Die unterschätzte Gefahr - Tricks und Techniken eines Social-Engineers - BSI
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Die unterschätzte Gefahr – Tricks und Techniken eines Social-Engineers
Zum Referenten:
Donald Ortmann
• Jahrgang 1977, wohnhaft in Hamburg, 2 Söhne
• Studium Dipl. Finanzwirt, IT-Management B.Sc.
• Seit 27 Jahren in der Hamburger IT-Szene
• Über 16 Jahren im weltweiten IT-Support tätig
• Informations-Sicherheitsbeauftragter
• Auditor mit Prüfverfahrenskompetenz §8a BSIG
• Betriebl./behördl. Datenschutzbeauftragter
• Ausbilder für Fachinformatiker
• BCM IT-Notfallmanager
• EXIN Ethical Hacker
• ITIL, Cobit, Prince2, Scrum
• BlackHat Full Scope Social Engineer
• www.linkedin.com/in/donald-ortmann-secure
15.09.2020 © WE-DO-IT 2020 5
Mein Arbeitsbereich • Cyberabwehr-Übungen und Notfalltrainings Reaktion auf Notfallszenarien, Training für CERTs und Krisenstäbe, als Planspiel oder reale Simulation • Sicherheitschecks und Pentetrationstest internationaler Einsatz, Feststellen von Verwundbarkeiten, Optimierung der Sicherheitsoberfläche, allein oder im Team • Trainings & Seminare Cybersecurity für Führungskräfte, IT-Management, ISMS- und BCM Verantwortliche, Datenschutz-, Compliance- Beauftragte, Betriebsrat, IT-Sec-Management, Pentester, Red- und Blueteamer, CISOs 15.09.2020 © WE-DO-IT 2020 3
AGENDA
1. Lagebild
2. Human Hacking
3. Aufklärung des Ziels
4. Bewaffnung und Angriff
5. Zustellung und Ausnutzung
6. Schutz vor Social Engineering
7. Fragen und Tipps
15.09.2020 © WE-DO-IT 2020 4
Wer macht denn so etwas?
Die Microsoft-Hotline:
Beim Surfen auf eine verseuchte
Webseite erscheint eine Microsoft-Seite
mit einer Warnung und einem Bild-in-
Bild-Popup. Das Ganze wird untermalt
von einem Windows-Sound, welcher den
Alarm besonders echt wirken lässt.
Die Seite fordert zum Anruf bei einer
0800-Hotline von MS auf.
An der Hotline wird dann zum Download
des auf der Seite verlinkten
„Diagnosetools“ aufgefordert, gern
werden auch Onlinezahlungs-Zugänge
abgefragt – solch ein Service ist
schließlich kostenpflichtig.
5
Lagebild
Aktuell allein bei Google pro Tag 240 Millionen klassischer Spam
mit Coronabezug inkl. Phishinglinks oder Schadcode
Selbst WHO gehackt und über donate@who.int zum
Spenden von Bitcoins aufgerufen
Aktuell geht eine neue EMOTET-Welle durch das Internet.
Das Ziels sind Computer und Netzwerke, worüber sich Emotet
weiter verbreitet.
Weiter auf dem Vormarsch ist das sogenannte Social
Engineering. Dabei werden Mitarbeiter manipuliert, um an
sensible Informationen zu kommen, mit denen dann in einem
weiteren Schritt zum Beispiel Schadsoftware auf die
Firmenrechner gebracht werden kann.
Quelle: Webseite Polizei NRW
15.09.2020 © WE-DO-IT 2020 6
Lagebild Der Bitkom untersucht in enger Zusammenarbeit mit dem BSI die Bedrohungslage der deutschen Digitalwirtschaft laufend. Dies ist der aktuelle Bericht. 15.09.2020 7
Lagebild 15.09.2020 © WE-DO-IT 2020 8
Lagebild 15.09.2020 © WE-DO-IT 2020 9
Lagebild 15.09.2020 © WE-DO-IT 2020 10
AGENDA
1. Lagebild
2. Human Hacking
3. Aufklärung des Ziels
4. Bewaffnung und Angriff
5. Zustellung und Ausnutzung
6. Schutz vor Social Engineering
7. Fragen und Tipps
15.09.2020 © WE-DO-IT 2020 12Human Hacking
Social Engineering ist wie Schach spielen, nur dass die
Figuren dazu gebracht werden, sich selbst zu setzen.
