“Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, bei Personen bestimmte Verhaltensweisen hervorzurufen, sie zum Beispiel zur Preisgabe von vertraulichen Informationen, zum Kauf eines Produktes oder zur Freigabe von Finanzmitteln zu bewegen.” https://de.wikipedia.org/wiki/Social_Engineering_(Sicherheit)
Die bekannteste und häufigste Variante, um heute an solche Informationen zu gelangen ist eine personalisierte Phishing-Email.
Für solch eine personalisierte Phishing-Email spioniert ein Social Engineer das persönliche Umfeld ihres Opfers aus, täuscht Identitäten vor und erstellt so ein Schattenprofil für die geplante Cyberattacke.
Was sich nach konspirativer, geheimdienstlicher Spionage oder der monatelangen Recherche eines Privatdetektivs anhört ist, in der Praxis eigentlich recht trivial.
Von den meisten Personen lassen sich persönliche Informationen im Internet finden, und die Informationen werden häufig sogar freiwillig in sozialen Netzwerken geteilt.
Noch einfacher für Social Engineering ist eigentlich nur eine Bahnfahrt im ICE…
Eine 4,5 stündige Bahnfahrt von Köln nach Berlin dauert z.B. von Tür zu Tür etwa eine Stunde länger als die Reise mit dem Flugzeug (und ist leider auch teurer), doch die Bahnfahrt hat einen entscheidenden Vorteil: Man hat 4,5 Stunden ungestört Zeit seinen Email-Backlog abzuarbeiten, Präsentationen zurecht zu feilen, lange liegengebliebene Dokumente fertigzustellen oder lästige Verwaltungsarbeit wie Reiseberichte oder Meeting-Protokolle zu erledigen.
Als Beobachter hingegen hat man genügend Zeit und Möglichkeiten auch ganz ohne technische Hilfsmittel interessante Informationen über seine Mitreisenden zu erhalten.
Ein Erfahrungsbericht.
Nachdem wir den Rhein überquert und es sich alle Fahrgäste bequem gemacht haben, fallen mir gleich drei potentielle Kandidaten für das Social Engineering Experiment ins Auge. Direkt vor mir saßen zwei Maschinenbauer, die auf ihrem Laptops Tabellen voller Messergebnisse betrachteten und die Ergebnisse leise diskutieren, ein Mitvierziger auf dem Viererplatz schräg vor mir, der eine Präsentation bearbeitete und auf dem reservierten Platz neben mir eine Frau, etwa Mitte dreißig, die bereits seit der Abfahrt des Zuges energisch auf ihrem Laptop herumtippte.
Kein Displayschutz
Keiner der Kandidaten nutzt einen Displayschutz, so dass ich besten Blick auf ihre Bildschirme habe. Bei der Frau neben mir am Fensterplatz kann ich am einfachsten auf den Screen schauen, in dem ich nur beiläufig aus dem Fenster schaute. Die elektronische Sitzplatzanzeige zeigt mir, dass auch Sie bis nach Berlin reist und ich volle 4.5 Stunden Zeit habe, einiges über Sie und ihren Arbeitgeber in Erfahrung zu bringen. Und das wahrscheinlich sogar, ohne mit ihr nur ein einziges Wort zu wechseln.
Ihr Lenovo Thinkpad ist eines dieser typischen schwarzen und schlichten Arbeitsmaschinen, die Unternehmen gerne als Standardgerät ihren Mitarbeitern zur Verfügung stellen. Sie beherrscht Schreibmaschinenschrift mit allen zehn Fingern, hat die Kopfhörer im Ohr und scheint ganz konzentriert ihrer Arbeit nachzugehen.
Business Lösungen von Microsoft
Ich kann nach kurzer Zeit sehen, dass ihr Arbeitgeber auf die Business Lösungen von Microsoft setzt, erkenne Office 365 wieder, die neue Teams Oberfläche und auch die Maske von Dynamics, dem CRM von Microsoft.
Jedes Mal wenn Sie eine neue Email bekommt, sehe ich rechts oben die Benachrichtigungen dazu kurz aufpoppen, inklusive der Betreffzeile und den Namen des Absenders.
Chat und Emails
Sie arbeitet zunächst daran, Kundendaten und entsprechende Notizen im CRM anzulegen und so kann ich sehen, welche Notizen Sie für mindestens drei Ihrer Kunden anlegt bzw. bearbeitet. Hin-und wieder schreibt und beantwortet Sie auch Emails oder chattet über den Teams-Chat mit ihren Kollegen.
Kurz vor Hamm scheint die Arbeit im CRM beendet zu sein und Sie wechselt in eine bekannte Projektmanagement-Software, wo Sie ein Konzept und das Ablaufdiagramm für einen Webshop aus dem Bereich Mode für einen der Kunden anfertigt. Den Namen des Kunden kommt mir inzwischen bekannt vor – es ist einer der Namen, den sie im CRM zuvor bearbeitet hat.
Firmen-Sticker auf dem Laptop
Kurz vor Bielefeld klappt Sie ihren Laptop zu, um ins Bord-Restaurant zu gehen. Sie bittet mich, einen Blick auf Ihren Sachen zu werfen, so lange Sie fort ist. Es waren die erste Konversation nach einen kurzen „Guten Tag“ zu Beginn der Reise.
