JRB - Fotolia

Wie sich Social Engineering immer weiterentwickelt

Angriffe via Social Engineering lassen sich nur schwer durch technische Maßnahmen verhindern. Sie werden laufend weiterentwickelt. Wichtig sind deswegen Schulungen der Mitarbeiter.

Menschen wählen in der Regel den einfachsten Weg, um ihre Ziele zu erreichen. Das gilt im Besonderen für Hacker und Cyberkriminelle. Weil technische Maßnahmen relativ schwierig zu umgehen sind, bedeutet dies häufig, dass stattdessen Social Engineering genutzt wird, um Cyberattacken durchzuführen.

Die Entwicklung beim Social Engineering ist dabei in den vergangenen Jahren ebenfalls nicht stehen geblieben. Die damit möglichen Angriffe wurden kontinuierlich weiterentwickelt. Anfangs genügte oft noch der schnelle Blick über die Schulter oder ein vergleichsweise simpler Vorwand, um an fremde Daten zu kommen. Dies reicht jedoch heute meist nicht mehr aus. Auch die beim Social Engineering verwendeten Tricks mussten verbessert werden, wenn die Angreifer damit weiter erfolgreich bleiben wollten.

In diesem Artikel erfahren Sie, wie sich Social-Engineering-Angriffe und die dagegen von Unternehmen in Stellung gebrachten Schutzmaßnahmen verändert haben. Insbesondere die sozialen Medien haben viele Neuerungen mit sich gebracht.

Wie sich Social Engineering weiterentwickelt hat

Die für Social-Engineering-Angriffe benötigten technischen Fähigkeiten sind vergleichsweise leicht zu erlernen und unterscheiden sich deutlich von den Kenntnissen, die zum Beispiel für das Entdecken neuer Zero-Day-Exploits oder für das Umgehen ausgefeilter technischer Schutzmaßnahmen nötig sind. Ursprünglich wurde zum Social Engineering das noch relativ simple Phone Phreaking verwendet, bei dem Telefonverbindungen manipuliert werden. Das Ziel dieser Maßnahmen waren dabei schon immer Menschen mit Zugang zu bestimmten Diensten oder Ressourcen, also Personen, die über Admin- oder Root-Rechte verfügen oder die auf bestimmte Systeme zugreifen dürfen.

Social Engineering und viele der dabei verwendeten Methoden beziehungsweise Techniken, seien es Phishing, Spear Phishing, Whaling, Smishing oder jetzt Social Media, basieren auf relativ ähnlichen Tricks, um ein Ziel zu einer erwünschten Aktion zu bewegen. Die jeweilige dabei genutzte Technologie oder auch das Medium sind dabei nicht so wichtig wie die eingesetzten Techniken. So setzen etwa Social-Engineering-Angriffe mit Hilfe von sozialen Netzen darauf, dass jemand durch sein scheinbar umfangreiches Netzwerk als vertrauenswürdig eingestuft wird.

Der Sicherheitsanbieter SecureWorks hat in einem Blog-Beitrag eine neue Angriffsmethode beschrieben, die er Mia Ash nennt. Dabei wird ein soziales Netzwerk genutzt, um dem Opfer ein Attachment zu schicken, das es aus einem vorgeschobenen Grund unbedingt öffnen soll. In diesem Attachment befindet sich ein mit Makros präpariertes Word-Dokument. Diese Makros starten ein PowerShell-Skript, das die PupyRAT-Malware herunterlädt und auf dem Zielsystem installiert. Dadurch erhält der Angreifer die komplette Kontrolle über das System – vorausgesetzt das Opfer hat auf dem Rechner Admin-Rechte.

Mia Ash nutzt dazu legitim wirkende, überzeugend eingebundene und mit Fotos versehene Facebook- und LinkedIn-Profile. Damit gleicht dieser Angriff den seit längerem schon beobachteten Phishing-Attacken, die auf möglichst echt aussehenden E-Mails basieren, die entweder ein Attachment oder eine URL auf eine verseuchte Datei enthalten.

