Social Hacking. Sichtbarmachung der Gefahr durch einen Angriff auf ein Unternehmen der Lebensmittelindustrie


Bachelorarbeit, 2021

58 Seiten, Note: 1,0


Gratis online lesen

Inhaltsverzeichnis

1. Einleitung

2. Grundlagen und derzeitiger Stand von Wissenschaft und Technik
2.1. Social Engineering – Begriffe, Methoden und deren Verortung
2.1.1. Social Engineering (Definition)
2.1.2. Methode 1: Dumpster Diving
2.1.3. Methode 2: Phreaking
2.1.4. Methode 3: Shoulder Surfing
2.1.5. Methode 4: Lauschangriff und Gesprächsanbahnung
2.1.6. Methode 5: Tailgating
2.1.7. Methode 6: CEO-Fraud
2.1.8. Zusammenhang und Wirkung
2.2. Social Hacking – Begriffe, Methoden und deren Verortung
2.2.1. Social Hacking (Definition)
2.2.2. Methode 1: USB Drop
2.2.3. Methode 2: Malware-Anhänge
2.2.4. Methode 3: BYOD – Bring your own device
2.2.5. Methode 4: Phishing
2.3. Open Source Intelligence
2.3.1. OSINT Framework
2.3.2. Homepage, Presse und Social Media
2.3.3. Google Advanced Operators
2.3.4. Exploit Databases
2.3.5. Google Alerts
2.3.6. Google Maps

3. Konzeptioneller Vorgehens- und Lösungsansatz
3.1. Grundsätze
3.2. Virtuelle Maschine
3.3. OSINT
3.3.1. Oberflächliche Suche
3.3.2. Website
3.3.3. Social Media
3.3.4. Google Hacking
3.3.5. Besuch am Firmengelände
3.4. Reservierung der Domäne
3.5. Phishing-Framework
3.6. Umsetzungsplan

4. Anwendung des Lösungsvorschlags
4.1. Installation der virtuellen Maschine
4.2. OSINT
4.2.2. Persönlicher Besuch
4.2.3. Zusammengefasste Resultate der OSINT-Recherche
4.3. Reservierung der Domäne
4.4. Setup des Frameworks
4.4.1. Usergroup
4.4.2. E-Mail-Template
4.4.3. Landing Pages
4.4.4. Sending Profiles
4.4.5. Campaign
4.5. Versand der Mails

5. Analyse der Ergebnisse
5.1. Überblick
5.2. Mails erhalten
5.3. Mails geöffnet
5.4. Klicks auf Link
5.5. Eingabe des Passwortes
5.6. Detailansicht

6. Schlussfolgerungen

7. Zusammenfassung und Ausblick

Literaturverzeichnis

Kurzzusammenfassung: Social Hacking – Sichtbarmachung der Gefahr durch einen Angriff auf ein Unternehmen der Lebensmittelindustrie

Die vorliegende Arbeit soll die Gefahren, die von Social Hacking ausgehen, sichtbar machen, da Online-Kriminalität enorme Schäden bei betroffenen Unternehmen verursachen kann. Um darzustellen, dass beim „Faktor Mensch“ große Sicherheitslücken bestehen, wurde nach einer gründlichen OSINT-Recherche ein Phishing-Angriff unter Nutzung des Frameworks „GoPhish“ realisiert. Das Angriffsziel war ein mittelständischer traditioneller Lebensmittelhersteller, das Phishing-Mail enthielt ein Versprechen für eine Prämie und das Design des Intranet-Logins. Forschungsfrage und Hypothese nahmen eine Rücklaufquote von mindestens 50% erbeuteter Passwörter an, diese wurden deutlich verfehlt, sie liegt bei etwa 10%. Das Ziel, auf die Gefahren hinzuweisen, wurde dennoch erreicht, insbesondere dadurch, dass auch 10% erhaltene Passwörter 10% zu viel sind, bzw. noch mehr (etwa 16%) auf Links klicken, die Ransomware einschleusen könnten.

Schlagwörter: IT-Sicherheit, Social Engineering, Social Hacking, Phishing, OSINT

Abstract: Social Hacking – Visualization of the danger with an attack against a company in the food industry

This bachelor thesis shall visualize the dangers connected to social hacking, which causes big damages to concerned companies. To raise awareness for the risk of human behaviour the chosen method was a extensive OSINT research and a phishing attack against a medium-sized traditional food producer. The e-mail contained a promise for a bonus and the design of the companies Intranet logon. Research question and hypothesis assumed a response rate of 50% minimum, which was clearly missed, it’s about 10%. Nevertheless the goal to visualize the danger was achieved as 10% of issued passwords are still too much and furthermore 16% klick on links which could insert ransomware.

Keywords: IT security, social engineering, social hacking, phishing, OSINT

1. Einleitung

„Companies spend millions of dollars on firewalls, encryption, and secure access devices and it’s money wasted because none of these measures address the weakest link in the security chain: the people who use, administer, operate and account for computer systems that contain protected information. (Kevin Mitnick)“ (Kremling und Parker 2017, S. 11)

Kevin Mitnick, einer der prominentesten Hacker der Welt, von manchen gar als „Erfinder des Social Engineerings“ bezeichnet, erkannte bereits als Jugendlicher, dass der Mensch der größte Unsicherheitsfaktor in der IT-Sicherheit ist. Während die technische Entwicklung in Bezug auf Hardware, Firewalls und Kryptographie große Fortschritte macht, sind es nach wie vor archaische menschliche Attribute, die auch ausgeklügelte und teure Sicherheitssysteme unterlaufen. Kooperation und Hilfsbereitschaft sind konstruktive Eigenschaften, die sich jedoch ins Gegenteil verkehren, wenn sie in betrügerischer Absicht instrumentalisiert werden. Die Möglichkeit, menschliche Eigenschaften auszunützen, um das Verhalten anderer Personen in die gewünschte Richtung zu lenken, ist definitiv älter als Kevin Mitnick, somit kann er diese nicht erfunden haben; er hat die Methoden aber sehr erfolgreich genutzt und perfektioniert.

Das Ziel der vorliegenden Arbeit

Da erfolgreiche Angriffe massive Schäden an Infrastruktur und Finanzen bewirken können, soll das Ziel dieser Arbeit eine Darstellung der Gefährdung des untersuchten Unternehmens sein. Die vorliegende Arbeit soll aber nicht nur zur Sichtbarmachung des Problems beitragen, sondern gefährdete Unternehmen dazu inspirieren, bei der Implementierung ihrer Schutzmaßnahmen den „Faktor Mensch“ nicht zu vernachlässigen.

Die angewandte Methodik

Zur Erhebung menschlicher Reaktionen auf Hacker-Attacken eignet sich das Feldexperiment am besten, da die Umgebung „natürlich“ ist und kein künstliches Umfeld geschaffen werden muss, welches die Ergebnisse verfälschen würde. Daher wird zur Feststellung, wie die Angestellten eines Unternehmens auf die Gefährdungslage „Social Engineering“ reagieren, wird ein Phishing-Versuch simuliert, der erheben soll, wie viele der kontaktierten Personen zur Preisgabe ihrer Zugangsdaten bereit sind.

