Die verführerischen Tricks der Passwort-Gauner

Technische Hacks sind aufwendig. Cyberkriminelle setzen daher verstärkt auf Social Engineering, um Konten, Daten und Systeme zu kapern. Diese Tricks sollten Sie kennen, um nicht darauf hereinzufallen.

» Von Michael Kurzidim , 12.01.2015 12:08.

weitere Artikel

Bildergalerie

Bildergalerie

Bildergalerie

Bildergalerie

Social-Engineering-Angriffe werden von Sicherheitsteams gerne unterschätzt. Oft ist es für die Angreifer jedoch leichter, ihren Opfern durch psychologische Tricks Passwörter und Zugangscodes zu entlocken, als einen technisch aufwendigen Angriff auf eine Web-Applikation oder ein Netzwerk durchzuführen. Denn Menschen sind von Natur aus hilfsbereit.

Eine beliebte Masche der Cyberkriminellen besteht darin, sich als Support-Mitarbeiter, Verkaufsleiter oder Stellenbewerber ins Vertrauen der Opfer einzuschleichen und den Psycho-Druck Schritt für Schritt zu erhöhen. Besonders bei grossen Unternehmen beliebt, wo nicht jeder jeden kennt: Die Angreifer verschaffen sich mit gefälschten Identitäten Zugang zum Firmengebäude und geben sich einfach als Firmenmitarbeiter aus, denen niemand misstraut.

Einen Gefallen, ja sehr gerne...

Angenommen, ein Kollege der Finanzabteilung erhält per Mail eine angehängte Rechnung mit der Bitte, sie zu prüfen. Einige Minuten später ruft ein neuer Mitarbeiter aus dem Vertrieb an, und es geht um genau die eben erhaltene Rechnung. Cyberkriminelle haben ihre Hausaufgaben in der Regel gut gemacht. Natürlich ist die Sache dringend, und ein einfacher Klick auf das Excel-Spreadsheet im Attachement verschafft Klarheit und hilft dem neuen Kollegen weiter. Nur ein kleiner Gefallen, und schon ist der Trojaner installiert.

Wie leicht es sein kann, sich als Unbefugter Zugang zum Firmengebäude zu verschaffen, hat der Social-Engineering-Experte Chris Nickerson und sein Team demonstriert. Nickerson wurde von der Unternehmensleitung engagiert, um Sicherheitsrisiken auszutesten. Es handelte sich also nicht um einen "echten", sondern um einen simulierten Angriff. Die Techniken und Tricks, die dabei zum Einsatz kamen, könnten auch in Schweizer Unternehmen funktionieren.

Eine gute Vorbereitung ist für die Betrüger bereits der halbe Weg zum Erfolg. Nickerson streifte sich ein Cisco-T-Shirt über und gab sich als Support-Mitarbeiter des Netzwerkspezialisten aus. Zudem tauchte er kurz vor der Mittagspause an der Rezeption der Firma auf und wollte, sagen wir einfach einmal, mit Beat sprechen. Beat war an diesem Tag aber gar nicht im Haus, was Nickerson wusste. Er sagte mir, er sei in einem Meeting, und wolle sich danach mit mir treffen, log Nickerson der Rezeptionistin vor, "könnte ich vielleicht in der Cafeteria auf ihn warten?".

Diesen USB-Sticks kann keiner widerstehen

Eimal in der Cafeteria erschlich sich Nickerson leicht Zugang zum restlichen Firmengebäude und liess dort an öffentlichen Plätzen wie der Kaffeemaschine oder Meeting-Räumen USB-Sticks liegen. Die Sticks trugen Aufkleber wie "Strategie 2015" oder "Gehaltslisten 2014". Natürlich waren die Sticks mit Malware infiziert, und irgendein neugieriger Mitarbeiter wird sie sicher an seinen Firmen-PC gesteckt haben, um Einblick zu nehmen. Schon war der Trojaner installiert und das Firmennetzwerk infiziert.

Unter Social Engineering verstehen Sicherheitsexperten die Kunst, sich mithilfe psychologischer Tricks Zugang zu Gebäuden, Systemen oder Daten zu verschaffen, ohne klassische Hacking-Techniken einzusetzen. Das beste und sicherste Passwort nützt nichts, wenn man es freiwillig aus der Hand gibt oder nicht hinreichend schützt. Der Yahoo-Account der US-Politikerin Sarah Palin etwa wurde gehackt, indem sich der Angreifer vorab in sozialen Netzwerken biografische Daten seines Opfers besorgte. Yahoo kennt eine "Forgotten Password"-Option, die durch eine Sicherheitsfrage vor unbefugtem Zugriff geschützt ist. Mithilfe der Social-Network-Infos konnte der Angreifer die Sicherheitsfrage beantworten und den Account kapern.

Auf der nächsten Seite: Schmeichelnde und nette Kriminelle.

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.