Datendiebstahl mit Social Engineering und Visual Hacking

Um Unternehmen anzugreifen und Unternehmensdaten zu stehlen braucht es nicht immer High-Tech. Visual Hacking und Social Engineering sind erfolgreiche und verbreitete Low-Tech-Angriffe.

Social Engineering und Visual Hacking: ohne High-Tech und digitale Methoden Daten stehlen

Wenn Unternehmen das Thema IT-Sicherheit, Passwörter und dergleichen behandeln, haben sie oftmals Hacker, Schadprogramme oder High-Tech vor Augen. Aber um ein Unternehmen erfolgreich anzugreifen und Unternehmensdaten sowie Geschäftsgeheimnisse zu entwenden braucht es weder High-Tech, noch digitale Methoden. Diese Daten können selbst ohne den Einsatz von Technik erbeutet werden. Und dies durchaus häufig, wie die zwei folgenden Methoden beweisen.

„Guten Tag, ich soll hier etwas reparieren!“ – Mittels Social Engineering zum Datenklau

In den letzten zwei Jahren war Social Engineering die zweitmeist angewandte Methode, um Unternehmen anzugreifen und an Daten zu gelangen. Häufiger ist nur der Diebstahl von IT- und Kommunikationsgeräten. Für diesen prominenten Einsatz ist Social Engineering aber deutschen Unternehmen erstaunlich unbekannt.

Was ist Social Engineering?

Auch wenn die Definitionen, was Social Engineering genau ist, auseinandergehen, kann man sich jedoch auf einige Grundaspekte verständigen: Social Engineering ist eine Angriffsmethode, die mittels Manipulation von Menschen versucht Zugang zu bestimmten Informationsquellen zu erhalten. Meist sind das Datenbanken, IT-Systeme, Verwaltungsprogramme und dergleichen. Für die Manipulation werden gezielt elementare menschliche Grundzüge genutzt: Autoritätshörigkeit, Stolz auf die eigene Arbeit, Tendenz zur unbürokratischen Hilfe in Notlagen, Vertrauen oder Angst. Diese Liste ließe sich noch fortführen. Damit ist die Methode des Angriffs grundsätzlich nicht-technischer Art. Sie kann sich aber durchaus technischer Mittel bedienen (bspw. Links in Mails, mittels derer das Opfer auf eine Internetseite mit Schadsoftware geleitet werden soll) oder durch technische Angriffsmethoden ergänzt werden. In der Regel werden beim Social Engineering aber öffentlich zugängliche Informationen als Basis für den Angriff verwendet.

Wie sieht ein Social Engineering-Angriff aus?

Solche Angriffe sind in der Regel nicht sofort zu erkennen, speziell wenn sich der Angreifer durch öffentlich zugängliche Informationen oder (durch eventuell zuvor ausgeführte Angriffe oder ehemalige Unternehmenszugehörigkeit erlangte) unternehmensinterne Informationen entsprechend vorbereitet hat. Ein Angriff könnte folgendermaßen aussehen:

  • Der Angreifer recherchiert in öffentlichen Quellen, um Informationen über sein Ziel zu ermitteln.
    • Auf Xing findet er Unternehmenszugehörigkeit, Dauer der Anstellung, Name und Ausbildung und eventuell Vorgesetzte.
    • Mittels der Google-Suche lässt sich unter Umständen die Durchwahl zum Vorzimmer herausfinden. So umgeht er die Zentrale und kann behaupten, die Durchwahl bei früheren Kontakten erhalten zu haben. Damit schafft er zusätzlich Vertrauen.
    • Auf Facebook erfährt der Angreifer eventuell private Informationen des Ziels, z.B. Hobbies oder Sportarten. Die kann er nutzen, um Gemeinsamkeiten mit dem Ziel vorzutäuschen.
  • Der Angreifer gibt sich am Telefon als eine bestimmte Person aus, bspw. als System-Administrator. Da er im Internet die Unternehmensgröße recherchiert hat, weiß er, dass das Vorzimmer nicht alle externen Dienstleister kennen wird.
    • Durch einen schon früher getätigten Anruf ist dem Angreifer bekannt, dass das Management für ein paar Tage nicht im Haus ist.
    • Der Angreifer täuscht vor, dass er von einem externen Dienstleister ist und technische Probleme vorliegen. Um diese zu beheben müsste er aber noch Einstellungen per Fernzugriff auf dem Computer des Managements anpassen.
    • Die Zweifel des Vorzimmers räumt er durch das Schüren von Angst aus dem Weg: wenn er nicht per Fernzugriff arbeiten kann, finde das Management bei der Rückkehr kein funktionsfähiges System vor, die Reparatur verzögere sich um einige Tage. Zudem würde er Probleme mit seinem Chef bekommen, wenn er das Problem heute nicht behebe.
  • Das Vorzimmer willigt ein, der Angreifer erhält Zugriff auf den Computer des Managements, der Angriff ist erfolgreich.