Das in dieser Arbeit untersuchte mittelständische Unternehmen ist in der Lebensmittelbranche tätig und immer wieder Ziel von Social Engineers; es wird ausschließlich anonymisiert dargestellt.

Inhaltlich liegt der Schwerpunkt vorwiegend auf dem Social Hacking, also dem technischen Teilbereich des Social Engineerings. Social Hacking umfasst jenes Themengebiet des Social Engineerings, in dem die menschliche Psyche dahingehend beeinflusst werden soll, vertrauliche Daten preiszugeben, um sich Zugang zu fremden Computersystemen zu verschaffen. Eine Phishing-Attacke, d.h. schriftliche Angriffe mit dem Ziel, Zugriffsdaten der User zu erlangen, soll das Mittel der Wahl sein, um die Gefahren des Social Engineerings aufzuzeigen.

Die Forschungsfrage

Nachdem Social Engineer Jen Fox am SANS Awareness Security Summit 2018 erklärte, dass 50% ihrer Attacken erfolgreich wären (Fox 2018), wird die Forschungsfrage: „Sind in dem von mir untersuchten Unternehmen mindestens 50% der von mir gestarteten Phishing-Versuche erfolgreich?“ verfolgt.

Die Hypothese

Die dazu entwickelte Hypothese besagt: „Mindestens 50% der gestarteten Phishing-Versuche werden in dem untersuchten Unternehmen erfolgreich sein.“, d.h. ich gehe davon aus, dass mindestens die Hälfte der MitarbeiterInnen ihre Zugangsdaten preisgeben.

Nach einer Einführung im ersten Teil der Arbeit, welche die Grundlagen, den aktuellen Stand von Wissenschaft und Technik, sowie eine genaue Methodenbeschreibung enthalten wird, wird zur Beantwortung der Forschungsfrage eine Phishing-Attacke durchgeführt.

Die Analyse der Anzahl der erfolgreichen Attacken wird zeigen, wie viele Angestellten auf einen Phishing-Angriff mit der Preisgabe ihrer Zugangsdaten reagieren. Zur Informationsbeschaffung soll die Open Source Intelligence bemüht werden. Aus Gründen der Authentizität und Reproduzierbarkeit wird kein internes Wissen verwendet, sondern nur auf Informationen zugegriffen, die durch die OSINT-Methode eruierbar sind; jegliche verwendete Information muss „extern beschaffbar“ sein. Zum Schutz des Unternehmens wird der Firmenname in der vorliegenden Arbeit nicht genannt.

Diese Arbeit behandelt nicht das große Feld der Schutzmöglichkeiten. Wie man Social Engineering-Angriffe eindämmt – gänzlich verhindern wird man sie wohl nie können – soll Gegenstand weiterführender Arbeiten sein.

Interessant ist die vorliegende Arbeit zunächst für die IT-Abteilung des untersuchten Unternehmens, bzw. auch für jene, die Entscheidungen über den Einsatz und das Ausmaß bewusstseinsbildender Maßnahmen für alle Angestellten treffen. Nicht zuletzt soll diese Arbeit aber auch für alle Menschen nützlich sein, die sich ebenso wie ich für die IT-Sicherheit begeistern können.

2. Grundlagen und derzeitiger Stand von Wissenschaft und Technik

2.1. Social Engineering – Begriffe, Methoden und deren Verortung

Oft werden in der IT-Security die Begriffe „Social Engineering“ und „Social Hacking“ synonym verwendet, obwohl Social Hacking lediglich ein Teilbereich des Social Engineerings ist; irritierend ist wahrscheinlich der Umstand, dass Social Engineering manchmal als „Human Hacking“ bezeichnet wird, was leicht zu Verwechslungen führen kann. (Hadnagy 2011)

Daher werden die Begriffe im Folgenden definiert und voneinander abgegrenzt. Um darzustellen, wie Social Engineering und Social Hacking miteinander verbunden sind, wird im ersten Teil der Arbeit auch auf die Methoden des Social Engineerings eingegangen, bzw. soll dargestellt werden, dass Social Engineering und Social Hacking nicht unabhängig voneinander existieren, sondern einander ergänzen.

2.1.1. Social Engineering (Definition)

Kevin Mitnick definierte 2003 einen Social Engineer als „Jemand, der Täuschung, Betrug und Überredung bei Firmen einsetzt, um in der Regel an deren Informationen zu gelangen“ (Mitnick und Simon 2003, S. 12).

Christopher Hadnagy erkannte aber 2011, dass Mitnicks Definition zu kurz griff und erklärte Social Engineering als „die Kunst oder besser noch die Wissenschaft, wie man Menschen hinsichtlich bestimmter Aspekte ihres Lebens geschickt und umsichtig in Aktion bringt“. (Hadnagy 2011)

Es wird sofort erkennbar, dass Hadnagys Definition ein wesentlich weiteres Betätigungsfeld, einen größeren Personenkreis und eine Vielzahl der Methoden des Neuro-linguistischen Programmierens (freilich ohne dessen therapeutischer Komponente) umfasst.

Seit Mitnicks Anfängen in den 1970-er-Jahren haben sich im Feld des Social Engineerings zahlreiche Methoden der Manipulation etabliert. Im Zuge der vorliegenden Arbeit wird die Beschreibung auf jene Methoden, die für Unternehmen unmittelbar relevant sind, reduziert, da die Behandlung sämtlicher Manipulationsmöglichkeiten auf zwischenmenschlicher Ebene (wie etwa Heiratsschwindel) den Rahmen selbiger sprengen würde.

Die Methoden werden im Verlauf des ersten Teils dieser Arbeit noch vor- und dargestellt, wobei die gewählte Reihenfolge den mit der Methode verbundenen Aufwand abbilden soll.

Wie diese zusammenhängen und warum diese auch für das Social Hacking bedeutsam sind, wird im Anschluss an die Methodenbeschreibung aufgeführt.

2.1.2. Methode 1: Dumpster Diving

Eine eher robuste und wenig appetitliche, dafür aber risiko- und vorbereitungsarme Form des Social Engineerings ist das Dumpster Diving, das Wühlen im Müll eines Unternehmens.

„Dumpster diving involves… diving into dumpsters in search of valuable information.“ (Long 2011, S. 2)

Persönliche Informationen aller Art, Rechnungsinformationen – oder auch tatsächlich Zugangsdaten zu einem Firmennetzwerk landen immer wieder in ungesicherten Müllcontainern. Ein Dumpster Diver und Kollege von Johnny Long (Anm. Experte für IT-Sicherheit, insbesondere auf dem Gebiet des „Google Hackings“, siehe Kapitel 2.3.3.) suchte ein US-Unternehmen auf, um den Müll zu durchsuchen. An diesem Tag war das Wetter sehr windig und auf dem Fußweg über den Firmenparkplatz wurde dem Social Engineer ein Stück Papier buchstäblich ins Gesicht geweht. Auf dem Papier befand sind eine handgefertigte komplette Skizze des gesamten IT-Netzwerk des Unternehmens inklusive Zugangsdaten. (Long 2011)

Was für Firmenangestellte unnützer Abfall sein mag, ist für Social Engineers eine wichtige und durchaus ergiebige Informationsquelle, die noch dazu ohne große Vorbereitungen und ohne Insiderwissen erfolgreich durchgeführt werden kann. Über das Aufspüren geeigneter Plätze für Dumpster Diving sei auf Kapitel 2.3.6. („Google Maps“) verwiesen.