Schutzmaßnahmen für Unternehmen gegen moderne Social-Engineering-Angriffe

Zum Schutz vor Angriffen via Social Engineering benötigen Unternehmen sinnvoll aufeinander abgestufte Maßnahmen. Zunächst einmal ist die IT-Umgebung genauestens zu überwachen. Dabei muss einem Unternehmen klar sein, dass niemals alle Social-Engineering-Angriffe abgewehrt werden können. Die Security-Teams sollten sich deswegen auf Monitoring, Reaktion und Training der Anwender konzentrieren.

Bereits seit einiger Zeit enthalten Schulungen zur so genannten Security Awareness auch Module zu den Themen Social Engineering und Phishing. Die Effektivität dieser Einheiten ist jedoch umstritten. Deswegen sind zusätzlich technische Schutzmaßnahmen und ihre Überwachung nötig. Sie können jedoch negative Auswirkungen auf die Privatsphäre der Kunden und Angestellten haben.

Möglicherweise ist es deswegen nicht möglich, Social Engineering komplett zu verhindern, ohne dass es in diesem Bereich zu teilweise einschneidenden Auswirkungen auf die Privatsphäre kommt. In der Realität sind diese Maßnahmen nur so effektiv wie zum Beispiel ein Verbot von Smartphones oder anderer derzeit beliebter Technologien im Unternehmen.

Das alleinige Blockieren von sozialen Netzwerken wie Facebook hätte Mia Ash nicht verhindert. Bei diesem Angriff geht es vor allem darum, dass das Ziel eine verseuchte Datei öffnet. Ob sie per E-Mail oder über eine manipulierte Webseite mit einem so genannten Watering-Hole-Angriff übertragen wird, ist dabei nicht wirklich von Bedeutung. Es wäre aus diesem Grund vermutlich effektiver, im Rahmen eines Security-Awareness-Trainings auf eine sichere Nutzung von sozialen Netzen und auf die Frage einzugehen, wie man am besten auf Vorfälle reagiert.

Teil der Trainings sollten auch Informationen darüber sein, wie die Mitarbeiter in gefährlichen Situationen reagieren und wo beziehungsweise von wem sie weitere Unterstützung erhalten können, wenn ihnen etwas eigenartig vorkommt. Beispiele dafür sind etwa Anfragen, einen Anhang zu öffnen, sensible Informationen herauszugeben oder eine verdächtige Webseite zu besuchen. Zum Social-Media-Training könnte auch gehören, dass sich die Mitarbeiter nur mit anderen Menschen verbinden sollen, die sie wirklich kennen, persönlich getroffen haben oder mit denen sie gemeinsame Kollegen haben.

Darüber hinaus empfiehlt SecureWorks weitere grundlegende Sicherheitsmaßnahmen wie das Deaktivieren von Makros in Microsoft Office sowie den Einsatz moderner Schutzlösungen für die Endpoints. Diese Programme können das Starten verseuchter Dateien durch zum Beispiel Whitelisting verhindern oder nur das Ausführen vorher freigegebener PowerShell-Befehle erlauben.

Auch Sandboxing-Systeme, bei denen alle ausführbaren Dateien zunächst in gehärteten Umgebungen gestartet werden, können Infektionen verhindern. Das setzt jedoch voraus, dass der Mitarbeiter auf seinem Arbeitsplatzrechner keine Admin-Rechte hat.

Fazit

Es mag für manche ein amüsanter Gedanke sein, zu vermuten, dass man nur von Superspionen angegriffen wird oder dass dies jedes Mal für große Schlagzeilen sorgt. In Wahrheit basieren viele erfolgreiche Angriffe auf vergleichsweise einfachen Methoden zum Social Engineering, die sich mit rein technischen Maßnahmen kaum stoppen lassen. Diese werden zwar benötigt, aber es sollte trotzdem klar sein, in welchen Situationen sie nicht ausreichen und wie sich verdächtige Aktivitäten überwachen lassen, um die eigene Umgebung effektiv vor dem Diebstahl von Daten zu schützen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Der Risikofaktor Mensch: Social Engineering

Phishing: Das größte Sicherheitsrisiko für Unternehmen

Datenschutz: Innentäter abwehren, nicht Mitarbeiter überwachen

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit