Sie sind auf Seite 1von 18

Social Hacking

Grundseminararbeit
HTW Aalen, Studiengang Informatik Sommersemester 09

vorgelegt von Gerd Hannebacher Markus Zinz 23537

26329

Betreuer: Prof. Dr. Hellmann

Ehrenwo arung rtliche Erkl


Ich versichere hiermit, dass ich diese Seminararbeit mit dem Thema Social Hacking selbstst andig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt habe.

Markus Zinz

26329

Aalen, den 03. Juni 2009

Ich versichere hiermit, dass ich diese Seminararbeit mit dem Thema Social Hacking selbstst andig verfasst und keine anderen als die angegebenen Quellen und Hilfsmittel benutzt habe.

Gerd Hannebacher

23537

Aalen, den 03. Juni 2009

Inhaltsverzeichnis
1 Kurzfassung 2 Einfu hrung 2.1 Was ist Social Hacking? . . . . . . . 2.1.1 M ogliche Denitionen . . . . 2.1.2 Denition . . . . . . . . . . . 2.2 Geschichte . . . . . . . . . . . . . . . 2.3 Kevin Mitnick . . . . . . . . . . . . . 2.4 Warum Social Hacking? . . . . . . . 2.5 Das schwaechste Glied - Der Mensch 4 5 5 5 6 6 6 7 7 9 9 9 9 10 10 11 11 11 12 12 13 13 13 14

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

. . . . . . .

3 Varianten 3.1 Human based Social Engineering . . . . . . . . . . . . . . . . . . 3.2 Computer based Social Engineering . . . . . . . . . . . . . . . . . 3.3 Reverse Social Engineering . . . . . . . . . . . . . . . . . . . . . 4 Methoden, Vorgehensweisen 4.1 Allgemeines Vorgehen . . . . . . . 4.2 Methoden . . . . . . . . . . . . . . 4.2.1 Phishing . . . . . . . . . . . 4.2.2 Direktangri . . . . . . . . 4.2.3 Angri auf Firmenneulinge 4.2.4 Hilfe anbieten . . . . . . . . 4.2.5 Um Hilfe bitten . . . . . . . 4.2.6 Der Einsatz von Sympathie, 4.2.7 Dumpster Diving . . . . . . 4.2.8 Shoulder Surng . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Schuld und Einschchterung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . .

5 Schutzmanahmen 15 5.1 Sicherheitrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . 15 5.2 Aufkl arungs- und Sicherheitstrainings . . . . . . . . . . . . . . . 15 5.3 Angemessene Authentizierungsmethoden . . . . . . . . . . . . . 17

Kurzfassung

In der vorliegenden Seminararbeit geht es um Social Hacking, allgemein auch bekannt als Social Engineering. Als Grundlage zur Ausarbeitung dieser Seminararbeit wurde das Buch Die Kunst der T auschung [KM] von K. Mitnick verwendet. Zun achst wird der Begri Social Hacking deniert. Danach wird ein geschichtlicher R uckblick auf die Thematik gegeben. Den Abschluss des ersten Kapitels bildet eine kurze Biographie u ber Kevin Mitnick und die Motivati on eines Social Hackers. Im Fokus des Hauptteils steht ein Uberblick u ber die verschiedenen Arten des Social Hacking. Nachdem in diesem Uberblick die verschiedenen Arten allgemein behandelt wurden, wird tiefer auf die Methoden und Vorgehensweisen eingegangen mit dem Ziel, daraus geeignete Schutzmassnahmen im letzten Kapitel herauszuarbeiten.

