Kapitel 1

Ein Blick in die Welt des Social Engineering

Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von Hundert Schlachten nicht zu fürchten.

Sunzi

Social Engineering unterliegt bisher weitgehend verschiedenen Missverständnissen, was zu vielen unterschiedlichen Meinungen darüber geführt hat, was es eigentlich ist und wie es funktioniert. Manche glauben, dabei gehe es nur darum, sich kostenlos triviale Sachen wie Pizza zu erschwindeln oder sich wortreich sexuelle Freuden zu ermöglichen. Andere meinen, es beziehe sich nur auf die Instrumente, die von Kriminellen oder Trickbetrügern eingesetzt werden, oder dass es sich um eine Wissenschaft handelt, die theoretisch in kleinere Bestandteile oder Gleichungen heruntergebrochen und studiert werden könne. Oder vielleicht ist es auch eine lange verloren geglaubte mystische Kunst, die ihren Anhängern die Fähigkeit verleiht, mächtige Tricks wie Zauberer oder Illusionisten auszuführen.

Egal welchem Lager Sie sich zugehörig fühlen – dieses Buch ist für Sie. Social Engineering wird täglich von ganz normalen Leuten in alltäglichen Situationen eingesetzt. Wenn ein Kind versucht, im Supermarkt in den Gang mit den Süßigkeiten zu gelangen, oder ein Angestellter seine Gehaltserhöhung durchsetzen will, dann wird dabei mit Mitteln des Social Engineering gearbeitet. Social Engineering gibt es auch bei Regierungen oder dem Marketing kleiner Geschäfte. Leider ist es auch gegenwärtig, wenn Kriminelle, Trickbetrüger oder ähnliche Bösewichte andere hereinlegen, damit sie Informationen weitergeben, durch die sie für Straftaten angreifbar werden. Wie jedes Instrument ist auch Social Engineering nicht per se gut oder böse, sondern einfach zu vielerlei Zwecken einsetzbar.

Machen Sie sich bitte Gedanken zu folgenden Fragen, um diesen Punkt zu verdeutlichen:

       Haben Sie die Aufgabe bekommen, darauf zu achten, dass Ihre Firma so gut abgesichert ist wie irgend möglich?

       Sind Sie ein Sicherheitsfanatiker, der möglichst jede aktuelle Information zu diesem Thema liest?

       Sind Sie ein professioneller Penetrationstester, der eingestellt wurde, um die Sicherheit Ihrer Kunden zu testen?

       Sind Sie Informatikstudent, der in seinem Hauptfach irgendeine Form der IT-Spezialisierung belegt?

       Sind Sie aktuell ein Social Engineer, der nach neuen und verbesserten Ideen sucht, die Sie in Ihrer Praxis einsetzen können?

       Sind Sie ein Konsument, der sich vor den Gefahren von Identitätsdiebstahl und Betrug fürchtet?

Egal welche dieser Situationen zu Ihnen passt: Die in diesem Buch enthaltenen Informationen eröffnen Ihnen, wie Sie die Fähigkeiten des Social Engineering nutzen können. Sie werfen auch einen Blick in die dunkle Welt des Social Engineering und lernen, wie „böse Buben“ ihre Fähigkeiten einsetzen, um sich Vorteile zu verschaffen. Mit dieser Grundlage erfahren Sie, wie man für Angriffe mit Methoden des Social Engineering weniger verletzbar wird.

Eine Warnung vorab: Dieses Buch ist nichts für schwache Nerven. Es bringt Sie in jene dunklen Ecken der Gesellschaft, wo die „Black Hats“ (bösartige Hacker) das Sagen haben. Hier werden Bereiche des Social Engineering, in denen sich Spione und Trickbetrüger tummeln, aufgedeckt und eingehend erforscht. Dieses Buch untersucht Taktik und Tools, die aus James-Bond-Filmen zu stammen scheinen. Außerdem wird anhand ganz normaler Alltagssituationen gezeigt, inwiefern es sich um komplexe Szenarien des Social Engineering handelt. Am Ende deckt das Buch die Tipps und Tricks der Insider, der professionellen Social Engineers und eben auch der kriminellen Profis auf.

Ich wurde gefragt, warum ich mir vornehme, solche Informationen aufzudecken. Die Antwort lautet schlicht: Die Bösewichte lassen sich nicht durch moralische Grenzen oder vertragliche Beschränkungen stoppen. Sie lassen nicht locker, wenn mal ein Versuch daneben geht. Bösartige Hacker verschwinden nicht einfach deswegen, weil Firmen es nicht gerne haben, dass ihre Server infiltriert werden. Social Engineering, die Täuschung von Mitarbeitern und Internet-Betrug kommen heutzutage hingegen immer häufiger vor. Während Software-Unternehmen lernen, wie sie ihre Programme stärken und härten, wenden sich Hacker und bösartige Social Engineers dem schwächsten Teil der Infrastruktur zu: den Menschen. Sie sind nur vom Return On Investment (ROI) motiviert: Kein Hacker, der etwas auf sich hält, wendet Dutzende Stunden auf, wenn er die gleichen Ergebnisse auch mit einer einfachen Attacke bekommt, die eine Stunde oder weniger dauert.

Letzten Endes läuft es traurigerweise darauf hinaus, dass man nie zu 100 % sicher sein kann – außer Sie ziehen bei allen elektronischen Geräten den Stöpsel und wandern auf eine einsame Insel aus. Weil das nicht sonderlich praktisch ist und auch nicht viel Spaß macht, werden in diesem Buch Wege und Möglichkeiten erläutert, um besser über Angriffe informiert zu sein und sie besser erkennen zu können. Hier erfahren Sie, wie Sie sich dagegen schützen können. Mein Motto lautet „Sicherheit durch Aufklärung“. Wenn man Bescheid weiß, ist das einer der wenigen narrensicheren Wege, um sich gegen die steigenden Bedrohungen des Social Engineering und Identitätsdiebstahls abzusichern. Von Kaspersky Labs, einem der führenden Anbieter von Antiviren- und Schutzsoftware, wird geschätzt, dass 2009 über 100.000 Malware-Kostproben durch soziale Netzwerke verbreitet wurden. In einem aktuellen Bericht kommt Kaspersky zu der Einschätzung, dass „Angriffe gegen soziale Netzwerke zehn Mal so erfolgreich sind“ wie andere Angriffsarten.

Auch hier gilt die alte Hacker-Redewendung „Wissen ist Macht“. Je mehr Wissen jeder Verbraucher und jede Firma über die Gefahren und Bedrohungen des Social Engineering hat und je mehr jedes Angriffsszenario analysiert wird, desto einfacher kann man sich davor schützen, diese Angriffe abschwächen oder gar stoppen. So kann man die Macht all dieses Wissens wirksam einsetzen.

1.1   Warum dieses Buch so wertvoll ist

Auf dem Markt gibt es viele Bücher über Sicherheit, Hacking, Penetrationstests und sogar Social Engineering. Viele dieser Bücher liefern den Lesern wertvolle Informationen und Tipps und helfen ihnen dadurch. Auch wenn all diese Informationen verfügbar sind, ist doch ein Buch nötig, das die Informationen über Social Engineering in einem weiteren Schritt zusammenfasst, diese Angriffe detailliert erklärt und sie von der bösartigen Seite des Zaunes her beschreibt. Dieses Buch ist nicht bloß eine Sammlung cooler Stories, toller Hacks oder abgefahrener Ideen. Es stellt das weltweit erste Framework für Social Engineering vor. Hier wird die gesamte Grundlage dessen analysiert und seziert, was einen guten Social Engineer ausmacht, praktische Ratschläge geboten, um diese „Skills“ zu nutzen, damit die Leser noch besser die größte Schwachstelle testen können: die menschliche Infrastruktur.

1.1.1   Das Layout

Dieses Buch greift Social Engineering auf einzigartige Weise auf. In seiner Struktur hält es sich eng an das umfassende Social Engineering-Framework, das unter www.social-engineer.org/framework zu finden ist. Dieses Framework umreißt die Skills und Tools (materiell, mental und persönlich), die man sich aneignen sollte, wenn man als exzellenter Social Engineer gelten will.

In diesem Buch stellen wir zuerst ein thematisches Prinzip vor, das definiert, erklärt und analysiert wird. Anschließend zeigen wir dessen Einsatz anhand einer Sammlung wahrer Geschichten oder Fallstudien. Dies ist kein Buch mit Stories oder tollen Tricks, sondern ein Handbuch und Leitfaden für die dunkle Welt des Social Engineering.

Im Buch verteilt finden Sie viele Internet-Links zu Stories oder Beschreibungen sowie auch zu Tools und anderen Aspekten, die mit den erläuterten Themen zusammenhängen. Außerdem erscheinen praktische Übungen, mit denen Sie dieses Framework für Social Engineering meistern und auch Ihre alltägliche Kommunikation verbessern.

