Aus dem Unterricht des CAS Digital Risk Management mit Ivano Somaini zum Thema Social Engineering berichtet Stephanie von Arx:

Mit viel Humor startet Ivano Somaini in die Nachmittagsvorlesung mit dem Ziel, uns die Sicht des kriminellen Social Engineers zu zeigen. Think outside of the Box ist also gefragt.

Social Engineering

Ist mit Gewalt der gewünschte Erfolg nicht zu erreichen, müssen Kriminelle kreativ werden. Eine Methode ist das Social Engineering. Social Engineering ist

«any Act that influences a person to take an action that is not in their best interest.»

Dabei ist jede Person ein mögliches Ziel, da jeder über Schwachstellen verfügt. Dies ist gerade deshalb problematisch, weil Unternehmen zwar viel in IT Security investieren, nicht aber in Employee Awareness Campaigns. Zudem können Social Engineering Attacken auch mit wenig technischem Wissen durchgeführt werden, was ein Angriff umso einfacher macht.

Die Schweiz ist ein beliebtes Ziel für Social Engineering Attacken. Der Grund dafür ist, dass wir sehr hilfsbereit sind und wir auf Grund der tiefen Kriminalität jemandem schneller Vertrauen schenken. Darüber hinaus ist die Schweiz ein sehr innovatives Land, welches über viel Intellectual Property verfügt. Auf Grund des hohen IT Reifegrades bei Grossunternehmen richten Social Engineers ihre Attacken vorzugsweise auf KMU’s mit interessanten Kundenbeziehungen zu Grossunternehmen. Sie missbrauchen die meist mangelhafte IT Security und Mitarbeitersensibilisierung als Einfallstor.

Der globale Schaden, welcher durch Social Engineering Attacken entsteht, liegt bei USD 445bn. Schätzungen zu Folge, ist der Umsatz mit Social Engineering Attacken höher als jener aus dem Handel mit Drogen. Es hat uns erstaunt, dass diese Kriminellen als Gruppen agieren, welche wie herkömmliche Unternehmen organisiert sind. So erfassen diese gleich wie wir gar Zeiterfassungstabellen zur Überwachung ihrer Arbeitszeit.

Welche Hilfsmittel werden bei Social Engineering Attacken verwendet?

Phishing:

  • Die Anzahl von Phishing Attacken ist in den vergangenen Jahren stark gestiegen. Ca. 1.4 Mio. Phishing-Seiten werden pro Monat kreiert. Anders als oftmals vermutet, kann es sich bei diesen Seiten auch um HTTPS Seiten handeln. 87% aller Klicks auf Phishing-Emails finden innerhalb von 24h nach Erhalt des Emails statt. Etwa 50% innerhalb der ersten Stunde. Um die Entdeckung der Phishing-Seiten zu vermeiden, werden diese nach durchschnittlich 4-8h vom Netz genommen.
  • Phishing Scams nach Naturkatastrophen sind sehr effektiv, da viele Hilfswerke Spendemails versenden und sich Phishingmails darunter gut tarnen können. Gerne gefahren werden sie auch vor Sportveranstaltungen. Kriminelle kaufen sich zahlreiche Domains bereits lange Zeit vor Beginn der Veranstaltung, um später Angriffe z.B. falscher Verkauf von Tickets zu starten.
  • Punycode Encoding ist die Fähigkeit URL’s so zu schreiben, dass die Fake-URL nicht von der richtigen URL unterschieden werden kann.
  • The Angler Phishing: Dabei handelt es sich um eine neue Art von Phishing Attacke, welche in 2015 das erste Mal entdeckt wurde. Unternehmen interagieren mit Kunden auf Social Media und ermöglichen Kriminellen so die Kommunikation mit dem Kunden  auf einem separaten Kanal fortzuführen.
  • Fake Sextortion ist die Erpressung von Personen mit bspw. angeblichen Videoaufnahmen, auf welchen sexuelle Handlungen der Person zusehen sein soll.

Impersonation:

  • Fake Policeman: Betrüger geben sich als Polizisten aus um ihre Opfer zu einer Handlung zu zwingen.
  • Deepfake: Beim Deepfake werden Videobotschaften und Bilder mittels neuster Technologien so verfälscht, dass sie falsche Botschaften täuschend echt darstellen lassen können.