2
2.1

Einfu hrung
Was ist Social Hacking?
M ogliche Denitionen

2.1.1

Wikipedia: [Wikb] Social Engineering (engl. eigentlich angewandte Sozialwissenschaft, auch soziale Manipulation) nennt man zwischenmenschliche Beeinussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen. Social Engineers spionieren das pers onliche Umfeld ihres Opfers aus, t auschen falsche Identit aten vor oder nutzen Verhaltensweisen wie Autorit atsh origkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking. Bundesamt f ur Sicherheit in der Informationstechnik: [BSI] Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch Aushorchenu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorit at ausgenutzt. Dadurch k onnen Mitarbeiter so manipuliert werden, dass sie unzul assig handeln. Microsoft: [Mic] Social Engineering ist eine M oglichkeit, wie Kriminelle sich u ber das Internet Zugang zu Ihrem Computer verschaen k onnen. F ur gew ohnlich dient Social Engineering dazu, ohne Ihr Wissen Spyware oder andere sch adliche Software auf Ihrem Computer zu installieren oder Sie dazu zu bringen, Kennw orter oder andere vertrauliche nanzielle oder pers onliche Daten preiszugeben. Kevin Mitnick: [KM], S. 4 Social Engineering benutzt Techniken der Beeinussung und Uberredungskunst zur Manipulation oder zur Vort auschung falscher Tatsachen, u ber die sich ein Social Engineer eine gef alschte Identit at aneignet. Damit kann der Social Engineer andere zu seinem Vorteil ausbeuten, um mit oder ohne Verwendung von technischen Hilfsmitteln an Informationen zu gelangen.

2.1.2

Denition

Wie man sieht, ist der Begri Social Hacking, meist auch Social Engineering, nicht leicht in einem Satz zu denieren. Diese Arbeit st utzt sich auf die Aussagen von Kevin Mitnick. Er schreibt in seinem Buch [KM], S. 12: Social Engineering. (wie man Leute dazu bringt, Dinge f ur ihnen fremde Personen auszuf uhren, die sie normalerweise nicht tun w urden) W ortlich u bersetzt bedeutet Social Hacking Soziales Hacken, und genau das ist es auch. Der Angreifer der einen Social Hack durchf uhren will, muss nicht u ugen, wobei diese sicher auch hilfber tiefe technische Computerkenntnisse verf reich sind. Er sucht die Schwachstellen nicht im System, sondern am Menschen. Durch geschickte Manipulation und T auschung einer Person erlangt der Angreifer gew unschte Informationen.

2.2

Geschichte

[Wika], [KM] 9f. Genau l asst sich die Entstehung des Social Hackings nicht zur uck datieren. Gaukler und Schwindler gab es schon im Mittelalter. Wir beziehen uns auf die Umgehung technischer Systeme mit Hilfe des Menschen. Vermutlich trat der Begri Social Engineering, so wie man ihn heute kennt, das erste Mal in verbindung mit Phone Preaking auf. Phone Preaking war eine M oglichkeit, die Systeme und Angestellten einer Telefongesellschaft zu manipulieren. Es bildete sich eine Szene, in der sich immer wieder neue Methoden entwickelten. Man konnte beispielsweise kostenlos telefonieren oder s amtliche Kundendaten der Gesellschaft einsehen. Phone Preaking war nach eigenen Angaben die Social Engineer Schule von Hacker-Legende Kevin Mitnick.

2.3

Kevin Mitnick

[Wika], [KM] Kevin Mitnick war ein bekannter Hacker der 90er Jahre. Als Einzelkind ohne Vater wuchs er in den 60er Jahren in einer Vorstadt von Los Angeles auf. Er erkannte schon fr uh das er ein Talent daf ur hat Menschen zu t auschen. So gelang es ihm bereits als kleiner Junge Busfahrkarten so zu manipulieren, dass er kostenlos Bus fahren konnte. Ersten Kontakt mit Social Engineering bekam Mitnick in der High School, dort lernte er das Phone Preaking kennen (siehe Kapitel 2.2). Die Thematik der Manipulation begeisterte Mitnick so sehr, dass er sich mit viel Ehrgeiz weitere Methoden aneignete. Ihm wurde klar, dass er Hacker werden wollte, Social Hacker. Nach der High School studierte er Computerwissenschaften in Los Angeles. Dort beeindruckte er seine Professoren mit einem Hack des Uni-Computersystems und erzielte einen guten Abschluss. Seine erste Verhaftung war 1988, bei der er zu u ber einem Jahr Gef angnis verurteilt wurde. Er blieb bei seiner Leidenschaft und wurde in den 90er Jahren der meistgesuchte Hacker der USA. 1995 wurde er vom FBI verhaftet. Er soll in zahlreiche Hochsichereitssysteme der USA eingedrungen sein, unter anderem auch in das Pentagon. Nach gut f unf Jahren kam er aus dem

Gef angnis, seine Bew ahrungsauagen verlangten, dass er 3 Jahre keine Computer benutzen durfte. Mitnick betreibt heute eine erfolgreiche IT-Sicherheitsrma in den USA, die auf Social Engineering spezialisiert ist.

