Es war mal wieder ein Dienstag… Ich stand unweit des Einganges zum Gebäude eines namenhaften deutschen Finanzinstituts und wartete geduldig. Eine Gruppe von Anzugträgern betrat hastig das Gebäude. Ich lief hinterher, habe kurz meine Hand gehoben, die noch den heißen Kaffee hielt, um zu signalisieren, dass ich ebenfalls gerne das Gebäude betreten würde, in der anderen Hand der Aktenkoffer. Höflich wie man war, hielt man mir noch die Tür auf, ich bedanke mich. Ich trug ebenfalls einen Anzug. Demzufolge *musste* ich auch einer von den Bänkern sein. Im Fahrtstuhl starrten alle still die Tür an. Ich wartete, bis sich der Fahrstuhl geleert hatte, um dann eine Etage höher ebenfalls auszusteigen. Innerlich sagte ich bereits zu mir selbst: „I’m in!“ 😎Voller Stolz verfasste ich wenige Tage später den Bericht! Mittels eines „Tailgaiting“-Angriffes war es mir gelungen Zutritt zum Gebäude zu erlangen. Ich gebe den genauen Ort und Uhrzeit des Geschehens an, nur den Namen des Mitarbeitenden, der mir die Tür aufgehalten hat, weiß ich nicht. Wir haben uns nicht einander vorgestellt.
Die teuer bezahlte Erkenntnis bei Social Engineering Angriffen?
So oder so ähnlich stellt sich manch einer Social Engineering Angriffe vor, die Geschichte ist auch quasi filmreif. Und zweifelsfrei wird Tailgaiting von bösen Akteuren betrieben. Doch was haben Sie als Kunde davon, wenn wir ebenfalls so einen „Angriff“ durchführen und Ihnen später berichten „Jo, hat geklappt!👍“? Dass es klappt, hätten wir Ihnen auch vorher sagen können und das ganz ohne Hollywood-mäßiger Schauspielerei. Wir müssen nicht einmal bei Ihnen vor Ort sein, um Ihnen sagen zu können, dass Tailgaiting funktioniert, vermutlich auch bei Ihnen. Ausnahme ist natürlich ein Zutrittsbereich mit einer technischen Lösung, der eben jene Angriffe verhindert. Beispielsweise eine Schleuse, durch die jeder nacheinander passieren darf, nachdem er sich mit einem Chip an einem Lesegerät authentisiert hat.
„Aber wieso eigentlich? Schließlich haben unsere Mitarbeiter bei Ihrer Einarbeitung eine Schulung besucht, in der sie unterrichtet wurden, dass unautorisiertes Personal das Gebäude nicht betreten darf!“
Nun ja, es gibt viele Faktoren, die dafür sorgen können, dass Regeln nicht eingehalten werden. Der Kollege, der seit 10 Jahren bei Ihnen dabei ist, wird sich daran wahrscheinlich nicht mehr erinnern, der Kollege, der seit einem Jahr dabei ist, hat vielleicht nicht aufgepasst. Eine Kollegin hat gerade in dem Moment ein wichtiges Telefonat mit ihrer Vorgesetzten geführt und war dadurch abgelenkt. Eine andere Kollegin wurde den Tag zuvor von ihrer Partnerin verlassen, ist dementsprechend schlecht gelaunt und kann deswegen nicht „performen“. Es kann auch eine Kombination aus all diesen Faktoren sein.
Was wäre also die teuer bezahlte Erkenntnis? Jeder hat mal einen schlechten Tag, jeder macht Fehler, und das ist menschlich. Wir sind ja keine unfehlbaren Roboter. 🙂 Im Umkehrschluss bedeutet das auch, dass ein nicht erfolgreicher Angriff Ihnen ein falsches Gefühl von Sicherheit gibt! Schließlich ist es nicht einmal den Sicherheitsexperten gelungen den Faktor Mensch zu überwinden.
