Social Engineering: Warum sollten Unternehmen davor Angst haben?

(Di Andrea Filippo Mongelli)
30/06/21

„Cyber-Sicherheit ist schwierig (vielleicht sogar unmöglich), aber stellen Sie sich für einen Moment vor, dass Sie erfolgreich waren. Bei Bedarf kommt starke Kryptographie zum Einsatz, Sicherheitsprotokolle erfüllen ihre Funktionen einwandfrei. Wir verfügen sowohl über zuverlässige Hardware als auch über zuverlässige Software. Das Netzwerk, auf dem wir arbeiten, ist ebenfalls absolut sicher. Wunderbar!

Das reicht leider immer noch nicht. Dieses wunderbare System kann nur mit der Beteiligung von Benutzern alles Nützliche tun.

Menschen sind oft das schwache Glied in einem System von Sicherheitsmaßnahmen, und sie sind es, die sie ständig wirkungslos machen.

In Bezug auf die Sicherheit ist die Mathematik fehlerfrei, Computer sind anfällig, Netzwerke sind schlecht und die Leute sind einfach ekelhaft.

(aus: "Secrets and Lies: Digital Security in a Networked World", von Bruce Schneier)

Informationen sind eines der wichtigsten Vermögenswerte eines Unternehmens.

Die Informationen können ein Geschäftsgeheimnis des Unternehmens darstellen, beispielsweise können sie unter bestehenden oder möglichen Umständen dazu dienen, Einnahmen zu steigern, ungerechtfertigte Ausgaben zu vermeiden oder dazu beitragen, eine marktbeherrschende Stellung auf dem Markt für Waren, Bauleistungen, Dienstleistungen aufrechtzuerhalten oder dem Unternehmen andere wirtschaftliche Vorteile zu bringen Unternehmen. Folglich müssen solche Informationen geschützt werden.

Da Menschen potenziell in jedes Unternehmen wechseln, um zu arbeiten, entsteht zwangsläufig der Einfluss des Faktors Mensch auf alle Prozesse der Organisation. Einschließlich des Prozesses zum Schutz vertraulicher Informationen.

Jede menschliche Handlung, die mit einem Verstoß gegen das Sicherheitsregime verbunden ist, kann in zwei große Kategorien eingeteilt werden: beabsichtigt und unbeabsichtigt.

Zu den absichtlichen Handlungen gehören die Diebstahl von Informationen von Mitarbeitern, die Veränderung Informationen oder ihre Zerstörung (Sabotage). Letzteres ist ein Extremfall und muss rückwirkend unter Einbeziehung der Polizeibehörden behandelt werden.

für unbeabsichtigte Aktionen wir meinen beispielsweise den Verlust von Datenträgern, die Zerstörung oder Beschädigung von Daten durch Fahrlässigkeit. Die Person erkennt in diesem Fall nicht, dass ihre Handlungen zu einer Verletzung des Geschäftsgeheimnisses führen.

Dasselbe gilt für unfreiwillige Handlungen, die zum Wohle der falschen Personen ausgeführt werden, oft getäuscht durch sogenannte "Social Engineering"-Techniken.

In vielen Fällen ist sich ein Mitarbeiter nicht bewusst, dass sein Handeln möglicherweise Verstöße gegen das Geschäftsgeheimnis darstellt, aber gleichzeitig wissen diejenigen, die ihn fragen, eindeutig, dass er gegen das Regime verstößt.

Social-Engineering-Techniken

Alle Techniken des Social Engineering basieren auf den Besonderheiten der menschlichen Entscheidungsfindung.

Es gibt verschiedene Techniken und Arten von Social Engineering:

- Das Vorwand es ist eine Handlung, die nach einem vorgeschriebenen Skript (Vorwand) ausgearbeitet wird. Folglich muss das Ziel (Opfer) bestimmte Informationen bereitstellen oder eine bestimmte Handlung ausführen. Diese Art von Angriff wird normalerweise über das Telefon verwendet. Meistens handelt es sich bei dieser Technik um nichts anderes als einfache Lügen und erfordert einige Vorabrecherchen (z. B. Personalisierung: Namen des Mitarbeiters, Position und Namen der Projekte, an denen er arbeitet), um Glaubwürdigkeit zu gewährleisten, wenn wir werden dem Ziel präsentiert

- Das Phishing: eine Technik, die darauf abzielt, in betrügerischer Absicht an vertrauliche Informationen zu gelangen. Typischerweise schickt der Angreifer dem Ziel eine E-Mail, gefälscht aus einem offiziellen Brief - von einer Bank oder einem Zahlungssystem - und fordert die "Verifizierung" bestimmter Informationen oder die Ausführung bestimmter Aktionen an. Dieses Schreiben enthält normalerweise einen Link zu einer gefälschten Webseite, die die offizielle Website mit Logo und Firmeninhalt nachahmt, und enthält ein Formular, in dem Sie vertrauliche Informationen eingeben müssen, von Ihrer Privatadresse bis zu Ihrer Kreditkarten-PIN.

Troianisches Pferd: Diese Technik nutzt die Neugier oder Gier des Ziels aus. Der Angreifer sendet eine E-Mail mit einem Anhang mit einem wichtigen Antiviren-Update oder sogar neue kompromittierende Beweise gegen einen Mitarbeiter. Diese Technik bleibt wirksam, solange Benutzer blind auf einen Anhang klicken.

Straßenapfel: Diese Angriffsmethode ist eine Adaption eines Trojanischen Pferdes und besteht in der Verwendung physischer Unterstützung. Ein Angreifer kann eine CD oder eine Speicherkarte an einem Ort platzieren, an dem das Medium leicht zu finden ist (Flur, Aufzug, Parkplatz). Das Fahrzeug ist als Offizier geschmiedet und wird von einer Signatur begleitet, die neugierig machen soll.

