Zum Inhalt springen

Hacking/ Mensch

Aus Wikibooks
Das Social-Engineering ist eine der gefährlichsten Hacking-Methoden, da sich Schwachstellen nur schwer beseitigen lassen

Die Ausnutzung des Menschen als Schwachstelle, das sogenannte Social-Engineering, ist eine Hacking-Methode, die immer beliebter wird. Anstatt sich mühsam unter Ausnutzung von technischen Schwachstellen Zugang zu einem System zu verschaffen, werden gezielt psychologische Techniken eingesetzt, um sich das Vertrauen von Personen zu erschleichen, die bereits Zugang zum Zielsystem haben. Das Ausgeben als Autoritätsperson und das Vorspielen von Zeitdruck sind beliebte Mittel dieser Hacking-Methode. Es gibt dutzende verschiedene Methoden des Social-Engineering, im Folgenden sind sieben der häufigsten zusammengestellt.

Whaling

[Bearbeiten]

Das sogenannte Whaling ist eine Methode des Phishing, die auf Unternehmen abzielt und den Menschen als Schwachstelle ausnutzt. Hierbei übernimmt der Angreifer die Identität einer Autoritätsperson, meist eines Mitglieds der Unternehmensführung, um so an vertrauliche Informationen, Geld oder sonstige Dinge zu gelangen. Meist nutzt der Angreifer gefälschte E-Mails oder Telefonnummern (siehe auch Spoofing), um sich so das Vertrauen seines Opfers zu erschleichen. Besonders effektiv ist Whaling, wenn der Angreifer sich bereits im Vorweg über die sozialen Netzwerke oder über eine andere Methode des Social-Engineering Informationen über die von ihm imitierte Person und über sein Opfer verschafft hat.

Wie kann man sich schützen?
  1. Mitarbeiter darauf schulen, bei ungewöhnlichen Anfragen telefonisch oder persönlich nach Bestätigung zu fragen.
  2. Physische Schwachstellen ausbessern, um Angreifern keine Einsicht in den Ablauf der internen Kommunikation zu geben.

Baiting

[Bearbeiten]

Ein Social-Engineering Angriff mittels Baiting kann sich grundsätzlich gegen jedes Ziel richten. Der Angreifer nutzt hierbei die Neugierde oder die Gier eines Opfers aus, hat aber i. d. R. kein konkretes Opfer ausgewählt. Durch das gezielte verstreuen von mit Malware (siehe auch Viren, Würmer und Trojaner) befallenen Speichermedien, mehrheitlich USB-Sticks, soll erreicht werden, dass ein neugieriger Passant das Medium mitnimmt und dieses gutgläubig an seinen Computer anschließt. Passiert dies innerhalb des Netzwerks vom Ziel des Angreifers, so war der Angriff erfolgreich.

Wie kann man sich schützen?
  1. Keine fremden Speichermedien mitnehmen oder gar nutzen.
  2. Ist das Nutzen zwingend erforderlich, virtuelle Maschinen verwenden.

Shoulder Surfing

[Bearbeiten]

Das Shoulder Surfing ist wohl die simpelste Technik des Social-Engineering. Der Name sagt schon alles: Der Angreifer schaut seinem Opfer im wahrsten Sinne des Wortes „über die Schulter“. Sowohl in der Öffentlichkeit genutzte Laptops (Eingabe von Passwörtern), Bankautomaten (Eingabe von PINs), aber auch unbeabsichtigt entsperrt gelassene Computer oder offen liegengelassene Dokumente (Daten) können Ziel eines Shoulder Surfing Angriffs werden.

Wie kann man sich schützen?
  1. Bildschirmhelligkeit mobiler Geräte reduzieren.
  2. Tastatur/ PIN-Feld bei Eingabe vertraulicher Daten verdecken.
  3. Geräte sperren, wenn sie unbeaufsichtigt sind.
  4. Dokumente nicht offen herumliegen lassen.

Dumpster Diving

[Bearbeiten]

Beim Dumpster Diving versucht ein Angreifer Informationen über sein Opfer, bzw. das Zielsystem zu erlangen. Meist dient diese Angriffsmethode als Vorstufe zum Whaling, Pretexting, einer Watering Hole Attack oder dem Typosquatting. Der Angreifer verschafft sich Zugang zum Abfall seines Ziels und durchsucht diesen nach verwertbaren Informationen. Am naheliegendsten sind zwar Festplatten, USB-Sticks und notierte Zugangsdaten, aber auch Dinge wie Kalender oder Telefonlisten können später vom Angreifer genutzt werden, um sich das Vertrauen eines Opfers zu erschleichen oder vorzugeben eine Autoritätsperson zu sein.