2.1.3. Methode 2: Phreaking

Phreaking gilt als Ursprung des Social Engineerings und begann Mitte der 1970-er Jahre als Kevin Mitnick die High School besuchte und PCs noch bei weitem nicht so verbreitet waren wie heute.

Daher begann Mitnicks Einstieg in das Hacking mit Festnetztelefonen und Münzfernsprechern. Er selbst beschreibt Phreaking als „[…] Art des Hackens, bei dem man das Telefonnetzwerk erforscht, indem man Telefonsysteme und Angestellte der Telefongesellschaften ausnützt. […] In der Highschool [sic!] hatte ich am meisten Spaß daran, mir den unautorisierten Zugang zu einer Telefonzentrale zu verschaffen und dann die Zugangsberechtigungen eines anderen Phone Phreakers zu verändern. Wenn er dann zu Hause ein Telefonat führen wollte, hörte er die Ansage, er solle eine Münze einwerfen, weil die Schaltzentrale der Telefongesellschaft aus der Art der Verbindung geschlossen hatte, er telefoniere von einem Münzfernsprecher aus.“ (Mitnick und Simon 2003, S. 10 – 11)

Trotz der mittlerweile weiten Verbreitung des PCs und des Internets hat das Telefon als wichtiges Werkzeug des Social Engineerings noch lange nicht ausgedient, da es bei vielen weiteren Methoden eine zentrale Rolle spielt, indem es die Möglichkeit bietet, persönliche Beziehungen zum Opfer zu etablieren.

Die Zusammenhänge der Methoden, auch unter Einbindung einer vergleichsweise trivialen Technologie wie der Telefonie, werden im Verlauf des ersten Teils dieser Arbeit noch vor- und dargestellt, wobei die gewählte Reihenfolge den mit der Methode verbundenen Aufwand abbilden soll.

2.1.4. Methode 3: Shoulder Surfing

Shoulder Surfing wird definiert als „[…] using direct observation techniques, such as looking over someone‘s shoulder, to get passwords, PINs and other sensitive personal information […]“ (Kumar et al. 2007)

Die einfache Technik, das Opfer heimlich über dessen Schulter zu beobachten, während sich dieses mit dem Smartphone oder anderen technischen Geräten beschäftigt, ist insbesondere auf Flughäfen oder in öffentlichen Verkehrsmitteln eine konstante Gefahr – vorwiegend für Zugangsdaten oder Firmeninterna.

Der Verein zur Aufklärung über Internetmissbrauch „Mimikama“ warnt 2020 vorwiegend im privaten Bereich, insbesondere bei Bargeldbehebungen vor Shoulder Surfern, die in drei deutschen Landkreisen von mehreren PensionistInnen durch das Ausspähen von Bankomat-PINs einen fünfstelligen Eurobetrag erbeuten konnten. (Mimikama 2020)

Wo längere Wartezeiten zu überbrücken sind und die notwendige physische Distanz nicht immer eingehalten werden kann, laufen besonders Geschäftsreisende Gefahr, mit einem Schulterblick ausspioniert zu werden.

Wartebereiche oder Bustransfers zu Flugzeugen zwingen Menschen zu räumlicher Nähe und erleichtern das optische Ausspionieren jener, die unbedarft „nur schnell die E-Mails checken“ möchten.

Besonders einfach wird es Shoulder Surfern gemacht, wenn (natürlich aus praktischen Gründen) Labels mit der Inventarnummer, dem Kontakt zum firmeneigenen IT-Service oder QR-Codes außen auf Laptops angebracht werden.1

Ein diskret aufgenommenes Foto (ein unverdächtiges Smartphone ist für diese Zwecke vollkommen ausreichend) ermöglicht das Verfügen über den „Personalausweis“ des Geräts.

Kennzeichnung meines Dienst-Laptops (gut sichtbar außen)

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Label am Firmenlaptop, eigene Abbildung

2.1.5. Methode 4: Lauschangriff und Gesprächsanbahnung

Es mag trivial klingen, aber die meisten Menschen können wahrscheinlich bestätigen, unfreiwillig fremde Telefonate mitgehört zu haben, sei es auf der Straße oder auch in öffentlichen Verkehrsmitteln.

„Häufig werden Handy-Gespräche in der Öffentlichkeit in einer Lautstärke geführt, dass Nebenstehende alles mitbekommen. Gerade an Flughäfen, Bahnhöfen oder auf Messen können solche Gespräche von Personen mitgehört werden, die es gezielt darauf anlegen. […] Häufig werden Mitarbeiterinnen und Mitarbeiter ganz gezielt auf Messen ‚ausgefragt‘. Unter einer Legende wird versucht, sie abends an der Hotelbar in ein Gespräch zu verwickeln. Die gute Stimmung sowie der Einfluss von Alkohol können dann geschickt genutzt werden, um vertrauliche Informationen heraus zu locken.“ (Schaaf 2015, S. 537)

Oft genug ist auf Messen nicht einmal der Einsatz von Alkohol oder Bareinladungen notwendig – schließlich dienen diese dem Networking, der Anbahnung neuer Kontakte und dem Austausch von Informationen; mitunter zu viele Informationen, wenn ein psychologisch versierter Social Engineer z.B. an den Stolz der MitarbeiterIn appelliert, damit diese/r prahlerisch Firmeninterna ausplaudert.

Geschickt eingefädelte Gespräche transferieren Know how, jedoch nicht immer beabsichtigt.

2.1.6. Methode 5: Tailgating

Unter Tailgating versteht man den unbefugten physischen Zutritt zu gesicherten Bereichen eines Unternehmens.

„Tailgating occurs when more than one user accesses a secure area but only on user provides the credentials. For example, Bob can use his proximity card to open a door, and Mary can follow him in. Bob may even hold the door open for Mary. In this example, Mary is tailgating because she is entering without using her proximity card.“ (Gibson 2011, S. 198)

Der wahrscheinlich spektakulärste bekannte Tailgating-Angriff gelang dem IT-Secuity-Consultant Christoph Wolfert 2016 bei einem Test eines deutschen DAX-Unternehmens. Dieser Angriff gelang, obwohl die IT-Abteilung des Unternehmens sogar über einen geplanten Test-Angriff (inklusive Zeitpunkt!) informiert war.

Christoph Wolfert meisterte zunächst den unbefugte Zutritt, weil er sich als Handwerker verkleidet hatte. Im Gebäude wechselte er die Kleidung und fingierte auf dem Weg zum Serverraum ein hektisch geführtes Telefonat, woraufhin ihm (da er offenbar keine Hand frei und ein Mobiltelefon am Ohr hatte) von einem Mitarbeiter die Tür zu selbigem sogar in hilfsbereiter Manier geöffnet wurde.

