Am 10. Oktober fand an der Hochschule Zittau/Görlitz ein interessanter Vortrag zum Thema "Cybercrime aus polizeilicher Sicht - Bedrohungslage und Phänomene" statt. Ein Vertreter vom Landeskriminalamt Sachsen gab einen Überblick über die aktuellen Schwerpunkte in der Internetkriminalität, um die Mitarbeiter und Studenten der Hochschule zu sensibilisieren. Ich möchte über die Dinge berichten, die ich durch den Vortrag hinzugelernt habe. Der Schwerpunkt dieser Mitschrift sind Hacker-Angriffe auf Unternehmen. Die Erkenntnisse lassen sich aber leicht in den privaten Bereich übertragen.
Hacker können Schwachstellen in der Programmierung von Software, Betriebssystemen und Netzwerken ausnutzen, um Daten zu stehlen und Schaden anzurichten. Diese kriminelle Arbeit ist technisch aufwändig und erfordert vom Hacker bestimmte Informatik-Fachkenntnisse. Neben diesem "technischen Hacking" nimmt jedoch ein weiterer krimineller Zweig immer größere Dimensionen an, nämlich das "soziale Hacking" oder "social Engineering". Der Grundgedanke ist einfach: um Zugriff auf das gewünschte System zu erlangen, ist gar kein großer technischer Aufwand erforderlich, wenn ein rechtmäßiger Nutzer dieses Systems "freiwillig" die notwendigen Zugangsdaten und andere relevante Informationen herausrückt. Es ist auch gar kein technischer Aufwand erforderlich, um Zugang zum Online-Banking eines Nutzers zu erlangen, wenn der Nutzer "freiwillig" die gewünschte Geldsumme auf das gewünschte Bankkonto überweist. Um solche Arten von "Kooperation" zu erreichen, muss der Hacker natürlich zuvor das Vertrauen des Nutzers erschleichen. Darauf werde ich gleich näher eingehen.
Die Hacker nutzen also verstärkt den Mensch als Schwachstelle aus. Solche Schwachstellen können nicht durch Sicherheitsupdates geschlossen werden. Aus diesem Grund ist "social Engineering" eine zeitlose und nicht zu unterschätzende Bedrohung. Dagegen kann nur eine Aufklärung und Sensibilisierung der Nutzer helfen.
Social Engineering Teil 1: Informationen sammeln
Informationen sind das wichtigste Gut beim social Engineering. Es liegt daher auf der Hand, dass sich das Phänomen "social Engineering" immer stärker ausbreitet, wenn jedes Unternehmen und jede Privatperson immer mehr Informationen öffentlich auf Webseiten und sozialen Netzwerken hinterlässt.
Auf Unternehmenswebseiten lassen sich oft folgende Informationen finden:
- Partnerunternehmen, Referenzkunden und Projekte, an denen das Unternehmen erfolgreich beteiligt war
- das erfolgreiche "Team" wird vorgestellt, jeweils mit Name und Funktion innerhalb des Unternehmens
- Es werden PDF-Dateien, Office-Dokumente (Word, Powerpoint, Excel) und Bilder verlinkt. Deren Meta-Daten können u.a. Auskunft über
- das in der Firma verwendete Betriebssystem
- in der Firma verwendete Software (z.B. Adobe Distiller, OpenOffice, Microsoft Office)
- in der Firma verwendete Hardware (z.B. Druckermarken)
- die Bezeichnung und/oder Struktur der in der Firma verwendeten Usernamen, Ordner- und Dateinamen sowie Pfadangaben
geben.
In beruflichen oder sozialen Netzwerken (z.B. Facebook, LinkedIn, Xing) finden sich ebenfalls jede Menge relevante Daten:
- Die Mitglieder der Netzwerke geben oft den Namen ihres Unternehmens und ihre Funktion in diesem Unternehmen an. Daraus lässt sich eine Mitarbeiterliste rekonstruieren und es können Rückschlüsse über die Unternehmensstruktur (Anzahl und Art der Abteilungen bzw. Hierarchiestufen) gezogen werden.
- Die Mitglieder vernetzen sich untereinander, sodass ein Einblick in die Zusammenarbeit zwischen mehreren Unternehmen bzw. zwischen dem Personal mehrerer Unternehmen gewährt wird.
- Theoretisch kann jede unternehmensbezogene Angabe im Profil eines Mitarbeiters für einen Angriff gegen das Unternehmen nutzbar sein (wo hat ein Mitarbeiter vorher gearbeitet?, welches Expertenwissen hat der Mitarbeiter?)
Mehr Infos: https://www.infoguard.ch/de/blog/open-source-intelligence-cyber-security
Die Informationen über das anzugreifende Unternehmen sind also u.U. auf zahlreichen Seiten im Internet verteilt. Um diese Daten effektiv zu finden und auszuwerten, nutzen Hacker häufig sogenannte Open Source Intelligence Tools (OSINT). Dabei handelt es sich um Software, die zu einem bestimmten Thema alle im Internet frei verfügbaren Informationen automatisch sammelt und bis zu einem gewissen Grad intelligent aufbereitet. Die Betonung liegt auf "frei" (open source): es können nur Informationen gesammelt werden, die im Internet für alle öffentlich sichtbar sind. Allerdings können die Werkzeuge zum Teil weitaus mehr leisten (anders ausgedrückt: weitaus "tiefer schürfen") als eine einfache Google-Suche. Zwei kleine Beispiele:
- Foca ist eine Software, die nach relevanten Meta-Daten in den auf einer bestimmten Webseite veröffentlichten Office-Dateien, PDFs oder Bildern sucht.