Diese Aussagen gelten vor allem dann, wenn Sie Sicherheitsspezialist sind. Wenn Sie dieses Buch lesen, hoffe ich, Ihnen einschärfen zu können, dass Sicherheit nicht nur ein „Teilzeitjob“ ist und definitiv nicht auf die leichte Schulter genommen werden darf. Da Kriminelle und bösartige Social Engineers in dieser Welt offenbar immer schlimmer werden, werden auch die Angriffe auf Unternehmen und das persönliche Leben scheinbar immer heftiger. Natürlich will jeder sich schützen, das ist schon den Verkaufszahlen für Software und Geräte zum persönlichen Schutz zu entnehmen. Obwohl all diese Vorkehrungen wichtig sind, besteht der beste Schutz im Wissen, dass „Sicherheit durch Aufklärung“ erfolgt. Um die Auswirkungen dieser Angriffe einzugrenzen, muss man einzig und allein wissen, dass sie existieren, wie sie ausgeführt werden und verstehen, nach welchen gedanklichen Prozessen jene Menschen arbeiten, die solche Dinge ausführen, und welche Mentalität sie haben.

Wenn Sie über solche Kenntnisse verfügen und verstehen, wie bösartige Hacker denken, geht Ihnen ein Licht auf. Dieses sprichwörtliche Licht erhellt die bisher abgedunkelten Ecken und ermöglicht Ihnen, die dort lauernden Bösewichte zu erkennen. Wenn Sie vorab sehen können, auf welche Weise diese Angriffe erfolgen, können Sie Ihre eigenen täglichen Angelegenheiten und die Ihrer Firma darauf einstellen.

Natürlich widerspreche ich hier nicht dem, was ich bereits gesagt habe: Ich bin der festen Überzeugung, dass man nie hundertprozentig sicher sein kann. Sogar höchst geheime und bestens bewachte Geheimnisse können auf einfachste Weise gehackt werden – das ist alles schon passiert!

Schauen Sie sich die Story unter www.social-engineer.org/resources/book/TopSecretStolen.htm an, die aus einer Zeitung aus dem kanadischen Ottawa stammt. Diese Geschichte ist deswegen so interessant, weil einige Dokumente in den falschen Händen gelandet sind. Dabei handelte es sich nicht um nebensächliche Unterlagen, sondern als Top Secret eingestufte Verteidigungsdokumente, in denen solche Dinge wie die Standorte von Sicherheitszäunen an der Canadian Forces Base (CFB) in Trenton, dem Lageplan der militärischen Canadian Joint Incident Response Unit usw. aufgeführt waren. Wie konnte eine derartige Sicherheitslücke entstehen? Die Pläne wurden in Papierkorb geworfen, und jemand hat sie im Müllcontainer gefunden. Ein einfacher „Dumpster Dive“ (Mülltonne durchwühlen) hätte zu einer der schlimmsten Sicherheitslücken des Landes führen können.

Einfache und doch tödliche Angriffe werden täglich gestartet und machen sich folgende Tatsachen zunutze: Viele wissen über mögliche Bedrohungen einfach nicht Bescheid. Sie müssen sich bei den Passwortrichtlinien anders verhalten und auch bei der Art und Weise, wie sie mit dem Remote-Zugriff auf Server umgehen. Sie müssen sich im Umgang mit Bewerbungsgesprächen und Liefervorgängen anders verhalten und auch mit solchen Angestellten, die neu eingestellt oder gerade entlassen wurden. Doch ohne gute Aufklärung ist man einfach nicht motiviert genug, diesbezüglich das eigene Verhalten zu ändern.

Das Computer Security Institute führte 2003 gemeinsam mit dem FBI eine Untersuchung durch, die ergab, dass 77 % aller befragten Unternehmen einen verärgerten Mitarbeiter als Quelle einer großen Sicherheitslücke angaben. Vontu (http://go.symantec.com/vontu/), die bei Symantec für die Verhinderung von Datenverlusten zuständige Abteilung, sagt, dass in einer von 500 E-Mails vertrauliche Daten enthalten sind. Besonders hervorzuheben sind aus diesem Bericht folgende Punkte (zitiert entsprechend nach http://financialservices.house.gov/media/pdf/062403ja.pdf):

       62 % der befragten Mitarbeiter und Manager berichten, dass es in der Firma Vorfälle gegeben habe, bei denen Kundendaten so gefährdet waren, dass sie für Identitätsdiebstahl hätten eingesetzt werden können.

       66 % geben an, dass ihre Kollegen und nicht Hacker für die Privatsphäre der Kunden das größte Risiko darstellen. Nur 10 % sagen, dass Hacker die größte Bedrohung seien.

       46 % sagen, dass es für Mitarbeiter „leicht“ bis „extrem leicht“ sei, sensible Daten aus den Firmendatenbanken zu entfernen.

       32 % (also einer von drei) sind keine internen Firmenrichtlinien bekannt, wie Kundendaten geschützt werden sollen.

Diese Statistiken wirken wie ein Schlag vor den Kopf.

In späteren Kapiteln führen wir diese statistischen Angaben detaillierter aus. Die Zahlen verweisen auf einen schwerwiegenden Mangel in der Art und Weise, wie mit der Sicherheit selbst umgegangen wird. Wenn die Leute aufgeklärt werden, hoffentlich bevor eine Sicherheitslücke auftaucht, dann können sie ihr Verhalten ändern, um Verluste, Ärger und finanzielle Schäden zu vermeiden.

Sunzi sagt: „Wenn du den Feind und dich selbst kennst, brauchst du den Ausgang von Hundert Schlachten nicht zu fürchten.“ Wie wahr diese Worte sind, aber Wissen ist nur die halbe Schlacht. Weisheit wird dadurch definiert, dass sich nicht mit reinem Wissen zufriedengibt, sondern dies in entsprechendes Verhalten umsetzt.

Dieses Buch ist am wirksamsten, wenn es als Handbuch oder Leitfaden durch die Welt der sozialen Angriffe, die soziale Manipulation und das Social Engineering genutzt wird.

1.1.2   Was zu erwarten ist

Dieses Buch deckt alle Aspekte, Tools und Skills ab, die von professionellen und bösartigen Social Engineers eingesetzt werden. Jedes Kapitel beschäftigt sich eingehend mit der Kunst und Wissenschaft einer speziellen Fähigkeit (Skill) der Social Engineers, um Ihnen zu zeigen, wie sie eingesetzt, erweitert und perfektioniert wird.

Der nächste Abschnitt dieses Kapitels, „Social Engineering im Überblick“, definiert das Social Engineering und welche Rolle es in der heutigen Gesellschaft spielt. Außerdem werden die verschiedenen Arten eines Social Engineering-Angriffs vorgestellt und dazu andere Lebensbereiche, wo Social Engineering auf nicht bösartige Weise eingesetzt wird. Ich werde auch erläutern, wie ein Social Engineer das Social Engineering-Framework nutzt, um ein Audit (Prüfung) zu planen oder seine eigenen Fähigkeiten zu erweitern.

In Kapitel 2 geht’s dann ans Eingemachte. Die Erfassung und Sammlung von Informationen ist die Grundlage eines jeden Social Engineering-Audits. Das Credo der Social Engineers lautet: „Ich bin nur so gut wie die Information, die ich mir beschaffen kann.“ Ein Social Engineer mag alle Skills der Welt besitzen, aber wenn er über sein Ziel nicht Bescheid weiß, wenn er nicht jedes einzelne intime Detail erfasst hat, dann wird sein Vorhaben höchstwahrscheinlich misslingen. Die Informationssammlung ist die Crux des gesamten Social Engineering überhaupt, obwohl ein geschickter Umgang mit Menschen und eine schnelle Reaktionsfähigkeit einem natürlich helfen, aus gefährlichen Situationen herauszukommen. Oftmals gilt: Je mehr Informationen Sie sammeln, desto größer sind Ihre Chancen auf Erfolg.

Die Fragen, die ich in diesem Kapitel beantworte, sind wie folgt:

       Welche Quellen kann ein Social Engineer nutzen?

       Welche Informationen sind nützlich?

       Wie kann ein Social Engineer diese Informationen erfassen, sammeln und organisieren?

       Wie technisch sollte ein Social Engineer werden?

       Wie viel Information reicht aus?

Nach der Analyse der Informationsbeschaffung kümmern wir uns in Kapitel 2 um das Thema Kommunikationsmodellierung. Dies ist eng mit der Informationssammlung verknüpft. Zuerst wird diskutiert, was Kommunikationsmodellierung ist und welche Wurzeln in der Praxis sie hat. Dann gehen wir in diesem Kapitel die Schritte durch, die zur Entwicklung und zum Einsatz eines passenden Kommunikationsmodells erforderlich sind. Darin wird umrissen, wie ein Social Engineer dieses Modell gegen ein Ziel anwendet, und welche Vorteile sich daraus ergeben, es für jeden Auftrag anzuwenden.

In Kapitel 3 geht es ums Herauslocken von Informationen (Elicitation), dem nächsten logischen Schritt im Framework. Es befasst sich sehr eingehend damit, wie man Fragen stellt, um an Informationen und Passwörter zu gelangen, und an weiteres Wissen über das Ziel und dessen Firma zu kommen. Sie erfahren, wie man anderen gut und angemessen Informationen abluchst und wie wichtig dabei ein gut geplantes Vorgehen ist.