Und während die Angestellten der IT-Abteilung vor den Monitoren auf den Angriff warteten, befand sich der Angreifer bereits im Serverraum und hätte in aller Ruhe unzählige Manipulationen an der Hardware vornehmen können. (Wolfert 2016)

Weniger spektakulär, aber häufiger in der Anwendung ist das Aufsuchen eines leeren geöffneten Büros, um mit einem dort installierten Festnetztelefon Anrufe zu tätigen. Auch offene, ungenutzte Besprechungsräume mit herumliegenden Netzwerkkabeln sind ein Sicherheitsrisiko, insbesondere wenn in dem Unternehmen kein Network Access Control System eingerichtet wurde.

Interne Nummern wirken vertrauenswürdiger als externe, auch das kann man sich als Social Engineer zunutze machen.

Unabhängig von den soeben beschriebenen Vorgehensweisen sei an dieser Stelle erwähnt, dass sich weibliche Social Engineers gesellschaftlich determinierte Geschlechtsrollen besonders beim Tailgaiting zunutze machen können. Das Gebot der Höflichkeit, der Dame die Türe zu öffnen ohne „pingelig“ eine Zutrittserlaubnis zu verlangen, erleichtert den Zugriff auf Firmenhardware. Beispielhaft für das gezielte Einsetzen femininer Attraktivität ist die Arbeit der IT-Sicherheitsberaterin Sharon Conheady, die laut eigenen Angaben noch bei keinem einzigen ihrer Angriffe erwischt wurde. (Haag und Rohrer 2019)

2.1.7. Methode 6: CEO-Fraud

Durch den CEO-Fraud entstehen Unternehmen immer wieder große (vorwiegend) finanzielle Schäden. Grundlage dieses Betruges ist ein Identitätsdiebstahl. Der Angriff geht von einer Person aus, die sich als hochrangiges Mitglied der Chefetage, bzw. des Unternehmensvorstandes ausgibt. Die Opfer sind vorwiegend Angestellte der Buchhaltung, die aus praktischen Gründen Zugriffsbefugnisse auf Firmenkonten haben.

Diese Form des Social Engineerings benötigt im Normalfall wesentlich mehr Vorbereitungsarbeit als die bereits genannten Methoden, ist aber bei Erfolg finanziell sehr ergiebig und kann Firmen in ernste Schwierigkeiten bringen. Der Ablauf gestaltet sich nach folgendem Schema: Die betrügende Person kontaktiert jemanden aus der Buchhaltung (Mail oder Telefon sind gebräuchlich), gibt sich als Mitglied des Führungsgremiums aus und weist das Mitglied der Buchhaltung an, eine hohe Summe auf ein bestimmtes Konto zu überweisen; selbstverständlich handelt es sich dabei keineswegs um jemanden aus der Chefetage und das Konto ist auch keines, das dem Unternehmen bekannt wäre. Auch fingierte Rechnungen, die im Auftrag vermeintlicher Vorgesetzter zur Bearbeitung in der Buchhaltung landen, eignen sich für das Ergaunern von Überweisungen. Bis der Betrug entdeckt wird, ist die Überweisung oft nicht mehr rückgängig zu machen, weil der Betrag im Regelfall sofort nach der Überweisung behoben wird.

Zusätzliche Features wie im Telefonat aufgebauter Zeitdruck („Das Geld muss schnell überwiesen werden!“) und das Appellieren an die Hilfsbereitschaft („Ich brauche Sie jetzt dringend!“) verstärken den Druck. Bei mehreren Hierarchieebenen zwischen Buchhaltung und oberstem Management ist die Wahrscheinlichkeit groß, dass das Opfer die Telefonstimme der „echten“ Führungsperson nicht kennt und daher keinen Verdacht schöpft.

Insbesondere das Identifizieren der „Neuen“, also Angestellten, die ihren Dienst erst begonnen haben, erweist sich für CEO-Frauds als nützlich, da die betreffenden Personen das hochrangige Management womöglich noch nicht persönlich kennen gelernt haben, demnach auch die Stimmen am Telefon nicht verifizieren können und darüber hinaus meist sehr bemüht sind, einen „guten ersten Eindruck“ zu machen, d.h. den Anweisungen gerne schnell und gründlich nachkommen wollen.

Der österreichweit spektakulärste CEO-Fraud gelang 2016, als der renommierte Luftfahrzeughersteller FACC AG um rund 54 Millionen Euro erleichtert wurde. Nachdem die Angreifer nicht nur die zuständigen Angestellten, sondern auch typische Überweisungsgrößen ausspioniert hatten, konnte die Summe in mehreren Tranchen nach China und in die Slowakei transferiert werden; eine Person wurde festgenommen. (Trend 2016)

2.1.8. Zusammenhang und Wirkung

Denkt man nun wie ein Social Engineer, kann man erkennen, dass sich die Methoden hervorragend zur Kombination eignen – und oft genug auch als solche angewendet werden, die Zusammenwirkung mehrerer Methoden ist State of the Art. Die konkrete Auswahl der Methoden ist sehr variabel und richtet sich grundsätzlich nach den Möglichkeiten und Fähigkeiten des Social Engineers, aber natürlich auch nach den physischen Gegebenheiten vor Ort. Man könnte z.B. unvorbereitet mit Dumpster Diving beginnen und aus den gefundenen Aufzeichnungen Informationen generieren, bevor man sich mit Tailgating Zutritt verschafft. Findet man beispielsweise im Müll die Information über einen Projektleiter, könnte man damit einen Tailgating-Versuch starten mit der Aussage, dass man diesen dringend sprechen müsse, weil man in das vermerkte Projekt involviert wäre; einmal ins Gebäude eingedrungen, ergeben sich die weiteren Möglichkeiten wie das Vortäuschen eines internen Telefonats oder die heimliche Anbringung eines USB-Sticks oder anderen Hacking-Gadgets zum Ausspionieren eines Rechners, der sich im Firmennetzwerk befindet.

Wartezeiten auf Flughäfen hingegen eignen sich hervorragend für das Zusammenspiel von Shoulder Surfing und Gesprächsanbahnung. Ein Foto vom Label auf dem Dienstlaptop, unauffällige Schulterblicke und geschickt eingefädelter Smalltalk lassen Informationen fließen, ein paar interessierte Detailfragen zur beruflichen Tätigkeit mit der anschließenden „Entschuldigung“, sich nicht vorgestellt zu haben, auf den das Gegenüber aus Höflichkeit ebenso mit der Nennung des Namens reagieren wird – und schon hat man das Know how über den Namen, die Tätigkeit, vielleicht auch ein paar interne Slang-Ausdrücke, Firmenzugehörigkeit, die Daten des firmeneigenen IT-Services und die Inventarnummer des Laptops. Als Einzelinformation ist jede für sich wohl eher harmlos und kaum dazu geeignet, Schäden zu verursachen, aber in Kombination kann man sich damit durchaus glaubwürdig am Telefon als MitarbeiterIn ausgeben, der/die Probleme mit dem Laptop hat.