2.4

Warum Social Hacking?

Der Social Engineer verfolgt die selben Absichten wie der klassische Hacker. In der Regel geht es ihm um (mit Beispielen): Industriespionage - Unternehmensgeheimnisse Identit atsdiebstahl - Email Account, Soziale Netzwerke Geld - Onlinebanking, Kreditkartennummern Soziale Aspekte - Rache am Ex Partner Macht - Politik, Staatsgeheimnisse Ergeiz - Das Wissen das man es tun k onnte Gerade die f ur Angreifer interessanten Informationen verbergen sich oft hinter ausgekl u alt gelten Sicherheitssystemen. Jeder der etwas auf seine Daten h setzt dabei auf eine eigene Sicherheitsstrategie und bedient sich an verschiedenen Firewalls, Virenscannern. Authentizierungssystemen, Zugangskontrollen und anderen Sicherheitstechnologien. Daraus ergibt sich ein breites Spektrum individueller Sicherheitssysteme. Nun steht der Angreifer vor der Aufgabe, in diese technisch gesicherten Systeme einzudringen. Man erkennt, dass ein Angreifer sehr gute Kenntnisse u ber eine Vielzahl an Softwares und deren Schwachstellen haben muss, die er wegen Softwareupdates regelm aig auf den aktuellen Stand bringen muss. Das ist mit viel Aufwand und Fachwissen verbunden. Solche technischen Eindringungsversuche bleiben gerade bei groen Zielen selten unerkannt und erregen beim Opfer unn otige Aufmerksamkeit. Der Social Hacker geht einen anderen Weg. Er versucht die gew unschten Informationen durch Manipulation und T auschung von Menschen zu bekommen. Wenn der Social Hack gut durchgef uhrt wurde, merkt das Opfer meist gar nichts vom Angri. Es werden verschiedene Techniken verwendet, auf die in Kapitel 3 weiter eingegangen wird.

2.5

Das schwaechste Glied - Der Mensch

Der Angri u are Ziel des Social Engineers, um ber den Menschen ist das prim Informationen zu bekommen. Albert Einstein sagte einmal: Zwei Dinge sind unendlich: das Universum und die menschliche Dummheit. Aber beim Universum bin ich mir nicht ganz sicher [KM], S. 20. Ein Computersystem kann noch so gut gesichert sein. Dem Social Engineer ist das gleichg ultig, er greift u ber den Menschen an, der an dieses sichere System glaubt. Eigenschaften des Menschen werden bewut ausgenutzt, dazu geh oren 7

z.B. Emotionen, Hilfsbereitschaft, Gutgl aubigkeit, Respekt vor Autorit at, Koniktscheu. Der Social Engineer wei dass die Mitarbeiter in vielen Firmen nicht ausreichend mit den jeweiligen Sicherheitsrichtlinien vertraut sind. Also geht er den Weg des geringsten Widerstandes. Wir werden in den folgenden Kapiteln sehen, wie einfach es ist, einen Social Hack durchzuf uhren und welcher Methoden sich ein Social Engineer bedient.

Varianten

Dieses Kapitel soll einen Uberblick u atzlichen Varianten des Sociber die grunds al Hacking geben. Es werden drei Varianten unterschieden, Human based Social Hacking, Computer based Social Hacking und Reverse Social Hacking.