- Die Suchmaschine Google bietet eine große Anzahl zusätzlicher Suchparameter, mit denen z.B. nach ungeschützten sensiblen Dateien und Verzeichnissen gesucht werden kann - allgemein im Internet oder gezielt bei einer bestimmten Domäne.
Mehr Infos:
https://www.heise.de/security/artikel/Verraeterische-Metadaten-in-Unternehmensdokumenten-1229482.html
https://www.kuketz-blog.de/google-hacking-die-dunkle-seite-der-suchmaschine/
Social Engineering Teil 2: Informationen für kriminelle Zwecke verwenden
Der Hacker besitzt nun firmeninternes Wissen, welches ihm dabei hilft, einen für einen Angriff geeigneten Mitarbeiter oder eine Gruppe von Mitarbeitern auszuwählen. Als nächstes wird er sich mit Hilfe des gesammelten Wissens eine falsche Identität zulegen und einen Vorwand konstruieren, unter dem er anschließend die ausgewählten Personen kontaktiert. Mögliche Szenarien wären z.B.:
- Der Angreifer gibt sich als Mitarbeiter eines Partnerunternehmens aus, mit dem die Firma an einem gemeinsamen Entwicklungsprojekt XY arbeitet. Er bittet in einer e-mail darum, die im Anhang befindliche Präsentation / Exceltabelle für das bevorstehende XY-Projektmeeting schon mal durchzulesen und ggf. Änderungswünsche zu äußern. Das Projekt XY wurde ausführlich in einer Pressemitteilung auf der Firmenwebseite beschrieben. Die passenden Mitarbeiter der beteiligten Firmen hat der Angreifer anschließend über berufliche Netzwerke ausfindig gemacht.
- Der Angreifer gibt sich als Führungskraft innerhalb eines bestimmten Unternehmens aus. Er schreibt einer Verwaltungsmitarbeiterin innerhalb des gleichen Unternehmens eine e-mail mit der Anweisung, dass sie eine bestimmte Geldsumme auf das Konto des Unternehmens XY überwiesen soll. Er beschreibt kurz den Sinn und Zweck dieser Überweisung. Er schmeichelt ihr: alle anderen Mitarbeiter sind immer so träge, nur ihr traut er die schnelle und korrekte Abwicklung dieser dringenden Angelegenheit zu. Der Angreifer hat sich zuvor über die Kooperation mit dem Dienstleister / Lieferanten XY im Internet informiert und daraus einen mehr oder weniger plausiblen Vorwand konstruiert, unter dem die Geldzahlung erfolgen soll.
- Der für die Technik und Software zuständige Mitarbeiter eines Unternehmens erhält plötzlich eine e-mail von dem Softwarehersteller einer wichtigen Konstruktionssoftware, die im Unternehmen verwendet wird. Der Mitarbeiter soll das dringende Sicherheitsupdate für diese Software herunterladen und auf allen Rechnern installieren. Den Hinweis auf die verwendete Software hat der Angreifer in den Meta-Daten einer Zeichnung gefunden, die öffentlich zugänglich auf dem Server des Unternehmens liegt.
Solche e-mails sind obendrein oft mit einem gefälschten Absender versehen. Als Absender wird also tatsächlich die bekannte e-mail-Adresse eines bestimmten Mitarbeiters dieses Unternehmens oder eines Partnerunternehmens bzw. einer bekannten Softwarefirma angezeigt! Ein sehr genauer Blick in den e-mail-Header kann Aufschluss über die Echtheit der e-mail bzw. über die wahre Identität des Absenders geben.
Die Links bzw. Anhänger der gefälschten e-mails enthalten in der Regel Viren, wie z.B. Ransomware (übrigens: Ransomware verschlüsselt oft nicht nur die Daten auf dem PC, sondern auch auf allen angeschlossenen externen Speichermedien, wie z.B. USB-Sticks und externe Festplatten - diese sollten also immer vom PC entfernt werden, sobald sie nicht mehr benötigt werden).
Mehr Infos:
https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/so-lesen-sie-den-mailheader-6077
https://www.netzwelt.de/news/158678-spam-e-mails-so-ermittelt-wahren-absender-gefaelschter-mails.html
Fazit
Die Attacken auf dem Gebiet des social Engineerings werden immer trickreicher. Dagegen hilft es schon, nicht allzu schnell und gedankenlos auf Links zu klicken oder Anweisungen zu befolgen. Oft hat man schon ein gewisses Gefühl dafür, ob die Geschichte, die einem gerade aufgetischt wird, wahr ist oder nicht. Im Zweifelsfall sollte man sich nochmal persönlich oder telefonisch rückversichern.
Außerdem sollte jedes Unternehmen bzw. jede Person darüber nachdenken, welche Informationen für jeden öffentlich zugänglich im Internet preisgegeben werden sollen.