SMShing & Vishing:

  • SMShing: SMS Absender werden so manipuliert, dass der ursprüngliche Absender nicht erkennbar ist, es jedoch den Anschein macht, als sei das SMS bspw. von einem Freund gekommen.
  • CallerID Spoofing: Der Kriminelle ruft unter einer vorgetäuschten Nummer an, um so vom Angerufenen bspw. Informationen zu erhalten.
  • CEO Fraud: Beim CEO Fraud versucht ein Täter im Namen des CEO’s Mitarbeiter anzuweisen, eine Zahlung auf ein Konto des Betrügers zu veranlassen. Meist erfolgt die Anweisung von einer gefälschten E-Mail-Adresse aus. Die Begründungen für die Zahlung sind unterschiedlich, wobei es meist um eine angeblich dringende und äusserst heikle Zahlung geht.

Rogue WLAN Access Point:

  • Offene WLAN über welche Kriminelle Daten ihrer Opfer sammeln.

Beispiele aus dem Alltag von Ivano Somaini:

In seinem beruflichen Alltag versucht Ivano Somaini im Auftrag seiner Kunden (Unternehmen) mittels Social Engineering Sicherheitslücken in den Sicherheitssystemen der Unternehmen aufzudecken. Die Social Engineering Attacken werden nicht nur digital ausgeführt, sondern oftmals auch mit einer physischen Interaktion, wie den Einbruch in ein Unternehmen oder einen Telefonanruf kombiniert. Ivano Somaini erzählt uns seine Vorgehensweise anhand von vier Beispielen:

  • Im ersten Beispiel bestand der Auftrag darin, in eine Zürcher Privatbank einzubrechen mit dem Ziel, die Lohndaten der Bank zu einzusehen. Nach dem Motto «War is ninety percent information» sammelte Ivano Somaini als erstes Informationen über die Bank, das Gebäude, Mitarbeiter, Lieferanten etc.. Bei seiner Recherche und Observation fand er heraus, dass jeweils von 07:00 – 07:30 Kaffebohnen über die Garage angeliefert wurde. Mit einem grossen Paket und einem gefälschten Ausweis bewaffnet, begegnet Ivano in der Gerage der Lieferanting. Da Ivano seine Hände natürlich nicht benutzen konnte, öffnete ihm die Lieferantin die Türe ins Gebäude und ermöglichte Ivano den unbeschwert Zutritt ins Gebäude.
  • Im zweiten Beispiel sollten von einer Bank soviele vertrauliche Personendaten wie möglich gestohlen werden. Glücklicherweise fand Ivano Somaini heraus, dass die Bank in diesem Jahr sein 75 Jahre Jubiläum feierte. Das Jubiläum war eine super Möglichkeit, alle Mitarbeiter über einen Jubiläumsbonus zu informieren. Ivano kreierte eine E-Mail mit gefälschten Absender (HR-Chef) und einem Link auf einen angeblichen Bonuskalkulator, welchen er an alle Bankmitarbeiter verschickte. Die Mitarbeiter sind auf das E-Mail hereingefallen und haben sich unbeabsichtigt mit einem Trojaner infiziert.
  • Im dritten Beispiel erwirkte Ivano Somaini mittels komplett erfundenem E-Mail-Verlauf eine Firewall-Änderung. Er nutzte geschickt die Tatsache, dass der CEO am Freitag jeweils abwesend war und er die Stellvertreter somit unter Druck stellen konnte.
  • Im vierten Angriff nutzt Ivano Somaini SMS als Angriffsmedium. Den Absender des SMS manipulierte er so, dass es aussah, als wäre das SMS vom Chief Information Security Officer an die Assistentin des CEO’s verschickt worden. Die Assistentin ist auf den Trick hereingefallen und ermöglichte den Zugriff auf das Firmennetzwerk.
  • Im fünften Beispiel prallen die Angriffe von Ivano Somaini vorerst an der Sicherheit ab. Bis Ivano und ein Arbeitskollege am 06.12. als Samichlaus und Schmutzli verkleidet in das Unternehmen eindringen und vor die Empfangsdame treten. Die Empfangsdame war so begeistert von den beiden, dass sie dem Samichlaus und Schmutzli Zutrittsbadgets beschaffte und ihnen so den ungehinderten Zugang zu den Büroräumlichkeiten bereitete.

Social Engineering Attacken sind gegenüber früher deutlich einfacher in der Durchführung geworden. Wir waren es uns gewohnt, Informationen aus dem Netz herunterzuladen. Mit Social Media hat sich dies geändert. Wir uploaden unbekümmert sensitive Informationen ins Internet, welche nie mehr gelöscht  werden können.

Wir lernen also, dass wir SMS und Telefonanrufen die gleiche Aufmerksamkeit schenken müssen wie E-Mails. Eine 100%iger Schutz ist unmöglich – Irgendwo findet sich immer eine Sicherheitslücke. Mit regelmässigen Employee Awareness Trainings erreichen Unternehmen schon viel.

Vielen Dank Ivano Somaini für diesen spannenden und praxisnahen Nachmittag.