Bei Social-Engineering-Angriffen werden gezielt menschliche Eigenschaften, wie Hilfsbereitschaft, Freundlichkeit, Dankbarkeit, Gutgläubigkeit oder Respekt vor Autoritäten, ausgenutzt, um an Informationen zu gelangen oder ein gewisses Verhalten hervorzurufen, beispielsweise die Herausgabe vertraulicher Daten, Kontennamen oder Passwörter oder das Gewähren von Zutritt bzw. Zugriff.
Im Vergleich zu technischen Angriffen wird Social Engineering oft als sehr effektives und effizientes Mittel der Informationsbeschaffung gesehen, da ein erfolgreicher Angriff meist einfach und mit wenig Aufwand möglich ist. Social-Engineering-Angriffe werden mitunter auch in Kombination mit technischen Angriffen eingesetzt.
SBA Research bietet die Durchführung von Social-Engineering-Angriffstechniken an, um einerseits die Wahrscheinlichkeit eines erfolgreichen Angriffes im eigenen Unternehmen zu bestimmen und andererseits das Bewusstsein für diese Angriffe zu schärfen. Die unterschiedlichen Angriffsszenarien beleuchten dabei verschiedenste Sicherheitsaspekte und bieten somit in Kombination eine sehr gute Übersicht über das Bewusstsein in verschiedenen Bereichen und notwendigem Verbesserungspotential, um das Unternehmen von solchen Angriffen zu schützen.
Die Angriffsszenarien werden in Abstimmung mit dem Auftraggeber bzw. der Auftraggeberin im Detail vereinbart. Die Dauer des aktiven Angriffs hängt von den Reaktionen der Zielpersonen und der internen IT-Abteilung ab, je nachdem ob und wann der Angriff erkannt und wie (schnell) reagiert wird. Der Ablauf des Angriffs wird im Detail festgehalten, beispielsweise wann welche Angriffsschritte gesetzt wurden und wie die Zielgruppen reagiert haben.
Folgende Szenarien werden bevorzugt durchgeführt:
- Simulation eines Spear-Phishing-Angriffs: Spear Phishing ist eine Analogie zum Wort „Speerfischen“ und bezeichnet gezielte Phishing-Attacken, die sich durch Personalisierung und einen hohen Grad an Glaubwürdigkeit auszeichnen. Dazu werden Angestellte mit Hilfe von Spear-Phishing-E-Mails auf eine von SBA Research präparierte Webseite gelockt. Ziel ist es, die Angestellten zur Preisegabe des Passworts bzw. der Zugangsdaten zu bewegen. Darüber hinaus kann im Rahmen des fiktiven Angriffes auch die Vorgehensweise und Reaktionszeit der internen IT-Abteilung gemessen werden, um daraus notwendige Maßnahmen abzuleiten und für den Ernstfall besser vorbereitet zu sein.
- USB-Sticks mit Schadsoftware: In diesem Szenario wird ein Angriff mit nicht vertrauenswürdigen USB-Sticks simuliert. Hierzu werden diese etwa vor oder im Betriebsgelände gut sichtbar platziert. Auf den USB-Sticks wird jedoch keine echte Schadsoftware platziert, sondern lediglich ein Skript, das eine anonymisierte Auswertung ermöglicht. So kann erhoben werden, wie viele der verteilten Sticks innerhalb welchen Zeitraums angesteckt wurden. Außerdem wird überprüft, ob eventuell vorhandene Regelungen und Vorgaben des Unternehmens bezüglich der Nutzung von (unternehmensfremden) USB-Sticks eingehalten werden.
- Fake Technician: Das Vorspielen falscher Tatsachen, um Zutritt zu einem Gebäude zu erhalten, ist eine sehr einfache Angriffsmethode und ermöglicht verschiedenste „Folgeattacken“. Meist haben Unternehmen diverse Sicherheitsmaßnahmen zum Schutz der extern erreichbaren Infrastruktur umgesetzt, doch oft bieten sich Personen, die sich im Unternehmen selbst befinden, viel mehr Möglichkeiten. In diesem Szenario versucht eine angebliche Technikfachkraft Zutritt ins Gebäude zu erlangen. Es wird untersucht, ob sich eine fremde Person unter Vorspiegelung falscher Tatsachen frei im Gebäude des Unternehmens bewegen kann und welche sicherheitsrelevanten Folgen dies hätte, ohne dass im Zuge des Tests tatsächlich Manipulationen an Unternehmensassets durchgeführt werden.
- Evil Caller: Für dieses Szenario wird oft der IT-Helpdesk als Zielgruppe festgelegt. Unter Vortäuschung falscher Tatsachen wird der Helpdesk angerufen und um das Zurücksetzen des „eigenen“ Passwortes gebeten. Im Erfolgsfall kann eine angreifende Person das Konto übernehmen und Zugriff auf interne Ressourcen, wie E-Mail-Konto, Dateien oder interne Applikationen erlangen. Welche Identität dabei übernommen werden darf, wird vorab in Abstimmung mit der Ansprechperson definiert, um die gewählte Person nicht in ihrer Arbeitstätigkeit zu stören. Die Überprüfung und Schärfung des Bewusstseins für diese Art von Angriffen im Helpdesk-Team stellen einen großen Mehrwert für das Unternehmen dar.
Benefits
- Die Wahrscheinlichkeit, einem erfolgreichen Social-Engineering-Angriff zum Opfer zu fallen, wird aufgezeigt.
- Die Angestellten werden durch den Angriff und die anschließende interne Aufklärung für die Thematik sensibilisiert.
- Eventuell notwendige Maßnahmen (Awareness-Schulung, physische Zutrittskontrollen, etc.) können aus den Ergebnissen abgeleitet werden.