3.1

Human based Social Engineering

Diese Art des Angris entspricht dem eigentlichen Software Engineering. Der Angreifer versucht in direktem Kontakt, z.B. durch Telefonate oder pers onliches Erscheinen, mit dem Opfer an Informationen zu kommen. Normalerweise nimmt der Angreifer eine gef alschte Identit at an um sein Opfer zu t auschen und handelt auf verbalem Weg. Wichtige Hintergrundinformationen, die dem Angreifer dabei helfen sein Auftreten zu planen kann er sich zum Beispiel schon von der Website der Zielrma, oentlich aush angenden Dienstpl anen, T urbeschriftungen oder aber auch aus dem M ull der Firma, besorgen. Bei dieser Art muss der Angreifer ein gewisses Talent daf ur haben mit Menschen zu sprechen. In den Beispielen des n achsten Kapitels sieht man wie eektiv diese Methode ist.

3.2

Computer based Social Engineering

Bei dieser Variante wird der Computer als T auschungs- und Kontaktwerkzeug verwendet. Sie ist gerade in Zeiten des Internet ein beliebtes Mittel, um schnell viele Personen anzugreifen. Der Social Engineer kann den Computer dazu benutzen, Kontakt herzustellen oder eine T auschung durchzuf uhren. Er bedient sich Email, Webseiten, Chatprorammen oder anderer Techniken um in Interaktion mit dem Opfer zu treten. Eine beliebte Methode ist das Phishing, das in Kapitel 4.2.1 beschrieben wird.

3.3

Reverse Social Engineering

Beim Reverse Social Engineering schat der Social Engineer eine Situation, bei der die Zielperson auf die Hilfe des Social Engineers angewiesen ist und aktiv den Kontakt zum Angreifer sucht. Es ist eine Spezialform des Human Based Social Hacking. Der Angreifer schl upft in die Rolle eines Helfers und geniet dadurch das Vertrauen der Zielperson. Wird ein Angri erkannt und die Zielperson setzt psychologische Mittel zur Beeinussung ein, um an Informationen u ber den Angreifer zu kommen, nennt man dies auch Reverse Social Engineering.

Methoden, Vorgehensweisen

Wir kennen jetzt die Varianten des Social Hackings. In diesem Kapitel wird genauer auf die Art und Weise des Angris eingegangen. Zun achst wird die Vorgehensweise eines Social Hackers beschrieben, bevor gebr auchliche Methoden unter die Lupe genommen werden.

4.1

Allgemeines Vorgehen

Es ist schwierig, das allgemeine Vorgehen in ein Schema zu packen. Im Groben l auft jedoch ein Angri nach folgender Struktur ab. Informationsbeschaung und Vorbereitung Zu Beginn gilt es, soviele Information wie m oglich u ber das Opfer und dessen Umgebung zu sammeln. Eine akribische Vorbereitung ist die Grundlage eines erfolgreichen Social Hacks. Viele Informationen lassen sich passiv u oentliche Quellen abrufen (z.B. Firmenber webseite, Pressemeldungen), aber nicht alle. Um weitere Informationen zu bekommen, m ussen aktive Recherchen angestellt werden. Dazu werden beispielsweise Anrufe get atigt, Zufallsgespr ache mit Mitarbeitern gef uhrt oder Dumpster Diving (Siehe Kapitel 4.2.7) betrieben. Der Social Engineer wird also schon in der aktiven Recherchephase in seiner Disziplin t atig, um scheinbar belanglose Informationen zu bekommen (z.B. Firmenjargon, Zimmernummern). Diese helfen ihm bei seinem eigentlichen Hack und dem Aufbau einer Vertrauensbasis. Vertrauensbasis aufbauen [KM] S. 50. Ein Auszug aus Die Kunst der T auschung