Wie kann man sich schützen?
  1. Alte Festplatten und sonstige Datenträger verbrennen.
  2. Nicht mehr benötigte Dokumente schreddern.
  3. Auch Kalender und andere Dinge, die personenbezogene Daten beinhalten, wie Dokumente behandeln.

Pretexting

[Bearbeiten]

Ebenso wie beim Whaling gibt ein Angreifer beim Pretexting vor, eine Autoritätsperson zu sein. Der Unterschied besteht darin, dass sich ein Pretexting Angriff auch gegen Privatpersonen richten kann, da die vorgespielte Autorität kein Vorgesetzter o. Ä. ist, sondern es sich um eine externe Person handelt. Dies kann z. B. ein vermeintlicher Polizist, der Mitarbeiter einer Bank oder auch ein Beamter sein. Oft wird das Opfer unter Druck gesetzt und ihm werden negative Konsequenzen wie Strafverfolgung oder die Einfrierung des eigenen Kontos angedroht. Mit Pretexting kann zwar auch an Informationen gelangt werden (vor allem bei Unternehmen), meist wird diese Methode des Social-Engineering aber von Black-Hats genutzt, um vom Opfer Geld zu stehlen.

Wie kann man sich schützen?
  1. Autoritäten mit einem gewissen Maß an Misstrauen begegnen.
  2. Beamte nach Dienstausweis oder Personalnummer fragen.
  3. Ggf. bei der Behörde der vermeintlichen Autoritätsperson Auskunft einholen.

Watering Hole Attack

[Bearbeiten]

Hat der Angreifer bereits Kenntnis von den Strukturen seines Zielsystems, so kann er eine sogenannte Watering Hole Attack einsetzen. Bei dieser nutzt der Angreifer technische Schwachstellen aus, verschafft sich aber nicht Zugang zum System seines eigentlichen Zieles, sondern zu einem übergeordneten System, wie beispielsweise einer Software oder Webseite. Über diese stellt der Angreifer Malware bereit, was dazu führt, dass ein Opfer innerhalb des eigentlichen Zielsystems freiwillig auf die Schadsoftware zugreift. Ausgenutzt wird bei diesem Angriff die Leichtgläubigkeit des Opfers, bzw. das bereits vorhandene Vertrauen des Opfers in das übergeordnete System. Das Gefährliche an einer Watering Hole Attack ist, dass über das übergeordnete System auch mehrere Zielsysteme oder Privatpersonen gleichzeitig angegriffen werden können.

Wie kann man sich schützen?
  1. Keine Webseiten mit schlechten Sicherheitsstandards nutzen.
  2. Als Unternehmen Auskunft über die IT-Sicherheitsmaßnahmen von Partnern einholen.

Typosquatting

[Bearbeiten]

Beim Typosquatting spekuliert der Angreifer darauf, dass sein Opfer sich bei der Eingabe einer bestimmten URL vertippt. Der Angreifer hostet unter dieser verfälschten URL (z. B. www.wikiboks.org statt www.wikibooks.org) eine eigene Seite, um dort entweder Schadsoftware bereitzustellen oder Daten wie Logindaten abzugreifen.

Wie kann man sich schützen?
  1. Bei der Eingabe von URLs die Adresszeile stets im Blick behalten.
  2. Vor der Eingabe vertraulicher Informationen oder dem Download von Daten die URL einer Seite überprüfen.
  3. Als Unternehmen ähnliche Schreibweisen der eigenen URL selbst reservieren.

Auf einen Blick:

  • Menschen versuchen von Natur aus Konflikte zu vermeiden und gehen oft den Weg des geringsten Widerstandes.
  • Beim Baiting wird die Gier des Opfers ausgenutzt.
  • Whaling beschreibt das Ausgeben als Autoritätsperson zur Erschleichung von Informationen.
  • Beim Shoulder Surfing werden versehentlich sichtbare gemachte Informationen geklaut.
  • Das Dumpster Diving ist das systematische Suchen nach unsicher entsorgten Dokumenten.
  • Das Pretexting ist eine Sonderform des Whaling, bei der sich der Angreifer als externe Autorität, wie z. B. die Polizei ausgibt.
  • Wird das Zielsystem nicht direkt, sondern über einen Zwischenserver, auf den es freiwillig zugreift, angegriffen, spricht man von einer Watering Hole Attack.
  • Vertippt sich jemand bei der Eingabe einer URL, so kann das Typosquatting zum Einsatz kommen.