Der Mensch als Ausgangspunkt von Cyber-Attacken

Immer mehr stehen bei Cyber-Angriffen die Menschen im Brennpunkt. Mit dem sogenannten Social Engineering versuchen die Angreifer an wichtige Informationen heranzukommen. Die menschlichen Eigenschaften leisten dabei grosse Unterstützung, denn Menschen reagieren unterschiedlich auf gewisse Situationen und sind vielfach unaufmerksam im täglichen Geschäftsalltag. Viel zu oft geht es stressig zu und her, was sich die Angreifer zunutze machen.

Das Wort „Phishing“ sollten inzwischen nicht nur IT-affine Menschen kennen. Wir haben in unserem Blog bereits mehrmals über das Thema geschrieben. Einmal ging es dabei um grossflächige Phishing-Attacken, bei denen E-Mails wahllos an viele verschieden Adressaten verschickt werden. Bei einem weiteren Artikel um gezielte Angriffe, bei denen Kriminelle sehr zielgerichtet auf einzelne Personen zugehen und vorgeben, diese zu kennen. Die Angreifer haben sich dazu vorab umfangreiche Informationen über die Person beschafft. Das kann in den sozialen Medien, über abgefangene E-Mails oder auf Webseiten passieren. Mit diesen persönlichen Informationen ist die Wahrscheinlichkeit gross, dass dem E-Mail-Absender vertraut wird und man auf den Angreifer hereinfällt.

Stichwort: Security-Awareness.
Meist werden die Opfer aufgefordert, eine angehängte Datei oder einen Link zu öffnen. In anderen Fällen werden sie dazu verleitet, heikle Informationen preiszugeben. Um möglichst vertrauenswürdig zu erscheinen, werden als vermeintlicher Absender gerne die Post, SBB, SwissPass oder auch Streamingdienste wie Netflix verwendet. Die Opfer landen anschliessend auf einer präparierten Webseite, welche dem Original zum Verwechseln ähnlich sieht. Sie werden unter einem Vorwand aufgefordert, z. B. Ihre E-Banking- oder die Kreditkarte-Informationen einzugeben. Um den Druck beim Opfer zu erhöhen, wird ein knappes Zeitfenster vorgegeben mit der Aufforderung sofort zu handeln. Im Unternehmensumfeld gibt es inzwischen gute technische Lösungen mit Anti-Phishing-Mechanismen, welche standardmässig einen Teil der Angriffe abwehren kann. Das Sicherheitsbewusstsein der Mitarbeitenden sollte aber trotzdem immer hoch sein und auch entsprechend gefördert werden.

Nicht nur online, sondern auch physisch
Beliebt bei Cyberkriminellen, wenn auch etwas aufwendiger, sind physische Social Engineering-Attacken. Dabei wird beispielsweise ein USB-Stick in der Arbeitsumgebung platziert, in der Hoffnung, das Interesse eines Mitarbeitenden zu wecken. Wird dieser mit dem Arbeitsplatz verbunden, gibt es verschiedene Möglichkeiten für den Angreifer, das System zu schädigen. Es können beispielsweise Dateien ausgeführt werden, die einen Schadcode enthalten. Die Angreifer können so je nach Zugangsberechtigung der Opfer an wertvolle Daten gelangen oder ganze Systeme lahmlegen. Um solche Angriffe zu verhindern, sollten USB-Sticks für die Verwendung mit Firmengeräten generell gesperrt werden und nur auf Nachfrage bei der internen IT bei Bedarf freigeschalten werden. Umso erstaunlicher ist der Fall einer Bank in Bremen, welche 15'000 USB-Sticks mit neuen AGB an Ihre Kunden verschickt hat. Der Teil der Kundschaft mit einem gewissen Gespür für Cybersicherheit hat darin vermutlich schnell einen Phishing-Versuch vermutet und den Stick nicht verwendet. Trotzdem erstaunen solche Aktionen in der heutigen Zeit gerade bei einem Finanzinstitut. Das könnte Kriminellen dazu animieren, dieses Vorgehen zu kopieren.

Kleider machen Leute
Das physische Eindringen eines Social Engineers in den geschlossenen Bereich eines Unternehmens nennt sich Tailgating . Der Angreifer nutzt dabei die Unachtsamkeit der Mitarbeitenden aus, um physikalische Schutzmassnahmen wie verschlossene Gebäudetüren zu umgehen. Wenn beispielsweise am Morgen oder am Mittag viele Angestellte ein Gebäude betreten, schleust sich die unbefugte Person in die Menschenmasse ein und gelangt so ohne Zutrittsberechtigung hinein. Das ist allerdings oft von Glück und Zufällen abhängig. Ein echter Profi verkleidet sich als Haustechniker mit einer Werkzeugtasche oder einer Leiter oder gibt vor, ein Fahrer einer Lieferfirma zu sein. Dadurch fällt er nicht auf und einmal vor Ort hat er direktem Zugriff auf die Systeme. Schwachstellen wie nicht gesperrte Computer oder Passwörter unter der Tastatur lassen sich so einfach ausnutzen.

Genau so ein Profi ist Social Engineer Ivano Somaini von Compass Security. Er ist aber nicht mit böser Absicht unterwegs, sondern nimmt für die Unternehmen, die ihn engagieren, deren Sicherheitskonzept unter die Lupe. Am FIRST!DAY 2024 am 16. Mai 2024 wird er verschiedene, in realen Firmen erfolgreich durchgeführte Angriffsszenarien aus seiner 13-jährigen Social Engineering Erfahrung präsentieren, die weit über die bekannten Ansätze wie E-Mail Phishing hinausgehen. Er wird erläutern, wie mithilfe von kleinsten und scheinbar irrelevanten preisgegebenen Informationen in Unternehmen eingebrochen oder industrielles Know-how gestohlen werden kann. Lassen sie sich das nicht entgehen und melden sie sich heute noch an: https://lp.firstframe.net/firstday