Es geh ort zur Natur des Menschen, seinem N achsten zu trauen, insbesondere wenn das Anliegen eine vern unftige Begr undung aufweist. Social Engineers nutzen dieses Wissen, um ihre Opfer auszunutzen und ihre Ziele zu erreichen. Der Social Engineer versucht zun achst, sein Erscheinen glaubhaft und begr undet vorzut auschen. Das angeben einer falschen Identitt ist dabei das gngigste Mittel. Er muss den Kontakt zum Opfer so authentisch wie m oglich wirken lassen, um Verdachtsmomente zu zerstreuen (Dies kann zum Beispiel durch den erlernten Firmenjargon oder eine gef alschte Phishingseite erreicht werden). Kleinste Informationen, die bei der Vorbereitung zusammen getragen wurden, helfen dabei, die gef alschte Identit at echt wirken zu lassen. Der Angri Der Social Engineer hat sich eine erste Vertrauenbasis aufgebaut. Nun sollte er nicht sofort mit der T ur ins Haus fallen. Durch geschicktes Verschachteln des Angris (z.B. belanglose Fragen) lenkt er sein Opfer ab, um an seine Informationen zu kommen. Oft gleicht der Angri einem Puzzle, bei dem kleine scheinbar belanglose Teile zusammen getragen werden um ein groes zu bekommen, die gew unschte Ziel-Information. Beispiel: Ein Einbrecher klaut sich erst ein Brecheisen und ein Schweiger at, bevor er den Tresor aufbricht.

10

4.2

Methoden

Im Folgenden werden g angige Methoden eines Social Engineers besprochen. Zur Veranschaulichung wird in kurzen Beispielen gezeigt wie diese Methoden im Prinzip funktionieren. 4.2.1 Phishing

Der Social Engineer versucht durch gef alschte Emails, Webseiten oder andere Techniken, beim Opfer einen digitalen oziellen Eindruck zu machen, um an f ur ihn unbekannte Daten zu kommen. Sein wichtigstes Hilfsmittel dabei ist der Computer. Beispiel: Peter bekommt eine eMail von seiner Bank, wir nennen sie HTW-Bank, die ihn dazu auordert, seinen Onlinebanking Account zu verl angern, da er sonst gesperrt wird. Dazu soll er sich einloggen und die Verl angerung mit einem TAN best atigen. Peter klickt also auf den Link www.HTW-Bank.de, loggt sich wie immer ein und best atigt die Verl angerung. Als er das n achstemal seine Kontoausz uge durchgeht, stellt er fest, dass eine gr oere Summe ins Ausland u berwiesen wurde. Was ist passiert?: Ein Social Engineer hat Peter eine gef alschte Email geschrieben. Da diese Email f ur Peter oziel aussah, klickte er auf den Link. Der f uhrte ihn nicht wie angegeben zur Bankseite sondern einer nachempfundenen F alschung. Man k onnte noch einen Schritt weiter gehen und die angezeigte URL im Browser manipulieren. Beispielsweise sieht www.HTWBank.de-hackerdomain.de/Unverst andlichePhpBefehle auf den ersten Blick nach der echten URL aus. Nach Eingabe der Userdaten, die auf dieser Seite immer akzeptiert werden kommt Peter auf die Seite, die ihn dazu auordert die TAN einzugeben. Der Hacker hat Erfolg und Peter war nicht einmal bewusst, was passiert ist. 4.2.2 Direktangri

Dies ist wohl die einfachste Methode. Mit falscher Identit at fragt er einfach nach der Ziel-Information. Dies wird jedoch schwieriger, wenn sensiblere Daten angefragt werden. Man sieht, wie einfach ein Social Engineer an nicht f ur ihn bestimmte Daten kommt. Beispiel: Paula ist Sekret arin einer Firma. Sie wird vom Systemadministrator angerufen und nach den Einwahldaten f ur ihren Benutzeraccount gefragt. Was ist passiert? Der Angreifer hat sich als Administrator ausgegeben und einfach nur gefragt. Mit den erlangten Informationen k onnte er einen Angri starten oder weitere Informationen an anderer Stelle erlangen.

