Aus dem Unterricht des CAS Digital Risk Management mit Ivano Somaini berichtet Andreas Glaus:

Aufgrund der aktuellen Ausnahmesituation war der Unterricht zum Thema “Social Engineering” wiederum auf Fernunterricht mittels «Zoom» umgestellt. Die Vorfreude den Dozenten, welcher sich auch als «legalen Einbrecher» bezeichnet, “zumindest” virtuell zu treffen, war hoch.

Was bedeutet Social Engineering?

Social Engineering wird als eine Mischung aus Kunst, Psychologie und Wissenschaft bezeichnet. Will man nicht mit Gewalt ans Ziel kommen, ist Kreativität und sogenanntes “out of the Box”-Denken hilfreich. Dabei werden mittels zwischenmenschlicher Beeinflussung bestimmte Verhaltensweisen bei Personen hervorgerufen, um an Informationen zu kommen oder sie etwas Ungewolltes ausführen zu lassen.

“Any act that influences a person to take an action that may or may not be in their best interest.” (Quelle: social-engineering.org)

In dieser digitalisierten Welt wird viel Kraft und Aufwand in die Technik und deren Sicherheit gesteckt. Jedoch scheint der Faktor Mensch eines der grössten Risiken im Zusammenhang mit Missbrauch von digitalen Informationen zu sein. Gemäss der Aussage des Technischen Directors von Symantec, versuchen lediglich 3% der Angreifer direkt eine technische Schwachstelle auszunutzen. Die restlichen 97% versuchen Benutzer durch Social Engineering zu täuschen (ebd.). Im «Human Factor Report 2019» von Proofpoint wird diese Zahl sogar noch signifikanter dargestellt. Nach diesem Report werden gar weniger als 1% aller Angriffe direkt mittels System-Schwachstellen durchgeführt und der Rest sei der Faktor «Mensch». Letzterer führe aufgrund von Neugier und Gutgläubigkeit Aktionen wie klicken, herunterladen, installieren, öffnen und senden aus.

Gerade die Schweiz sei ein beliebtes Ziel für Social Engineering, da ein hoher Lebensstandard, die grosse digitale Vernetzung sowie zusätzlich ein kulturell bedingter Vertrauensvorschuss für einen möglichen Angriff sprechen.

Quelle: Somaini, I. (2020). Social Engineering. Unveröffentlichtes Script, Zürich: HWZ

Nach Schätzungen (2015) betrugen die Kosten für Cybercrime ca. 450 Billionen Dollar pro Jahr. Für die Schweiz macht dies einen Anteil von ca. 374 Millionen CHF / Jahr aus. Demzufolge ist nicht verwunderlich, dass eine ganze Industrie und Lieferkette für Cybercrime existiert. So bestehen dafür professionell organisierte Firmen inkl. HR-Organisation und Zeiterfassung.

Welche Arten von Social Engineering gibt es?

Phishing:

Phishing ist die Möglichkeit mittels einem “Köder” z.B. gefälschte Webseiten, E-Mail oder Kurznachrichten an persönliche Daten zu kommen. Diese Methode ist einer der beliebtesten und bekanntesten. Alleine letztes Jahr wurden weltweit monatlich 1.4 Millionen neue Phishing Seiten erstellt. Der aktuelle Trend ist dahingehend, dass der Fokus zudem auf “Very Attacked People” (VAPs) gelegt wird. VAPs sind Personen, welche Verwundbar, überdurchschnittlich vielen Attacken ausgesetzt sind und zudem noch die Privilegien auf Daten oder System in einem Unternehmen haben.

  • Phising während der Corana Krise:
    Verschiedene E-Mails mit Attachements, Links auf Sicherheitsmassnahmen oder Listen der betroffenen Personen, siehe Beispielabbildung. Die Behauptung, dass bei den Phishing Mails bewusst Schreibfehler eingebaut werden, um Empfänger mit einem eher höheren IQ herauszufiltern, wurde nicht weiter untersucht.