In diesem Kapitel erfahren Sie außerdem das wichtige Thema, wie man die Zielperson sozusagen mit Informationen „befüllt“, damit Ihre Fragen bereitwilliger akzeptiert werden. Wenn Sie sich in diesen Abschnitt einarbeiten, erkennen Sie eindeutig, wie wichtig es ist, ein hervorragender Fragesteller zu werden. Diese Fähigkeit wird Ihnen nicht nur in Ihrer Sicherheitspraxis behilflich sein, sondern auch in Ihrem persönlichen Alltagsleben.

Kapitel 4 beschäftigt sich mit einem besonders wirkungsvollen Thema – es geht um das sogenannte Pretexting (etwa: unter einem Vorwand Informationen erschleichen). Dieses gravierende Thema ist einer der zentralen Punkte für viele Social Engineers. Zum Pretexting gehört, jene Rolle zu entwickeln, die der Social Engineer für seinen Angriff auf die Firma spielen wird. Wird der Social Engineer ein Kunde, Lieferant, Kundendiensttechniker, neuer Mitarbeiter sein oder eine ähnlich realistische und glaubwürdige Rolle spielen? Zum Pretexting gehört nicht nur ein Handlungsablauf, sondern man muss sich auch intensive Gedanken darüber machen, wie die Person aussieht, handelt, spricht oder sich bewegt. Welche Tools oder Kenntnisse soll sie haben? Dieses Bündel an Verhaltensweisen und Informationen muss man sich wirklich zutiefst aneignen, denn wenn man sich seiner Zielperson nähert, muss man diese Person sein und darf nicht einfach eine Rolle spielen. Hier werden folgende Fragen beantwortet:

       Was ist Pretexting?

       Wie entwickelt man einen Pretext (Vorwand)?

       Welchen Prinzipien folgt ein erfolgreicher Pretext?

       Wie kann ein Social Engineer den perfekten Pretext planen und dann ausführen?

Der nächste Schritt im Framework ist einer, der ganze Bücher füllen kann. Doch er muss vom Standpunkt eines Social Engineers diskutiert werden. In Kapitel 5 werden einige sehr konfrontative Themen schonungslos diskutiert, darunter das der autonomen Augenbewegungen. Was sagen die verschiedenen Profis zum Thema Augenbewegungen und wie kann ein Social Engineer diese Informationen nutzen? Das Kapitel führt auch in die faszinierende Wissenschaft der Mikroexpressionen und seine Implikationen auf das Social Engineering ein.

Kapitel 5 greift die Analyse der Recherchen weiter auf und liefert Antworten auf diese Fragen:

       Ist es möglich, im Bereich der Sicherheit mit Mikroexpressionen zu arbeiten?

       Wie könnte man das anstellen?

       Welche Vorteile liefern Mikroexpressionen?

       Kann man sich selbst beibringen, diese Mikroexpressionen automatisch wahrzunehmen und einzusetzen?

       Welche Informationen liefern Mikroexpressionen, wenn man sich diesen Bereich angeeignet hat?

Wahrscheinlich ist das Neurolinguistische Programmieren (NLP) eines der am heißesten diskutierten Themen aus Kapitel 5. Dieser Bereich ist für viele weiterhin unklar, worum es bei NLP geht und wofür man es einsetzen kann. Kapitel 5 präsentiert eine kurze Geschichte von NLP und zeigt auf, warum NLP derartig kontrovers ist. Sie können selbst entscheiden, ob NLP beim Social Engineering einsetzbar ist.

Kapitel 5 diskutiert außerdem einen der wichtigsten Aspekte des Social Engineering, der persönlich oder am Telefon umgesetzt wird: wie man gute Fragen stellt, die Antworten aufnimmt und dann weiter fragt. Vernehmungen und Befragungen sind zwei Methoden, die schon seit vielen Jahren von polizeilichen Ermittlern eingesetzt werden, um Kriminelle zu Geständnissen zu bewegen, und auch, um sogar die kniffligsten Fälle zu lösen. Dieser Teil von Kapitel 5 setzt das in Kapitel 3 angeeignete Wissen praktisch um.

Außerdem erläutert Kapitel 5, wie man sofortigen Rapport aufbaut, also einen Zustand der verbalen und nonverbalen starken Bezogenheit herstellt. Diese Fähigkeit können Sie auch im Alltag einsetzen. Das Kapitel endet mit einer Darstellung meiner eigenen persönlichen Recherchen über den „menschlichen Pufferüberlauf“ (human buffer overflow): die Auffassung, dass der menschliche Geist sehr der Software ähnelt, die von Hackern jeden Tag ausgenutzt wird. Indem er bestimmte Prinzipien anwendet, kann ein geschickter Social Engineer den menschlichen Geist überfluten und jeden beliebigen Befehl injizieren.

So wie Hacker Overflows schreiben, um Software derart zu manipulieren, dass ein bestimmter Code ausgeführt wird, kann der menschliche Geist anhand bestimmter Instruktionen im Prinzip auch einen „Überlauf“ erfahren, und dann können spezielle Anweisungen eingefügt werden. Kapitel 5 ist eine umwerfende Lektion darüber, wie man mit einfachen Techniken das Denken anderer meistert.

Viele Leute haben ihr Leben lang recherchiert, erforscht und bewiesen, was andere beeinflusst. Beeinflussung ist ein mächtiges Instrument mit vielen Facetten. Zu diesem Zweck werden in Kapitel 6 die Grundlagen der Überredungskunst ausgeführt. Mit den in Kapitel 6 eingeführten Prinzipien werden Sie zu einem Meister der Überredungskunst.

Das Kapitel präsentiert eine kurze Ausführung über die verschiedenen Arten der Überredung und bietet Beispiele, wie Sie diese Facetten beim Social Engineering grundiert und wirkungsvoll einsetzen.

Doch die Ausführungen sind hier noch nicht zu Ende: Framing (etwa: jemanden durch gezielte Änderung der Perspektive hereinlegen) ist ebenfalls heutzutage ein ganz heißes Eisen. Über den Einsatz von Framing gibt es viele verschiedene Ansichten, und in diesem Buch werden einige reale Beispiele gezeigt. Indem wir jedes einzelne Beispiel auseinandernehmen, gehen wir die gelernten Lektionen durch und zeigen auf, wie Sie einüben können, bei sich selbst für ein Reframing zu sorgen und Framing als Social Engineer auch im alltäglichen Umgang einzusetzen.

Ein umfassendes Thema beim Social Engineering ist Manipulation:

       Was ist der Zweck von Manipulationen?

       Welche Anreize treiben Manipulatoren an?

       Wie kann man Manipulationen beim Social Engineering einsetzen?

Kapitel 6 präsentiert, was ein Social Engineer über das Thema Manipulation wissen muss und wie man diese Fähigkeiten erfolgreich anwendet.

Kapitel 7 stellt die Tools vor, mit denen Social Engineering-Audits erfolgreicher werden. Von Geräten wie versteckten Kameras bis zu Software-Tools zur Informationsbeschaffung deckt jeder Abschnitt dieses Kapitels die erprobten und bewährten Tools des Social Engineer ab.

Nachdem Sie das Framework fürs Social Engineering verstanden haben, werden in Kapitel 8 einige Fallstudien aus dem realen Leben erörtert. Ich habe mich für zwei ausgezeichnete Berichte des weltweit bekannten Social Engineers Kevin Mitnick entschieden. Ich analysiere diese Beispiele und mache dann Vorschläge, was Sie daraus lernen können und wie Sie jene Methoden aus dem Social Engineering-Framework identifizieren, mit denen er arbeitet. Außerdem erläutere ich, was aus seinen Angriffsvektoren gelernt werden kann und wie man sie heutzutage einsetzt. Schließlich bringe ich auch einige persönliche Berichte ins Spiel und analysiere sie ebenfalls.

Welcher Leitfaden für Social Engineering wäre vollständig ohne ein paar Ausführungen darüber, wie man diese Art der Angriffe abschwächen und deren Auswirkungen mildern kann? Im Anhang finden Sie Infos darüber. Ich beantworte einige übliche Fragen zu diesem Thema und gebe praktische Tipps, mit denen Sie sich und Ihre Organisation gegen diese Form bösartiger Angriffe sichern können.

Die vorangegangene Übersicht ist nur ein Vorgeschmack dessen, was Sie erwarten dürfen. Ich hoffe wirklich sehr, dass Sie so viel Freude an der Lektüre dieses Buches haben, wie ich beim Schreiben. Social Engineering ist meine Leidenschaft. Ich bin überzeugt davon, dass es bestimmte Merkmale und Eigenschaften gibt, mögen sie erlernt oder angeboren sein, durch die einer zum hervorragenden Social Engineer wird. Ich kann auch die Überzeugung unterschreiben, dass mit ausreichend Zeit und Energie jeder die verschiedenen Aspekte des Social Engineering lernen und diese Skills dann praktizieren kann, um ein kompetenter Social Engineer zu werden.

