SOCIAL ENGINEERING / CYBERATTACK SIMULATION

Unter dem Begriff Social Engineering versteht sich die gezielte Manipulation von Menschen mit dem Ziel Zugriff auf bestimmte Computersysteme zu erlangen. Eine immer wieder auftretender Social Engineering Angriff sind die sogenannten Phishing-Mails. Ein Angreifer versucht hierbei mittels eines E-Mails, häufig mit Malware als Attachement oder einem Link auf eine Fake Webseite, einen Benutzer dazu zu verleiten diese zu öffnen. Ist das Attachement geöffnet, erlangt der Angreifer Zugriff auf das betroffene System.

Social Engineering beschränkt sich nicht nur auf technische Angriffe auch physische Angriffe sind möglich. Bei einem physischen Angriff versucht ein Social Engineer Zugriff zu einem Gebäude zu erlangen. Dazu kann er als beliebige Person auftreten um beispielsweise Eingangskontrollen mittels psychologischer Tricks zu überwinden. In diesem Zusammenhang wird häufig auch sogenanntes Tailgating (Durchschlüpfen) eingesetzt. Ein Angreifer wartet hierbei bis eine berechtigte Person eine Tür öffnet und schleicht hinterher. Der Zutritt kann über verschiedene Eingänge erfolgen (Garage, Parkplatz, Hinterausgang, Haupteingang, etc.).

Ob technisches-, physisches Social Engineering oder eine Kombination von beidem, bei uns sind Sie richtig aufgehoben. Profitieren Sie von der mehrjährigen Erfahrung unserer technischen Experten (Hacker) und unseren Undercover-Agents (physische Social Engineers).

Technisches Social Engineering

Beim technischen Social Engineering nutzen unsere Experten verschiedene technische Mittel um einen oder mehrere Angestellte des Kunden mit modifizierter Malware (Trojaner/Backdoor/RAT) zu infizieren. Sobald der Zugriff gelungen ist, kann sich der Angreifer weiter im internen Netzwerk ausbreiten, weitere Systeme infizieren und/oder Daten stehlen. 

Technisches Social Engineering kann zur Vereinfachung in zwei grobe Kategorien unterteilt werden: 

Gezielte Angriffe ("Spear Phishing")

  • Gezielter Angriff auf Personen

  • Zielpersonen werden direkt angeschrieben

  • Der Angreifer sammelt gezielt persönliche Informationen über die Zielperson

  • Angriff erfolgt auf digitaler Ebene über Social Medien, E-Mail, SMS und ähnlichem.

  • Die Malwareinfektion kann über verschiedene Vektoren wie Phishing Webseiten, E-Mail Attachements, etc. stattfinden.

Ungezielte Angriffe ("Dynamite Phishing")

  • Bei diesem Angriff geht es einem Hacker darum so viele Ziele wie möglich zu erreichen. Hier geht Quantität über Qualität.

  • Es erfolgt keine direkte Anrede in den Nachrichten.

  • Inhaltlich sind die Nachrichten willkürlich.

  • Angriff erfolgt auf digitaler Ebene über Social Medien, E-Mail, SMS und ähnlichem.

  • Die Malwareinfektion kann über verschiedene Vektoren wie Phishing Webseiten, E-Mail Attachements, etc. stattfinden.​

Physisches Social Engineering

Wie oben bereits erwähnt ist das Ziel eines physischen Social Engineering Angriffs der Zutritt zu einem Gebäude. Um dieses Ziel zu erreichen steht dem Social Engineer eine breite Palette von Angriffen zur Verfügung. Untenstehend finden sich dazu einige Beispiele.

Physische Social Engineering Angriffe

  • Tailgating (Durchschlüpfen)

  • Telefonische Angriffe

  • Verkleidung als Techniker, Lieferant, Autoritätsperson, etc.

  • Verteilung von mit Malware infizierten USB-Sticks auf Parkplätzen, Toiletten, vor dem Eingang, etc.

  • Knacken von Schlössern und Tresoren (Lockpicking)

Ihr Nutzen

In der Praxis werden Social Engineering Angriffe häufig mit dem Argument abgelehnt, dass ein Angreifer über diese Angriffsvariante ohnehin Zugriff erlangen würde. Somit lohne sich ein Social Engineering Angriff nicht. Diese Einstellung ist gefährlich, weil dadurch einer der am häufigsten auftretenden Angriffsvektoren ignoriert wird und Sie nicht sicher sein können, wie Ihre Angestellten und Ihre IT-Sicherheitsorganisation im Ernstfall reagieren. Wie überall gilt auch hier das Motto - Übung macht den Meister.