Der CEO-Fraud, der wahrscheinlich aufwendigste der beschriebenen Methoden, setzt viel Vorbereitungsarbeit voraus, die sich ebenso aus den bisher angeführten Vorgehensweisen zusammensetzt – mittels Dumpster Diving oder belauschten, bzw. gezielt geführten Gesprächen ausreichend Informationen zu sammeln oder auch durch den Einsatz von Open Source Intelligence, die in einem späteren Teil der vorliegenden Arbeit (siehe Kapitel 2.3.) erläutert wird, sollte der Social Engineer zu ausreichend Wissen über Namen, Hierarchie, Tätigkeitsbereiche, eventuell geplante Dienstreisen etc. gesammelt haben, um die Anordnung einer großen Banküberweisung zu versuchen.

Bei Gelingen eines CEO-Frauds ist die umfangreiche Vorarbeit durchaus rentabel, da mit Bankzugriffen der Angestellten große Summen bewegt werden können.

Es wird nun sichtbar, dass es wenig sinnvoll wäre, die einzelnen Methoden des Social Engineerings isoliert zu betrachten, weil diese meist erst in ihrer geschickt koordinierten Kombination ihre Wirkung und Gefährlichkeit entfalten. Auch das im Social Engineering integrierte Social Hacking kann seine Wirkung meist erst mit Methoden des Social Engineerings entfalten, denn auch für technische Angriffe braucht es meist ein Mindestmaß an Firmenwissen, um Angestellte täuschen zu können. Ich möchte damit keineswegs behaupten, dass eine einzelne isoliert angewendete Methode nicht erfolgreich sein könnte! Aber der Erfolg wird sich in der kombinierten Variante mit einer erhöhten Wahrscheinlichkeit einstellen. Darüber hinaus ist die kombinierte Anwendung unterschiedlicher Methoden die heutzutage gebräuchlichere.

Im nächsten Kapitel der vorliegenden Arbeit, soll es nun um das Social Hacking, also die „technische Variante“ des Social Engineerings gehen.

2.2. Social Hacking – Begriffe, Methoden und deren Verortung

2.2.1. Social Hacking (Definition)

„Wenn Social Engineering mit dem Eindringen in ein fremdes Computersystem zu tun hat, dann spricht man von Social Hacking.“ (Schaub 2019)

Wie im Kapitel davor werden die heute geläufigsten Methoden des Social Hackings kurz dargestellt, um dann intensiver auf die in dieser Arbeit gewählten Methode zur Umsetzung des geplanten Feldversuchs, dem Phishing, einzugehen.

2.2.2. Methode 1: USB Drop

Da sich USB Sticks als praktische und optisch ansprechende Werbegeschenke etabliert haben, werden sie immer wieder als einfach einzusetzende Werkzeuge benutzt, um Zugang zu Firmennetzwerken zu erhalten. Zur Präparierung eines USB Sticks sind keine besonderen Programmierkenntnisse nötig, es gibt Spionage- oder Schadprogramme (Malware) bereits vorgefertigt zum Download. Detaillierte Anleitungen für Testzwecke sind auch kostenlos zu haben.2 Die in der Vergangenheit gebräuchliche Methode, die präparierten Sticks auf dem Firmenparkplatz als Werbegeschenk zu verteilen, hat mittlerweile nahezu ausgedient; sie ist bereits zu bekannt und viele Unternehmen haben ihre Angestellten dahingehend vorgewarnt, bzw. die Verwendung von USB-Sticks grundsätzlich untersagt. Um das Verbot, ein solches „Werbegeschenk“ zu verwenden, auszuhebeln, ist der USB Drop heute in einer verfeinerten Variante gebräuchlich – in Kombination mit dem Ausnützen der menschlichen Eigenschaften Neugier und Hilfsbereitschaft. Heutzutage werden USB Sticks in Kantinen, Toiletten oder Garderoben platziert, damit sie wie Fundstücke wirken, die womöglich vermisst werden könnten. Findet man einen solchen und möchte man nun herausfinden, wer diesen verloren haben könnte, ist man verleitet, ihn am eigenen Rechner anzustecken und eine Datei zu öffnen; nichtsahnend, dass man damit zerstörerischer Malware oder Spionageprogrammen Tür und Tor geöffnet hat.

2.2.3. Methode 2: Malware-Anhänge

Diese werden mit E-Mails verschickt, deren Inhalt die empfangende Person dazu bringen soll, die Anhänge zu öffnen. Durch das Öffnen der Anhänge gelangt Malware auf den Rechner und möglicherweise auch ins gesamte Netzwerk. Hier sind besonders die Recruiting-Abteilungen gefordert, da die befallenen E-Mails oft als Bewerbungen getarnt sind; deren Anhänge haben dann unverdächtige Namen wie „Lebenslauf“ oder „Anschreiben“. Executable files werden mittlerweile zwar meist durch die Provider, bzw. durch unternehmenseigene Maßnahmen blockiert, jedoch können auch Office-Dokumente aktiven Content beinhalten, bzw. User dazu gebracht werden, auf links zu klicken, um Malware herunterzuladen.

2.2.4. Methode 3: BYOD – Bring your own device

BYOD ist die Überbrückung einer organisationsbedingt entstandenen Lücke, die ausgenutzt werden kann. Die zunehmende Digitalisierung der Arbeitswelt führt zu örtlicher Flexibilisierung und zur Auflösung der Grenzen zwischen beruflichen und privaten Sphären. Dies bedingt sowohl die berufliche als auch die private Verwendung der technischen Geräte. Unter dem Motto „Bring your own device“ werden im Zuge dieser Vermischung Angestellte dazu angehalten, ihre privaten Geräte auch für berufliche Tätigkeiten zur Verfügung zu stellen. Die Covid-19 Pandemie im Jahr 2020 verschärfte diese Tendenz. Zahlreiche Angestellte wurden quasi ohne Vorbereitungszeit im Home Office tätig. Da in einigen Unternehmen nicht ausreichend firmeneigene Endgeräte zur Verfügung standen, stellten zahlreiche MitarbeiterInnen ihre private Ausstattung zur Verfügung. Das hat zunächst viele offenkundige Vorteile. Das Unternehmen kann Geld sparen, weil die entsprechenden Geräte nicht extra angekauft und gewartet werden müssen. Die User sind mit den eigenen Geräten bereits vertraut, es erwächst kein Schulung- und/oder Installationsaufwand. Jedoch entstehen Sicherheitsrisiken, da private Geräte in vielen Fällen weniger akribisch gesichert werden wie jene in Unternehmen. Des Weiteren bestehen auf privaten Geräten Download-Möglichkeiten, die man als Durchschnitts-User am Arbeitsrechner normalerweise nicht hat.