Die Prinzipien in diesem Buch sind nicht neu. Sie werden hier keine atemberaubende Technologie vorfinden, die das Antlitz der Sicherheit für immer verändern wird. Es gibt keine magische Pille. Tatsächlich gibt es diese Prinzipien schon, solange es Menschen gibt. Was dieses Buch aber tatsächlich einzigartig macht: Es kombiniert all diese Fähigkeiten und Fertigkeiten an einer Stelle. Hier bekommen Sie klare Anleitungen, wie man diese Skills praktiziert, und auch jeweils Beispiele aus dem realen Leben dazu. Alle diese Informationen helfen Ihnen dabei, ein fundiertes Verständnis aller angesprochenen Themen zu erlangen.

Am besten fangen wir hier nun mit den Grundlagen an, indem wir uns eine fundamentale Frage stellen: „Was ist Social Engineering?“

1.2   Social Engineering im Überblick

Was ist Social Engineering?

Diese Frage stellte ich einmal einer Gruppe von Sicherheitsfanatikern und war erschrocken über deren Antworten:

„Beim Social Engineering belügt man andere, um Informationen zu bekommen.“

„Mit Social Engineering ist gemeint, dass man ein guter Schauspieler ist.“

„Social Engineering bedeutet, dass man weiß, wie man gratis an alle möglichen Sachen kommt.“

Wikipedia definiert Social Engineering als „den Akt, Menschen zur Ausführung bestimmter Aktionen oder zur Preisgabe vertraulicher Informationen zu manipulieren. Das ist zwar ähnlich wie ein Trickbetrug oder einfacher Betrug, doch dieser Begriff wird üblicherweise auf eine Gaunerei oder Täuschung zum Zwecke der Informationsbeschaffung, des Betrugs oder des Zugriffs auf Computersysteme verwendet. In den meisten Fällen begegnet der Angreifer seinem Opfer nicht persönlich.“

Obwohl Social Engineering durch die Unmengen von Websites mit „Pizza gratis“, „Kaffee kostenlos“ oder „Wie man Girls abschleppt“ in Verruf geraten ist, berühren dessen verschiedene Aspekte viele Bereiche des Alltagslebens.

Webster’s Dictionary definiert social als „auf das Leben, Wohlergehen und die Beziehung von Menschen in einer Gemeinschaft bezogen“. Engineering (wörtlich: Ingenieurswesen) wird dort definiert als „die Kunst oder Wissenschaft, die Kenntnisse aus reinen Wissenschaften wie Physik oder Chemie praktisch anzuwenden, z.B. in der Konstruktion von Motoren, Brücken, Gebäuden, Minen, Schiffen und Chemiefabriken bzw. geschickte oder kunstvolle Erfindung; kluges Taktieren.“

Wenn man diese beiden Definitionen kombiniert, sieht man schnell, dass es beim Social Engineering um die Kunst oder besser noch Wissenschaft geht, wie man Menschen hinsichtlich bestimmter Aspekte ihres Lebens geschickt und umsichtig in Aktion bringt.

Diese Definition erweitert den Horizont von Social Engineers überall. Social Engineering wird im alltäglichen Leben dabei eingesetzt, wie Kinder ihre Eltern dazu bringen, das zu tun, was sie wollen. So gehen Lehrer mit ihren Schülern um, und wir finden es auch in der Art, wie Ärzte, Rechtsanwälte oder Psychologen ihren Patienten oder Klienten Informationen entlocken. Es wird definitiv bei der Strafverfolgung verwendet und kommt auch gar bei romantischen Treffen zum Einsatz – wir finden es also tatsächlich in jeglicher menschlicher Interaktion: von Babys bis zu Politikern und auch allen Zwischenstufen.

Ich treibe diese Definition gerne noch einen Schritt weiter voran und sage, dass mit der echten Definition des Social Engineering der Akt der Manipulation einer Person gemeint ist, eine Handlung auszuführen, die vielleicht im besten Interesse der „Zielperson“ liegt – oder auch nicht. Damit kann die Erlangung von Informationen gemeint sein oder auch der Zugang in bestimmte (gesperrte) Bereiche oder dass man die Zielperson dazu bewegt, eine bestimmte Aktion auszuführen.

Ärzte, Psychologen und Therapeuten nutzen beispielsweise oft Elemente, die ich als Social Engineering betrachte, um ihre Patienten zu bestimmten Handlungen zu „manipulieren“, die gut für sie sind. Trickbetrüger hingegen nutzen Elemente des Social Engineering, um ihre Zielpersonen zu Aktivitäten zu bringen, die zu einem Verlust führen. Obwohl es letzten Endes auf etwas völlig anderes hinauslaufen kann, ist das Vorgehen bei beidem doch sehr ähnlich. Ein Psychologe arbeitet beispielsweise mit einer Reihe gut ausgeklügelter Fragen, um einen Patienten zu der Schlussfolgerung zu bringen, dass eine Veränderung ansteht. Entsprechend wird ein Trickbetrüger wohlformulierte Fragen nutzen, um sein Ziel in eine angreifbare Position zu bringen.

Beide gehen als Beispiele für Social Engineering in seiner reinsten Form durch, aber Ziele und Resultate sind sehr unterschiedliche. Beim Social Engineering geht es nicht einfach nur um das Beschwindeln von anderen, um Lügen oder darum, eine Rolle zu spielen. In einem Gespräch mit Chris Nickerson, einem bekannten Social Engineer aus der TV-Serie Tiger Team, sagte er mir: „Beim echten Social Engineering glaubt man nicht einfach nur, eine Rolle zu spielen, sondern für diesen Moment ist man diese Person, man ist diese Rolle – das ist dann wie das eigene Leben.“

Social Engineering ist nicht nur eine einzelne Aktion, sondern eine Sammlung all der Fähigkeiten und Fertigkeiten, die im Framework erwähnt werden, die zusammengenommen dann die Aktion, den Skill und die Wissenschaft ausmachen, die ich als Social Engineering bezeichne. Ähnlich wie eine wundervolle Mahlzeit nicht nur aus einer Zutat besteht, sondern sich aus der sorgfältig abgewogenen Kombination, Mischung und Ergänzung vieler Zutaten zusammensetzt. So stelle ich mir vor, sollte Social Engineering sein, und ein guter Social Engineer ist hier dann der Chefkoch. Einen Klacks Infos herauslocken, ein wenig Manipulation hineinrühren und einige gute Handvoll Pretexting – und zack! haben Sie eine hervorragende und perfekte Social Engineering-Mahlzeit.

Natürlich diskutiert dieses Buch einige dieser Facetten, aber der Schwerpunkt liegt hauptsächlich darin, was Sie von den Gesetzeshütern, den Politikern, den Psychologen und sogar Kindern lernen können, um Ihre Fähigkeiten bei Audits zu verbessern und sich dann auch entsprechend besser selbst abzusichern. Zu analysieren, wie ein Kind seine Eltern manipuliert, kann einem als Social Engineer hervorragende Erkenntnisse darüber liefern, wie der menschliche Geist funktioniert. Wenn man darauf achtet, wie ein Psychologe seine Fragen formuliert, stellt man fest, wie es ihm gelingt, dass sich Menschen bei ihm entspannen und beruhigen. Wenn man durchschaut, wie ein polizeilicher Ermittler eine erfolgreiche Befragung durchführt, bekommt man eine klare Vorstellung davon, wie man dem Befragten bestimmte Informationen entlockt. Achtet man darauf, wie Regierungen und Politiker ihre Aussagen für optimale Wirkung formulieren, erkennt man, was funktioniert und was nicht. Wenn man analysiert, wie sich ein Schauspieler eine Rolle aneignet, öffnet einem das die Augen für die erstaunliche Welt des Pretexting. Durch die Analyse der Forschungen und Arbeiten führender Autoritäten zum Thema Mikroexpressionen und Überredungskunst erfährt man, wie diese Techniken beim Social Engineering eingesetzt werden können. Wenn man einige der Motivatoren untersucht, die von den besten Verkaufs- und Überredungsexperten der Welt eingesetzt werden, lernt man, wie Rapport hergestellt wird, wie man andere beruhigt und einlullt und dann seine Schäfchen ins Trockene holt, also den Deal abschließt.

Wenn man dann die andere Seite dieser Medaille, also die Trickbetrüger, die Betrugskünstler und Diebe untersucht und analysiert, lernt man, wie alle diese Fähigkeiten zusammenfließen, um andere zu beeinflussen und sie in eine Richtung zu bringen, von der sie nie gedacht hätten, dass sie sie einschlagen würden.

Kombinieren Sie dieses Wissen mit dem Geschick von Schlossknackern, Spionen, die mit versteckten Kameras arbeiten, und professionellen Informationssammlern, und vor Ihnen steht ein Social Engineer mit echtem Talent.

