Erklärung
SocialHacking ist die Kunst, Leute so
zum Manipulieren, dass diese einem sensible Daten herausgeben.
Wir wurden alle schon manipuliert oder
manipulieren gerade. Könnt ihr euch noch als Kind daran erinnern?!?:
„Das ist nur zu deinem Besten“?
Was sind die Ziele von Social Hackern?
Die Ziele sind wie auch bei „richtigen“
Hackern gleich. In der Regel, verfolgen sie z.B. folgende Ziele:
- Personen abwerben (Headhunter)
- Kreditkartendaten (Onlinebanking)
- Industriespionage
- Rache an einer bestimmten Person
- Oder schlicht das Wissen, dass man es kann
- usw
Jedes Unternehmen hat oder sollte
zumindest gescheite Sicherheitssysteme haben. Angefangen von einer
richtig eingestellten
Firewall bis hin zur verschlüsselten E-Mail.
Jedoch nützt das
nicht immer viel, denn die schwächste Glied in der Kette sind wir.
Risikofaktor Mensch:
Ein guter Social
Engineer, ist redegewandt, selbstsicher und schlagfertig. Er wird
eure Gutgläubigkeit, Hilfsbereitschaft oder euere Emotionen eiskalt
ausnutzen.
Würdet ihr einem
„neuen“ Mitarbeiter, der diverse innerbetriebliche Abläufe
kennt, einen Wunsch abschlagen/Hilfe verwehren?
Oder der
Sekretärin von Chef, die zu hause sitzt und nicht auf ihre Daten
kommt und bittet euch um Hilfe....
Hier ein paar Beispiele wie ein
solcher Hack aussehen könnte:
Der Hacker
bereitet sich mit intensiver Recherche vor. Er nutzt dazu die
Firmenwebsite/s, SocialNetwork Profile, TV-Berichte etc.
Vielleicht war er
auch schon in der Firma und hat bestimmte betriebliche abläufe
aufgefasst und kann diese nun anwenden. Auch eine Methode ist den
Müll der Firma zu durchwühlen (Dumpster Diving).
Unser Hacker hat
jetzt einige wichtige Infos. Der Hacker ruft bei Firma X an oder hat
soviel Selbstvertrauen, dass er direkt mal vorbei schaut.
Durch belanglose
Fragen nach dem Wetter, des eigenen befinden etc. Baut er
zwischendrin immer Fragen ein, welche Firmeninterne geheimnisse
preisgeben. Das wird in denn meisten Fällen nicht bemerkt.
Welche Methoden gibt es?
Phishing:
Der Angreifer
schickt seinem Opfer ein gefälschte Mail oder leitet es auf eine
nachgebaute Website um/weiter.
Beispiel:
Steve bekommt von
seiner Bank eine Mail, wo er gebeten wird seinen Onlineacc zu
verlängern. Er geht auf die Website der Bank. Nennen wir die Bank
„Limo-Bank“.
Die Adresse:
www.limo-bankk.com – Er
gibt seine Bankdaten inkl. Tan ein. Immer wieder tritt ein Fehler auf
und erneut gibt er mehrere TAN's ein. Irgendwann reicht es ihm und er
will es später noch einmal versuchen.
What happend?
Die Website der
Bank sah genauso aus wie die der echten. Euch wird jedoch sicherlich
aufgefallen sein, dass ich oben „Bank“ mit 2 KK geschrieben
haben. Das ist ein übliche Methode. Die meisten Leute schauen
einfach nicht danach ob der Link korrekt ist. Auch kann der Name der
Bank komplett richtig sein, nur steht zum schluss statt .com/.de
vielleicht .org oder. To
Direktangriff:
Der Angreiffer
fragt gezielt nach Daten/Sicherheitsinformation etc.
Beispiel:
Steve der SysAdmin
ruft bei der Sekretärin Diana an und fragt gezielt nach ihren Login
Daten. Er begründet dies damit, dass ein Virus das System befallen
hat und er die Acc prüfen muss.
What happend?
Steve ist gar
nicht der SysAdmin. Aber durch seine Freundliche Art und da
Sekretärin meist keine große Ahnung von Computern haben, gibt sie
ihm einfach die Daten.
Neulinge:
Sind ein gern
genommenes Ziel. Sie kennen sich noch nicht gut in der Firma aus und
sind stehts hilfsbereit. Das gleiche gilt auch für Praktikanten.
Welche aber generell nur einen Gastzugang bekommen sollten!!!
Beispiel:
Benjamin macht ein
Studentisches-Praktikum bei einer Softwarefirma. Er wird einem
Projekt zugewiesen. Unser Angreifer Steve, ruft bei Benjamin und
stellt sich als Projektleiter vor. Er fragt ihm/fordert ihm auf,
Details oder gar denn SourceCode an sein privaten Mail-Acc zu
schicken. Damit er sich mit Benjamin abstimmen kann.
What happend?
Steve bekommt
vielleicht die Daten zu einem neuen Programm/Spiel Was sich
vielleicht schon in der Finalen Phase befinden. Und verkauft den
SourceCode an ein Fremdunternehmen oder veröffentlicht diesen.
Zukünftige Probleme mit dem PC
Zugegeben, der
Angreifer muss vorher mindesten einmal an den PC des Opfer sein.
Beispiel:
Der Angreifer,
ruft Julia an und sagt: „Wir haben in letzter Zeit Probleme mit
unseren Computern. Wenn das Problem bei ihnen auftritt, bitte
kontaktieren sie mich.
Wenige Tage später
hat Julia das Problem, sie ruft an und der Angreifer „hilft“ ihr.
Er bittet sie noch ein kleines Tool zu laden.
What happend?
Das Programm was
Julia geladen hat, wird in den meisten Fällen ein Trojaner/Keylogger
etc sein. Der Angreifer kann jetzt über eine „Backdoor“
jederzeit in den PC des Opfers gelangen.
Notfallsituation:
Der Angreifer
täuscht ein Problem vor und hofft auf die Hilfe des Opfers.
Beispiel:
Der Angreifer gibt
sich als Aussendienstmitarbeiter aus. Er ruft bei „seiner“ Firma
an und fragt nach der Telefonliste des Betriebes, da sein Handy
defekt sei und er müsse unbedingt seine Deadline einhalten.
What happend?
Aufgrund seiner
misslichen Lage, war der Mitarbeiter gerne bereit, seinem „Kollegen“
zu helfen.
Einschüchterung:
Beispiel:
Der
Stellvertretende Geschäftsführer ruft von zu hause aus eine
Sekretärin an und fordert diese auf Daten rauszugeben.
What happend?
Aufgrund der
„Machtposition“ des stellv. Geschäftsführers, wird niemand
weiter groß nachfragen ob die Anfrage gerechtfertigt ist.
Müll durchsuchen und über die
Schulter schauen:
Viele Firmen
werfen unüberlegt Sachen in denn Müll. Oft vergessen sie wichtige
Unterlagen zu schreddern. Ein Angreifer durchwühlt daraufhin ihren
Müll und kann somit an wichtige Daten kommen.
Über die Schulter
schauen... ganz simpel. Mitarbeiter A beobachtet Mitarbeiter B wie er
sein Passwort eingibt. Ihr glaubt jetzt vielleicht das ist völlig
schwachsinnig, aber wie bei der Eingabe der PIN, sollte mach auch bei
der Eingabe des PW's aufpassen, dass einen keiner beobachtet.
Keine Kommentare:
Kommentar veröffentlichen