Mailvorlage „Phone Phishing“ / „Social Engineering“

Hallo zusammen,

nach den zwei bereits vorangegangen Awareness-Tests bzw. Angriffen (gefakte Cross E-Mails, präparierte USB Sticks) haben wir vor kurzem einen weiteren Test durchgeführt:

In diesem Falle hat ein angeblicher Herr Kaiser (Firma Datasecure) sich telefonisch bei Mitarbeitern gemeldet, um einen Sicherheitscheck der PCs durchzuführen. Die Maßnahme war lt. seiner Aussage mit der IT-Abteilung so abgesprochen und er bräuchte nur den Namen des PC-Herstellers sowie das jeweilige Domänenkennwort des Benutzers.

Die nötigen Informationen wie Namen, Telefonnummern und auch Zuständigkeiten lassen sich ohne Probleme über das Internet herausfinden, d.h. es Bedarf keinerlei Insider-Informationen, um diesen Angriff durchzuführen. Auch das bei den Mitarbeitern eine 0800 Nummer angezeigt wird und nicht die reale Rufnummer des Anrufers ist mithilfe einer Funktion der Telefonanbieter Namens „Clip, no-Screening“ kein Problem. Grundsätzlich kann jede beliebige Nummer übermittelt werden, egal ob diese existiert oder nicht.

Auswertung:

Die zufällig ausgewählten Mitarbeitern waren vorsichtiger als bei den vorangegangen Awareness-Tests. Auch auf die teils sehr eindringliche Art von „Hr. Kaiser“ fielen die meisten nicht herein. Lediglich 2 Mitarbeiter gaben ihre Passwörter heraus, wovon jedoch ein Mitarbeiter sofort im Anschluss sein Passwort selbstständig geändert und der IT Abteilung Bescheid gegeben hat.

Im Falle eines tatsächlichen Angriffs reicht aber bereits EIN Passwort aus, um sich an unseren internen Systemen zu authentifizieren. Danach kann der Angreifer unter dem Namen des Mitarbeiters Daten abgreifen bzw. diese manipulieren. Er muss dazu jedoch vor Ort sein und physikalischen Zugriff auf einen PC im Unternehmensnetzwerk haben. Doch auch dieser Zugriff ist für gut trainierte und schauspielerisch talentierte Angreifer nicht wirklich schwer zu bewerkstelligen.

Auf ein neues – Die Methode der Hacker:

Diese Form eines Angriffs nennt sich „Social Engineering“. Die Definition des Begriffs versteht sich wie folgt (Quelle: Wikipedia):

Social Engineering [ˈsəʊʃl̩ ˌɛndʒɪˈnɪəɹɪŋ] (engl. eigentlich „angewandte Sozialwissenschaft“, auch „soziale Manipulation“) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Häufig dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking [‚hækɪŋ].

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben. Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen. Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet.

Trotz ihrer scheinbaren Banalität gelingen mit der Methode immer wieder spektakuläre Datendiebstähle. So gelang es einem amerikanischen Schüler 2015, den privaten E-Mail-Account des amtierenden CIA-Direktors Brennan zu öffnen und drei Tage lang darauf zuzugreifen.

Korrektes Verhalten:

Persönliche Kennwörter dürfen an niemanden weitergegeben werden. Vor allem bei unbekannten Anrufern ist immer darauf zu achten, welche Informationen weitergegeben werden. Wie auch schon von den meisten Mitarbeitern praktiziert, soll bei merkwürdigen / ungewöhnlichen oder scheinbar unseriösen Anrufen zuerst mit der IT-Abteilung abgeklärt werden, ob und welche Daten an den Anrufer herausgegeben werden dürfen.

Falls ihr allgemein mehr über IT-Sicherheit, richtiges Verhalten am PC-Arbeitsplatz oder die Vermeidung von Datenverlust, Identitäts-Diebstahl und den Methoden der Hacker wissen möchtet, dann schreibt uns einfach eine kurz Mail an security@XYZ.de. Wir werden jede Anfrage prüfen und uns Gedanken machen, inwiefern wir die Themen am besten aufbereiten und präsentieren können.