Soziale Netzwerke: Kein Hort des Vertrauens
Die Mitarbeitermanipulation über Social Engineering ist vermutlich die größte Sicherheitsbedrohung im Jahr 2011. Nachdem die Angriffe auf Netzwerke immer schwieriger geworden sind, weil immer mehr Sicherheitslücken geschlossen werden, haben sich die Hacker ein neues Ziel vorgenommen. Hacker suchen immer nach dem einfachsten Angriffspunkt auf ein System und es ist der menschliche Faktor, der ihnen dabei hilft.
Zielgerichtete Phishing oder auch Spear Phishing ist eine einfache Methode, Angestellte dazu zu bringen, dem Angreifer Zugriff auf das Unternehmensnetzwerk zu gewähren. Informationen aus sozialen Netzwerken nutzen den Hackern dabei besonders viel.
Nur Narren haben nichts zu verbergen
Wer sagt, dass er nichts zu verbergen hat und deshalb eine öffentliche Zurschaustellung seiner Daten nicht fürchten muss, irrt sich. Es hängt immer davon ab, für wen die Informationen interessant sind. Künftige Arbeitgeber mögen sich an den allzu liberalen Einstellungen möglicher Kandidaten stören und sie vielleicht nicht einstellen. Aber es sind meist viel kleinere Details, die tatsächlich für Probleme sorgen.
Dienste wie LinkedIn und Xing sind gespickt mit Jobdetails und avancierten zur »Flirtbörse« für Headhunter und draufgängerische Unternehmer. Arbeitnehmer präsentieren hier ihre Fähigkeiten, Leistungen und Kontakte in aller Öffentlichkeit. Auch wenn einige Details verborgen bleiben, gibt es hier genügend Informationen, die einen ziemlich guten Eindruck über den potentiellen Mitarbeiter vermitteln.
Das gleiche gilt für Hacker, die nach Beute fischen. Ein Suchlauf nach Arbeitnehmern offenbart auch zahlreiche potentielle Opfer. Hacker finden so schnell Informationen zu früheren Arbeitnehmern, Empfehlungsschreiben und vieles mehr. Das Anstandsgefühl sorgt dafür, dass sich die Mitglieder solcher Netzwerke Empfehlungen gegenseitig aussprechen und sie auf Anfrage nicht verweigern. Viele der Teilnehmer veröffentlichen auch E-Mails ihrer Kontakte.
So machen Hacker ihre Opfer gefügig
Der kreative Hacker kann diese Informationen für zahlreiche Angriffsvarianten nutzen.
Ein einfacher Versuch könnte die nachgemachte E-Mail der »IT-Abteilung« sein, die um die Zugangsdaten des Anwenders bittet. Eine etwas subtilere Herangehensweise ist die Bitte, sich ins System einzuloggen. In der E-Mail befindet sich die URL einer gefälschten Login-Website, die mit Firmenlogos und ähnlichen Identifikationsmerkmalen gespickt ist.
Ein weiterer Angriffsversuch sind E-Mails, die mit Informationshäppchen aus sozialen Netzwerken und den Mitgliederkontakten durchsetzt sind. Als Absender dient eine Adresse von Hotmail, Google Mail oder einem anderen kostenlosen E-Maildienst. Das klingt dann wie eine echte E-Mail eines Kollegen und bietet die Basis für weitere Mails zwischen Hacker und Opfer.
Das ist eine langatmige Herangehensweise. Wenn ein moderner Phisher aber etwas erreichen will, muss er geduldig und ausdauernd sein und Informationen recherchieren, die ihm nützlich sein könnten. Das erste Opfer ist vielleicht nur dazu da, um an einen Kollegen heranzukommen, der weiter oben im Unternehmen beschäftigt ist.
Eine viel schnellere Möglichkeit, intime Informationen zu erhalten, sind Arbeitsangebote. Wenige Angestellte werden die Aussicht auf einen lukrativen Job an die große Glocke hängen und geben überraschend viele Daten über sich preis. Der Masche ähnelt denen der Nigeria-Connection, die ihren Opfern Geld für Gebühren abluchsen, die den Weg zu einem großen Vermögen frei machen sollen.
Erste kleine Gegenmaßnahmen
Mitarbeitermanipulationen sind deshalb so interessant, weil sie in vielen Fällen zur Umgehung von eigentlich sehr sicheren Systemen genutzt werden können. Nach Medienberichten wurde RSA Security zunächst mit Phishing gehackt und erst dann wurden IT-Werkzeuge eingesetzt, um Informationen zum SecurID-System zu erbeuten.
Die meisten Sicherheitsberater folgern daraus, dass niemand sicher vor Manipulationen ist und dass Firewalls und andere Maßnahmen allein keine Sicherheit mehr bieten. Gegen Social Engineering helfen nur ausführliche Mitarbeiterschulungen und eine Aufklärung über die Methoden der Angreifer. Gegen Bestechungsversuche, die an die private E-Mailadresse der Mitarbeiter gehen, ist hingegen kein Kraut gewachsen.
(Quelle kleines Bild oben: Octus – Fotolia.com)