Dieter Kochheim, <strong>Cybercrime</strong> - 66 -B.1 4. Vorgehen des Social EngineersSven Vetsch 408 beschreibt das Vorgehen beimSocEng in sechs typischen Schritten: InformierenInformationen über das Ziel der SocEng-Attackesammeln, z.B. Im Internet oder per „Dumpster diving“,also das Durchwühlen von Abfällen auf derSuche nach betriebsinternen Informationen wieOrganigramme, Telefonverzeichnisse, persönlicheAufzeichnungen. Andere öffentliche Quellen sindz.B. Bibliotheken, Patentschriften, Museen und öffentlicheAuftritte auf Messen. Kontakt aufbauenmit Anruf, persönlichem Besuch, Brief, E-Mail,Newsgroup, Weblog. Vortäuschung einer IdentitätIn eine andere Rolle schlüpfen, z.B. als Vorgesetzterder Kontaktperson, als Endanwender, alsKunde oder als Interviewer bei einer Telefonumfrage. Zielinformationen erarbeitenSich durch verschiedene Fragen an die Zielinformationenherantasten. Beispiele: Ich bin neu in der Systemverwaltung und mussIhre Anwenderdaten überprüfen. Wie war noch IhreZugangskennung? Und das Passwort? Hier arbeitet doch die Frau Sowieso (Informationaus einem Organigramm aus dem Vorjahr).Arbeitet die hier gar nicht mehr? Hier Meier, PI Garbsen. Ich habe von meinemKollegen den Vorgang wegen des Verkehrsunfalls(dort und dort) übernommen. Ist der Vorgang mitdem Führerschein schon bei Ihnen? Kontakt haltenWenn man die Zielinformationen hat, soll man denKontakt möglichst nicht “verlieren“. Die Kontaktpersondarf nicht merken, dass sie sensibleDaten an einen Social Engineer weitergegebenhat. Gute Kontakte kann man immer wieder verwenden.Der Zugang zu ihm ist leichter, weil man408Sven Vetsch, Social Engineering, 21.01.2006,disenchant.ch; nicht mehr verfügbar.auf die zurückliegenden Kontakte Bezug nehmenkann und die Kommunikation bereits vertraut ist.Der geschickte Angreifer lässt dabei auch immerwieder persönliche Informationen einfließen, dieer bei den früheren Kontakten gesammelt hat. Informationen zusammensetzenDie Teilantworten müssen sinnvoll miteinanderkombiniert werden. Meistens hat man nur nachTeilinformationen gefragt und auch nur solche erhalten.Sie mögen noch so banal erscheinen,können jedoch häufig zu sensiblen Informationenverbunden werden.Der Social Engineer ist ein intellektueller Angreifer.Er muss nicht nur über Einfühlungsvermögenverfügen, sondern auch gebildet sein. Er musssein Handwerk verstehen. Dazu gehören nichtnur Kenntnisse über die Zielorganisation, sondernauch über die Sprach- und Handlungsgewohnheitenihrer Mitarbeiter. Schließlich muss der SocialEngineer die Informationen, die er erhalten hat,bewerten, verbinden und wieder feinfühlig bewertenund hinterfragen.Das ist ein kriminalistisches Vorgehen, das identischmit der Prüfung des Verdachts 409 im Zusammenhangmit Straftaten ist.B.1 5. noch einmal: Security JournalDas Security Journal - SJ 410 - befasst sich mit derheimtückischsten und allgegenwärtigen Bedrohung– dem Social Engineering 411 . McAfee istkein Consulter für die Unternehmensorganisation,sondern ein Anbieter von Sicherheits- und Anti-Malware-Software. Seine Aussage überrascht,weil sie so gar nichts mit dem Vertrieb desUnternehmens zu tun hat.McAfee's Blickrichtung ist jedoch eine andere alsdie von Mitnick oder Veitsch, weil die Studie dietechnischen Angriffsszenen in den Vordergrundstellt und dann erst nach den betrügerischenStrategien fragt, mit denen sie umgesetzt werden.409CF, Verdacht, 2008; CF, Geltung von Beweisen undErfahrungen, 29.11.2009.410McAfee, Security Journal. Social Engineering,05.10.2008411SJ, S. 3