Weitere Beispiele finden sich z.B. auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik.

Wie sich Unternehmen gegen Social Engineering schützen können

Gegen Social Engineering-Angriffe gibt es keinen hundertprozentigen Schutz. Allerdings können Unternehmen mit relativ einfachen Mitteln die Erfolgschancen solcher Angriffe reduzieren:

  • Verifizieren Sie Anrufer. Ist er Ihnen unbekannt, sollten Sie keine weiteren Informationen herausgeben.
  • Alle Informationen können für den Angreifer von Bedeutung sein, z.B. für einen weiteren Angriff in einer anderen Abteilung. Überlegen Sie daher, welche Informationen tatsächlich notwendig sind und ob sie herausgegeben werden müssen.
  • Niemals Passwörter ohne Autorisierung des Inhabers herausgeben.
  • Keine Links in nicht verifizierten Mails öffnen.
  • Auch wenn bspw. ein Anrufer dazu drängt, jetzt sofort zu handeln, die Zeit für eine Verifizierung sollte man sich immer nehmen. Fragen Sie nach einer Nummer, unter der Sie zurückrufen können. In der Regel wird ein Angreifer an dieser Stelle ein Problem haben. In der gewonnenen Zeit können Sie zudem den z.B. angegebenen Dienstleister überprüfen.
  • Prüfen Sie, welche Informationen über Ihr Unternehmen öffentlich zugänglich sind und ob alle Informationen notwendigerweise öffentlich sein müssen.

„Guten Tag, ist der Platz neben Ihnen noch frei?“ – Mittels Visual Hacking zum Datenklau

Eine andere Methode, um an Daten und Informationen heranzukommen, ist das Visual Hacking. Hierbei handelt es sich um eine ähnlich profane und nicht-technische Vorgehensweise, wie das Social Engineering.

Die Methoden des Visual Hacking

Beim Visual Hacking kommen unterschiedliche Methoden zum Einsatz, z.B. das sog. Shoulder Surfing. Dabei handelt es sich um eine simple Vorgehensweise: der Angreifer positioniert sich in der Nähe seines Ziels, z.B. setzt er sich im Zug daneben. So kann er u.a. unbemerkt auf Tastatur und Bildschirm von Smartphones, Tablets und Laptops blicken. Die Eingabe von Passwörtern oder der Inhalt von Mails lässt sich so leicht beobachten. Auch Telefonate können mitgehört werden. Mittels des eigenen Smartphones kann der Angreifer so auch Telefonate oder Gespräche zwischen zwei Kollegen aufnehmen.

Eine andere Vorgehensweise wäre z.B. das Eintreten in öffentlich zugängliche Büroräume oder das Überwinden von Zugangskontrollen. Liegen Informationen ungesichert auf nicht besetzten Schreibtischen, kann der Angreifer diese problemlos einsehen.

Die häufigsten Schwachstellen für Visual Hacking-Angriffe sind einem Bericht von futurezone.at nach Bildschirme ohne Schutzfilter, Dokumente oder notierte Log-in-Daten auf unbesetzten Schreibtischen sowie Drucker- und Kopiergeräte, hierbei besonders Papierabfall, der nicht geschreddert oder anderweitig unkenntlich gemacht wurde. In einem durchgeführten Test gelang es Angreifern mittels Visual Hacking in ca. 50 % der Fälle sensible Daten zu entwenden – in der Regel in weniger als 15 Minuten und nur indem sie durch zugängliche Büroräume gingen.

Einfach, aber effektiv

Der Bericht zeigt: Social Engineering und Visual Hacking sind einfache, aber effektive Methoden um an sensible Daten von Unternehmen zu gelangen. Unternehmen können sich aber ebenso einfach und effektiv schützen. Bereits Schulungen zum Umgang mit Besucherverkehr und Anrufen sowie Leitfäden zum Umgang mit dem Arbeitsplatz bzw. Arbeit in öffentlichen Räumen können Risiken reduzieren.