Sie brauchen weder jede einzelne der angesprochenen Fähigkeiten bei jedem Auftrag noch können Sie jede dieser Skills wirklich alle meistern. Wenn man hingegen versteht, wie diese Skills funktionieren und wann man sie einsetzen sollte, dann kann man die Wissenschaft des Social Engineering meistern. Es stimmt, dass manche wie Kevin Mitnick ein natürliches Talent dafür haben: Er konnte scheinbar jeden zu allem überreden. Frank Abagnale Jr. schien ein naturgegebenes Talent dafür zu besitzen, andere nach Belieben glauben zu machen, wer er ist. Victor Lustig hat das Unglaubliche geschafft und tatsächlich einige Menschen davon überzeugt, das Recht zu haben, den Eiffelturm verkaufen zu dürfen. Dieser Schwindel wurde nur von seinem Schwindel bei Al Capone getoppt.

Diese Social Engineers und viele, die ihnen ähnlich sind, haben scheinbar ein natürliches Talent oder ihnen fehlt die Angst, und so wagen sie sich an Dinge, die die meisten von uns niemals in Erwägung ziehen würden. Leider verbessern in unserer heutigen Welt die bösartigen Hacker andauernd ihre Skills, um andere Menschen zu manipulieren, und arglistige Social Engineering-Angriffe nehmen immer mehr zu. DarkReading hat einen Artikel veröffentlicht (www.darkreading.com/database_security/security/attacks/showArticle.jhtml?articleID=226200272), in dem festgestellt wird, dass Sicherheitseinbrüche zwischen einer und 53 Millionen Dollar pro Einbruch kosten. DarkReading zitiert Recherchen des Ponemon Institute und stellt fest: „Ponemon fand heraus, dass Angriffe aus dem Internet, bösartiger Code und heimtückische Insider die kostspieligsten Angriffsarten sind und über 90 % der Kosten bei Cybercrimes pro Organisation und Jahr stellen: Ein webbasierter Angriff kostet 143.209 Dollar, bösartiger Code kostet 124.083 Dollar und heimtückische Insider 100.300 Dollar.“ Dass heimtückische Insider es aufs Treppchen geschafft haben, legt nahe, dass Unternehmen sich mehr über die Gefahren klar sein müssen, die ihnen von bösartigem Social Engineering drohen – sogar von eigenen Angestellten.

Viele dieser Angriffe hätten vermieden werden können, wenn die Menschen ausgebildet gewesen wären, denn dann hätten sie sich diesem Wissen gemäß verhalten können. Manchmal fällt es einem bereits wie Schuppen von den Augen, wenn man herausfindet, wie böse Buben denken und handeln.

Ein Beispiel aus einem viel kleineren und persönlicheren Rahmen: Ich habe letztens einmal mit einer engen Freundin deren finanzielle Situation diskutiert und dass sie sich Sorgen machte, betrogen zu werden oder einem Hacker zum Opfer zu fallen. Im Verlauf des Gesprächs ging es auch darum, wie einfach es ist, Passwörter anderer Leute zu „raten“. Ich erzählte ihr, dass oft immer das gleiche Passwort für jedes Konto genommen wird, und sah, wie sie bleich wurde, als ihr klar wurde, dass sie das ja auch macht. Ich sagte ihr, dass die meisten Leute ganz einfache Passwörter nehmen, in denen der Name ihres Ehepartners vorkommt, der eigene Geburtstag oder Hochzeitstag. Ich sah, wie noch mehr Blut aus ihren Wangen wich. Ich fuhr damit fort, dass meist ganz, ganz einfache „Sicherheitsfragen“ wie „Ihr Geburtsname oder der Ihrer Mutter“ genommen werden und wie leicht man solche Infos über das Internet oder ein paar geschwindelte Anrufe herausbekommt.

Viele Leute geben solche Informationen in ihren Konten bei Blippy, Twitter oder Facebook an. Diese Freundin nutzte soziale Medien nun nicht sonderlich intensiv, also fragte ich sie, ob sie der Meinung sei, dass sie solche Informationen möglicherweise bei einigen Telefonaten angeben würde. Natürlich verneinte sie dies. Um zu verdeutlichen, wie bereitwillig andere persönliche Informationen weitergeben, erzählte ich ihr, dass ich mal in einem Restaurant ein Platzdeckchen gesehen hatte, auf dem ein 50-prozentiger Rabatt bei einem Golfplatz angeboten wurde – ein sehr attraktives Angebot. Um dieses Angebot nutzen zu können, musste man nur seinen Namen, das Geburtsdatum und die Postadresse angeben und ein Passwort für ein Konto, das dann eingerichtet und an die angegebene E-Mail-Adresse geschickt wird. (Mir war das überhaupt nur deswegen aufgefallen, weil jemand einen solchen Coupon unfertig ausgefüllt auf dem Tisch liegengelassen hatte.) Täglich werden Websites erstellt, um solche sensiblen Informationen abzugreifen.

Ein Telefonat unter dem Vorwand einer Umfrage oder eine schnelle Recherche im Netz kann ein Geburtsdatum oder einen Hochzeitstag ergeben, und gewappnet mit diesen Informationen erstelle ich mir eine Passwortliste für einen Angriff. Außerdem bietet etwa ein Dutzend Sites detaillierte Aufzeichnungen aller möglichen persönlichen Informationen über Personen an, und man bezahlt dafür gerade mal zwischen 9 und 30 US-Dollar.

Wenn man weiß, wie bösartige Social Engineers denken, wie Trickbetrüger auf Informationen reagieren und wie Schwindler alles Mögliche versuchen, wird einem bewusster, was um einen herum passiert.

Mit einem Team von Sicherheitsenthusiasten habe ich das Internet durchforstet und Stories gesammelt, die viele unterschiedliche Aspekte des Social Engineering zeigen. Diese Storys helfen dabei, eine zentrale Frage zu beantworten: „Wie wurde Social Engineering in der Gesellschaft im Laufe der Zeit eingesetzt?“. Außerdem erkennen wir, wo Social Engineering einzuordnen ist und wie es auf bösartige Weise eingesetzt wird.

1.2.1   Social Engineering und sein Platz in der Gesellschaft

Wie bereits angesprochen, trifft man in vielen Lebensbereichen auf Social Engineering, aber nicht überall ist es bösartig gemeint oder dient schlimmen Zwecken. Oftmals wird Social Engineering dafür eingesetzt, jemanden zu motivieren, eine Aktion auszuführen, die gut für ihn ist. Doch wie läuft das ab?

Denken Sie mal an Folgendes: John muss abnehmen. Er weiß, dass es um seine Gesundheit nicht gut bestellt ist und er etwas unternehmen muss. Johns Freunde sind ebenfalls übergewichtig. Sie machen sogar Witze darüber, zu dick zu sein, und sagen solche Sachen wie „Ich finde es toll, dass ich mir keine Gedanken über meine Figur machen brauche“. Einerseits ist dies ein Aspekt des Social Engineering. Es ist ein Social Proof (man verhält sich lieber so, wie man annimmt, dass die eigene Umgebung es gut findet) oder Konsens, bei dem das, was man als akzeptabel erachtet, vom eigenen Umkreis bestimmt wird. Weil Johns enger Umkreis Übergewicht für vertretbar hält, ist es für John einfacher, das ebenfalls zu akzeptieren. Doch wenn einer dieser Freunde abnehmen würde und dabei nicht in Urteile verfällt, was besser oder schlechter ist, sondern zur Hilfe motiviert würde, dann existiert die Möglichkeit, dass Johns Einschätzung übers Gewicht sich ändern könnte, und vielleicht bekommt er auch den Eindruck, dass Abnehmen gut und möglich ist.

Das ist die Essenz des Social Engineering. So erkennen Sie klar und deutlich, wie Social Engineering in die Gesellschaft und das Alltagsleben passt. Die folgenden Abschnitte präsentieren ein paar Beispiele für Social Engineering, Betrugsmaschen (Scams) und Manipulationen und eine Analyse, wie sie funktionieren.

Der 419 Scam

Der 419 Scam, besser bekannt unter dem Namen Nigeria-Scam, hat sich zu einer Epidemie ausgewachsen. Sie finden darüber einen Artikel im Archiv unter www.social-engineer.org/wiki/archives/ConMen/ConMen-Scam-NigerianFee.html (oder unter http://de.wikipedia.org/wiki/Vorschussbetrug#Nigeria-Scam).

Im Prinzip wird eine E-Mail (oder bis vor kurzem noch ein Brief) versendet, in der die Zielperson informiert wird, sie sei für ein sehr lukratives Geschäft auserwählt worden und brauche dafür nur ein wenig Unterstützung zu leisten. Wenn das Opfer dabei behilflich ist, dem Absender des Briefes eine große Summe aus einem ausländischen Bankkonto zu entnehmen, dann stellt dieser einen Anteil dieser Summe für die Zielperson in Aussicht. Nachdem die Zielperson eingewilligt hat und „sich registriert“, entsteht unerwartet ein Problem, durch das eine Gebühr fällig wird. Nachdem diese Gebühr von der Zielperson beglichen wurde, erscheint ein neues Problem, auch dieses wieder gebührenpflichtig. Jedes Problem ist „das letzte“ und nur noch „eine abschließende Gebühr“ ist nötig, aber das kann sich über mehrere Monate hinziehen. Das Opfer kriegt niemals irgendwelches Geld zu sehen und verliert bei diesem Prozess zwischen 10.000 und 50.000 US-Dollar. Was diese Betrugsmasche so erstaunlich macht, ist, dass in der Vergangenheit von offiziellen Dokumenten, Unterlagen, Briefköpfen und sogar persönlichen Treffen berichtet wurde.