    Quelle: Somaini, I. (2020). Social Engineering. Unveröffentlichtes Script, Zürich: HWZ

  • Phising nach Naturkatastrophen:
    Erstmal nach 9/11 wurden Phishing Aktivitäten nach Katastrophen registriert. Dabei gibt sich der Absender als Hilfsorganisation aus, um Spenden zu sammeln oder vermeintlich Hilfe zu leisten.
  • Phishing vor Sport-Veranstaltungen:
    Bei grossen Sport-Veranstaltungen wie z.B. der Fussball Weltmeisterschaft 2018 in Russland werden Fake-Webseiten oder E-Mails versendet, um bei Gewinnspielen mitmachen oder auch Tickets kaufen zu können. Bereits ca. 500 verdächtige Domains wurden für “TOKYO2020”, ungefähr 100 für “BEIJING2022” und grob 200 für “PARIS2024” festgestellt. Interessant wäre nun zu untersuchen, ob es bereits Registrationen für “TOKYO2021” gibt.
  • Punycode Encoding:
    Eine Methode, um einen Domain-Namen nahezu identisch wie das “Original” darzustellen. Hierbei wird die Adresse mit zusätzlichen Steuerzeichen ergänzt z.B. “http://xn--blokchain-xdb.info/”.

    Quelle: Eigene Darstellung

  • The Angler Phishing:
    Erstmals wurde diese neue Methode im Jahre 2015 entdeckt, mit welcher auf Social Media Plattformen mit Personen Kontakt aufgenommen und versucht wird, auf einem anderem Kanal die Konversation weiterzuführen.

    Quelle: Somaini, I. (2020). Social Engineering. Unveröffentlichtes Script, Zürich: HWZ

Impersonation:

Nach dem Motto “Der Wolf im Schafspelz” wird bei der Impersonation (the act of intentionally copying another person’s characteristics, vlg. Cambridge Dictionary), eine fremde Identität angenommen oder verwendet.

  • Fake Policeman:
    Betrüger geben sich als Polizei aus, um die Opfer zu einer ungewollten Handlung oder der Herausgabe von persönlichen Daten zu bringen.
  • Deepfake:
    Video und Bilder werden verändert, um damit andere, zusätzliche oder falsche Botschaften zu verbreiten.
  • Vishing & SMShing:
    CallerID Spoofing: Wenn der Klassenkamerad einen Anruf von Roger Federer bekommt, sollte das skeptisch machen. In Wirklichkeit wurde nämlich die Telefonnummer des Anrufers manipuliert, so dass die Telefonnummer des “Roger Federers”, welcher im Telefonbuch “local.ch” gespeichert ist, angezeigt wird.
    SMShing: Damit lässt sich der Absender einer SMS manipulieren, damit der Empfänger eine andere Nummer oder gar Namen sieht. Mittels Live-Demo wurde vom Dozenten eine Nachricht mit gefälschtem Absender an einen Klassenkameraden verschickt, welcher die empfangene SMS und ins besonders den vermeintlichen Absender erstaunt betrachtete.
  • Erkenntnisse:
    Diese Demonstrationen und Erkenntnisse führen vor Augen, dass Telefonanrufe und SMS wie E-Mails bezüglich Absender mit Vorsicht zu geniessen sind. Wie und was möglich ist, demonstrierte Jessica Clark (Social Engineer Expertin) an der “DEF CON” in Vegas eindrücklich.

Dumpster Diving:

Es existiert eine Vielzahl an Möglichkeiten, um an Daten zu kommen, welche Personen versehentlich im Internet hinterlassen haben. Sei es auf den Sozialen Medien, bei welchen sie den neuen coolen “CVC” Code der Kreditkarte veröffentlichen und damit unbewusst auch den Namen und die Kreditkartennummer bekanntgeben. Weiter gibt es eine Vielzahl von Screenshots und Photographien mit Passwörtern im Hintergrund.

  • Google Dork:
    In einer Suchmaschine landen auch Daten, die nicht für die breite Öffentlichkeit gedacht sind, geschweige denn, um in der Suchmaschine gefunden zu werden. Wie das funktioniert, zeigte uns Ivano Somaini  anhand der Aufzeichnungen von Zoom Meetings auf. Mittels der Suche [..]”zoom.us/rec/play” site:.**[..] lassen sich Links zu Gesprächsaufzeichnungen über Zoom finden. Im Beispiel wurde ein Video mit einer “Investor Präsentation” vom März 2020 gefunden, welche als vertraulich gekennzeichnet ist.