Wir möchten auch, ehrlich gesagt, nicht dafür verantwortlich sein, dass Sie eventuell den Mitarbeitenden, der uns die Tür aufgehalten hat, eindeutig identifizieren können und daraufhin feuern. Wie gesagt, jeder hat mal einen schlechten Tag. Vielleicht hat es heute nicht geklappt, vielleicht klappt es aber morgen! Da sind die Umstände schon ganz anders, andere Kollegen, anderes Wetter. Alles Dinge, auf die wir als Dienstleister und Sie als Kunde keinen Einfluss haben.Auch der „Telefonstreich“ fällt unter die Kategorie von Social Engineering Angriffen, die wir als nicht sinnvoll erachten. Hierbei ist wieder nur eine einzige Person, die dem Angriff zum Opfer fällt. Wir rufen an, geben uns als Dienstleister XYZ aus und benötigen *dringend* die höchst sensible Information. Ihr Vorgesetzter ist selbstverständlich informiert und wäre im Falle einer Nicht-Kooperation seeeeeeeeehr enttäuscht, wenn nicht gar erbost. Jetzt kann es passieren, dass die Person am Ende der Leitung uns den Vogel zeigt (zumindest gedanklich) und auflegt, oder es kann auch sein, dass wir den neuen Mitarbeiter erwischt haben, der den neuen Chef nicht im Stich lassen will und schnell uns die ersehnte Info liefert.
Auch hier können Sie mit recht großer Gewissheit das „Opfer“ genau identifizieren und „Konsequenzen“ androhen. Nur ein wirklicher Mehrwert aus unserem Bericht fehlt immer noch. Er geht sogar gegen Null.
Was fehlt dann? Und was machen wir bei unseren Social Engineering Kampagnen anders?
Die Empirie. Wir möchten feststellen, inwieweit Ihre Mitarbeiter für Social Engineering bereits sensibilisiert sind. Dabei schauen wir nicht auf einzelne Fehler, sondern wollen möglichst viele abdecken. Von der Putzfachkraft bis zur Abteilungsleitung. Bei letzterem wäre auch die Auswirkung eines erfolgreichen Angriffes aller Voraussicht nach wesentlich schwerwiegender. 😉
Für uns haben sich zwei Möglichkeiten als effektiv bewährt: so genannte Spear-Phishing Angriffe und Rogue USBs. Diese beiden Vorgehen bezeichnen wir als Kampagnen.
Spear-Phishing Kampagne
Jeder, der E-Mails nutzt, hat sie schon mal bekommen, die Spam-Mails, die uns „eine gute Zeit mit einer weiteren Person“ oder auch Potenzmittel verkaufen möchten. Diese sind meist schlecht formuliert, besitzen etliche Rechtschreibfehler und sind leicht zu erkennen. Sie setzen eher auf Masse, statt auf Klasse. Wenn auch nur 1% der insgesamt 1.000.000 Empfänger mit der E-Mail interagieren, sind das immer noch 10.000 potentielle Opfer, und wenn von diesen potentiellen Opfern auch nur 1% tatsächlich „das Produkt“ erwirbt, sind das immer noch 100 tatsächliche Opfer. Das Geschäft rechnet sich!
Wir hingegen geben uns Mühe, die E-Mail möglichst glaubhaft zu formulieren. In der Vorbereitungsphase stimmen wir uns intensiv mit dem Auftraggeber ab, wie die Texte formuliert sein sollen. Als Mindestmaß soll der Empfänger persönlich angesprochen werden, es sollen keine Rechtschreibfehler vorhanden sein und es sollen keine Produkte verkauft werden. Ziel ist das Abgreifen von möglichst vielen Anmeldedaten des Opfers. Das wird mittels einer Webseite umgesetzt, die den Internetauftritt des Auftraggebers imitiert. Diese wird von uns entwickelt und auf unseren Servern gehostet. Sie müssen sich also keine Sorgen machen, dass Ihre Daten auf irgendwelchen fremden Servern ihr Dasein fristen.
Der wesentliche Unterschied zwischen einem Spear-Phishing Angriff und gewöhnlichen Spam E-Mails ist also, dass der Empfänger explizit angegriffen wird, und man nicht versucht eine möglichst breite Masse zu erreichen. Unserer Erfahrung nach ist so ein Angriff auch wesentlich ertragreicher, als einfach drauf losmailen.