Kürzlich ist auch eine Variante dieses Scams aufgetaucht, bei der die Opfer tatsächlich einen echten Scheck zugesandt bekommen haben. Die Betrüger versprechen eine große Geldsumme und erwarten im Gegenzug für ihre Mühen nur einen kleinen Anteil. Wenn die Zielperson die Anweisung einer (vergleichsweise) geringen Summe von 10.000 Dollar veranlasst, dürfen sie die Differenz behalten, wenn der versprochene Scheck eintrifft und eingelöst wird. Das Problem ist, dass der übersandte Scheck betrügerisch ist, also ungedeckt ist, und wenn das Opfer ihn einlösen will, dann bekommt es noch Strafen und Gebühren für diesen Betrug aufgedrückt – in manchen Fällen, nachdem das Opfer sein Geld bereits an die Trickbetrüger überwiesen hat.

Dieser Scam ist so erfolgreich, weil er mit der Gier der Opfer spielt. Wer würde nicht 10.000 Dollar einsetzen, um 1 Million Dollar oder auch nur 100.000 Dollar zu verdienen? Die meisten schlauen Leute wären dazu bereit. Wenn diese Leuten es mit offiziellen Dokumenten, Ausweisen, Empfangsbestätigungen und sogar richtigen Büros mit „behördlichem Personal“ zu tun bekommen, dann schlucken sie den Köder und legen sich richtig ins Zeug, um diesen Deal abzuschließen. Bei dieser Betrugsmasche spielen großes Engagement und Konsistenz eine ebenso große Rolle wie die Verbindlichkeit. Ich diskutiere diese Attribute in den späteren Kapiteln eingehender, und wenn wir dieses Thema wieder aufgreifen, dann werden Sie verstehen, warum dieser Scam so erfolgreich ist.

Die Macht des Mangels

Der unter www.social-engineer.org/wiki/archives/Governments/Governments-FoodElectionWeapon.html abgelegte Artikel greift das sogenannte Prinzip des Mangels auf.

Mit Mangel oder Knappheit ist hier gemeint, dass man darauf hinweist, etwas, das andere brauchen oder gerne haben würden, sei nur begrenzt verfügbar, und um das zu bekommen, muss man eine gewisse Einstellung haben oder eine bestimmte Aktion durchführen. Sehr oft wird das erwünschte Verhalten nicht einmal angesprochen, sondern so vermittelt, dass gezeigt wird, wie jemand belohnt wird, der sich „korrekt“ verhält.

In dem Artikel geht es um die Verwendung von Lebensmitteln, um in Südafrika Wahlen zu gewinnen. Wenn eine Gruppe oder Person nicht den „richtigen“ Anführer unterstützt, werden die Lebensmittel knapp, und Jobs werden den Leuten wieder weggenommen und jenen zugeteilt, die die Sache der Mächtigen mehr unterstützen. Wenn die Leute ein solches Verhalten beobachten, dauert es nicht lange, bis sie „auf Spur“ gebracht werden. Dies ist eine sehr böswillige und verletzende Form des Social Engineering, aber nichtsdestotrotz eine Art, von der man lernen kann. Es ist oft der Fall, dass die Menschen etwas wollen, das knapp ist, und sie werden alles daran setzen, es zu bekommen, wenn ihnen glaubhaft vermittelt wird, dass bestimmte Handlungen für sie nachteilig sind bzw. sie durch andere Handlungen mehr vom Gewünschten bekommen. Was bestimmte Fälle sogar noch schlimmer macht, ist wie im vorigen Beispiel, dass eine Regierung etwas Lebensnotwendiges nimmt, es „verknappt“ und so nur für Anhänger und Befürworter verfügbar macht – eine bösartige, aber sehr effektive Manipulationstaktik.

Der Dalai Lama und das Social Engineering 

In einem interessanten Artikel unter www.social-engineer.org/wiki/archives/Spies/Spies-DalaiLama.html wird detailliert ein Angriff auf den Dalai Lama im Jahre 2009 beschrieben.

Eine chinesische Hackergruppe wollte auf die Server und Dateien des Netzwerks zugreifen, das dem Dalai Lama gehörte. Welche Methoden kamen bei diesem erfolgreichen Angriff zum Einsatz?

Die Angreifer überzeugten das Personal im Büro des Dalai Lamas davon, bösartige Software auf ihren Server herunterzuladen und zu öffnen. Dieser Angriff ist interessant, weil hier sowohl ein technologischer Hack als auch Social Engineering zusammentreffen.

Der Artikel stellt fest: „Die Software wurde laut Sicherheitsforscher Ross Anderson, Professor für Security Engineering am University of Cambridge Computer Laboratory, an E-Mails angehängt, die vorgeblich von Kollegen oder Kontaktpersonen aus der Pro-Tibet-Bewegung stammen. So steht es in der Montagsausgabe der Washington Times. Die Software stahl Passwörter und andere Informationen, durch die Hacker Zugriff auf das E-Mail-System des Büros und auf Dokumente bekamen, die auf den Computern gespeichert waren.“

Dabei wurde Manipulation eingesetzt, aber auch solch bekannte Angriffsvektoren wie Phishing (bei dieser Technik werden E-Mails mit verlockenden Nachrichten und Links oder Dateien verschickt, die geöffnet werden sollen, um mehr Informationen zu bekommen; oft führen diese Links oder Dateien zu bösartigen Nutzlasten) und Exploits (die Ausbeutung von bekannten Sicherheitsschwachstellen). Dieser Angriff funktioniert bei großen Firmen und auch bei Regierungen und wurde dort auch schon erfolgreich umgesetzt. Dieses Beispiel ist nur eines aus einem großen Pool von Beispielen, wo besagte Vektoren zu massiven Schäden geführt haben.

Diebstahl durch Angestellte

Mit dem Thema Diebstahl durch Angestellte kann man ganze Bände füllen, vor allem vor dem Hintergrund solch erschütternder Statistiken wie z.B. www.social-engineer.org/wiki/archives/DisgruntledEmployees/DisgruntledEmployees-EmployeeTheft.html. Hier gaben über 60 % der befragten Angestellten zu, dass sie bereits Daten in der einen oder anderen Form von ihren Arbeitgebern entwendet haben.

Sehr oft werden diese Daten dann an Konkurrenten verkauft (so geschehen in dieser Story eines Angestellten von Morgan Stanley: www.social-engineer.org/wiki/archives/DisgruntledEmployees/DisgruntledEmployees-MorganStanley.html). Bei anderen Gelegenheiten stehlen Angestellte Zeit oder andere Ressourcen, und in vielen Fällen können verärgerte Angestellte große Schäden verursachen.

Ich sprach einmal mit einem Kunden über dessen Firmenrichtlinien zur Entlassung von Angestellten, z.B. die Deaktivierung von Zugangskarten, die Löschung von Netzwerkzugängen und die Eskortierung der entlassenen Angestellten aus dem Gebäude. Die Firma war der Ansicht, dass alle „zur Familie gehörten“ und dass solche Richtlinien nicht umsetzbar seien.

Leider gab es dann mal den Tag, als ein Angestellter, nennen wir ihn „Jim“, entlassen werden musste. Er gehörte zu den höheren Rängen des Unternehmens. Die Entlassung lief gut, man trennte sich einvernehmlich, und Jim sagte, dass er Verständnis habe. Das Einzige, was das Management richtig gemacht hatte, war, ihn kurz vor Feierabend zu feuern, um peinliche Momente und Ablenkungen zu vermeiden. Man schüttelte sich die Hände, und dann stellte Jim die verhängnisvolle Frage: „Kann ich mich noch eben eine Stunde an meinen Schreibtisch setzen, um alles aufzuräumen und ein paar private Bilder vom Computer zu nehmen? Bevor ich dann gehe, werde ich meine Schlüsselkarte an den Sicherheitsdienst übergeben.“

Weil man sich bei diesem Meeting gut fühlte, stimmten alle zu, und man trennte sich scherzend und mit einem Lächeln auf den Lippen. Dann ging Jim in sein Büro, packte seine persönlichen Sachen in einen Karton, zog die Bilder und andere Daten von seinem Computer, ging ins Netzwerk und löschte elf Server voller Daten: Buchhaltungsunterlagen, Gehaltsabrechnungen, Rechnungen, Bestellungen, Aufzeichnungen über zeitliche Abläufe, Bilder und Grafiken und vieles mehr – alles gelöscht innerhalb weniger Minuten. Jim gab wie versprochen seine Schlüsselkarte ab und verließ ruhig das Gebäude, ohne Beweise zu hinterlassen, dass er derjenige war, der diesen Angriff initiiert hatte.