Auf dem Laptopgehäuse kann ich nun einen Sticker ihres Arbeitgebers sehen. Es ist indirekt die Bestätigung, denn ich hatte bereits aus ihren Emails erste Hinweise darauf.
Sie arbeitet für ein Unternehmen, dass auf professionelle Software-Entwicklung spezialisiert ist und wo auch einer meiner XING-Kontakte tätig war.
Soziale Netzwerke
Neugierig gebe ich den Namen des Unternehmens bei XING ein. Ich muss nicht einmal mehr die letzten beiden Buchstaben des Unternehmens eingeben, denn ich sehe bereits in der Vorschau den Namen und die Position meiner Sitznachbarin in den Suchergebnissen auftauchen. Sie ist Head of Business Development. Ich schaue mir anonym ihr Profil dort an und finde neben ihrer Email-Adresse auch direkt die Mobilfunknummer.
In ihren Kontakten schaue ich nach dem Namen, den sie zuvor im CRM eingegeben hat. Wieder ein Treffer.
Kurz vor Hannover kommt Sie wieder zurück an Ihren Platz, klappt den Computer wieder auf, öffnet den Chrome-Browser und ruft das Gmail-Interface auf. Ihre private Email-Adresse kannte ich nun auch. Sie öffnet Facebook, und ruft von dort aus ein paar Nachrichten-Seiten auf, u.a. die Bunte, den Kölner Stadt-Anzeiger und Die Zeit.
Hobbies und Instagram
Bei Facebook habe ich Sie ebenfalls schnell gefunden, jedoch ist das Profil hier auf Privat geschaltet, so dass ich außer dem Profilbild wenig in Erfahrung bringen kann, bei Instagram sieht es besser aus. Ein paar Familienfotos mit Mann und Kleinkind, sie beim Volleyballspielen, Bilder aus Florenz, am Strand, ein paar fotografierte Mahlzeiten.
Währenddessen poppt auch die Update-Benachrichtigung des Antiviren-Herstellers auf.
Ich kann in der Zeit auch noch die Icons von etwa zehn weiteren installierten Programmen und Browser-Plugins erkennen. Ein Adblocker ist übrigens nicht dabei. Wenig später kramt Sie noch ihr Samsung Telefon hervor. Es ist ihr privates, denn im Hintergrund sehe ich wieder ein Familienfoto. Und stellt die Arbeit ein, um weiter Musik auf Spotify zu hören. Durch die Kopfhörer höre ich ein Lied von Mark Foster und sie schreibt Whatsapp Nachrichten.
Alle Informationen für eine Spear Phishing Attacke
Längst habe ich viel mehr Informationen zusammen, die ich für eine Spear-Phishing Attacke mittels Social Engineering benötigen würde.
Ihre Email-Adresse, den Namen ihres Unternehmens und einiger Kunden, das Antivirenprogramm, dessen Spam-Filter ebenfalls genutzt wird und auch den Mail-Client. Ich weiß, dass Sie Microsoft-Produkte nutzt, an welchem Projekt Sie aktuell arbeitet, kenne Ihre Xing-Kontakte, ihre private Email-Adresse und habe auch ihren Facebook-Feed sowie ihren Instagram Account gesehen. Ich weiß, dass Sie gerne reist, ein Kind hat, Volleyball spielt, Mark Foster mag, ein Samsung-Telefon mit Android nutzt und sich für Stars und Sternchen interessiert.
Mark Foster und Volleyball
Genug Informationen, um eine Business Development Managerin dazu zu bringen, unbewusst auf einen manipulierten Link oder eine Email-Anhang zu klicken. Und das ganze zum Preis von 29.- EUR, den Kosten meiner Bahnfahrt.
Kontaktaufnahme und Entschuldigung
Etwa 100 KM vor Berlin, nach Überqueren der Elbe, funktioniert das Internet im ICE nur noch sporadisch, die mangelhafte Netzabdeckung lässt grüßen, hört auch Sie auf zu arbeiten.
Ich spreche Sie darauf an, und ihr ist tatsächlich nicht aufgefallen, dass ich mehrmals auf ihrem Laptop geschaut habe.
Ich erkläre ihr, was ich beruflich mache und wie einfach es war, all diese Informationen über Sie zu sammeln – und entschuldige mich selbstverständlich für meine „Neugier“. Wir haben uns dann bis Berlin freundlich unterhalten und uns über IT-Sicherheit, gemeinsame Kontakte und Restaurant-Tipps in Berlin ausgetauscht.
In Berlin verabschieden wir uns und Sie verspricht, sich schnellstens bei Ihrer IT um einen Display-Schutz für ihren Laptop zu kümmern.
Die Maschinenbauer und der Mitvierziger
Die beiden Maschinenbauer haben die meiste Zeit der Fahrt übrigens Videos geschaut, und der Endvierziger an dem Vierertisch schräg vor, der für eine Umweltorganisation arbeitet, verbrachte die meiste Zeit damit auf seinem etwas älterem MacBook Dokumente zum Thema Windenergie zu lesen.
Weitere Tipps zur Sicherheit beim mobilen Arbeiten findet ihr in unserem Blogbeitrag aus dem Januar: https://botfrei.de/sicherer-mobiler-arbeitsplatz-und-sichere-kommunikation/