Beispiel: Ein Angreifer könnte eine CD mit einem Firmenlogo und einem Link zur offiziellen Website des Zielunternehmens werfen und diese mit "Gehälter für Führungskräfte im 2010. Quartal XNUMX" kennzeichnen. Die Disc kann auf der Aufzugsetage oder in der Lobby gelassen werden. Ein Mitarbeiter kann unwissentlich eine Diskette nehmen und in einen Computer einlegen, um seine Neugier zu befriedigen.

Gegenleistung: Ein Angreifer kann eine zufällige Nummer des Unternehmens anrufen und sich als Mitarbeiter des technischen Supports präsentieren und fragen, ob es technische Probleme gibt. Wenn es welche gibt, gibt das Ziel beim "Fix"-Prozess Befehle ein, die es einem Angreifer ermöglichen, bösartige Software zu starten.

- Reverse Social Engineering.

Das Ziel der Social Reverse Engineering es ist, das Ziel zum Aggressor zu bringen, um "Hilfe" zu erhalten. Dazu kann ein Angreifer die folgenden Techniken verwenden:

Sabotage: verursacht ein reversibles Problem auf dem Computer des Opfers.

Werbung: Der Angreifer schlüpft dem Opfer mit einer Ansage wie "Bei Problemen mit Ihrem Computer, rufen Sie diese Nummer an" (dies betrifft hauptsächlich Mitarbeiter, die auf Geschäftsreise oder im Urlaub sind).
Wir können jedoch den Prozentsatz der Betrüger und des Diebstahls sensibler Daten begrenzen, die unser Image und unser tägliches Leben beeinträchtigen könnten. 

Die grundlegendste Verteidigung gegen Social Engineering ist die Bildung. Denn wer gewarnt wird, ist bewaffnet. Und Unwissenheit wiederum entbindet nicht von Verantwortung. Alle Mitarbeiter des Unternehmens müssen sich der Gefahren der Offenlegung von Informationen und deren Vermeidung bewusst sein.

Darüber hinaus sollten die Mitarbeiter des Unternehmens klare Anweisungen haben, wie und zu welchen Themen sie mit einem generischen Gesprächspartner sprechen sollen, welche Informationen sie von ihm für eine genaue Authentifizierung des Gesprächspartners einholen müssen.

Hier sind einige Regeln, die hilfreich sein könnten:

1. Alle Passwort Benutzer sind Eigentum des Unternehmens. Allen Mitarbeitern sollte am Tag der Einstellung erklärt werden, dass die ihnen zur Verfügung gestellten Passwörter nicht für andere Zwecke verwendet werden können, beispielsweise für die Autorisierung auf Internetseiten (es ist bekannt, dass es für eine Person schwierig ist, alle im Auge zu behalten Passwörter und Zugangscodes, verwenden Sie daher häufig dasselbe Passwort für verschiedene Situationen).

Wie kann diese Schwachstelle im Social Engineering ausgenutzt werden? Angenommen, ein Mitarbeiter eines Unternehmens wird Opfer von Phishing. Dadurch ist Ihr Passwort auf einer bestimmten Website Dritten bekannt geworden. Wenn dieses Passwort mit dem im Unternehmen verwendeten übereinstimmt, besteht eine potenzielle Sicherheitsbedrohung für das Unternehmen.

Grundsätzlich ist es nicht einmal erforderlich, dass ein Mitarbeiter des Unternehmens Opfer von Phishing. Es gibt keine Garantien dafür, dass das erforderliche Sicherheitsniveau auf den aufgerufenen Seiten eingehalten wird. Es besteht also immer eine potenzielle Bedrohung.

2. Alle Mitarbeiter sollten im Umgang mit i Besucher. Es bedarf klarer Regeln, um die Identität des Besuchers und seiner Begleitperson festzustellen. Ein Besucher sollte immer von einer Person des Unternehmens begleitet werden. Trifft ein Firmenmitarbeiter auf einen allein im Gebäude umherwandernden Besucher, muss er über die nötigen Anweisungen verfügen, um richtig herauszufinden, zu welchem ​​Zweck sich der Besucher in diesem Gebäudeteil aufgehalten hat und wo sich seine Begleitung befindet.

3. Es sollte eine Regel für das Korrekte geben Offenlegung nur Informationen, die telefonisch und persönlich wirklich benötigt werden, sowie ein Verfahren zur Überprüfung, ob es sich bei der anfragenden Person um einen echten Mitarbeiter des Unternehmens handelt. Es ist kein Geheimnis, dass die meisten Informationen von einem Angreifer während der direkten Kommunikation mit Mitarbeitern des Unternehmens erlangt werden. Wir müssen auch berücksichtigen, dass sich die Mitarbeiter in großen Unternehmen möglicherweise nicht kennen, sodass ein Angreifer leicht vorgeben kann, ein Mitarbeiter zu sein, der Hilfe benötigt.

Alle beschriebenen Maßnahmen sind relativ einfach umzusetzen, aber die meisten Mitarbeiter vergessen diese Maßnahmen und die ihnen zugewiesene Verantwortung bei der Unterzeichnung der Geheimhaltungsverpflichtungen. 

So wendet das Unternehmen enorme finanzielle Mittel auf, um die Informationssicherheit mit technischen Mitteln zu gewährleisten, die leider leicht umgangen werden können, wenn die Mitarbeiter keine Maßnahmen gegen Social Engineers ergreifen und die Sicherheitsdienste nicht regelmäßig das Personal des Unternehmens überprüfen.

Bild: Pluribus One / web