Am nächsten Tag bekam ich einen Anruf des Eigentümers, der mir die Katastrophe beschrieb, die sein Exangestellter hinterlassen hatte. Der Kunde hoffte zwar auf eine Wunderwaffe gegen den Schaden, aber er hatte keine andere Wahl, als zu versuchen, möglichst viel forensisch wieder herzustellen und mit den Backups anzufangen, die aber leider über zwei Monate alt waren.

Ein aufgebrachter Angestellter, der nicht überprüft und überwacht wird, kann verheerender sein als ein Team entschlossener und fähiger Hacker. Der Diebstahl durch Angestellte beläuft sich allein in den USA auf schätzungsweise etwa 15 Milliarden US-Doller.

Diese Stories werfen die Frage auf, welche unterschiedlichen Kategorien von Social Engineers es wohl gibt und wie man sie klassifizieren kann.

DarkMarket und Master Splynter

2009 wurde eine Story über eine Untergrundgruppe namens DarkMarket ruchbar, dem sogenannten eBay für Kriminelle. Diese hermetisch abgeschlossene Gruppe handelte mit gestohlenen Kreditkartennummern und Tools für Identitätsdiebstahl und auch allem, was man braucht, um z.B. Zugangsberechtigungen usw. zu fälschen.

Ein FBI-Agent namens J. Keith Mularski ging undercover und infiltrierte die DarkMarket-Site. Nach einer Weile wurde Agent Mularski zu einem Administrator der Site. Obwohl viele versuchten, ihn zu diskreditieren, blieb er über drei Jahre als Admin der Site am Ball.

In dieser Zeit musste Mularski wie ein böswilliger Hacker leben, sprechen, handeln und denken. Er gab vor, ein böswilliger Spammer zu sein, und brachte genug Wissen mit, um diese Masche glaubhaft zu vermitteln. Sein Pretexting und seine Fähigkeiten als Social Engineer zahlten sich aus, weil Agent Mularski DarkMarket als der berüchtigte Master Splynter infiltrierte. Nach drei Jahren war er wesentlich daran beteiligt, einen weitreichenden Ring auszuheben, der sein Geld mit Identitätsdiebstahl verdiente.

Die dreijährige Social Engineering-Operation führte zu 59 Festnahmen und verhinderte Bankbetrügereien im Rahmen von über 70 Millionen US-Dollar. Dies ist nur ein Beispiel dafür, wie die Skills eines Social Engineers auch für gute Zwecke eingesetzt werden können.

1.2.2   Verschiedene Typen von Social Engineers

Wie bereits ausgeführt, kann Social Engineering vielerlei Formen annehmen. Es kann böswillig oder freundlich sein, damit kann etwas aufgebaut oder auch zerstört werden. Bevor wir uns dem Kern dieses Buches zuwenden, schauen wir uns die verschiedenen Arten der Social Engineers an und umreißen sie kurz:

       Hacker: Die Hersteller von Software werden immer geschickter darin, Software zu schaffen, die gehärtet oder schwerer zu knacken ist. Wenn Hacker auf mehr und mehr gehärtete Software treffen und wenn Software- und Netzwerkangriffsvektoren wie das Remote Hacking immer schwieriger werden, wenden sich die Hacker dem Social Engineering zu. Oft nutzen sie eine Mischung aus Hardware und persönlichen Skills und setzen Social Engineering in aller Welt sowohl bei großen Angriffen als auch in kleineren Einbrüchen ein.

       Penetrationstester: Weil ein echter Penetrationstester (auch als Pentester bekannt) von seiner Natur her sehr offensiv ist, muss diese Kategorie direkt nach den Hackern folgen. Echte Penetrationstester lernen die Skills, die auch böswillige Hacker nutzen, und setzen sie ein, um die Sicherheit ihrer Kunden wirklich gewährleisten zu können. Penetrationstester sind Leute, die vielleicht die Skills eines böswilligen Black Hat haben, aber diese Informationen niemals zum eigenen Vorteil nutzen oder um das Ziel zu schädigen.

       Spione: Für Spione ist Social Engineering sozusagen ihre Art zu leben. Sie setzen oft jeden Aspekt des Social Engineering-Frameworks ein (wird in diesem Kapitel später noch angesprochen), und in dieser Wissenschaft sind sie Experten. In aller Welt lernen Spione, wie sie ihre Opfer so beschwindeln können, dass sie sie für jemand halten, der sie in Wahrheit nicht sind. Außerdem bauen Spione oft auf Glaubwürdigkeit, indem sie ein wenig oder auch gar sehr viel über das Business oder die Regierung wissen, die sie per Social Engineering hintergehen wollen.

       Identitätsdiebe: Mit Identitätsdiebstahl ist gemeint, dass persönliche Informationen wie Name, Bankkontonummer, Adresse, Geburtsdatum und Sozialversicherungsnummer ohne Wissen des Eigentümers verwendet werden. Diese Straftat reicht vom Anziehen einer Uniform (siehe der „Hauptmann von Köpenick“) bis zur Verkörperung einer Person, um deutlich ausgefeiltere Scams umsetzen zu können. Identitätsdiebe setzen viele Aspekte des Social Engineering ein, und im Laufe der Zeit fühlen sie sich immer mehr ermutigt und werden dem von ihnen verursachten Leiden gegenüber immer indifferenter.

       Verärgerte Angestellte: Wenn ein Mitarbeiter auf seinen Arbeitgeber sauer ist, entsteht häufig ein feindseliges Verhältnis. Oft ist dies eine einseitige Situation, da der Angestellte üblicherweise das Ausmaß seiner Verstimmung verbergen will, um seine Stelle nicht aufs Spiel zu setzen. Doch je verärgerter er wird, desto einfacher kann er vor sich Handlungen rechtfertigen, die mit Diebstahl, Vandalismus und anderen Straftaten zu tun haben.

       Trickbetrüger: Scams oder Betrugsmaschen gründen sich auf die Gier der Menschen oder andere Prinzipien und ziehen damit Begehrlichkeiten an, „eine schnelle Mark zu machen“. Betrugskünstler oder Hochstapler haben sich meisterhaft die Fähigkeit angeeignet, andere zu „lesen“ und kleinste Hinweise zu erkennen, denen sie entnehmen, ob jemand ein gutes Opfer abgibt. Sie sind außerdem auch sehr geschickt dabei, Situationen zu schaffen, die sich dem Opfer als unschlagbare Gelegenheiten präsentieren.

       Personalvermittler: Anwerber und Personalvermittler müssen ebenfalls viele Aspekte des Social Engineering meistern. Sie müssen nicht nur Elicitation (das Entlocken von Informationen) meistern, sondern auch viele der psychologischen Prinzipien des Social Engineering, und sind darum sehr bewandert darin, Menschen zu durchschauen und auch zu verstehen, was andere motiviert. Oftmals muss ein Personalvermittler nicht nur den Jobsuchenden berücksichtigen und ihn zufriedenstellen, sondern auch den Jobanbieter.

       Verkaufspersonal: Ähnlich wie Personalvermittler oder „Headhunter“ müssen auch Verkäufer viele Skills im Umgang mit Menschen meistern. Viele Verkaufsgurus sagen, dass ein guter Verkäufer keine Leute manipuliert, sondern sein Geschick nutzt, um die Bedürfnisse der anderen herauszufinden, und anschließend danach schaut, ob er sie erfüllen kann. In der Kunst des Verkaufens kommen viele Fähigkeiten und Fertigkeiten zusammen, z.B. Informationssammlung, Entlocken von persönlichen Angaben (Elicitation), Beeinflussung, psychologische Prinzipien und auch viele andere soziale Fähigkeiten.

       Regierungen: Die Regierungen werden nicht oft als Social Engineers betrachtet, aber sie nutzen Social Engineering, um die von ihnen ausgegebenen Botschaften zu kontrollieren und auch die Menschen, die sie regieren. Viele Regierungen arbeiten mit Social Proof, Autorität und Verknappung, um zu gewährleisten, dass ihre Bürger unter Kontrolle sind. Diese Art von Social Engineering ist nicht immer negativ, weil einige der von den Regierungen vermittelten Botschaften zum Guten der Menschen weitergegeben werden, und wenn man bestimmte Elemente des Social Engineering einsetzt, werden diese Botschaften möglicherweise ansprechender und allgemeiner akzeptiert.

       Ärzte, Psychologen und Rechtsanwälte: Obwohl die Personen in diesen Berufszweigen scheinbar nicht in die gleiche Kategorie der anderen Social Engineers passen, setzen sie die gleichen Methoden ein, wie sie von anderen Gruppen dieser Liste verwendet werden. Sie müssen in ihren Taktiken dem Gegenüber Informationen entlocken, es korrekt befragen und aushorchen sowie viele, wenn nicht gar alle psychologischen Prinzipien des Social Engineering einsetzen, um ihre „Ziele“ (Klienten) in die Richtung zu manipulieren, die sie einschlagen sollen.