Darüber hinaus könnte beim Wechsel zwischen privatem und Firmennetzwerk Malware eingeschleust werden, ohne dass dies dem User bewusst wäre. Als problematisch erweist sich auch die Entstehung der sogenannten „Schatten-IT“, die durch die Nutzung privater Geräte begünstigt wirkt. Unter dem Begriff „Schatten-IT“ versteht man „[…] die autonomeBeschaffung und Entwicklung sowie den eigenständigenBetrieb von Informationssystemen durcheinzelne Mitarbeiter oder einen Fachbereich alsGanzes ohne die Einbindung der IT-Abteilungdes Unternehmens.“ (Rentrop und Zimmermann 2015) Gewissermaßen „an den IT-Abteilungen vorbei“ und damit auch ohne entsprechende Sicherheitsregulative werden Geräte und Anwendungen benutzt, die den Usern in vielen Fällen die Arbeit erleichtern, jedoch ein Sicherheitsrisiko darstellen. Beispielsweise mit dem PC synchronisierbare Smartphones, der Trend zu „Plug-and-play“ ohne genehmigungspflichtige Treiberinstallationen oder die Tendenz, Cloud-Lösungen zu beanspruchen, lassen unbemerkt Sicherheitslücken entstehen. Die Annahme, dass Geräte oder Software, die im privaten Bereich gute Dienste leisten, auch im beruflichen Kontext nützlich sein könnten, führt zu Sicherheitslücken, da diese Anwendungen nicht von den unternehmenseigenen IT-Diensten überwacht werden können. Auch unbeabsichtigte Datenschutzvergehen sind zu befürchten, da Cloudspeicher für den privaten Gebrauch grundsätzlich unproblematisch sind, während diese für (manche) Firmendaten unzulässig sein können. Nebst dieser soeben beschriebenen BYOD-Lösungen sind Unterfinanzierung der technischen Ausstattung, fehlendes Bewusstsein für Gefahren und mangelnde Kommunikation mit den IT-Abteilungen Risikofaktoren, die das Wachstum einer Schatten-IT begünstigen.

2.2.5. Methode 4: Phishing

Die gebräuchlichste Definition von Phishing lautet: „[…] dass Daten von Internetnutzern bspw. über gefälschte Internetadressen, E-Mails oder SMS abgefangen werden. Die Absicht ist, persönliche Daten zu missbrauchen […]“ (Siller 2018)

Das Wort Phishing ist eine Kombination aus „Password“ und „Fishing“, also bezeichnet gewissermaßen das „Angeln nach einem Passwort“ und legt seinen Fokus somit nicht allgemein, wie in Sillers Definition, auf „Daten von Internetnutzern“, sondern explizit auf Zugangsdaten – es geht in der praktischen Anwendung dieser Methode in den allermeisten Fällen darum, sich Zugänge zu fremden Computern und Netzwerken zu verschaffen.

Da sich diese Methode nach wie vor als sehr erfolgreich erweist (wie im Folgenden dargestellt wird), haben sich mittlerweile auch mehrere Ausprägungen mit unterschiedlichen Schwerpunkten und Methoden entwickelt, auf die nun näher eingegangen werden soll.

Auch wenn Phishing-Attacken in den letzten Jahren stetige Zuwächse verzeichneten, so weisen die aktuellen Zahlen auf eine kleine Trendwende hin.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Datenquelle = APWG Report Q1 2019; https://www.onlinesicherheit.gv.at/service/cybermonitor/phishing/135073.html (letzter Zugriff am 01.06.2020)

Die weltweit dokumentierten Fälle lassen vermuten, dass der quantitative Peak der Phishing-Versuche überschritten sein dürfte; die Anzahl der Angriffe bleibt gleich oder sinkt, jedoch steigt deren Qualität. (Proofpoint 2020, S. 12) Waren Phishing-Versuche in den vergangenen Jahren oft genug an Tippfehlern oder generell schlechtem Sprachgebrauch erkennbar, so ist eine deutliche Wende hin zu perfekt kopierten Webseiten und fehlerlosen Texten wahrzunehmen.

Die Covid-19 Krise 2020 sorgt laut Dr. Hellemann (Geschäftsführer der SoSafe GmbH) für einen sprunghaften, aber punktuellen Anstieg. Unternehmen sehen sich mit neuartigen Herausforderungen und gravierenden Veränderungen in Prozessen und Routinen konfrontiert, wodurch Kriminelle die entstehenden Unsicherheiten gezielt nützen wollen. (it-daily 2020)

Die „Klasse-statt-Masse“-Veränderung hat mehrere Kategorien der Phishing-Methode hervorgebracht, die im Folgenden charakterisiert werden.

Smishing: Das Wort ist eine Kombination aus „SMS“ und „Phishing“. Da Phishing in der Vergangenheit vorwiegend via E-Mail versucht wurde, werden SMS-Nachrichten tendenziell als vertrauenswürdiger wahrgenommen als E-Mails, unter anderem auch deshalb, weil lästiger Spam wesentlich seltener über SMS als via E-Mails versendet wird. Diesen „Vertrauensvorsprung“ machen sich Kriminelle zunutze und versenden Phishing-Versuche auf Handys gelegentlich via SMS. Überwiegend geschehen Smishing-Versuche im Privatbereich, z.B. mit einem gefälschten Gutschein-Angebot.

Spear-Phishing: In Anlehnung an das Fischen mit einem Speer, bei dem ein bestimmter Fisch gezielt attackiert wird, meint das Spear-Phishing statt des gebräuchlichen Massenmails mit dem Hintergedanken, dass es reicht, wenn einige wenige „hängen bleiben“, einen gezielten punktuellen Angriff gegen eine Person oder maximal eine Abteilung. Das Phishing-Mail liegt dann meist in stark personalisierter Form mit persönlicher Anrede und kollegialem Umgangston vor. Insbesondere der CEO-Fraud bietet sich als Kombination mit Spear-Phishing an, indem man ein einziges E-Mail gezielt mit individuellen Angaben an eine Einzelperson versendet (klassischerweise an jemanden mit Zugriff auf Firmenkonten), um die Glaubwürdigkeit zu erhöhen am besten mit informeller Tonalität; dies ist allerdings mit einem deutlich umfangreicheren Rechercheaufwand verbunden, sofern nicht unzufriedene (ehemalige) Angestellte als Whistleblower fungieren – eine nicht zu unterschätzende Gefahr. 2020 wurde der bekannte Kommunikationsdienst Twitter Inc. Opfer einer Spear-Phishing Attacke. Social Engineers konnten mit einer Kombination aus Mails und Telefonaten nach einem ausgeklügelten Plan die Accounts von 130 Prominenten übernehmen und für betrügerische Zwecke missbrauchen. (welivesecurity 2020) Dieser spektakuläre Angriff ist ein anschauliches Beispiel für die bereits mehrfach erwähnte Kombination unterschiedlicher Techniken; in diesem Fall war auch die im Folgenden beschriebene Angriffsart „Vishing“ integriert.

