Social Engineering

Professionelle Phishing-Prävention
Social Engineering

Phishing als Teil der IT-Sicherheit

Eine Phishing-Kampagne wird oft als Teil eines umfangreicheren Auditprojekts durchgeführt, um die Sicherheitsüberprüfung eines Betriebs zu ergänzen und einen vollständigen Überblick über die Unternehmenssicherheit zu geben. Wie in allen Bereichen der IT-Sicherheit ist auch die Sensibilisierung für Social-Engineering ein kontinuierlicher Prozess, der stetig wiederholt, variiert und verbessert werden muss.

Attacken mittels Social-Engineering nehmen wieder zu. Welche Arten von Phishing gibt es, wie erkennt man sie und wie kann man sich davor schützen?

Was ist Phishing?

Via Mail und/oder betrügerischen Webseiten versuchen Angreifer, sich als vertrauenswürdiges Gegenüber auszugeben. Ihr Ziel: Den Opfern sensitive Informationen wie Passwörter, Benutzernamen und Kreditkarteninformationen entlocken. Phishing ist eine Form von Social-Engineering.

Phishing-Arten

  • Phishing im Massenversand: Sehr breitflächig ausgelegte Attacken mit möglichst vielen Empfängern. Die Mailnachricht ist in der Regel sehr unpersönlich formuliert und einfach zu enttarnen.
  • Spear Phishing: Die dedizierte Attacke hat meist eine einzige Person oder einen kleinen Personenkreis zum Ziel. Die Mailnachricht ist hochpersonalisiert. Weil im Vorfeld meist aufwändig recherchiert wurde, ist der Betrugsversuch schwieriger zu enttarnen.
  • Whaling: Eine Spearphishing-Attacke, welche sich gegen hochrangige Firmenmitglieder richtet.
  • Smishing: Phishing via SMS.

Sechs einfache Merkmale, Phishing zu erkennen

  • Der Absender gibt sich als bekannte Firma aus (z. B. „PayPal Customer-Support“)
  • Komprimierte Attachements (z. B. Zip-Dateien)
  • Einschüchterungstaktiken (z. B. „Rechnung überfällig“)
  • Unpersönliche Anreden (z. B. „Wichtige Mitteilung an alle PayPal Kunden“)
  • Manipulierte Links (Link wird als www .paypal.com/login angezeigt, führt aber nach www .hackersite.com)
  • Gefälschte Domainnamen (eine Domain wie www. payppall.com oder www. paypal.customerssupport.com wird verwendet)

Professionelle Phishing-Prävention

Am wichtigsten sind eine effektive Mitarbeiter-Schulung und die üblichen technischen Schutzmechanismen wie Malware-Scanner, Sandbox-Lösungen oder Blockierung bekannter Phishing-IPs. Beim Phishing ist immer der Mensch die Schwachstelle. Er entscheidet, ob er ein E-Mail-Anhang gedankenlos anklickt/öffnet oder löscht.

IT-Dienstleister haben die Problematik des mangelnden Phishing-Bewusstseins erkannt und bieten ganze „Social-Engineering“-Frameworks an. Damit können umfangreiche Kampagnen zum Umgang mit sensitiven Informationen und zur Phishing-Sensibilisierung durchgeführt werden. Teil davon können fingierte Phishing-Attacken sein, um Schwachstelle zu erkennen.

Social-Engineering-Frameworks bieten unter anderen folgenden Funktionalitäten:

  • Erstellung und Versand von Phishing-Mails direkt aus dem Framework (Verwaltung Empfänger, Absender, Mailserver, etc.)
  • Vereinfachte Erstellung und Hosting einer Phishing-Webseite (Einfache Editierung, Klonung existierender Seiten, SSL-Konfiguration, Weiterleitung, vorgefertigte Formulare)
  • Statistische Auswertungen der Kampagnen (Erfolgsquoten, übermittelte „gephishte“ Daten, Anonymisierungs-Möglichkeiten, Geoinformationen, Browser- & Betriebssysteminfos)
  • Versand von Trainingsmaterial im Anschluss an das Phishing (EDU-Video, Online-Quiz, etc.)
  • Generierung und Durchführung von filebasierten Attacken (Makros, Executables, PDFs, uvm)

Bekannte Lösungen sind: Social Engineering Toolkit, Lucy, SpeedPhishing Framework, Phishing Frenzy, GoPhish.

Einsatz von Social-Engineering-Frameworks durch terreActive

Die fingierten Phishing-Kampagnen werden auf die Bedürfnisse des Kunden zugeschnitten. Jedes Unternehmen besitzt ein anderes Bewusstsein und Schwachstellen für eine Bedrohung durch Social-Engineering.

  1. In einem ersten Schritt definiert terreActive den zeitlichen Umfang, die Zielgruppe, das verwendete Medium und die Aggressivität der Phishing-Kampagne.
  2. Die ausgearbeiteten Szenarios werden mit dem Auftraggeber besprochen, in einem Testlauf nochmals überprüft und für den effektiven Einsatz freigegeben.
  3. In der Ausführungsphase verschickt terreActive die Phishing-Nachrichten und erhebt die statistischen Daten über das Verhalten der Zielgruppe.
  4. Nach Abschluss der Durchführung werden die erfassten Daten aufbereitet, Schlussfolgerungen abgeleitet und in einer Abschlusspräsentation dem Auftraggeber vorgestellt. Wichtig: Das Aufzeigen von möglichen Gefahren, eine Sensibilisierung für das Thema Social-Engineering und ein Lerneffekt für die einzelnen Teilnehmer stehen im Zentrum.
Die gezielte Phishing-Attacke im Rahmen der Security-Awareness-Kampagne war für uns alle eine lehrreiche Erfahrung. Dank diesem Beispiel von Social Engineering wissen wir, wie ein Angriff aussehen könnte – und dass wir darauf vorbereitet sind.
Fabio Semadeni
Leiter Services
Bank SLM