11

4.2.3

Angri auf Firmenneulinge

Firmenneulinge sind ein bevorzugtes Opfer des Social Engineers, da sie mit den Sicherheitrichtlinien der Firma noch nicht vertraut sein k onnten und sich oft hilfsbereit zeigen, um nicht negativ aufzufallen. Ausserdem ist es einfacher, eine falsche Identit at anzugeben. Beispiel: Paula arbeitet seit einer Woche als Programmierin in einer Softwarerma. Sie wird angerufen. Der Anrufer stellt sich als ihr noch unbekannter Projektleiter eines anderen Teams vor und m ochte sensible Details des aktuellen Projekts wissen damit er sein Projekt darauf abstimmen kann. Paula m ochte sich kooperativ und teamf ahig zeigen und gibt dem Anrufer die Informationen. Was ist passiert? Der Angreifer hat auf anderem Wege herrausgefunden wer bei dem Projekt neu ist, u ochte. Er ruft ber das er Informationen m bei Paula an und gibt sich als ein Projektleiter der Firma aus, dessen Namen er vorher recherchiert hat. Er bekommt wie erwartet, ohne groe R uckfragen, die Daten. 4.2.4 Hilfe anbieten

Bei dieser Methode versucht der Social Engineer dem Opfer vorzut auschen, er oder sie habe ein Problem. Er bietet seine Hilfe an und baut damit ein Vetrauensbasis auf und/oder gelangt sofort an die gew unschten Informationen. Beispiel: Paul arbeitet in einer Firma und besitzt einen Account f ur das rmeninterne Netzwerk. Er wird von einem Mitarbeiter aus dem Rechenzentrum der Firma angerufen und auf ein bevorstehendes Problem hingewiesen. Dieser hinterl asst Paul seine Nummer damit er sich bei Problemen direkt an ihn wenden kann. Nach ein paar Tagen hat Paul tats achlich das besagte Problem mit seinem Computer. Er meldet sich bei dem Mitarbeiter des Rechenzentrums. Dieser l ost das Problem in kurzer Zeit und r at Paul ein kleines Programm von einer Website herunterzuladen um weitere Probleme zu vermeiden. Paul l adt das Programm herunter und installiert es. Was ist passiert? Der Angreifer ruft bei seinem Opfer an weit sie oder ihn auf ein bevorstehendes Problem hin, das bei dem Computer des Opfers eintreten k onnte. Er r at dem Opfer, ihn bei Auftreten dieses Problems zu kontaktieren. Der Angreifer simuliert dieses Problem und erh alt kurze Zeit sp ater den erwarteten Anruf des Opfers. Er behebt nun wieder das Problem und weit das Opfer an, ein Programm zu installieren, das das Problem scheinbar dauerhaft l ost, dem Angreifer eigentlich aber nur die gew unschten Informationen vermittelt.

12

4.2.5

Um Hilfe bitten

Das Ziel des Social Engineers bei dieser Methode ist es, bei seinem Opfer einen gewissen Helferinstinkt zu wecken. Er t auscht vor ein Problem zu haben und gelangt so durch die vermeintliche Hilfe des Opfers an die gew unschten Daten. Beispiel: Paula arbeitet bei der Informationstelle einer Firma. Sie bekommt einen Anruf von einem Aussendienstmitarbeiter. Der Anrufer bittet Paula um Hilfe. Da sein Handy kaputt ist und er eine Deadline einhalten muss, fragt er sie, ob sie ihm nicht die Telefonliste der Firma per Fax schicken kann. Paula hilft dem Anrufer und schickt die Liste an die Faxnummer die der Anrufer Paula mitgeteilt hat. Was ist passiert? Der Angreifer ruft bei der Informationsstelle der Zielrma an und gibt sich mit zuvor recherchiertem Namen als Aussendienstmitarbeiter aus. Sein Ziel ist die Telefonliste der Firma. Er bekommt sie indem er beim Opfer eine Notfallsituation vort auscht und um Hilfe bittet. 4.2.6 Der Einsatz von Sympathie, Schuld und Einschchterung