    Quelle: Eigene Darstellung

Bei einem anschliessenden Selbstversuch wurde eine Zoom-Aufzeichnung der «Corona Virus Community Action» auffällig. Beim Anschauen dieses Videos konnte im darin enthaltenen Chat der Link zu einem Google Dokument gefunden werden. Das erwähnte Google-Dokument enthält Adressen und Telefonnummern von Personen, welche sich in der Selbst-Isolation befinden. Es braucht daher keine grosse Vorstellungskraft, um sich ausmalen zu können, was mit einer aktuellen Telefon- und Adressliste von verängstigten und hilfsbedürftigen Personen so alles angestellt werden könnte.

Wie sieht dies in der Praxis aus?

Drei Geschichten aus dem Alltag von Ivano Somaini.

  1. Physischer Einbruch in eine Bank
    Auftrag: Zugang zu gesicherten Bereichen zu erhalten und stehlen von Informationen
    Information vom Kunden: Firmenname und Gebäude Adresse
    Analyse: Da der Zugang via Rezeption ausserordentlich abgesichert war, musste eine Alternative oder ein Insider her. Nach einiger Zeit der Analyse wurde der Kaffee-Lieferservice als Eintrittspunkt gefunden (07:00-07:30), welcher Zugang zur Garage und ebenfalls einen Batch für weitere Bereiche besitzt.
    Ausführung: Bepackt mit einem grossen Paket, einem selbstgemachten Ausweis und Selbstvertrauen konnte das Gebäude dank der Hilfe des Lieferanten das Gebäude betreten werden. So zeigte sich der Lieferant äusserst hilfsbereit und öffnete dem vollgepackten, vermeintlichen Mitarbeiter ohne weiteres die Türe.
  2. Diebstahl des Rezepts “Appenzeller Käse”
    Auftrag: Zugang zum Geheimnis des “Appenzeller Käse”
    Information vom Kunden: Firmennamen
    Analyse & Ausführung: Die Vorgehensweise und Ausführung kann im Video von SRF eindrücklich nachverfolgt werden.
  3. Einbruch und Daten-Diebstahl
    Auftrag: Zugang zu gesicherten Bereichen und stehlen von vertraulichen Informationen
    Information vom Kunden: Firmennamen; Adresse des Gebäude
    Analyse: Traditionelle Schweizer Firma ohne öffentlichen Bereich. Lediglich einen Zugang zum Gebäude mit Batch-Leser. Kurz vor dem Aufgeben schoss am 5. Dezember die Idee vom falschen Nikolaus durch den Kopf.
    Ausführung:  Früh morgens verkleidet als Nikolaus wurden von der freundlichen Empfangsdame den Zutrittsausweis ausgehändigt, so dass der Zugang zum Gebäude voll umfänglich gewährleistet war. Das Sammeln von Daten war danach ein leichtes Spiel.

Aktualität / Zoom Review

Aufgrund der aktuellen “Lockdown”-Situation und der Tatsache, dass vermehrt die Digitalen Kanäle für die Kommunikation verwenden werden, hat Ivano Somaini die häufigsten Fehler, welche in den Sozialen Medien zum Thema Zusammenarbeit und Videokonferenz vorkommen, aufgegriffen und dargestellt. Wer findet die 7 Fehler auf dem Bild?

Quelle: Somaini, I. (2020). Social Engineering. Unveröffentlichtes Script, Zürich: HWZ

Die Auflösung ist im LinkedIn Beitrag von Ivano Somaini zu finden.

Tipps und und Tricks?

Bewusstseinsschulungen sind etwas vom wichtigsten, jedoch soll der Bezug zum privaten Leben herstellt werden (eigene Backups, E-Banking). Dadurch wird sichergestellt, dass die betroffenen Personen einen Grund hinter einer Schulung sehen und im beruflichen Umfeld sich ebenfalls adäquat verhalten werden.

  • Bei Social Engineering Tests aufpassen, dass keine negative Assoziation ausgelöst werden.
  • SMS und Telefon hinsichtlich des Absenders / Anrufers gleich skeptisch wie E-Mail  behandeln.
  • Vor dem “Posten” und Teilen überlegen, ob dies gegen uns verwendet werden könnte.
  • Den Faktor Mensch und Stress nicht unterschätzen.

Ein herzliches Dankeschön an Ivano Somaini für diesen ausserordentlich spannenden Samstagnachmittag!