Rogue USB-Sticks Kampagne
Bei den Rogue USB-Sticks bereiten wir USB-Sticks vor, die so aussehen könnten, als wären sie vom Auftraggebenden erstellt worden (Firmenfarbe, Firmenlogo etc.). Diese werden am Standort des Auftraggebenden verteilt. Ziel ist es herauszufinden, wer gefundene USB-Sticks achtlos am Arbeitsgerät anschließt (übrigens: wird der Anschluss außer für periphere Geräte überhaupt benötigt und wenn nicht, kann man den vielleicht deaktivieren? 😉). Beim Anschließen des USB-Sticks findet der Benutzende mehrere ausführbare Dateien, die als Bild-, PDF- oder Office-Dateien maskiert sind. Beim Doppelklick einer beliebigen Datei funkt der USB-Stick kurz an uns mit der Nachricht „Ich wurde angeschlossen!“. Das setzt natürlich voraus, dass bei Ihnen kein Application Whitelisting im Einsatz ist, was das Ausführen von unbekannten Programmen und damit den Angriff komplett verhindern würde. Falls Sie sich mit diesem Thema noch nicht auseinandergesetzt haben, empfehlen wir Ihnen auch mal unseren Blogbeitrag über Windows eigenen AppLocker zu lesen.
Relevante Ergebnisse
In beiden Fällen erhalten Sie einen Ergebnisbericht mit einer statistischen Auswertung.
Bei der Spear-Phishing Kampagne können Sie den prozentualen Teil der „Teilnehmenden“ sehen, die beispielsweise den in der Phishing E-Mail enthaltenen Link angeklickt haben, wer sich auf der Zielseite angemeldet und auch wer zusätzliche Anmeldedaten abgespeichert hat. Sie können auch sehen, wie die E-Mails formuliert waren und wie die Zielseite, auf die die Teilnehmenden gelockt wurden, ausgesehen hat und welche Funktionen implementiert waren. Nur die Liste der „Teilnehmenden“, die dem Angriff tatsächlich zum Opfer gefallen sind, können Sie nicht sehen, aus Datenschutzgründen natürlich.
Bei der USB-Stick Kampagne können Sie sehen, welcher Anteil der USB-Sticks an einem internetfähigen PC angeschlossen wurde und die vorhandenen (allesamt unschädlichen) Dateien angeklickt wurden und ob der PC tatsächlich ein Arbeits-PC war oder ob jemand vielleicht neugierig war, aber den Stick nicht am Arbeitsgerät angeschlossen hat.
Gleichzeitig sensibilisieren wir auch alle Teilnehmenden der Kampagne für Social Engineering Angriffe. Wir erläutern die Auswirkungen, die ein tatsächlicher Angriff haben könnte und stehen beratend zur Seite, falls Fragen noch offen sein sollten.
Sie sollten am Ende der Kampagne wissen, wie anfällig Ihre Mitarbeitenden als Ganzes für Angriffe zum Zeitpunkt der Kampagne waren, Ihre Mitarbeitenden dagegen haben direkt an einer „Sensibilisierung“ teilgenommen. Wichtig ist, dass unsere Kampagnen keine Tests sind, bei dem die Teilnehmenden bestehen oder nicht bestehen können. Es geht darum das Bewusstsein zu stärken.
Alle E-Mails, die man erhält, sind es wert ein zweites Mal angesehen zu werden und sich zu fragen „Ergibt das Sinn?“. Ist der Sender genau der, für den er sich ausgibt? Oder ist das doch kunbe.de statt kunde.de? Ist es wirklich schlau einen herumliegenden USB-Stick an einem Arbeitsgerät anzuschließen (an der Stelle gilt das natürlich auch für private Geräte)? Wenn man wirklich neugierig ist (wie ich), dann nimmt man ein dediziertes Gerät, auf dem sich keine geschäftlichen oder privaten Daten befinden, sondern Forensikwerkzeuge. Im schlimmsten Fall sollte man damit rechnen, dass das Gerät im Anschluss Schrott ist, aber das Thema ist einen eigenen Blogeintrag wert.
Sie haben Interesse an unseren Kampagnen? Sprechen Sie uns gerne an.