Soziale Netzwerke: Kein Hort des Vertrauens

Hacker gehen gerne den Weg des geringsten Widerstands und knüpfen sich Mitarbeiter eines Unternehmens vor, um möglichst einfach ans Ziel zu kommen.

von Eric Doyle 0

Die Mitarbeitermanipulation über Social Engineering ist vermutlich die größte Sicherheitsbedrohung im Jahr 2011. Nachdem die Angriffe auf Netzwerke immer schwieriger geworden sind, weil immer mehr Sicherheitslücken geschlossen werden, haben sich die Hacker ein neues Ziel vorgenommen. Hacker suchen immer nach dem einfachsten Angriffspunkt auf ein System und es ist der menschliche Faktor, der ihnen dabei hilft.

Zielgerichtete Phishing oder auch Spear Phishing ist eine einfache Methode, Angestellte dazu zu bringen, dem Angreifer Zugriff auf das Unternehmensnetzwerk zu gewähren. Informationen aus sozialen Netzwerken nutzen den Hackern dabei besonders viel.

Nur Narren haben nichts zu verbergen

Wer sagt, dass er nichts zu verbergen hat und deshalb eine öffentliche Zurschaustellung seiner Daten nicht fürchten muss, irrt sich. Es hängt immer davon ab, für wen die Informationen interessant sind. Künftige Arbeitgeber mögen sich an den allzu liberalen Einstellungen möglicher Kandidaten stören und sie vielleicht nicht einstellen. Aber es sind meist viel kleinere Details, die tatsächlich für Probleme sorgen.

Dienste wie LinkedIn und Xing sind gespickt mit Jobdetails und avancierten zur »Flirtbörse« für Headhunter und draufgängerische Unternehmer. Arbeitnehmer präsentieren hier ihre Fähigkeiten, Leistungen und Kontakte in aller Öffentlichkeit. Auch wenn einige Details verborgen bleiben, gibt es hier genügend Informationen, die einen ziemlich guten Eindruck über den potentiellen Mitarbeiter vermitteln.

Das gleiche gilt für Hacker, die nach Beute fischen. Ein Suchlauf nach Arbeitnehmern offenbart auch zahlreiche potentielle Opfer. Hacker finden so schnell Informationen zu früheren Arbeitnehmern, Empfehlungsschreiben und vieles mehr. Das Anstandsgefühl sorgt dafür, dass sich die Mitglieder solcher Netzwerke Empfehlungen gegenseitig aussprechen und sie auf Anfrage nicht verweigern. Viele der Teilnehmer veröffentlichen auch E-Mails ihrer Kontakte.

So machen Hacker ihre Opfer gefügig

Der kreative Hacker kann diese Informationen für zahlreiche Angriffsvarianten nutzen.

Ein einfacher Versuch könnte die nachgemachte E-Mail der »IT-Abteilung« sein, die um die Zugangsdaten des Anwenders bittet. Eine etwas subtilere Herangehensweise ist die Bitte, sich ins System einzuloggen. In der E-Mail befindet sich die URL einer gefälschten Login-Website, die mit Firmenlogos und ähnlichen Identifikationsmerkmalen gespickt ist.

Ein weiterer Angriffsversuch sind E-Mails, die mit Informationshäppchen aus sozialen Netzwerken und den Mitgliederkontakten durchsetzt sind. Als Absender dient eine Adresse von Hotmail, Google Mail oder einem anderen kostenlosen E-Maildienst. Das klingt dann wie eine echte E-Mail eines Kollegen und bietet die Basis für weitere Mails zwischen Hacker und Opfer.

Das ist eine langatmige Herangehensweise. Wenn ein moderner Phisher aber etwas erreichen will, muss er geduldig und ausdauernd sein und Informationen recherchieren, die ihm nützlich sein könnten. Das erste Opfer ist vielleicht nur dazu da, um an einen Kollegen heranzukommen, der weiter oben im Unternehmen beschäftigt ist.

Eine viel schnellere Möglichkeit, intime Informationen zu erhalten, sind Arbeitsangebote. Wenige Angestellte werden die Aussicht auf einen lukrativen Job an die große Glocke hängen und geben überraschend viele Daten über sich preis. Der Masche ähnelt denen der Nigeria-Connection, die ihren Opfern Geld für Gebühren abluchsen, die den Weg zu einem großen Vermögen frei machen sollen.

Erste kleine Gegenmaßnahmen

Mitarbeitermanipulationen sind deshalb so interessant, weil sie in vielen Fällen zur Umgehung von eigentlich sehr sicheren Systemen genutzt werden können. Nach Medienberichten wurde RSA Security zunächst mit Phishing gehackt und erst dann wurden IT-Werkzeuge eingesetzt, um Informationen zum SecurID-System zu erbeuten.

Die meisten Sicherheitsberater folgern daraus, dass niemand sicher vor Manipulationen ist und dass Firewalls und andere Maßnahmen allein keine Sicherheit mehr bieten. Gegen Social Engineering helfen nur ausführliche Mitarbeiterschulungen und eine Aufklärung über die Methoden der Angreifer. Gegen Bestechungsversuche, die an die private E-Mailadresse der Mitarbeiter gehen, ist hingegen kein Kraut gewachsen.

(Quelle kleines Bild oben: Octus – Fotolia.com)

ITespresso für mobile Geräte
Android-App Google Currents App for iOS

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Möchten nicht auch Sie wissen, wie zufrieden andere Anwender mit der Nutzung ihrer CRM-Anwendung imSaaS-Modell sind, warum sie sich dagegen entschieden haben oder sich gar nicht damit beschäftigen wollen? Diesen und anderen Fragen geht Hassan Hosseini von The-Industry-Analyst.com in Kooperation mit dem Herausgeber von silicon.de in der aktuellen Umfrage zur CRM Nutzung als "Software as a Service" in Deutschland nach.

Jetzt teilnehmen!

Letzter Kommentar




0 Antworten zu Soziale Netzwerke: Kein Hort des Vertrauens

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>