Thought Leadership
In einer Umfrage geben Unternehmen zu, dass sie auf vergleichsweise simpel anmutende Social-Engineering-Versuche hereingefallen sind. Fakt ist, dass Firmen inzwischen Millionen in den Schutz ihrer IT-Infrastruktur investieren. Die meisten gehen zudem davon aus, dass diese Ausgaben 2014 weiter steigen.
Für Datendiebe gibt es jedoch auch einen einfachen Weg, um an lukrative Informationen zu gelangen. Im wahrsten Sinne des Wortes ein „Spaziergang“ durch Londons Finanzdistrikt ermöglicht eine ganz spezielle Form des Social Engineering.
Eine von AppRiver (einem Unternehmen, das sich auf Cloud-basierte E-Mail- und Web-Sicherheitslösungen spezialisiert hat) unterstützte Studie förderte denn auch ziemlich erschreckende Ergebnisse zu Tage. In praktisch jeder der belebten Straßen in Londons Zentrum, das auch als „Square Mile“ bekannt ist, residieren renommierte Firmen. Nicht wenige aus dem Banken- und Finanzsektor. Was man unter diesen Bedingungen allerdings nicht unbedingt erwarten würde: fast überall war es über die großzügigen Fensterfronten möglich entweder einen direkten Blick auf die Computerbildschirme der Angestellten zu werfen, oder über eine Spiegelung im ersten Stock.
Bei einigen Unternehmen konnte man die Bildschirme im ersten Stock gut erkennen. Bei anderen konnte man sogar gleich im Erdgeschoss einen Blick darauf werfen. Darunter Banken. Bei zwei weiteren Banken in der Nachbarschaft, waren zirka 150 Monitore von der Straße aus perfekt einzusehen. Einige so nah am Fenster, dass man das Namensschild des jeweiligen Mitarbeiters mühelos entziffern konnte. Im Zeitalter von Datenspionage und Datenklau ein wenig vertrauenerweckendes Szenario: Die Fenster sind sozusagen weit offen für den „Walk-by“-Datenklau.
Datensammeln leicht gemacht
Und der kleine Spaziergang würde sich lohnen, denn wie die Studie skizziert, war so gut wie alles zu sehen, was nicht zu sehen sein sollte: Anmeldefenster, E-Mails, Felder diverser Datenbanken, Dokumente. Wohlgemerkt sichtbar schon mit dem bloßen Auge.
Auch wenn hier keine detaillierten Daten erhoben werden konnten, eines ist offensichtlich: kriminelle Absichten, genügend Zeit und ein Teleobjektiv reichen aus, um genau die Daten zu sammeln, die man für einen gezielten Angriff auf das jeweilige Unternehmen braucht.
David Liberatore, Senior Director (Technisches Produktmanagement) bei AppRiver, sieht das so: „Wenn Sie früher vorhatten eine Bank auszurauben, mussten Sie sich physisch Zutritt verschaffen und die Angestellten auffordern, die Hände hochzunehmen. Im Zeitalter der Digitalisierung wird die überwiegende Zahl von sensiblen Finanztransaktionen online abgewickelt. Cyberkriminelle haben sich dieser Entwicklung schnell und sehr erfolgreich angepasst. Ja, die IT-Sicherheit hat sich stark verbessert, und mancher vormals virtuell zugängliche Weg ist inzwischen versperrt. Was liegt näher für einen Cyberkriminellen als nach neuen Einfallstoren zu suchen, um Attacken erfolgreich und gewinnbringend ans Ziel zu bringen. Die Fenster von Unternehmen und Institutionen stehen offensichtlich für den direkten Weg weit offen.“
Missbrauchtes Vertrauen
Ein Beispiel aus der Welt des Social Engineering, also der Welt, die sich typisch menschliche Verhaltensweisen und Eigenschaften bei einem Angriff zunutze macht. Das Bedürfnis zu vertrauen zum Beispiel. So beobachtet ein Scammer einen Mitarbeiter so lange bis er ausreichende Informationen über dessen Leben gesammelt hat. Die reichen, um die Person in einer Bar oder einem Straßencafé in ein unverfängliches Gespräch über Familie, Freunde etc. zu verwickeln. Meistens hat der Scammer den Namen des Angestellten und auch den des Unternehmens, bei dem er beschäftigt ist, bereits herausgefunden. Nun streut er nach Belieben die Informationen, die er aus E-Mails oder Dokumenten zusammengetragen hat in die zwanglose Alltagskommunikation ein. Ziel ist es, aufgrund dieses scheinbaren Wissens das Vertrauen des potenziellen Opfers zu gewinnen und sich so weitere Daten zu erschleichen. Nicht zwangsläufig wird dann das Unternehmen Opfer eines Angriffs. Geschickte Scammer sammeln genügend Informationen beispielsweise für einen Identitätsdiebstahl. Mit der gestohlenen Identität ist es für den Scammer ein Leichtes, weitere, gut getarnte Aktivitäten zu starten.
Und auch die zweite Methode nutzt eine Schwachstelle in der menschlichen Wahrnehmung aus. Beispielsweise indem sie glaubhaft etwas (scheinbar) Bekanntes vortäuscht. Wie geht der Scammer dabei vor? Er überwacht und dupliziert das E-Mail-Design von Kommunikationen mit vertrauenswürdigen Absendern oder solchen, die man dafür hält, wie beispielsweise die großen Markennamen oder andere Quellen. Mit einer zielgerichteten Spear-Phishing-Kampagne versucht der Scammer das Opfer dazu zu bringen, auf einen Link in der E-Mail oder ein Attachment zu klicken. Dieser eine Klick hat für das Unternehmen oft verhängnisvolle Folgen.
Die sattsam bekannte Attacke auf die RSA wurde genauso durchgeführt. Ein Beweis für ihre Schlagkraft.
David Liberatore fasst nochmals zusammen: „Wir wissen, das Kriminelle alle sozialen Netzwerke wie Facebook oder LinkedIn durchforsten, um genau die Informationen zu sammeln, die ihnen helfen solche Attacken zu entwickeln. Das sind beständig sprudelnde Datenquellen, aus denen sie nur schöpfen müssen. Aber wie unser Beispiel aus einem beliebigen Finanzdistrikt einer Metropole zeigt: unter Umständen sind Firmen über ihre Fensterfronten genauso verwundbar wie über einen Keylogger im System. Mit dem starren Blick auf die IT-Sicherheit wird nicht selten das physische Einfallstor einfach übersehen. Das heißt aber nichts anderes, als dass genau die Informationen, die man mühsam schützt, einfach so im Vorbeigehen mitgenommen werden. Etwas, dass sich definitiv ändern muss.“