Bei dieser Methode versucht der Social Engineer eine gewisse Sympathie aufzubauen oder mithilfe von Schuldzuweisungen und Einsch uchterungen(zum Beispiel Name Dropping ) das Opfer unter Druck zussetzen, um so an die gew unschten Informationen zu kommen. Beispiel: Paul arbeitet im Rechenzentrum einer groen Firma. Er bekommt einen Anruf von einem hochrangigen Mitarbeiter, der dar uber klagt, dass er keinen Heimzugri auf seine wichtigen Projektdaten hat. Der Anrufer droht Paul damit, dass er Schwierigkeiten mit Heinz Schneider, dem Abteilungslieter, bekommt, falls er nicht schnellstm oglich einen provisorischen Account bekommt, mit dem er sich von zuhause ins Firmennetz einloggen kann, um so an die wichtigen Daten zu kommen. Paul ist eingesch uchtert, richtet dem Anrufer sofort einen provisorischen Account ein und teilt diesem die Zugangsdaten mit. Was ist passiert? Der Angreifer gibt sich am Telefon als hochrangiger Mitarbeiter aus, dessen Name er vorher ermittelt hat. Er droht mit Konsequenzen von h oherer Stelle und setzt das Opfer so unter Druck. Das Opfer reagiert eingesch uchtert, handelt nach dem Wunsch des Angreifers und verschat ihm somit Zugang zum System. 4.2.7 Dumpster Diving

Eine sehr eektive Methode zur Informationsbeschaung ist das Durchsuchen des Firmenm ulls. Der Social Engineer gelangt dadurch an Daten, die er direkt verwenden kann oder die ihm als Werkzeug zur Beschaung weiterer Information dienen k onnen.

13

4.2.8

Shoulder Surng

Beim Shoulder Surng versucht der Social Engineer eine Person beim Tippen auf der Computertastatur zu beobachten um so an sensible Daten zu kommen. Beispiel: Paula ist Studentin und loggt sich in das Netzwerk ihrer Hochschule ein. Was ist passiert? Der Angreifer liest unau allig die Tastatureingaben des Opfers ab und hat somit Zugang zu Paulas Hochschul-Account.

14

Schutzmanahmen

Bisher wurde gezeigt wie ein Social Hacker aggiert, mit diesem Wissen lassen sich Sicherheitsrichtlinien erstellen. Im folgenden werden wichtige Manahmen gezeigt.

5.1

Sicherheitrichtlinien

Es sollte Sicherheitrichtlinien geben, die im ganzen Betrieb, auf allen Ebenen durchgesetzt werden. Beispiele: Richtlinien zur Klassikation von Daten in einer Firma. Das Informationskapital muss erfasst, entsprechend nach Relevanz klassiziert und schlielich gesch utzt werden. Richtlinien, die die Weitergabe von rmeninternen Kennzeichnungsmerkmalen wie Durchwahlnummern, Email-Adressen, Personalnummern usw. untersagen. Genaue Richtlinien, die die Weitergabe von klassizierten Firmendaten regeln. Das Intranet einer Firma sollte regelm aig darauf gepr uft werden, ob sensible Informationen oentlich zug anglich sind. Eine Zentrale Anlaufstelle bei Fragen zur Sicherheit oder zur Meldung von verd achtigen Aktivit aten sollte vorhanden sein. Richtlinien bei der Entlassung von Angestellten: Der Computerzugang des Ausscheiders muss sofort gel oscht werden. Der Ausscheider muss seine Kennkarte und andere entsprechende Ger ate zur Zugangskontrolle sofort abgeben. Es ist ratsam, dass alle Mitglieder, die in der gleichen Arbeitsgruppe wie der Ausscheider waren, ihre Passw orter andern.

5.2

Aufkl arungs- und Sicherheitstrainings

Bei Aufkl arungs- und Sicherheitstrainings sollten dem Personal wesentliche Schutzmanahmen vermittelt werden. Beispiele: Die Mitarbeiter m ussen im Zweifelsfall die Identit at eines Anrufers immer u ufen. berpr Kein Mitarbeiter darf seine Benutzerdaten mit einem Anderen teilen oder seine Benutzerdaten einem Anderen vermitteln. Das Personal darf einer fremden Person keine Informationen beschaen. Die Mitarbeiter sollten die Sicherheitsrichtlinien nicht nur verinnerlichen, sondern auch begreifen. 15

