Social Engineering bedroht Unternehmen
Social Media: Stairway to Malware
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Foto: STILLFX - Thomas Bethge - shutterstock.com
Auf FacebookFacebook, LinkedInLinkedIn, XingXing oder TwitterTwitter teilen Menschen jede Menge Informationen, die auf den ersten Blick unbedenklich weil trivial scheinen. Doch genau auf diese Infos haben es kriminelle Hacker abgesehen - sind sie doch perfektes "Material", um (Spear-)Phishing-Kampagnen zu starten. Alles zu Facebook auf CIO.de Alles zu LinkedIn auf CIO.de Alles zu Twitter auf CIO.de Alles zu XING auf CIO.de
Eine aktuelle Studie des Cloud-Security-Providers Nopsec zum Thema Vulnerability Risk Management kommt zu dem Schluss, dass Unternehmen inadäquate Scoring-Systeme verwenden. Der Grund: Risk-Evaluation-Systeme wie das Common Vulnerability Scoring System (CVSS) vernachlässigen Social-Media-Plattformen bisher in aller Regel.
"Social Media verspricht die große Beute"
"Die Nutzung von Social Media ist deutlich gestiegen", analysiert Steve Durbin, Managing Director bei Information Security Forum. "Sobald jemand ein Profil auf einer Seite wie LinkedIn, Twitter oder Facebook besitzt, geht er fast schon selbstverständlich davon aus, dass die Interaktion mit anderen Nutzern keinerlei Risiko darstellt. Auf psychologischer Ebene ist damit jede Abwehrhaltung bereits Geschichte."
Das hat dazu geführt, dass professionelle Hacker und sonstige Cyber-Grobiane die Social-Media-Plattformen zunehmend zur Verbreitung von MalwareMalware über Social-Engineering-Taktiken nutzen, wie der Experte erklärt: "Vom Standpunkt eines Hackers aus gesehen, verspricht Social Media die große Beute: Es ist eine Umgebung, in der die meisten Menschen naturgemäß unvorsichtig sind und am ehesten bereit, mit unbekannten Dritten zu kommunizieren. Eine großartige Gelegenheit also, Informationen aller Art für Spear-Phishing-Zwecke zu sammeln." Alles zu Malware auf CIO.de
Insbesondere Twitter ist laut der Nopsec-Untersuchung auf dem Weg zu einer der Top-Plattformen für Security-Forscher und Hacker gleichermaßen, wenn es um die Verbreitung von Proof-of-Concept-Exploits geht. Über Schwachstellen, die mit aktiver Malware in Verbindung stehen, wird demnach neun Mal öfter getweetet als über solche mit Public Exploit und 18 mal öfter als über alle restlichen Schwachstellen.
Dabei dienen Social-Media-Plattformen nicht nur als Gateway für Malware, sondern auch als Lockmittel. Denn diese Plattformen bilden Angriffsvektoren die außerhalb der End Point Security liegen. Es liegt also nahe, dass Unternehmen, die sich ausschließlich auf CVSS verlassen, Schwierigkeiten bekommen, Risiken zu priorisieren. Nopsec empfiehlt, Risk-Evaluation-Systeme wie CVSS mit anderen Faktoren zu kombinieren - etwa einer Social-Media-Trendanalyse und Data Feeds. So werde eine bessere Risikoeinschätzung und -Priorisierung gewährleistet.