Vishing: Der Begriff ist eine Kombination aus „Voice“ und „Phishing“, d.h. der Versuch, Zugangsdaten mit einem (meist telefonisch geführten) Gespräch auszumachen. Am häufigsten konstruieren AngreiferInnen Vishing-Versuche, indem sie via OSINT (siehe Kapitel 2.3.) generierte interne Informationen nutzen, um den Eindruck zu erwecken, selbst MitarbeiterInnen zu sein. Mit dem Appell an die Hilfsbereitschaft, dem Aufbau von Zeitdruck und einer konstruierten Geschichte „Ich muss dringend für den Vorstand eine Transaktion erledigen! Bitte leih mir dein Passwort!“ soll das Opfer zur Herausgabe persönlicher Zugangsdaten überredet werden. Am Telefon Sympathie generieren gehört dabei zu den grundlegenden Fähigkeiten des Social Engineers, um Angriffe erfolgreich werden zu lassen. Auf Hacker-Veranstaltungen und IT-Sicherheitskonferenzen ist die „Hacking Challenge“ mittlerweile fixer Bestandteil des Programms; eine Sprecherkabine mit einem Festnetztelefon und einem Internetanschluss werden den Teilnehmenden zur Verfügung gestellt, um namhaften Unternehmen mit Live-Telefonaten möglichst rasch sensible Daten zu entlocken. Selbstverständlich geschieht dies nur zu Demonstrationszwecken und ohne Schädigungsabsicht. Jessica Clark (Social Engineer) gelang es bei der DEFCON 2015 vor laufender Kamera, den Handyaccount des anwesenden Journalisten Kevin Roose binnen 30 Sekunden zu hacken und zu blockieren. Sie benutzte ihren Laptop lediglich, um im Hintergrund Babygeschrei abzuspielen. Während des Telefonats mimte sie eine überforderte Mutter, die mit dem Account ihres Ehemannes Probleme hätte und überzeugte die Angestellte der Telefongesellschaft davon, dass sie diesen Account gemeinsam nützen würden und hatte keinerlei Probleme, die Daten des Journalisten zu erfahren und zu verändern. (Conflict International 2015)

Wie Phishing-Versuche vorbereitet werden und wie man an relevante Informationen gelangt, soll im folgenden Kapitel der vorliegenden Arbeit behandelt werden.

2.3. Open Source Intelligence

Open Source Intelligence, im Folgenden OSINT genannt, meint „[…] any intelligence produced from publicly aviable information that is collected, exploited, and disseminated in a timely manner to an appropriate audience for the purpose of addressing a specific intelligence requirement.“ (Bazzell 2019)

OSINT-Techniken waren in den vergangenen Jahrzehnten überwiegend in der Hand von Geheimdiensten und dienten der Überwachung von StraftäterInnen und/oder politischen GegnerInnen, bzw. militärischen Zwecken. Mit der Etablierung des Internets wurde die OSINT allgemein zugänglich, wenngleich der Einsatz nicht ausschließlich auf Online-Inhalte beschränkt ist. „These sources can be free or subscription-based, on- or offline. OSINT is not limited to the internet, although it is here that an increasing volume of valuable information is to be found.“ (Pallaris 2008)

Die OSINT ist gewissermaßen eine Werkzeugsammlung, die sich dazu eignet, Informationen über Menschen, Unternehmen oder Institutionen zu gewinnen, die in irgendeiner Form öffentlich verfügbar sind. Im Gegensatz zu den präsentierten Social Engineering-Methoden ist das Sammeln der Daten, die durch OSINT-Techniken gewonnen werden, für die Öffentlichkeit gedacht und der Wissenserwerb daher weitgehend legal. Das potentielle Feld, OSINT sinnvoll einzusetzen, ist umfangreich und längst nicht mehr auf Nachrichtendienste, militärische Institutionen oder Detekteien beschränkt; die Empfehlung für Privatpersonen, zu überprüfen, welche (eventuell schädlichen) Informationen über die eigene Person online sind, fallen ebenso in das Aufgabenfeld der OSINT wie die Sicherheitsmaßnahme, Fremde, von denen man lediglich eine Online-Selbstpräsentation kennt, vor der ersten Verabredung zu durchleuchten.

Um den Rahmen der vorliegenden Arbeit nicht zu sprengen, beschränkt sich die Darstellung vorwiegend auf jene OSINT-Maßnahmen, die sich dazu eignen, Wissen über Unternehmen zu generieren, um einen möglichst effektiven Phishing-Versuch starten zu können.3

2.3.1. OSINT Framework

Als Rahmen und Übersicht hat sich die Open Source https://osintframework.com/4 etabliert, die eine umfangreiche und regelmäßig gewartete Sammlung der etablierten Online-Research-Methoden umfasst.

Die Darstellung folgt einer Baumstruktur, die Recherche-Möglichkeiten sind thematisch sortiert und übersichtlich angeordnet.

Auszug aus dem OSINT Framework

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3: Eigene Darstellung, Datenquelle: https://osintframework.com/ (Zugriff am 11.07.2020)

Zur Recherche und Umsetzung des praktischen Teils der vorliegenden Arbeit werden im Folgenden jene Methoden aus dem OSINT-Framework ausgewählt, die für die Zwecke der Informationsgewinnung und deren Dokumentation für den Phishing Versuch relevant sind.

2.3.2. Homepage, Presse und Social Media

Um Informationen über ein Unternehmen zu gewinnen, empfiehlt sich zunächst das Studium der Homepage, die Auftritte auf Social Media und in Print- und Online-Zeitschriften bzw. Zeitungen, das Verfahren wird in der „SOCMINT“ verortet.

„Der Teminus ist erst in jüngerer Zeit aufgetaucht und bezeichnet Social Media Intelligence“. (Jäger et al. 2020)

Aus Image-Gründen – sowohl an potentielle Kundschaft, als auch an die Öffentlichkeit und an potentielle BewerberInnen gerichtet – geben sich Unternehmen zum überwiegenden Teil Mühe, Ihren Darstellungen ein „menschliches Gesicht“ zu verleihen, d.h. MitarbeiterInnen erscheinen bisweilen namentlich und mit Foto, gerne auch mit einem persönlichen Zitat. Auch seitens der Österreichischen Wirtschaftskammer wird ausdrücklich empfohlen, beim Werben um Fachkräfte Fotos von Arbeitsplätzen mit echten MitarbeiterInnen und Informationen über interne Festivitäten online zu stellen, sei es nun auf der Homepage oder via Social Media. (WKO 2019)

Das mag Sympathiepunkte einbringen und für Verkaufs- und Recruitingaktivitäten hilfreich sein, aber es ermöglicht auch Social Engineers Einblicke in vertraute Bereiche und Personenwissen, das man sich bei einem Angriff zunutze machen kann. Etablierte Social Engineers berichteten bereits von veröffentlichten Bildern aus Büros, auf denen im Hintergrund Post-its auf Monitoren sichtbar waren, auf denen Passwörter geschrieben standen, bzw. bei öffentlichen Präsentationen von IT-Abteilungen interessante Details der jeweiligen Hardware unfreiwillig mitportraitiert wurden. Ebenso können die Metadaten der veröffentlichten Fotos oder Business-Suchmaschinen nützliche Informationsquellen sein; ist beim Fotografieren zufällig die GPS-Funktion des Mobiltelefons aktiviert, werden die Standortdaten beim Hochlanden des Fotos meist in den Metadaten gespeichert und sind mit kostenloser Software5 auslesbar.

Im Social Media-Bereich lohnt sich die Einrichtung eines LinkedIn-Accounts, um Lebensläufe der via Homepage ermittelten Personen zu durchleuchten.Auch über Dienste wie „Search Resumes Free“, die weltweit tätig sind, können Lebensläufe gefunden werden (in den kostenfreien Varianten meist mit zeitlichen Einschränkungen).