Das Personal muss einen Einblick in die Methoden eines Social Engineers erhalten und regelm aig darauf trainiert werden, Attacken zu erkennen und abzuwenden (die kann zum Beispiel mit Rollenspielen erreicht werden). Die Mitarbeiter m ussen daran erinnert werden, verd achtige Aktivit aten sofort zu melden. Weiterhin ist es notwendig, alle stets an die Inhalte des Trainings zu erinnern (Splashscreens, Sicherheitserinnerungem 157). Es sollte f ur alle Mitarbeiter ein Basistraining geben, in dem allgemeine Fertigkeiten erworben werden. Zus atzlich sollte das Personal je nach Aufgabenbereich speziell geschult werden. Das Personal muss verinnerlichen, dass bei der Anfrage einer fremden Person die Sicherheitsrichtlinien der Firma Vorrang haben. Die Hilfebereitschaft und das Vetrauen m ussen untergeordnet werden. Das Personal sollte niemals auf Gehei einer unbekannten Person Befehle in den Pc eingeben, Software-Einstellungen ver andern, Email-Anh ange onen oder Programme installieren. Die Trainer m ussen scheinbar harmlose Daten erkennen und daraufhinweisen, dass auch diese sensibel sind. Das Personal sollte allt agliche Begrie aus dem Firmenjargon mit Respekt behandeln. Alle Mitarbeiter, die u ugen, m ussen lernen, wann ber ein Passwort verf und wie man sein Passwort a ndern kann, welche Passw orter geeignet und ausreichend sicher sind und wie gef ahrlich es ist, einen Anderen in diese Vorg ange miteinzubeziehen. Wenn ein Anrufer einige Namen aus der Firma kennt oder Fachjargon und Betriebliche Abl aufe wiedergeben kann, ist das noch lange keine ausreichende Authentizierung. Im Zweifelsfall sollte ein Mitarbeiter die anfragende Person immer u ufen. berpr Es sollte eine Kennkarte f ur Mirarbeiter eingef uhrt werden. Alle Mitarbeiter die ohne diese Karte zur Arbeit kommen, sollten dazu verpichtet sein, sich an geeigneter Stelle eine tempor are Kennkarte ausstellen zu lassen. Es muss u uft werden, ob der Besitzer der Kennkarte immernoch berpr in der Firma t atig ist. Der M ull, der in einer Firma anf allt, sollte sorgf alltig behandelt werden: Zu entsorgende Informationen sollten zuvor geshreddert werden, und zwar so, dass sie nicht mehr zusammengef ugt werden k onnen. Es muss festgelegt werden, wie Computermedien unbrauchbar gemacht werden k onnen. 16

Das Reingungspersonal muss sorgf altig ausgew ahlt und u berwacht werden. Die Mitarbeiter m ussen sich im Klaren dar uber sein welche Art von M ull sie einfach wegwerfen k onnen und was ordnungsgem a entsorgt werden muss. Die M ulltonnen sollten verschlossen werden.

5.3

Angemessene Authentizierungsmethoden

Es sollte je nach Relevanz der Daten eine angemessene Authentizierungsmethode gew ahlt werden. Daten wie die Personalnummer sollten f ur eine hinreichende Authentizierung nicht ausreichen. Die Identit at eines vermeintlichen Firmenmitarbeiters kann schnell u berpr uft werden, indem man auf dem Apparat anruft, der im Telefonverzeichnis der Firma f ur die jeweilige Person aufgelistet ist.

17

Literatur
[BSI] [KM] [Mic] BSI: Social Engineering. http://www.bsi.bund.de/gshb/deutsch/ g/g05042.htm, Abruf: 02.06.2009 Kevin Mitnick, William S.: Die Kunst der T auschung. Risikofaktor Mensch.. mitp Microsoft: Was ist Social Engineering? http://www.microsoft. com/austria/protect/yourself/phishing/engineering.mspx, Abruf: 02.06.2009

[Wika] Wikipedia: Kevin Mitnick. http://de.wikipedia.org/wiki/ Social_Engineering, Abruf: 02.06.2009 [Wikb] Wikipedia: Social Engineering. http://de.wikipedia.org/wiki/ Social_Engineering, Abruf: 02.06.2009

18