Dreist gewinnt.
Je einfacher, desto erfolgreicher
Stimmige Details überzeugen
Quelle: sachsen-fernsehen.de „Lebendschach“ auf dem Dresdner Neumarkt
13Human Hacking
„Emotion schlägt Information!“
15.09.2020 © WE-DO-IT 2020 17Human Hacking
Schnelles Denken vs Langsames Denken
Thinking, Fast and Slow) ist ein Buch von Daniel Kahneman, das seine oft gemeinsam mit Amos Tversky
durchgeführten Forschungen aus mehreren Jahrzehnten zusammenfasst.
Die zentrale These ist die Unterscheidung zwischen zwei Arten des Denkens
System 1: Schnell, automatisch, immer aktiv, emotional, stereotypisierend, unbewusst
System 2: Langsam, anstrengend, selten aktiv, logisch, berechnend, bewusst
Hacker nutzen:
- kognitive Leichtigkeit fördert bestimmte unrealistische Denkweisen
- Halo-Effekt: „What you see is all there is“ – WYSIATI
- Heuristik (Faustregeln): Menschen ersetzen schwierig zu beantwortende
Fragen durch leichtere
- Menschen erfinden häufig schnell kausale Zusammenhänge zwischen
zwei Ereignissen, die gar nicht zusammenhängen.
15.09.2020Human Hacking
Beisetzung in Massengräbern
Schon über 32.000 Tote –
und die Zahlen steigen!
+ + + Truppen der Schweizer
Kriegsmarine besetzen New York + +
15.09.2020 © WE-DO-IT 2020 20AGENDA
1. Lagebild
2. Human Hacking
3. Aufklärung des Ziels
4. Bewaffnung und Angriff
5. Zustellung und Ausnutzung
6. Schutz vor Social Engineering
7. Fragen und Tipps
15.09.2020 © WE-DO-IT 2020 21Zielsetzung + Taktik
Coca-Cola-Challenge
- Zeit 4 Tage
- Beschaffe die VPN-Zugangsdaten
eines leitenden Mitarbeiters aus
dem HQ in Atlanta
- Kein VorOrt-Einsatz erlaubt
- Here is your Out-of-jail-letter
Quelle: worldofcoca-cola.com
15.09.2020 © WE-DO-IT 2020 22Zielsetzung + Taktik Boomzeit für Hacker? Etablierte Firmen handeln beim überstürzten Digitalisieren ähnlich wie viele Startups: - keine angepassten Kommunikationsregeln - keine Sicherheitsrichtlinie „Homeoffice“ - Usability hat Vorrang vor Security - wenig physische Sicherheit - kaum Schulungen für die neue Situation - Nutzung privater Geräte wie WLAN-Router, Smartphone und teilweise auch Computer 15.09.2020 © WE-DO-IT 2020 23
Aufklärung
Allgemeines: Firmen-Interna Location-Interna Mitarbeiter-Fokussiert
- Domain-Registrierungen - Betriebssysteme - Mitmieter im Gebäude Kontaktinformationen z.B.
- IP-Adressen - Browser - Hausverwaltung - E-Mailadress-Format
- Geolocation, - Email-System - Gebäudepläne - E-Mail-Signaturen
- Sub-Domains - Pdf Viewer - Zutrittssysteme - E-Mail-Verifizierungen
- Kunden - Antivirus - Sicherheitsdienste - Standort, Position, Titel
- Geschäftspartner - Firewall - Kameras - E-Mail-Adressen
- Charities - Handbücher - Laderampen - Telefonnummern
- Catering, Kantine - Betriebsanweisungen - Müllentsorgung - Kalender
- Reinigungsdienste - Verantwortlichkeiten - Eingänge, Not-Ausgänge - Beziehungen und Kollegen
- Gebäudemanagement
- Benefit-Programme Social-Media
- Facebook
- Instagram
- Twitter
- LinkedIn, Xing
15.09.2020 © WE-DO-IT 2020 25Aufklärung Wie funktioniert das Darknet? 15.09.2020
Aufklärung
Wie funktioniert das Darkweb?
