CYBERCRIME – Die Psychofallen der Hacker
Social Engineering nutzt menschliche Schwächen aus
Der Begriff Social Engineering klingt erst mal so gar nicht böse. Aber aufgepasst: Ein Social Engineer ist eine Person, die sich bestens mit den menschlichen Schwächen seiner Opfer auskennt und diese durch gezielte Manipulation ausnutzt. Social Engineering ist allerdings keine Erfindung des digitalen Zeitalters. Die Masche funktionierte schon immer.
Der Amerikaner Frank Abagnale, dessen Leben in dem Film „Catch me if you can“ mit Leonardo DiCaprio verfilmt wurde, gab sich in den 60er Jahren als Pilot und Arzt aus, obwohl er nie eine Ausbildung in diesen Berufen absolvierte. Seine Tarnung und Wirkung auf Menschen waren so beeindruckend, dass es ihm problemlos gelang, gefälschte Schecks einzulösen und bei Banken Kredite zu bekommen, um sein kostspieliges Leben zu finanzieren. Ein Beispiel aus der Neuzeit ist Anna Sorokin, die sich als deutsche Erbin und Multimillionärin Anna Delvey ausgab und die New Yorker High Society an der Nase herumführte. In der elitären Gesellschaft erschlich sie sich Leistungen im Wert von über 200.000 Dollar. Auch sie fälschte Schecks und legte Banken gefälschte Unterlagen vor, um Millionenkredite abzusichern. Wieso funktioniert das so einfach?
Die perfekte Illusion schafft Vertrauen
Die Art wie wir denken und fühlen macht uns angreifbar. Menschliche Manipulation funktioniert aufgrund der grundlegenden Muster unserer Psyche. Das Bedürfnis nach Vertrauen und Zugehörigkeit, Hilfsbereitschaft sowie Respekt vor Autoritäten und unsere Neugier nutzen Cyberkriminelle immer raffinierter aus. Jede Mitarbeiterin und jeder Mitarbeiter eines Unternehmens kann als potenzieller Türöffner dienen, um an Passwörter, Kontakte, sensible Informationen wie Bank- und Kreditkartendaten, geheimes Wissen und Geld zu kommen. Hacker suchen sich ihre Opfer immer gezielter aus, besonders stehen Personen in Schlüsselfunktionen im Unternehmen, z. B. mit finanzieller Verantwortung oder bestimmtem Wissen, im Fokus der Angreifer.
Das zeigt sich am Spearphishing, der Evolution des Phishings. Hier hat der Hacker vorher gründlich über die konkrete Zielperson recherchiert und sich z. B. an den vielen Infos in den sozialen Netzwerken bedient. Oder er hat noch tiefer in die Trickkiste gegriffen und über einen durch Spoofing fingierten Telefonanruf bei der Zielperson Informationen abgefragt und sich dabei als Kollege ausgegeben. Die Zielperson schöpft keinen Verdacht, da ihr eine firmeninterne Telefonnummer angezeigt wird, was übrigens auch bei SMS funktioniert. Jetzt geht der Hacker zum Angriff über. Die Zielperson, z. B. ein Sachbearbeiter aus der Buchhaltung, erhält eine perfekt imitierte E-Mail mit persönlicher Anrede und firmeninterner E-Mailadresse, natürlich auch gespooft z. B direkt vom Chef persönlich, und wird darin angewiesen, Geld auf das Konto des Kriminellen zu überweisen. Er schöpft keinen Verdacht, da Überweisungen zu seiner Tagesroutine gehören, oder die anweisende Person eine entsprechende Position im Unternehmen hat und die Zielperson sich aus Angst vor Konsequenzen nicht traut, die Anweisung zu hinterfragen oder zu ignorieren. Jackpot!
Wie real die Bedrohung durch Spearphishing ist, zeigt ein prominentestes Beispiel aus jüngster Zeit. Der E-Mail-Virus Emotet verbreitete sich über gefälschte Rechnungen im Anhang von E-Mails, in denen Scripte hinterlegt waren. Einmal bei einer unvorsichtigen Person installiert, durchsuchte Malware im Emotet-Paket den Outlook Posteingang nach üblichen Kontakten und Themen. Daraufhin wurden automatisiert angepasste Mails an die Kontakte gesendet, um wiederum deren Rechner zu verseuchen.