- Social Engineering bekämpfen
Die Gefahren durch Social Engineering treffen sogar erfahrene IT-Profis. Auch wenn es keine Standard-Gegenmittel gibt, geht es in erster Linie darum, die Methoden der Angreifer zu verstehen. Dann ist der Kampf schon halb gewonnen. Wir zeigen sieben perfide Wege, über die Social Engineers an ihre Daten und ihr Geld wollen. - Der "vergessene" USB-Stick
Oops, da hat doch glatt jemand einen Stick liegengelassen. Na, wollen wir mal schnell schauen, wem er gehört - also am besten eben an den Rechner gesteckt ... <br /><br />Dieser alte Bauerntrick ist immer noch einer der erfolgreichsten Angriffe auf Unternehmen. Auch wenn Microsoft beispielsweise das automatische Starten von Anwendungen auf USB-Sticks unter Windows unterbindet, helfen kreative, Neugier weckende Dateinamen enorm, unvorsichtige Mitarbeiter zum Klicken zu bewegen. Unternehmen bleibt nur, USB-Ports komplett zu sperren oder - sinnvoller - ihre Mitarbeiter entsprechend zu schulen. - Perfekt gefälschte Phishing-Mails
Den meisten Phishing-Mails sieht man ihre Herkunft: Schlecht formatiert, grausame Ausdrucksweise, billiges Zum-Klicken-Auffordern. Dennoch gibt es immer wieder Exemplare, die vortäuschen, von der Bank, der Krankenkasse, der Versicherung oder der Personalabteilung zu kommen und die ängstliche Mitarbeiter schnell am Haken haben. Dann genügt ein Klick, un das gesamte Unternehmensnetz ist infiziert. Dabei ist es gar nicht so schwer, Phishing-Mails zu erkennen - und seien sie noch so gut gemacht. Sobald das Ziel der Mail ist, einen Link zu klicken, persönliche Daten zu überprüfen oder einzugeben, sollte die Mail ganz schnell in Ablage P landen. - Mails von "Freunden" und "Kollegen"
Im Gegensatz zum generischen Phishing richtet sich Spear Phishing ganz gezielt gegen Einzelne oder eine kleine Gruppe von Menschen. Beliebt unter Angreifern ist es, in sozialen Netzen nach Opfern Ausschau zu halten, sie nach ihren Hobbys und Tätigkeiten auszuspionieren. Anschließend werden maßgefertigte Phishing-Mails entworfen und versendet - hier stimmt die Anrede, der Name der adressierten Firma und häufig auch der Anhang, der als Brief eines Arbeitskollegen oder flüchtigen Bekannten getarnt wird. Der Erfolg dieser Aktion ist natürlich höher als beim generischen Phishing. Was hilft? Konsequentes Misstrauen, persönliches Nachfragen beim vermeintlichen Absender und das Ignorieren aller E-Mail-Anhänge. - Telefonanrufe
Talentierte Angreifer schaffen es spielend, per Telefon persönliche Informationen aus einem Menschen herauszukitzeln, ohne dass dieser es überhaupt mitbekommt. Wer also von der "IT-Abteilung" angerufen wird, um ein Passwort zu verifizieren oder von der "Versicherung", seine Adresse zu bestätigen, sollte vor allem eins tun: Sich die Nummer aufschreiben und den sofortigen Rückruf anbieten. Alternativ den Anrufer über die Dinge ausfragen, die der bereits wissen müsste, wenn er der ist, für den er sich ausgibt. Grundsätzlich gilt: Sensible Informationen, vor allem Passwörter, niemals per Telefon weitergeben! - Physische Sicherheit des Büros
Ziehen Sie die typische Kleidung einer Firma an, tun Sie so, als gehörten Sie dazu und schmuggeln Sie sich in die Mitarbeitergruppe, die gerade aus der Raucherpause zurück ins Innere des Unternehmensgebäudes bummelt. Zack, schon sind Sie drin!<br /><br /> Da kann die Technik noch so sicher sein, gegen solches unbefugtes Eindringen sind vor allem große Unternehmen oft schlecht gefeilt, weil dort eben nicht jeder jeden kennt. Bläuen Sie Ihren (Empfangs-)Mitarbeitern ein, dass sie nach gefälschten Mitarbeiterausweisen Ausschau halten und sich gerade unbekannte Personen genauer ansehen. - Der freundliche Supportmitarbeiter
Ihn hatten wir schon beim Punkt "Telefonanrufe". Der Fake-Anruf aus dem IT-Support oder direkt vom Hersteller, weil das letzte Update des Betriebssystems noch final verifiziert werden muss, etwas mit der Systemkonfiguration nicht stimmt oder der bestellte neue Rechner gleich kommt und vorher noch etwas am alten System zu tun ist. Sobald jemand den Fremdzugriff (Remote Access) auf Ihren Computer haben möchte, sollte er einen guten Grund haben. Und nein, Microsoft ruft niemanden persönlich an, um etwas bei Windows zu korrigieren. Sagen Sie das den Mitarbeitern!
"Eines der größten Risiken für Unternehmen"
Im Rahmen des Smarsh 2016 Electronic Communications Compliance Survey führten 48 Prozent der Befragten Social Media als den Kanal mit dem am höchsten wahrgenommenen Compliance-Risiko an. Sogar wenn Social-Media-Plattformen ausdrücklich von Unternehmen verboten würden, bestehe laut der Studie "das Risiko, dass sich Mitarbeiter nicht daran halten." Die Anzahl der Teilnehmer, die glauben, dass ein solches Verbot wenig bis gar nicht funktioniert, liegt im Fall von LinkedIn bei 30 Prozent, bei Facebook sind es 41 Prozent und bei Twitter 45 Prozent. Das Problem für die IT-Security-Spezialisten in Unternehmen: die Social-Media-Plattformen sind wenig oder gar nicht einsehbar, denn sie befinden sich außerhalb des Netzwerk-Perimeters.