Competitive Intelligence Blog

Beim Spear Phishing (gezielten Phishing) werden technische Möglichkeiten mit Social Engineering verbunden um zu sensitiven Angaben zu gelangen. In einer ersten Phase werden mit entsprechenden Programmen Informationen gesammelt um dann einen gezielten Angriff, meist auf Führungskräfte, per Email zu lancieren. Die Email führt auf eine Seite, die dem Opfer die gewünschte Information entlockt. Ziel des Spear Phishings ist es, den Zugriff auf die Computerysteme einer Unternehmung zu erlangen.

http://www.computerwoche.de/security-expertenrat/?p=146

http://www.microsoft.com/germany/athome/secur...r_phishing.mspx

http://www.pcwelt.de/index.cfm?pid=1857&pk=122964

Das Risikofeld der Unternehmung wir zunehmend weiter und komplexer. Wirtschaftliche Akteure sind, nicht zu letzt aufgrund der Gobalisierung, einem verschäften Wettbewerb ausgesetzt. Nicht stellt sich auch die Frage nach dem Genügen der rechtlichen Rahmenbedingungen. Das Interview mit dem ASW-Vorsitzender Dr. Thomas Menk.

http://www.wik.info/wik/news/voll/1006550.html

Die unten aufgeführte Adresse präsentiert das Buch “Führungspraxis und Führungskultur”, das sich in einem Kapitel mit Führungskunst und Manipulation beschäftigt.

Es warnt dabei, sich den Social-Engineer als “Hacker-Typ” in Turnschuhen vorzustellen. Professionelle Social-Engineers werden sich immer so präsentieren, dass sie möglichst nicht auffallen und sich dem konkreten Umfeld anpassen.

Wichtig ist der Hinweis, dass Existenz, Methoden und Gefahren des Social Engineerings immer noch zu wenig bekannt sind.

http://www.flexible-unternehmen.com/26150101.htm

Das immer leseswerte Buch des Social Engineers Kevin D. Mitnick hat nichts von seiner Brisanz verloren:

The Art of Intrusion

In his new book, Mitnick goes one step further than he did in The Art of Deception, offering hair-raising stories of real-life computer break-ins-and showing how the victims could have prevented them. Mitnick’s reputation within the hacker community gave him unique credibility with the perpetrators of these crimes, who freely shared their stories with him-and whose exploits Mitnick now reveals in detail for the first time, including:

* A group of friends who won nearly a million dollars in Las Vegas by reverse-engineering slot machines

* Two teenagers who were persuaded by terrorists to hack into the Lockheed Martin computer systems

* Two convicts who joined forces to become hackers inside a Texas prison

* A “Robin Hood” hacker who penetrated the computer systems of many prominent companies and then told them how he gained access

With riveting “you are there” descriptions of real computer break-ins, indispensable tips on countermeasures security professionals need to implement now, and Mitnick’s own acerbic commentary on the crimes he describes, this book is sure to reach a wide audience-and attract the attention of both law enforcement agencies and the media.

Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch “Aushorchen” zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln. Ein typischer Fall von Angriffen mit Hilfe von Social Engineering ist das Manipulieren von Mitarbeitern per Telefonanruf, bei dem sich der Angreifer z. B. ausgibt als:

• Vorzimmerkraft, deren Vorgesetzter schnell noch etwas erledigen will, aber sein Passwort vergessen hat und es jetzt dringend braucht,
• Administrator, der wegen eines Systemfehlers anruft, da er zur Fehlerbehebung noch das Passwort des Benutzers benötigt,
• Telefonentstörer, der einige technische Details wissen will, z. B. unter welcher Rufnummer ein Modem angeschlossen ist und welche Einstellungen es hat,
• Externer, der gerne Herrn X sprechen möchte, der aber nicht erreichbar ist. Die Information, dass Herr X drei Tage abwesend ist, sagt ihm auch gleichzeitig, dass der Account von Herrn X in dieser Zeit nicht benutzt wird, also unbeobachtet ist.