Kurz zusammengefasst können Sie die folgenden Nutzen aus dieser Dienstleistung ziehen:

1. Förderung der Mitarbeiter Awareness

Regelmässig durchgeführte Social Engineering Angriffe mit anschliessendem Awareness Training erhöhen die Resilienz Ihrer Angestellten gegenüber dieser häufig auftretenden Angriffsform.

2. Angriffssimulation zu Übungszwecken

Durch das wiederholte durchspielen von Prozessen / Abläufen zur Abwehr von Angriffen, wissen Ihre Angestellten und Ihr IT-Sicherheitsteam wie im Ernstfall mit der Bedrohung umzugehen ist. Sie erhöhen damit nicht nur die Effizienz Ihrer IT-Sicherheitsorganisation sondern auch Ihre Resilienz gegenüber realen Angriffen.

Zahlen, Fakten und Beispiele

Bei den unten stehenden Zahlen zu den total versandten Phishing Mails handelt es sich um grobe Schätzungen eines bekannten Antivirus Herstellers. Die Schwarzzahlen werden wesentlich höher sein:

Total versandte Phishing Mails in Q1 2019 (Schätzung): 111'832'308 [1]

Total versandte Phishing Mails in Q2 2019 (Schätzung): 129'933.555 [2]

Phishing Varianten Q1-Q2 2019

Unten stehend findet sich eine Auflistung der am häufigsten auftretenden Phishing Varianten:

1. Phishing Mails mit Links auf Fake Webseiten

Bei dieser Variante des Phishing Angriffs erstellt der Angreifer eine Fake Webseite, die wie das Original aussieht. Zudem wird ein Domänenname registriert, der dem Original möglichst ähnlich sieht und vertraulich wirkt. So könnte beispielsweise die Domäne https://www.cybersecng.ch (Fake) anstelle von https://www.cybersec-ng.ch (Original) registriert werden. Häufig ist das Ziel dieses Angriffs an die Zugangsdaten des Opfers zu gelangen. Die Fake-Webseite kann aber auch benutzt werden um Malware in Form von Trojanern oder Ransomware zu verteilen.

Beispiele dieser Angriffsvariante aus Q1-Q2 2019:

- Tinder (Phishing Website) [1]

- Apple (Phishing Website) [1]

- Instagram (Phishing Website) [1]

- Kaspersky (Phishing Website) [2]

- Microsoft (Phishing Website) [2]

2. Phishing Mails mit Trojanern als Attachement

Bei dieser Variante des Phishing Angriffs versendet der Angreifer eine E-Mail mit einem Attachement. Beim Attachement kann es sich um verschiedene Dateitypen (exe,docx,scr,hta,cab,etc.) handeln. Das Öffnen des Attachement führt in den meisten Fällen zur Infektion des betroffenen Systems mit einem Trojaner. Durch den Trojaner erhält der Angreifer vollen Zugriff auf das entsprechende System und kann so beispielsweise Daten stehlen oder versuchen sich weiter im internen Netzwerk auszubreiten.

Beispiele dieser Angriffsvariante aus Q1-Q2 2019:

- Emotet (Microsoft Office Dokument) [3]

- One RAT (Microsoft Office Dokument, EXE Datei) [4]

3. Phishing Mails mit Ransomware als Attachement:

Bei dieser Variante des Phishing Angriffs versendet der Angreifer eine E-Mail mit Ransomware als Attachement. Das Öffnen des Attachements führt in diesem Fall dazu, dass Teile oder das gesamte System des Opfers verschlüsselt werden. Da das Opfer die Dateien nicht entschlüsseln kann, sind diese unbrauchbar. Der Angreifer verlangt anschliessend Lösegeld von den Opfern um die Dateien wieder zu entschlüsseln.

Beispiele dieser Angriffsvariante aus Q1-Q2 2019:

- Ryuk [5]

- GrandCrab [5]

- Dharma [5]

- LockerGoga [5]

- MegaCortex [5]

- RobbinHood [5]

Quellen:

[1] https://securelist.com/spam-and-phishing-in-q1-2019/90795/

[2] https://securelist.com/spam-and-phishing-in-q2-2019/92379/

[3] https://www.melani.admin.ch/melani/de/home/dokumentation/newsletter/Trojaner-Emotet-greift-Unternehmensnetzwerke-an.html

[4] https://www.pcrisk.de/ratgeber-zum-entfernen/8942-we-have-installed-one-rat-software-email-scam

[5] https://www.melani.admin.ch/dam/melani/de/dokumente/2019/10/MELANI-Halbjahresbericht_2019-1_DE.pdf.download.pdf/MELANI-Halbjahresbericht_2019-1_DE.pdf