Quelle: Wikipedia
15.09.2020Aufklärung Automatisierte Tools wie z.B. Metasploit Wireshark BurpSuite Maltego Lure 15.09.2020 © WE-DO-IT 2020 28
Maltego 15.09.2020 © WE-DO-IT 2020 29
Maltego 15.09.2020 © WE-DO-IT 2020 30
Aufklärung
- Zentrales
Einstiegstool für
OSINT-Professionals
- Liefert zu jedem
Vektor die Werkzeuge
- Sehr tiefe Suchen
ohne viel KnowHow
möglich
15.09.2020 © WE-DO-IT 2020 31Aufklärung
dnsdumpster.com
Der einfachste Weg, anschaulich
und schnell umfangreich über das
Domain-Netz einer Unternehmung
informiert zu werden
(auch per API erreichbar)
15.09.2020 © WE-DO-IT 2020 32Wie funktioniert Google-Hacking?
Der Nutzen ist das Auffinden von: Dieses sind die gebräuchlichsten Shortcuts:
- vermeintlich versteckten Seiten - „ „ sucht nach genauen Phrasen
- Drittanbieter-Beziehungen - + erzwingt eine Beziehung der Suchwörter
- Unternehmensbezogene Dokumente - - erzwingt den Ausschluss bestimmter Worte
- Informationen zu Gebäuden - @ sucht nach Twitter-Usernamen
- Intern publizierte Regelwerke - # Sucht nach Hashtags
- Ziel ist Suche in WWW und DeepWeb - * Platzhalter für einzelne Buchstaben
Lieferantensuche:
Deepsearch mit Google: Beispiel: - Kantine, Catering
- site: begrenzt die Ergebnisse auf Zieldomain site:domain.de - Altersvorsorge
- filetype: begrenzt Ergebnisse auf Dateiformat filetype:pdf - Gesundheitsprogramm
- intitle: sucht nur im HTML-Abschnitt intitle:admin - IT/Helpdesk
- inurl: durchsucht nur die url-Strings der Seiten inurl:wp-content/uploads - Telekommunikation
- intext: durchsucht nur den Text der Seiten intext:“by webcamXP5 - Energie/Wasser
- Hausmeister
15.09.2020 © WE-DO-IT 2020 34Aufklärung
Facebook
- Neben Google eine der
häufigsten Identifizierungs-
optionen bei neuen oder
Gast-Accounts
- Der Klassiker beim
Durchsuchen nach
Aktivitäten
und Beziehungen
- Gut geeignet, um
Unternehmensaktivitäten
aufzuklären
15.09.2020 © WE-DO-IT 2020 43Aufklärung Business-Informationen - theorg.com liefert Infos über die Organisationsstruktur - Wolframalpha gibt Auskunft über Solvenz und Geschäftslage 15.09.2020 © WE-DO-IT 2020 44
Aufklärung
Glassdoor
- Gut geeignet
für größere
Ziele
- Liefert Infos zu
aktuell zu
besetzenden
Stellen
- …aber auch
Benefit-
Programmen
- … und der
Mitarbeiter-
zufriedenheit
15.09.2020 © WE-DO-IT 2020 45Aufklärung
Instagram
- Bietet eine sehr
umfassende Bildersuche
- Hervorragend zur
Aufklärung von
Räumlichkeiten oder
Badges
15.09.2020 © WE-DO-IT 2020 46Aufklärung
Umgebungserkundung
- Wie öffentlich ist die Anlage?
- Wo sind die Laderampen?
- Wo wird der Müll entsorgt?
- Gibt es Nebeneingänge?
- Welche Unternehmen sind in
der näheren Umgebung
- Welche Cafes gibt es im
Umkreis?
- Welcher Arbeitsweg wäre
realistisch?
