Angreifer somit in das Netzwerk der Firma gelangen kann, dann ist das ganze Geld umsonst ausgegeben worden.“ – Kevin Mitnick

Die meisten Cyberkriminellen werden nicht viel Zeit darauf verwenden, komplexe Technologie-Hacks auszuprobieren, wenn sie wissen, dass sie es mit Social Engineering auch einfacher haben können. Es gibt sogar Webseiten mit wertvollen Informationen zur Erlernung solcher Techniken,inklusive Daten dazu, warum man die Menschen damit so erfolgreich austricksen kann. Eine davon ist SocialEngineer.org, die einen Rahmen bietet, mit dem die Theorie hinter solchen Attacken erklärt wird, inklusive zahlreicher Beispiele, die die bisher erwähnten Definitionen und Konzepte stützen.

Wir nutzen täglich die gesprochene Sprache, um andere zu beeinflussen, ohne uns darüber bewusst zu sein. Vom Standpunkt eines Social Engineer aus gesehen hat die Sprache aber einige Nachteile, da sie an unsere subjektive Erfahrung von Fakten gebunden ist, wobei wir vielleicht Teile der Geschichte ausblenden, Dinge verzerren oder generalisieren. NLP oder Neuro-Linguistisches Programmieren, eigentlich für therapeutische Zwecke entwickelt, wird heute oft als eine weiterentwickelte Form der Hypnose gezählt, die von vielen Social Engineers als Werkzeug der Beeinflussung ihrer Opfer eingesetzt wird, um diese dazu zu bringen, einen Angriff erfolgreich zu machen.Dazu zählen das Herausgeben des Passworts, das Weitergeben vertraulicher Informationen, das Ausschalten von Sicherheitsfunktionen und noch vieles mehr, das als Sprungbrett für einen digitalen Einbruch dienen kann.

Auch wenn die Verbindung zwischen Psychologie und Hacking etwas weit hergeholt scheint, muss man dennoch sagen, dass Online-Angriffe auf den gleichen Prinzipien beruhen, wie Angriffe in der realen Welt. Der Wunsch jedes Menschen nach Wechselwirkung (wenn ich dir einen Gefallen tue, tust du wahrscheinlich auch mir einen), sozialem Beweis (der Glaube an das Urteilsvermögen der Mehrheit), Autorität (etwa das Vertrauen in einen Polizisten, Doktor, technischen Support-Mitarbeiter oder jemandem, der in der Firmenhierarchie höher steht) und noch vielem mehr, ist eine generelle Möglichkeit, mit jemandem einen Beziehung aufzubauen und unsere grundlegenden menschlichen Bedürfnisse zu bedienen. Ein Social Engineer weiß, welche Knöpfe er drücken muss, um von uns die gewünschte Reaktion zu bekommen, indem er einen Kontext (einen Rahmen) schafft, der eine erfundene Historie ermöglicht, die glaubhaft ist. Dies erlaubt ihm, das Gefühl der Dringlichkeit und das Timing der ganzen Interaktion zu kontrollieren. Das Umgehen unseres rationalen Denkprozesses ist für einen gut ausgebildeten Menschen kein Problem und es dauert nur den Bruchteil einer Sekunde, um ihm den Vorteil zu geben, den er braucht, um zu bekommen, was er will.

Nichtsdestotrotz wollen wir uns hier vor allem auf die verschiedenen Techniken konzentrieren, die von Online-Kriminellen genutzt werden, um Informationen und Geld von ihren gutgläubigen Opfern zu bekommen. Wie schon angesprochen, sind die Prinzipien von Online-Betrügereien die gleichen wie im echten Leben. Doch da das Internet so ein riesiges Medium zur Informationsverteilung ist, kann zum Beispiel eine Phishing-E-Mail in kürzester Zeit an Millionen von Empfängern geschickt werden, so dass aus dem Angriff ein reines Zahlenspiel wird. Selbst wenn nur ein geringer Teil der potenziellen Opfer darauf herinfällt, bringen diese Wenigen den kriminellen Hintermännern immer noch einen riesigen Gewinn.