Dieter Kochheim, <strong>Cybercrime</strong> - 67 -Dieser Blick auf das SocEng im weiteren Sinne istgenau richtig, weil wir nach den Bedrohungen imZusammenhang mit der IT fragen und nicht danach,wie man Leute überhaupt betrügen kann 412 .Einen amüsanten Einstieg liefert Hiep Dang, indemer überlieferte Beispiele für das SocEng aus derklassischen Sagenwelt und der Bibel beschreibt 413 .Anschließend zeigt er die Entwicklungen bei derMalware und den Sicherheitstechniken auf.Die Aufsätze im übrigen beschäftigen sich mit denErscheinungsformen und Techniken des SocEng.B.1 5.1 PsychotricksKarthik Raman schildert die medizinischen undpsychologischen Grundlagen für menschliche Entscheidungenund deren Missbrauch 414 .Dazu geht er zunächst auf die Bedeutung emotionalerEntscheidungen ein, die nicht zwangsläufigim Einklang mit rationalen Erwägungen stehen.Unredliche Politiker, Spione und Hochstapler wissennur zu gut, dass sie ihre Ziele sehr effizient erreichenkönnen, wenn sie an Emotionen – insbesonderean die Angst – appellieren, um eine emotionaleReaktion auszulösen. Diese Tradition setzenSocial Engineers nun fort 415 .Raman widmet sich sodann verschiedener Spielartendes SocEng. Viele seiner Beispiele sind vonMitnick übernommen worden, was die Darstellungnicht schmälert. Ihm geht es darum, die bekanntenTechniken auch bekannt zu machen, um sie durchSicherheitskonzepte und Schulungen abzuwehren.412CF, Trickbetrüger, 31.12.2008; CF, Proll-Skimming,18.05.2008.413Hiep Dang, Die Anfänge des Social Engineering, SJ,S. 4414Karthik Raman, Bittet, dann wird euch gegeben, SJ,S. 9415Ebenda, S. 10.Kunden der Nordea Bank erhielten (im Januar2007) eine E-Mail, in der sie gebeten wurden, diedarin angegebene „Anti-Spam“-Software herunterzuladenund zu installieren – und da die Nachrichtallem Anschein nach von ihrer Bank stammte, kamen250 Kunden dieser Aufforderung nach. Beidieser Anti-Spam-Software handelte es sichtatsächlich um einen Trojaner, der Kundendatensammelte, mit denen sich Kriminelle auf derWebsite der Bank anmeldeten und Geld stahlen.Es kam zu einem Schaden von 877.000 Euro.Karthik Raman, SJ, S. 9B.1 5.1.1 Emotionen manipulierenHierbei wird auf universale Gefühle wie Angst,Neugier, Gier und Mitgefühl abgezielt. Das Beispieloben zeigt, wie die Angst instrumentalisiertwerden kann. Die Neugier der Mitmenschen wurdeim April 2007 ausgenutzt, als die Angreifer aufeinem Parkplatz in London USB-Sticks "verloren".Die glücklichen Finder infizierten ihre PCs mitPhishing-Malware (SJ, S. 10).B.1 5.1.2 Fehlgeleitete mentale VerknüpfungenDarunter versteht Raman ein Vorgehen, bei demdie Faustregeln des Alltagslebens (Heuristik)durch kognitive Verzerrungen durcheinander gebrachtwerden. Entscheidungsstützende VerzerrungSie zielt auf Gewohnheiten und Erfahrungen derAnwender. Nachgemachte Webseiten, Spam-Mails, die bekannte Unternehmensinformationenoder Newsletter nachahmen, und Nachrichtenvon angeblich vertrauten Kommunikationspartnernnutzen diese Methode, um das Opfer zurPreisgabe persönlicher Informationen zu bewegen. BestätigungsfehlerAls Beispiel nennt Raman die in vielen Unternehmenübliche Uniformierung von Mitarbeitern. EinAngreifer in derselben oder in einer nachgemachtenUniform wird vom Opfer ohne Nachfrage alsMitarbeiter jenes Unternehmens identifiziert.Eschbach spricht insoweit von der Magie von Visitenkarten.
- Seite 2 und 3:
Dieter Kochheim, Cybercrime - 2 -3
- Seite 4 und 5:
Dieter Kochheim, Cybercrime - 4 -57
- Seite 6:
Dieter Kochheim, Cybercrime - 6 -A.
