Am 19. Dezember zum Thema IT-Security & Datenschutz
Hacking mal anders: Die Kunst des Social Engineering
Die Grundbasis für eine erfolgreich Wirtschaftsspionage bildet oftmals das Social Engineering , bzw. das Ausnützen von menschlichen Schwachstellen im Unternehmen.
Aber was ist Social Engineering überhaupt und warum ist gerade diese von vielen Hackern eingesetzte Angriff Methode so überaus effektiv? Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen.
Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking.
Der Erfolg vom Social Engineering bzw. Social Hacking lässt sich eigentlich relativ leicht erklären:
Menschen sind manipulierbar und generell das schwächste Glied in einer Kette. Egal ob in der IT oder irgendwo anders – der Mensch selber ist der größte Risikofaktor. Eine Vertrauensbasis ist schnell aufgebaut beziehungsweise vorgetäuscht und so können Menschen relativ leicht manipuliert werden. Ausserdem haben viele Mitarbeiter Angst sich gegen jemanden aufzulehnen, der Ihnen gegenüber vorgibt eine höhere Stellung zu haben.
Somit sind alle Soft- und Hardwaremäßigen Mechanismen zur Abwehr von Hackern und zur Verhinderung von Informationsdiebstahl nutzlos. Jeder Mensch der die Authorität hat diese zu umgehen ist potienziell eine Gefahr für die Sicherheit. Deswegen wird Social Engineering von vielen Sicherheitsbeauftragten als die gefährlichste Form des Informationsdiebstahls angesehen.
Der wohl bekannteste Hacker, der mit Social Engeneering bekannt geworden ist, ist Kevin Mitnick.
(Twitter: @kevinmmitnick)
Kevin Mitnick …
… ist ein US-amerikanischer ehemaliger Hacker und heutiger Geschäftsführer einer Sicherheitsfirma.
Als Sicherheits-Experte ist Kevin Mitnick alias „Condor“ und ehemaliges Mitglied der „Roscoe Gang“ am meisten durch Social Engineering bekannt geworden. In seiner Karriere soll er unter anderem mehr als 100-mal in das Netzwerk des Pentagon sowie einige Male in das der NSA eingedrungen sein.
Mitnick selbst hat insbesondere das Eindringen in das NORAD-Netzwerk immer bestritten, ein solcher Hack sei ihm im Zusammenhang mit dem Film WarGames angehängt worden.
Denn Informationen sind mit Social Engineering logisch zusammen zu setzen:
Meistens kommt man nicht direkt an die eigentlichen Informationen, sondern nur an kleinere Teilschritte. Aber je banaler die Information erscheint, umso wichtiger kann sie sich später herausstellen.
Beispiel:
Man hat von einer Liste den Benutzernamen eines Studenten der FH Hof erlangt. Sollte man jetzt noch sein Geburtsdatum (eigentlich triviale Information) erlangen, so kann man das Email-Passwort selbst erstellen. Man braucht nur die Information, dass die Passwörter aus Namen und Geburtsdatum zusammengestellt sind. Und so erweisen sich selbst unwichtige Informationen als brisante Sicherheitslücken.
Im Buch vom Autor Kevin Mitnick werden viele interessante Fälle zum Thema Social Engineering aufgefasst, die Kevin Mitnick selbst durchgeführt hat.
Amazon
Operation Takedown
Parallel wurde seine Geschichte auch in einem Hollywood Film aufgefasst.
Vollautomatisches Social Engineering
Aktuell hat die Gruppe um Human Hacker (www.social-engineer.org) diverse Berichte und auch Videoanleitung zum eigenen Schutz veröffentlicht.
Die Social Engineer Gruppe bietet auf der Website auch eine Software (das sog. social engineering toolkit) zum Download an. Eine Software die fast vollautomatisch das Web nach Social Engineering Möglichkeiten durchstöbert, z.B. anhand von publizierten Daten des Opfers.
Facebook Kommentare:
sehr guter beitrag
aber leider werden die probleme nicht wirklich ernst genommen oder? unternehmer des mittelstands sehen oft die gefahr nicht oder wollen diese nicht einsehen.
social engineering geht auch einfacher.
ich war selbst im auftrag von unternehmen an bahnhöfen und flughäfen unterwegs und habe dort vertraulichste informationen auf dem präsentierteller geliefert bekommen. unfassbar, wie offen manche verantwortliche ihre unternehmensdaten öffentlich preis geben. beste zeiten: donnerstag, freitag und sonntag abend… obwohl es richtlinien in den unternehmen vorhanden sein “müssen”.
gruss
brezeli