15.09.2020 © WE-DO-IT 2020 47Aufklärung
LinkedIn
Sofern man
angemeldet ist,
kann man über die
Google-Suche
auch Profile
einsehen,
welche für
Fremde eigentlich
gesperrt sein
sollten
15.09.2020 © WE-DO-IT 2020 48Aufklärung
LinkedIn
… und so sah ich,
dass sie erst seit
ein paar Monaten
im Unternehmen
war…
15.09.2020 © WE-DO-IT 2020 49Aufklärung
LinkedIn
… ich erfuhr, dass Mark
auch in Atlanta arbeitet
und dort verantwortlich
für internes Content-
Publishing ist.
15.09.2020 © WE-DO-IT 2020 50Aufklärung Rocketreach Mit diesem Dienst kann man nach sämtlichen Social-Media- Accounts und zugehörigen Mailadressen einer Person suchen 15.09.2020 © WE-DO-IT 2020 51
Aufklärung E-Mail-Adressen qualifizieren - Mit hunter.io findet man die Struktur von Unternehmens- E-Mail-Adressen heraus - Auf mailtester.com erfährt man, ob diese Adresse aktuell erreichbar ist 15.09.2020 © WE-DO-IT 2020 52
Aufklärung 15.09.2020 © WE-DO-IT 2020 53
AGENDA
1. Lagebild
2. Human Hacking
3. Aufklärung des Ziels
4. Bewaffnung und Angriff
5. Zustellung und Ausnutzung
6. Schutz vor Social Engineering
7. Fragen und Tipps
15.09.2020 © WE-DO-IT 2020 54Bewaffnung + Angriff Angriffswerkzeuge 15.09.2020
Bewaffnung + Angriff
Wifi-Hacking – Inside but outside!
15.09.2020 © WE-DO-IT 2020 56Bewaffnung + Angriff Vishing = Voice Phishing 15.09.2020 © WE-DO-IT 2020 57
Bewaffnung + Angriff
www.telekom-netzservice.de www.telekorn.de www.deulsche-bahn.de
www.comrnerzbank.de www.coca-coia.com
15.09.2020 © WE-DO-IT 2020 58Bewaffnung + Angriff
GoPhish
15.09.2020 © WE-DO-IT 2020 59Bewaffnung + Angriff GoPhish Phishing-E-Mail erstellen 15.09.2020 © WE-DO-IT 2020 60
Bewaffnung + Angriff GoPhish Phishing-Seite bauen 15.09.2020 © WE-DO-IT 2020 61
AGENDA
1. Lagebild
2. Human Hacking
3. Aufklärung des Ziels
4. Bewaffnung und Angriff
5. Zustellung und Ausnutzung
6. Schutz vor Social Engineering
7. Fragen und Tipps
15.09.2020 © WE-DO-IT 2020 62Zustellung+Exploitation Physical Access – am besten mit Einladung! 1. Türen beobachten 2. On the move tailgating 3. Nebeneingänge sind ideal 4. Hände voll triggert Hilfsbereitschaft 5. Vorbereitet sein – OSINT nutzen 15.09.2020 © WE-DO-IT 2020 63
Zustellung+Exploitation GoPhish Kampagne launchen 15.09.2020 © WE-DO-IT 2020 64
Zustellung+Exploitation GoPhish Kampagne launchen 15.09.2020 © WE-DO-IT 2020 65
AGENDA
1. Lagebild
2. Human Hacking
3. Aufklärung des Ziels
4. Bewaffnung und Angriff
5. Zustellung und Ausnutzung
6. Schutz vor Social Engineering
7. Fragen und Tipps
15.09.2020 © WE-DO-IT 2020 67Schutz vor Social Engineering
… und wie schütze ich mich vor der Verführung?