Wirtschaftskriminalität durch IT-Angriffe ist ein lukratives Geschäft
So langsam macht sich Panik angesichts der jüngsten Ereignisse breit. Ende Juli gelang es einer Informatikerin aus Seattle, die Großbank Capital One zu hacken und die Bankdaten von 140.000 Kunden abzugreifen. Man braucht nicht viel Fantasie, um sich vorzustellen, was man mit gestohlenen Kreditkartendaten und Sozialversicherungsnummern alles anstellen kann. Sogar die Erpressung von Lösegeld ist denkbar. Den Schaden schätzt Captial One auf 100 bis 150 Millionen US-Dollar, vor allem für Rechtskosten, Benachrichtigungen von Kunden und die Umstellung der Technik.
Laut des Lageberichts des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur IT-Sicherheit in Deutschland gelten sogenannte Advanced Persistent Threats (ATP) im Zusammenhang mit Ransomware als größte Angriffsvektoren. Häufig gelangen ATP-Angreifer über das bereits beschriebene Spearphishing mit legalen Mitteln ins Firmennetzwerk, um Ransomware einzuschleusen – eine Erpressungssoftware, welche die Infrastruktur verschlüsselt und erst nach Zahlung von Lösegeld wieder freigeben soll. Das ist allerdings auch nicht garantiert, denn nicht umsonst widmet das BSI diesem Thema eine ganze Rubrik auf seiner Webseite mit Analysen, Tipps und Informationen. Erst im Juli legte ein Ransomeware-Angriff mehrere Krankenhäuser im Südwesten Deutschlands lahm. Die Systeme mussten komplett heruntergefahren werden, um die Verschlüsselung der Daten und Server zu stoppen. Glücklicherweise ist niemand körperlich zu Schaden gekommen, der finanzielle Schaden ist jedoch immens.
In die kriminellen Hände der Hacker spielt die steigende Tendenz der erpressten Unternehmen, das Lösegeld zu zahlen, meistens in Bitcoin. Die Kosten für IT-Sicherheitsspezialisten oder die Investition in neueste Sicherheitssysteme liegen hingegen häufig wesentlich höher.
Security Awareness ist die beste Verteidigung
Das Thema IT-Security ist komplex und kann nur ganzheitlich gelöst werden. Die beste Sicherheitstechnik ist obsolet, wenn gar nicht oder schlecht geschulte Mitarbeiterinnen und Mitarbeiter die größte Sicherheitslücke darstellen. Security Awareness ist die menschliche Firewall gegen Cyberkriminalität. Mike Rakowski, Leiter der Business Unit Security bei der ALSO, sieht in der Mitarbeiterschulung einen wichtigen präventiven Ansatz: „Wir werden häufig nach Passwort-Management-Lösungen oder Anti-Phishing-Lösungen gefragt, aber die technischen Abwehrmöglichkeiten bieten nur im Zusammenspiel mit gut geschulten und sensibilisierten Mitarbeitern ausreichenden Präventivschutz. Da sowohl Schulung als auch Software und Szenarien exakt auf das Zielpublikum abgestimmt sein sollten, um einen maximalen Lerneffekt zu erzielen, haben wir mit den ALSO Security Escape Rooms eine erlebnisorientiertes Schulungskonzept geschaffen, dass außerdem noch eine Menge Spaß macht. Denn leider stellen unmotivierte Mitarbeiter auch ein Sicherheitsrisiko dar.“
Dass dem tatsächlich so ist, belegt die Spezialstudie der Bitkom aus 2018: Rund zwei Drittel (63 %) der insgesamt 343 von Datendiebstahl, Industriespionage oder Sabotage betroffenen Unternehmen gab an, durch ehemalige oder derzeitige Mitarbeiter geschädigt worden seien. 48 % der betroffenen Unternehmen vermuteten die Täter unter Kunden, Lieferanten und externen Dienstleistern bzw. Mitbewerbern. Ein kritischer Blick auf dieses Umfeld lohnt. Die regelmäßige Schulung und Sensibilisierung der Mitarbeiter dagegen ist alternativlos und kann Schäden durch „Innentäter“ verhüten. Deshalb sind Ausgaben für Sicherheit auch keine unnötigen Zusatzausgaben, sondern eine Investition in die Zukunftsfähigkeit.