- Seite 9 und 10:
Dieter Kochheim, Cybercrime - 9 -ve
- Seite 11 und 12:
Dieter Kochheim, Cybercrime - 11 -A
- Seite 13 und 14:
Dieter Kochheim, Cybercrime - 13 -A
- Seite 15 und 16: Dieter Kochheim, Cybercrime - 15 -g
- Seite 17 und 18: Dieter Kochheim, Cybercrime - 17 -V
- Seite 19 und 20: Dieter Kochheim, Cybercrime - 19 -v
- Seite 21 und 22: Dieter Kochheim, Cybercrime - 21 -D
- Seite 23 und 24: Dieter Kochheim, Cybercrime - 23 -l
- Seite 25 und 26: Dieter Kochheim, Cybercrime - 25 -f
- Seite 27 und 28: Dieter Kochheim, Cybercrime - 27 -A
- Seite 29 und 30: Dieter Kochheim, Cybercrime - 29 -D
- Seite 31 und 32: Dieter Kochheim, Cybercrime - 31 -1
- Seite 33 und 34: Dieter Kochheim, Cybercrime - 33 -g
- Seite 35 und 36: Dieter Kochheim, Cybercrime - 35 -i
- Seite 37 und 38: Dieter Kochheim, Cybercrime - 37 -A
- Seite 39 und 40: Dieter Kochheim, Cybercrime - 39 -h
- Seite 41 und 42: Dieter Kochheim, Cybercrime - 41 -r
- Seite 43 und 44: Dieter Kochheim, Cybercrime - 43 -A
- Seite 45 und 46: Dieter Kochheim, Cybercrime - 45 -A
- Seite 47 und 48: Dieter Kochheim, Cybercrime - 47 -A
- Seite 49 und 50: Dieter Kochheim, Cybercrime - 49 -A
- Seite 51 und 52: Dieter Kochheim, Cybercrime - 51 -r
- Seite 53 und 54: Dieter Kochheim, Cybercrime - 53 -
- Seite 55 und 56: Dieter Kochheim, Cybercrime - 55 -A
- Seite 57 und 58: Dieter Kochheim, Cybercrime - 57 -
- Seite 59 und 60: Dieter Kochheim, Cybercrime - 59 -A
- Seite 61 und 62: Dieter Kochheim, Cybercrime - 61 -B
- Seite 63 und 64: Dieter Kochheim, Cybercrime - 63 -B
- Seite 65: Dieter Kochheim, Cybercrime - 65 -V
- Seite 69 und 70: Dieter Kochheim, Cybercrime - 69 -I
- Seite 71 und 72: Dieter Kochheim, Cybercrime - 71 -S
- Seite 73 und 74: Dieter Kochheim, Cybercrime - 73 -B
- Seite 75 und 76: Dieter Kochheim, Cybercrime - 75 -B
- Seite 77 und 78: Dieter Kochheim, Cybercrime - 77 -z
- Seite 79 und 80: Dieter Kochheim, Cybercrime - 79 -B
- Seite 81 und 82: Dieter Kochheim, Cybercrime - 81 -A
- Seite 83 und 84: Dieter Kochheim, Cybercrime - 83 -D
- Seite 85 und 86: Dieter Kochheim, Cybercrime - 85 -a
- Seite 87 und 88: Dieter Kochheim, Cybercrime - 87 -r
- Seite 89 und 90: Dieter Kochheim, Cybercrime - 89 -C
- Seite 91 und 92: Dieter Kochheim, Cybercrime - 91 -C
- Seite 93 und 94: Dieter Kochheim, Cybercrime - 93 -k
- Seite 95 und 96: Dieter Kochheim, Cybercrime - 95 -a
- Seite 97 und 98: Dieter Kochheim, Cybercrime - 97 -s
- Seite 99 und 100: Dieter Kochheim, Cybercrime - 99 -d
- Seite 101 und 102: Dieter Kochheim, Cybercrime - 101 -
- Seite 103 und 104: Dieter Kochheim, Cybercrime - 103 -
- Seite 105 und 106: Dieter Kochheim, Cybercrime - 105 -
- Seite 107 und 108: Dieter Kochheim, Cybercrime - 107 -
- Seite 109 und 110: Dieter Kochheim, Cybercrime - 109 -
- Seite 111 und 112: Dieter Kochheim, Cybercrime - 111 -
- Seite 113 und 114: Dieter Kochheim, Cybercrime - 113 -
- Seite 115 und 116: Dieter Kochheim, Cybercrime - 115 -
- Seite 117 und 118:
Dieter Kochheim, Cybercrime - 117 -
- Seite 119 und 120:
Dieter Kochheim, Cybercrime - 119 -
- Seite 121 und 122:
Dieter Kochheim, Cybercrime - 121 -
- Seite 123 und 124:
Dieter Kochheim, Cybercrime - 123 -
- Seite 125 und 126:
Dieter Kochheim, Cybercrime - 125 -