Wenn kritische Rückfragen kommen, ist der Neugierige angeblich “nur eine Aushilfe” oder eine “wichtige” Persönlichkeit.

Eine weitere Strategie beim systematischen Social Engineering ist der Aufbau einer längeren Beziehung zum Opfer. Durch viele unwichtige Telefonate im Vorfeld kann der Angreifer Wissen sammeln und Vertrauen aufbauen, das er später ausnutzen kann.

Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen erworben wurden.

http://www.bsi.de/gshb/deutsch/g/g05042.htm

Im Zeitalter des Web 2.0 geben sich sogar Malware und Phishing-Versuche einen sozialen Anstrich. Tipps zum Vorbeugen gegen die Späher geben Sicherheits-Experten. Social-Engineering bezeichnet eigentlich eine Vorgehensweise zum nichttechnischen Ausspähen von Daten - die Opfer geben den Angreifern freiwillig Passwörter oder dergleichen, weil diese sich als Kollegen oder wichtige Personen ausgeben. Auf einen Zusammenhang zwischen Social-Engineering und aktuellen Bedrohungen durch Malware, Phishing oder dergleichen weisen jetzt die Sicherheits-Experten von Trend Micro hin: Demnach gehöre Social Engineering zu den effektivsten Methoden, Anwender zur Installation von Malware zu bewegen. Gleichzeitig werden durch die Malware-Szene die Social-Engineering-Techniken immer weiter verfeinert und neue Methoden entwickelt. So werde beim so genannten Spear-Phishing gezielt der Eindruck erweckt, der Angreifer sei ein Freund oder komme aus der Community des Angegriffenen.

Die Warnung der Experten: Social-Engineering kann nur funktionieren, wenn sich Anwender der Gefahr nicht bewusst sind. Mitarbeiter sollten deshalb regelmäßig über Bedrohungen informiert werden und grundlegende Verhaltensregeln einhalten, und nur selbst angeforderte Dateianhänge bzw. Anhänge aus bekannter Quelle öffnen sowie alle unerwünschten und suspekten Nachrichten sofort löschen. Auch Web-Links sollten nur angeklickt werden, wenn diese von einer bekannten Quelle stammen. Eine Eingrenzung des Surfens auf geschäftsbezogene Themen würde die Gefahr mindern, auf verdächtige Seiten zu gelangen, und schlussendlich verweisen die Experten auf zu selten beachtete Binsenweisheit: Sicherheitslösungen wie Antivirus und Firewall sollten niemals deaktiviert werden.

http://www.ecin.de/news/2007/06/18/10826/?rcol

Gefährdung durch Web 2.0

Social Engineering verdient Beachtung

Neben den Risiken technischer Natur sind aber auch die menschlichen Faktoren nicht ausser Acht zu lassen. Diese lassen sich unter dem Stichwort “Social Engineering” zusammenfassen. Was darunter zu verstehen ist, erklärt ein kürzlich veröffentlichter Artikel in der Schweizer Fachzeitschrift Computerworld sehr anschaulich:

“Das Web 2.0 ist von seiner Struktur her gefährlich“, meint Symantec-Sicherheits-Experte Candid Wüest. “Die Leute geben immer mehr persönliche Informationen preis. Das ermöglicht zum einen den Diebstahl von Identitäten, zum anderen lassen sich diese Informationen für Social-Engineering-Angriffe verwenden.”

Tatsächlich präsentieren viele Nutzer auf Netzwerkseiten wie My-Space oder Xing persönliche Infos quasi auf dem silbernen Tablett: Vom Geburtsdatum, über Adresse und Telefonnummer bis hin zu Hobbys, Geschäftspartnern und Freunden.

“Mit diesen Angaben ist dann Social Engineering ein Kinderspiel”, pflichtet Martin Pivetta von McAfee bei. “Mit den entsprechenden Daten versehen könne man sich als Headhunter oder als Bekannter eines Geschäftspartners ausgeben und gewinne im Nu das Vertrauen des Angesprochenen”, führt Pivetta aus.

http://www.readers-edition.de/2007/07/03/corp...o-oder-chance/