15.09.2020 © WE-DO-IT 2020 68Schutz vor Social Engineering Prinzip Burganlage: böses Internet -> Firewall -> DMZ -> Proxy -> Internes Netz 15.09.2020 © WE-DO-IT 2020 69
Schutz vor Social Engineering Ihr Informationsverbund ist also leider keine Burg, sondern eher eine Residenz: Prävention – Detektion – Reaktion - Prädiktion 15.09.2020 © WE-DO-IT 2020 70
Schutz vor Social Engineering
Mensch Organisation Technik
Organis
ausgewogen zu organisieren, macht ation
Organisation
Sicherheitsinvestitionen erst
effizient Mens
ch
Technologie
Menssch Technik
Sicherheitsniveau
Hier hilft ein Informations-Sicherheits-Management-System wie der IT-Grundschutz
15.09.2020 © WE-DO-IT 2020 71Schutz vor Social Engineering Wie wird ein ISMS lebendig? Win & Win durch: Usability vs Security Kompromiss ist besser als Verzicht Evolution statt Revolution Awareness fordern und fördern Leuchttürme schaffen Sicherheit als Qualitätsmerkmal Überlebensfähigkeit sichern 15.09.2020 72
Schutz vor Social Engineering Organisatorische Prävention - Halten Sie sich ohne Ausnahme an die Sicherheits-Richtlinien zur Benutzung Ihrer IT - Evolutionieren und kommunizieren Sie diese Richtlinien und Maßnahmen - Führung entsteht durch Vorbild und Informationssicherheit ist Chefsache - Achten Sie auf ein gleichberechtigtes Dasein von Usability und Security - Kontinuierliches Training (z.B. Nudging) - Always train – never blame 15.09.2020 © WE-DO-IT 2020 73
Schutz vor Social Engineering
Technische
Prävention
- Zutrittskontrolle (Ausweis, Token, Pin, Biometrie)
- Zugangskontrolle (Single Sign On, Two Step Verification, Ubikey,
Kennwortrichtlinie, sichere Aufbewahrung von Passwörtern)
- Zugriffskontrolle (eigener Zugriff für jeden Benutzer)
- Virenschutz und Firewall (Melden Sie Fehlfunktionen)
- Prädiktive Fähigkeiten (BehaviourAnalysis, Threat Intelligence)
- Kenne Deine Verwundbarkeiten und schwäche sie!
15.09.2020 © WE-DO-IT 2020 74Schutz vor Social Engineering
Menschliche
Prävention
- „Im Netz freundet man sich nur mit Leuten
an, von denen man genau weiß, wer sie sind.“
- Seien Sie offen für das Analysieren
vermeintlich bekannten Wissens
- Seien Sie misstrauisch, wenn jemand Sie
zu schnellen Reaktionen drängt.
- Halten Sie Rücksprache, wenn Sie ungewöhnliche Aufgaben übertragen
bekommen.
- Seien Sie stets alarmiert, wenn Ihr Computer sich ungewöhnlich verhält.
- Etablieren Sie eine angstfreie Human Firewall – als Teamaufgabe „jeder
für jeden“
15.09.2020 © WE-DO-IT 2020 75Schutz vor Social Engineering
Und wenn es doch passiert ist…
Mitarbeiter fühlt sich als Mittäter und Schwachstelle -> also schweigt er!
Mindchange der Fehlerkultur und gutes Awareness-Training schaffen, dass …
… der Mitarbeiter sich als Opfer, Investigator und erster Zeuge wahrnimmt
F.A.I.L. = First Attempt in Learning
15.09.2020 © WE-DO-IT 2020 76Fazit
...
as we know, there are known knowns. There
are things we know we know. We also know
there are known unknowns. That is to say we
know there are some things we do not know.
But there are also unknown unknowns the
ones we don't know we don't know.
–
Donald Rumsfeld, 12.2.2002, Department of
Defense news briefing
15.09.2020 © WE-DO-IT 2020 77Kontaktdaten
qSkills GmbH & Co. KG WE DO IT.
DonLuigi IT-Service D.Ortmann
• Adresse
Südwestpark 65
• Adresse
Nürnberg, 90449
Raschweg 22
• Kontaktdaten:
Hamburg, 22147
Tel: +49 (911) 80 10 3-0
• Kontaktdaten:
Fax: +49 (911) 80 10 3-39
Tel: +49 (40) 594 68 18-0
Email: info@qskills.de
Fax: +49 (40) 594 68 18-1
Webseite: www.qskills.de
Email: kontakt@do-it.hamburg
Webseite: www.sichere-daten.net
Folgen Sie uns auch auf:
https://www.qskills-security-summit.de/
15.09.2020 © WE-DO-IT 2020 7815.09.2020 © WE-DO-IT 2020 79
Sie können auch lesen
