Die verführerischen Tricks der Passwort-Gauner

Social-Engineering-Angriffe werden von Sicherheitsteams gerne unterschätzt. Oft ist es für die Angreifer jedoch leichter, ihren Opfern durch psychologische Tricks Passwörter und Zugangscodes zu entlocken, als einen technisch aufwendigen Angriff auf eine Web-Applikation oder ein Netzwerk durchzuführen. Denn Menschen sind von Natur aus hilfsbereit. Eine beliebte Masche der Cyberkriminellen besteht darin, sich als Support-Mitarbeiter, Verkaufsleiter oder Stellenbewerber ins Vertrauen der Opfer einzuschleichen und den Psycho-Druck Schritt für Schritt zu erhöhen. Besonders bei grossen Unternehmen beliebt, wo nicht jeder jeden kennt: Die Angreifer verschaffen sich mit gefälschten Identitäten Zugang zum Firmengebäude und geben sich einfach als Firmenmitarbeiter aus, denen niemand misstraut. Einen Gefallen, ja sehr gerne... Angenommen, ein Kollege der Finanzabteilung erhält per Mail eine angehängte Rechnung mit der Bitte, sie zu prüfen. Einige Minuten später ruft ein neuer Mitarbeiter aus dem Vertrieb an, und es geht um genau die eben erhaltene Rechnung. Cyberkriminelle haben ihre Hausaufgaben in der Regel gut gemacht. Natürlich ist die Sache dringend, und ein einfacher Klick auf das Excel-Spreadsheet im Attachement verschafft Klarheit und hilft dem neuen Kollegen weiter. Nur ein kleiner Gefallen, und schon ist der Trojaner installiert. Wie leicht es sein kann, sich als Unbefugter Zugang zum Firmengebäude zu verschaffen, hat der Social-Engineering-Experte Chris Nickerson und sein Team demonstriert. Nickerson wurde von der Unternehmensleitung engagiert, um Sicherheitsrisiken auszutesten. Es handelte sich also nicht um einen "echten", sondern um einen simulierten Angriff. Die Techniken und Tricks, die dabei zum Einsatz kamen, könnten auch in Schweizer Unternehmen funktionieren. Eine gute Vorbereitung ist für die Betrüger bereits der halbe Weg zum Erfolg. Nickerson streifte sich ein Cisco-T-Shirt über und gab sich als Support-Mitarbeiter des Netzwerkspezialisten aus. Zudem tauchte er kurz vor der Mittagspause an der Rezeption der Firma auf und wollte, sagen wir einfach einmal, mit Beat sprechen. Beat war an diesem Tag aber gar nicht im Haus, was Nickerson wusste. Er sagte mir, er sei in einem Meeting, und wolle sich danach mit mir treffen, log Nickerson der Rezeptionistin vor, "könnte ich vielleicht in der Cafeteria auf ihn warten?". Diesen USB-Sticks kann keiner widerstehen Eimal in der Cafeteria erschlich sich Nickerson leicht Zugang zum restlichen Firmengebäude und liess dort an öffentlichen Plätzen wie der Kaffeemaschine oder Meeting-Räumen USB-Sticks liegen. Die Sticks trugen Aufkleber wie "Strategie 2015" oder "Gehaltslisten 2014". Natürlich waren die Sticks mit Malware infiziert, und irgendein neugieriger Mitarbeiter wird sie sicher an seinen Firmen-PC gesteckt haben, um Einblick zu nehmen. Schon war der Trojaner installiert und das Firmennetzwerk infiziert. Unter Social Engineering verstehen Sicherheitsexperten die Kunst, sich mithilfe psychologischer Tricks Zugang zu Gebäuden, Systemen oder Daten zu verschaffen, ohne klassische Hacking-Techniken einzusetzen. Das beste und sicherste Passwort nützt nichts, wenn man es freiwillig aus der Hand gibt oder nicht hinreichend schützt. Der Yahoo-Account der US-Politikerin Sarah Palin etwa wurde gehackt, indem sich der Angreifer vorab in sozialen Netzwerken biografische Daten seines Opfers besorgte. Yahoo kennt eine "Forgotten Password"-Option, die durch eine Sicherheitsfrage vor unbefugtem Zugriff geschützt ist. Mithilfe der Social-Network-Infos konnte der Angreifer die Sicherheitsfrage beantworten und den Account kapern. Auf der nächsten Seite: Schmeichelnde und nette Kriminelle. Kriminelle: gefährlich nette Leute Angreifer sind in der Regel humorvolle, sympathische Menschen, mit denen man gerne Umgang pflegt. Sie setzen diese Eigenschaften jedoch als Waffe ein. Ein beliebter Trick, sich Zugang zu Gebäuden zu verschaffen, besteht zum Beispiel darin, die Mitarbeiter durch kleine Gefälligkeiten für sich zu gewinnen. Kleine Präsente oder Schmeicheleien gehören dazu, und die psychologische Gesetzmässigkeit heisst Reziprozität. Fordert der Angreifer direkt danach seinerseits eine Gefälligkeit von seinem Opfer ein, schöpft es meist Verdacht. Nicht aber, nachdem einige Stunden vergangen sind. Dann geht es zum Beispiel um einen verlegten Badge oder einen vergessenen Sicherheitscode, den so leicht keiner dem freundlichen und hilfsbereiten Cisco-Netzwerkingenieur verweigern möchte, der zudem dringende Wartungsarbeiten an der internen Firmen-IT durchzuführen hat. Verführerische Schmeicheleien Menschen sind ausserdem eher bereit, einem anderen einen Gefallen zu tun, wenn der die Dringlichkeit begründet. An einem Experiment der Universität Harward nahmen zwei Gruppen teil, und es ging um die Warteschlange vor einer Kopiermaschine. Der Versuchsleiter sagte zur ersten Gruppe: Entschuldigen Sie bitte, ich muss fünf Seiten kopieren. Dürfte ich vielleicht diese Kopiermaschine vor ihnen benutzen. 60 Prozent liessen ihm den Vortritt. Bei der zweiten Gruppe verfeinerte der Versuchsleiter seine Bitte: Könnten Sie mich vielleicht vorlassen? Ich müsste dringend fünf Seiten kopieren und bin schrecklich in Eile. Wenn ich das nicht erledige, gerate ich in grosse Schwierigkeiten. In dieser Gruppe liessen immerhin 94 Prozent den Eiligen vor. Oft kommt es auf den Kontext und die emotionale Verfassung des Opfers an, ob Psycho-Attacken oder Phishing-Mails Erfolg haben. Nehmen wir zum Beispiel das gängige Phishing-Szenario: Geschätzter Kunde, von ihrem Konto sind jüngst 10.000 Franken abgebucht worden. Eine Abbuchung in dieser Höhe und zu diesem Zeitpunkt weicht von Ihrem Kundenprofil ab. Bitte bestätigen Sie zu ihrer eigenen Sicherheit die Transaktion. Unter "normalen" Umständen würden die meisten Schweizer auf solch plumpe Betrügereien nicht hereinfallen. Aber wer zum Beispiel vor Kurzem eine Rechnung über 8400 Franken beglichen hat, den beschleicht vielleicht doch ein unangenehmes Gefühl. Es ist ja so verführerisch: Ein einfacher Klick auf das Attachement bringt sofortige Klarheit und beseitigt die quälende Unsicherheit. Derartige Phishing-Mails werden zu Tausenden verschickt, und selbst kluge Menschen im weiteren Umfeld der Computerworld-Redaktion haben sich auf diese oder ähnliche Art und Weise schon zum verhängnisvollen Klick verleiten lassen.