„Das, was ich in meiner Jugend gemacht habe, ist heute hundertmal einfacher. Technologie zieht Verbrechen nach sich.“ – Frank William Abagnale

Die heute am meisten angewandte Methode, um an vertrauliche Informationen zu kommen, ist das so genannte Phishing (ein zusammenbesetzer Begriff aus Password Harvesting Fishing). Phishing kann als eine Art Computermissbrauch oder -Betrug bezeichnet werden, der Social-Engineering-Prinzipien nutzt, um private Informationen vom Opfer zu erhalten. Der Cyberkriminelle nutzt dabei normalerweise E-Mails, Instant Messages oder SMS, über die die Phishing-Nachricht ausgeliefert wird, die das Opfer überzeugen soll, entweder Informationen direkt herauszugeben, oder bestimmte Handlungen durchzuführen (auf eine gefälsche Webseite zu gehen, ein Schadprogramm herunterzuladen usw.), die dem Angreifer – unbemerkt vom Opfer – erlauben, seinen illegalen Plan durchzuführen.

Wir konnten in den letzten Jahren eine Entwicklung der Schadprogramme feststellen, die Hand in Hand mit Social Engineering geht. Früher war jede Infizierung für den Anwender recht offensichtlich, denn sie hat bunte Nachrichten angezeigt, oder Icons, Bilder und alles Mögliche auf den Bildschirm gebracht, um den Virenautor bekannt zu machen. Heute ist es dagegen nicht ungewöhnlich, Schadprogramme zu finden, die mit Social Engineering Zugang zum Computer des Opfers bekommen, und sich dann versteckt halten, bis die schädliche Aktion ausgeführt wird. Zwischen Cyberkriminellen und den Sicherheitsfirmen läuft ein endloses Katz-und-Maus-Spiel, so dass die Aufklärung der Anwender zu einem der wichtigsten Verteidigungsmechanismen wird, so dass diese mit den aktuellen Trends und Bedrohungen Schritt halten können.

Viele interessante Schadprogramme nutzen Social Engineering, um ihre Sprengladung an die Opfer auszuliefern. Unter den beliebtesten sind gefälschte Flash-Player-Updates, Word-Dokumente mit eingebauten ausführbaren Dateien, qualitativ minderwertige Fälschungen legitimer Browser wie etwa dem Internet Explorer und viele andere.

Adobe Flash

Eine Webseite, die Schadprogramme verteilt, und dabei ein gefälschtes Flash-Player-Update nutzt, um die Anwender dazu zu bringen, die Software zu installieren.

Die meisten solcher Angriffe zielen auf lateinamerikanische Anwender ab. Vor allem, da solche Bedrohungen dort nicht so bekannt sind oder die Menschen die Gefahren nicht kennen. Und wenn wir dazu noch bedenken, dass die meisten Computer immer noch veraltetet Software nutzen, haben Cyberkriminelle dadurch enorm gute Chancen. Erst kürzlich wurden einige Sicherheitsmaßnahmen für das Online-Banking gestärkt, doch nach wie vor gibt es in Südamerika viele Schlupflöcher, die erfolgreiche Social-Engineering-Angriffe ermöglichen.

Andere Angriffe sind in der Region noch beliebter, obwohl sie nicht ganz in den Bereich des Computerbetrugs fallen. Ein Betrug, der als „virtuelle Entführung“ bekannt ist,nutzt Social-Engineering- und Telemarketing-Taktiken: Es wird behauptet, dass ein Familienmitglied entführt wurde und ein Lösegeld bezahlt werden muss, so dass es wieder wohlbehalten freigelassen wird. Hier werden das Gefühl der Dringlichkeit und die Angst des Opfers ausgenutzt, so dass oft auf die Forderungen eingegangen wird, ohne überhaupt zu wissen, dass gar niemand entführt worden ist. Da solche Verbrechen in Lateinamerika häufiger vorkommen, machen die Betrüger durch das Ausnutzen des menschlichen Verhaltens enorme Gewinne.

Zusätzlich muss man bedenken, dass jede Information, die man im Internet öffentlich weitergibt (Facebook, Twitter, Foursquare, usw.) Kriminellen vielleicht einen Hinweis auf Sie und Ihre wahre Identität geben kann.Zielgerichtete Attacken (so genanntes Spear Phishing) sind nicht so verbreitet, doch wenn Sie wertvolle Informationen weitergeben, ohne darüber nachzudenken, machen Sie das Leben von Cyberkriminellen eventuell einfacher. Selbst eine Wunschliste bei Amazon könnte der Startpunkt für einen riesigen Social-Engineering-Hack werden.