ALSO Security Escape Room – Auf der Jagd nach den Sicherheitslücken
Escape Rooms oder Live Escape Games verbinden Unterhaltung und Teamplay. Genau der richtige Ansatz für die ALSO, um Mitarbeiterteams im eigens entwickelten Security Escape Room auf die Suche nach den Sicherheitslücken zu schicken. Auf der diesjährigen CTV gab es für Messebesucher bereits die Möglichkeit, die eigenen Security Awareness zu testen und in die Rolle des Hackers zu schlüpfen. Die Idee wurde mittlerweile zum Schulungskonzept für IT-Sicherheit in Unternehmen weiterentwickelt und bietet gegenüber den herkömmlichen Schulungsmethoden wesentliche Vorteile.
Manche Unternehmen setzen auf kostengünstige Phishing-Simulatoren, welche auf die Person abgestimmte Fake-E-Mails erzeugt. Klickt eine Person auf einen Link in der E-Mail, wird sie auf ein Schulungsvideo weitergeleitet. Außerdem muss die Person damit rechnen, dass der Vorgesetzte oder der IT-Sicherheitsbeauftragte darüber informiert wird und daraufhin das Gespräch suchen kann. Nicht sonderlich motivierend. Auch ein klassisches Classroom-Training mit einem Trainer vor Ort ist eine Möglichkeit. Aufgrund des Personalaufwandes wird dieser Weg häufig nur auf Geschäftsführer bezogen und damit die IT-Sicherheit auf „spezielle“ Ziele im Unternehmen angewandt. Da diese Personen meistens in der Öffentlichkeit stehen, sind sie für Hacker ein beliebter Startpunkt für den Weg in das Unternehmen. So wird in Fallbeispielen das Vorgehen Krimineller aufgezeigt, um zu verstehen, wann man misstrauisch werden sollte. Die meisten Mitarbeiter bleiben hier allerdings häufig außen vor.
Dagegen sorgt das spielerische Lernen durch Selbsterfahrung gemeinsam im Team im ALSO Security Escape Room für mächtig Lerneffekt und Motivation. In vorgefertigten Szenarien wird den Teams mit bis zu vier Teilnehmern eine Aufgabe gestellt, welche nur durch Ausnutzung von üblichen “Sicherheitslücken” gelöst werden kann. Dies soll zum einen das gemeinsame Überlegen stärken und zum anderen auf simple Dinge hinweisen, die wir im alltäglichen Leben vielleicht nicht wahrnehmen.
Wir wollen nicht zu viel verraten, aber auch das Thema Social Media kann sehr viel über eine Person, deren Vorlieben und Daten und vielleicht auch über das Passwort für den Arbeits-PC verraten. Und somit ist der erste Schritt für den Hacker schon getan. Die Selbstreflektion bringt die Erkenntnis:
Benutze ich Passwörter auch mehrmals für verschiedene Dienste? Wo legen ich meine schwer zu merkenden Passwörter ab? So gelangen die Teilnehmer Schritt für Schritt ans Ziel. Natürlich wird das Szenario der jeweiligen Zielgruppe angepasst. So wird niemand über- oder unterfordert. Eins ist sicher: Niemand verlässt den ALSO Security Escape Room ohne etwas Neues über sein eigenes Verhalten und die Psychostrategien der Hacker gelernt zu haben.
Start the Security Experience
Der ALSO Security Escape Room kann für Veranstaltungen, internen Schulungen usw. gemietet werden. Im Paket sind alle vorgefertigten Systeme, die Betreuung durch einen unserer Consultants sowie die Reisekosten und Spesen enthalten. Ihre Anfragen können Sie gerne jederzeit an senden sowie das Team unter 02921 99 2333 erreichen. Wir freuen uns auf Ihre Anfrage!
- Ein redaktioneller Beitrag für Ausgabe 03/2019 der ALSO POINT