Ungeachtet des Einsatzfeldes finden Sie scheinbar überall Social Engineering oder einen Aspekt davon. Darum halte ich an der Überzeugung fest, dass es sich beim Social Engineering um eine Wissenschaft handelt. Es gibt regelrechte Gleichungen, die jemanden dazu befähigen, Elemente des Social Engineering zu „addieren“, um zum Ziel zu gelangen. Im Beispiel eines Trickbetrügers sieht die Gleichung wie folgt aus: Pretexting + Manipulation + die Neigung zur Gier = für Social Engineering geeignete Zielperson.

Bei jeder Situation ist es am schwierigsten zu wissen, welche Elemente hier funktionieren werden, aber das Geschick besteht darin zu lernen, wie man diese Elemente nutzt. Dies war die gedankliche Grundlage hinter der Entwicklung des Social Engineering-Frameworks. Dieses Framework hat die Art und Weise revolutioniert, wie Social Engineering analysiert wird. Das erläutern wir im nächsten Abschnitt.

1.2.3   So nutzen Sie das Social Engineering-Framework

Durch eigene Erfahrungen und Recherchen habe ich versucht, die Elemente zu umreißen, die einen Social Engineer ausmachen. Jedes dieser Elemente definiert einen Teil der Gleichung, die letzten Endes den vollständigen Social Engineer ergibt. Diese Aspekte sind nicht in Stein gemeißelt, denn von seinem ursprünglichen Zustand bis zum heutigen Tag ist das Framework im Wachsen und Gedeihen begriffen.

Der Zweck dieses Frameworks ist, allen Interessierten genug Informationen an die Hand zu geben, um auf diese Skills aufzubauen. Das Framework ist nicht als vollständige und umfassende Ressource für alle Informationen aus jedem Kapitel gedacht. Der Abschnitt von Kapitel 5, in dem es um Mikroexpressionen geht, basiert beispielsweise auf Forschungen der besten Köpfe dieser Sparte und meinen eigenen Erfahrungen, solche Informationen einzusetzen. Es ist keineswegs dazu gedacht, die 50 Jahre Forschungsarbeit solch hervorragender Geister wie Dr. Paul Ekman zu ersetzen.

Wenn Sie sich das Framework durchlesen, werden Sie sehen, dass Sie durch Einsatz der vielen Skills darin nicht nur Ihre Sicherheitspraxis erweitern, sondern auch Ihre geistige Haltung, wie man sich Sicherheit verschafft, wie man umfassender kommuniziert und wie man versteht, wie Menschen denken.

Werfen Sie einen Blick ins Inhaltsverzeichnis des Buches, um eine klare Vorstellung über das Framework zu bekommen, oder gehen Sie ins Internet zu www.social-engineer.org/framework. Auf den ersten Blick mag das Framework einschüchternd wirken, doch in diesem Buch finden Sie eine Analyse aller Themen und sind dann in der Lage, diese Skills anzuwenden, zu erweitern und aufzubauen.

Wissen ist Macht – soviel steht fest. In diesem Sinne ist Aufklärung und Information die beste Verteidigung gegen die meisten Social Engineering-Angriffe. Sogar bei jenen, gegen die man sich nicht hundertprozentig mit Wissen schützen kann, bleibt man aufmerksam, wenn man Details dieser Angriffe kennt. Mit der Schulung erweitern Sie Ihre eigenen Skills und bleiben wachsam.

Neben der Schulung brauchen Sie allerdings auch Praxis. Dieses Buch ist nicht für die einmalige Lektüre als Handbuch gedacht, sondern eher als Leitfaden zum Selbststudium. Sie können jeden Abschnitt üben und an eigene Bedürfnisse anpassen. Das Framework ist progressiv in dem Sinne, dass es vorstellt, wie ein Social Engineering-Angriff angelegt ist. Jeder Abschnitt des Frameworks diskutiert das nächste Thema in der Reihenfolge, in der ein Social Engineer diesen Skill bei seinen Aktivitäten oder Planungsphasen nutzen wird.

Das Framework zeigt, wie Angriffe entworfen werden. Nachdem der Angriff geplant ist, kann man die erforderlichen Skills studieren, ausbauen und üben, bevor man sich an die Umsetzung macht.

Nehmen wir beispielsweise an, dass Sie ein Social Engineering-Audit bei einer Firma planen, die überprüfen will, ob Sie in deren Serverraum gelangen und Daten stehlen könnten.

Vielleicht nehmen Sie sich als Angriffsplan vor, so zu tun, als wären Sie ein Kundendiensttechniker, der den Serverraum betreten muss. Dafür können Sie Informationen sammeln, vielleicht sogar einen Dumpster Dive durchführen.

Dann könnten Sie unter dem Vorwand, dieser Techniker zu sein, mit versteckter Kamera arbeiten und die korrekte Sprache und sprachliche sowie äußerliche Hinweise einsetzen, wie Sie agieren, klingen und aussehen müssen, um als Techniker durchzugehen.

Wenn Sie herausgefunden haben, welche Firma Ihr Kunde mit dem technischen Support beauftragt hat, können Sie darüber auch weitere Informationen sammeln. Wen schickt Ihr Kunde normalerweise bei einem Serviceauftrag hin? Wie heißen die Angestellten, mit denen die Firmenmitarbeiter dann zu tun haben? Der Angriff muss umfassend und sorgfältig geplant werden.

Dieses Buch ist allerdings auch nicht nur für solche Leute, die Audits durchführen. Viele Leser sind neugierig darauf, um was für Angriffe es sich handelt – nicht weil sie eine Firma, sondern sich selbst schützen wollen. Wenn einem nicht bewusst ist, wie ein böswilliger Social Engineer denkt, rückt einen das sofort ein ganzes Stück näher daran, gehackt zu werden.

Auch Studierende im Bereich Sicherheit haben das Framework verwendet. Die Informationen im Framework umreißen einen realistischen Pfad für diese Vektoren oder Methoden des Angriffs, und so werden die Leser in die Lage versetzt, sie gründlich zu studieren.

Generell helfen diese Informationen Ihnen dabei, Ihre kommunikativen Fähigkeiten im Alltagsleben zu verbessern und zu erweitern. Wenn Sie wissen, wie man die Mimik eines Menschen lesen muss, oder wie man Fragen so formuliert, dass das Gegenüber sich entspannt und gerne antwortet, erweitert das Ihre Fähigkeiten, mit Ihrer Familie und Ihren Freunden zu kommunizieren. Es hilft Ihnen dabei, ein guter Zuhörer zu werden und sich über die Gefühle anderer Menschen bewusster zu werden.

Wenn Sie die Körpersprache der Menschen, ihre Mimik und ihren Tonfall „lesen“ können, verbessert das außerdem Ihre Fähigkeiten, ein effektiver Kommunikator zu sein. Wenn Sie verstehen, wie Sie sich selbst und die Menschen schützen können, die Ihnen lieb und wert sind, wertet Sie das ebenfalls auf und macht Ihnen Ihre Umwelt bewusster.

1.3   Zusammenfassung

Wie bei jedem Buch sind auch die hier enthaltenen Informationen nur nützlich und sinnvoll, wenn Sie sie einüben und ausprobieren. Je mehr Sie davon praktizieren, desto erfolgreicher eigenen Sie sich diese Skills an.

Ich habe bereits erwähnt, dass Social Engineering dem Kochen ähnelt. Indem Sie die richtigen Zutaten in der passenden Menge mischen, bekommen Sie eine leckere und spannende Mahlzeit. Wenn Sie das erste Mal ein Gericht kochen, wird es vielleicht versalzen oder hat gar keinen Geschmack, aber dann werfen Sie auch nicht gleich das Handtuch: Sie probieren weiter, bis es Ihnen gelingt. Das Gleiche gilt fürs Social Engineering. Manche der erforderlichen Skills liegen Ihnen persönlich mehr, und andere sind eher schwierig für Sie.

Wenn ein bestimmtes Thema schwer verständlich ist oder Sie partout keinen Zugang dazu finden, sollten Sie nicht aufgeben oder glauben, dass Sie es nicht lernen können. Jeder kann sich diese Skills mit dem richtigen Einsatz und Engagement aneignen.

Behalten Sie auch stets im Hinterkopf, dass wie bei einem echten Rezept viele „Zutaten“ zu einem Social Engineering-Auftritt gehören. Die erste Zutat ist wahrscheinlich erst dann sinnvoll, wenn Sie schon ein wenig mehr in die Thematik eingestiegen sind. Bestimmte Skills (wie z.B. der „menschliche Pufferüberlauf“ aus Kapitel 5) werden erst dann nachvollziehbar und sinnvoll, wenn Sie andere im Buch angeführten Skills gemeistert haben.

Doch bleiben Sie einfach weiterhin in Übung und achten Sie gewissenhaft darauf, für jene Themen weitere Recherchen anzustrengen, die Ihnen unklar sind. Nun fangen wir mit dem Kochen an: Ihr „Rezept“ beginnt im nächsten Kapitel mit der ersten Zutat: dem Sammeln von Informationen.