2.3.3. Google Advanced Operators

Einfache Google-Suchen dürften mittlerweile fast allen Usern ein Begriff sein. Für OSINT-User jedoch kratzen diese lediglich an der Oberfläche. Google bietet zusätzliche Suchtools, um Suchen zu verfeinern, zu vereinfachen und zu erweitern – die Benutzung der tiefergreifenden Methoden wird „Google Hacking“ genannt.

In dieser Arbeit werden nur jene dargestellt, die zur Untersuchung von Unternehmen geeignet sind.

@Twitter: (Suchbegriff): listet sämtliche Twitter-Einträge auf, die den Suchbegriff enthalten. Weitere geläufige Social Media-Plattformen funktionieren analog (z.B. @Facebook: (Suchbegriff)), Twitter ist hier lediglich stellvertretend für viele andere Social Media-Kanäle genannt.

Cache: (Suchbegriff): zeigt jene Suchergebnisse an, die bereits gelöscht wurden, sich aber noch im Google-Cache befinden (z.B. cache: Firmenname). Voraussetzung ist die Indizierung der gesuchten Seite.

Passwords filetype: (gewünschter Filetyp): liefert Suchergebnisse zu gehackten Passwörtern (z.B. passwords filetype: xls) und sind daher für Hacker von großem Nutzen. Der überwiegende Teil der dargestellten Accounts ist natürlich veraltet, aber der Versuch, als Passwort „Firmenname123!“ auszuprobieren, dürfte nach wie vor in vielen Fällen erfolgreich sein. Die Angabe des Filetypes .xls ist hier exemplarisch zu verstehen – es kann ebenso nach Belieben .doc oder .pdf ausgewählt werden.

Reverse Image Search: erlaubt die Suche nach Texteingaben zu eigenen Bildern. In der OSINT-Anwendung könnte man das selbst fotografierte Bild hochladen, um zu sehen, ob bei Google dazu nützliche Informationen zu finden sind.

2.3.4. Exploit Databases

„Ein Exploit (engl. to exploit: ausnutzen) ist ein kleines Schadprogramm (Malware) bzw. eine Befehlsfolge, die Sicherheitslücken und Fehlfunktionen von Hilfs- oder Anwendungsprogrammen ausnutzt, um sich programmtechnisch Möglichkeiten zur Manipulation von PC-Aktivitäten (Administratorenrechte usw.)“ (Siller 2020) zu verschaffen.

Obwohl sich Exploit Databases für kriminelle Anwendungen eignen und diese häufig, wie in der Definition erwähnt, zur Einschleusung von Schadprogrammen oder Spionagetools verwendet werden, bilden die Datenbanken mit den Exploit-Verzeichnissen auch die legale und konstruktive Grundlage für die Sichtbarmachung von Sicherheitslücken. Da Exploits und das zugehörige Vorgehen für Phishing-Versuche nicht relevant sind, werden sie im weiteren Verlauf dieser Arbeit nicht mehr behandelt. Sie wurden aufgeführt, da sie ein zentrales Element der OSINT-Verfahren darstellen und ein wesentliches Kernelement des Social Hackings bilden.

2.3.5. Google Alerts

Um bei der Recherche nach interessanten Informationen über mögliche Angriffsziele den Überblick zu behalten, bedient man sich eines einfachen Google-Tools, für das lediglich eine Mailadresse erforderlich ist. Google Alerts versendet ein E-Mail an die anfordernde Adresse, sobald ein neuer Eintrag über das Untersuchungsobjekt (im praktischen Teil wird dies ein Firmenname sein) erscheint. Google Alerts ermöglicht das gründliche Ausspionieren der Webauftritte mehrerer Unternehmen (oder auch Personen) gleichzeitig, ohne den Überblick zu verlieren oder viele Stunden Recherchearbeit zu investieren. Die Filterfunktionen erlauben Eingrenzungen auf die wesentlichen Aspekte der Nachforschungen.

Einrichtung von Google Alerts

Abbildung in dieser Leseprobe nicht enthalten

Abb. 4 – Eigene Darstellung, Datenquelle: https://www.google.at/alerts (Zugriff am 11.07.2020)

2.3.6. Google Maps

Zur Recherche vor Ort bietet Google Maps, besonders in der Satellitenansicht, gute und kostenlose Hilfestellungen. Beim Dumpster Diving (siehe Kapitel 2.1.2) können detaillierte Bilder Auskunft über die Standorte der Müllcontainer liefern, bzw. sind einzelne Betriebsgebäude ebenso identifizierbar wie mechanische Zugangsbeschränkungen.

Letztere sind besonders für die Planung des Tailgaitings (siehe Kapitel 2.1.4) relevant. Auf manchen Aufnahmen sind auch die toten Winkel von Überwachungskameras eruierbar.

Im Nachrichtendienst werden die Informationsbeschaffung via Satellitenbilder der sogenannten „IMINT“ (Imaginary Intelligence) und die persönliche Recherche am Firmengelände der sogenannten „HUMINT“ (Human Intelligence) zugeordnet. „Die Beschaffung von Informationen auf Basis von menschlichen Quellen ist trotz der technischen Weiterentwicklung immer noch die bedeutendste.“ (Lux und Peske 2002) Der Vollständigkeit halber sei erwähnt, dass der HUMINT nicht nur persönliche Recherche vor Ort, sondern auch Gespräche mit (dem Untersuchungsgegenstand verbundenen) Menschen, wie z.B. ehemalige Angestellte zugeordnet werden; letztere werden in der vorliegenden Arbeit aber keine Rolle spielen. Die eben beschriebenen Methoden sind, sofern man auf das Tailgating verzichtet, völlig legal.

Im folgenden Teil der vorliegenden Arbeit werden die konkreten Vorbereitungsarbeiten beschrieben, um einen Phishing-Versuch im zu untersuchenden Unternehmen starten zu können.

3. Konzeptioneller Vorgehens- und Lösungsansatz

3.1. Grundsätze

Um einen Phishing-Angriff möglichst authentisch zu simulieren und dabei den Rahmen der Legalität nicht zu verlassen, wird die vorliegende Arbeit auf der Grundlage folgender Prinzipien verfasst:

a. Keine Verwendung von genuinem Insiderwissen

Dies meint, dass ich keine Informationen, die mir durch persönliche Beziehungen mit Angestellten bekannt sind, verwende; ebenso wenig generiere oder benutze ich Wissen, das mir durch Angestellte in helfender Absicht zugespielt werden könnte. In der vorliegenden Arbeit werden ausschließlich jene Informationen behandelt und verarbeitet, die man „als Fremde“ mit legalen Recherchemethoden, die im Detail im zweiten Kapitel der vorliegenden Arbeit beschrieben wurden, erhält.

b. Ausschließlich mit schriftlicher Erlaubnis

Als deklarierter „White Hat“ ist die schriftliche Erlaubnis einer befugten Person des untersuchten Unternehmens unabdingbare Voraussetzung für die Durchführung des Versuchs. Ohne schriftliche Vorlage der Genehmigung kann kein Phishing-Versuch stattfinden.

c. Einhaltung des Datenschutz-Regulativs

Keinesfalls wird die Autorin Informationen, die über die Verarbeitung in der vorliegenden Arbeit hinausgehen, an die Öffentlichkeit bringen. Ebenso werden keine Aussagen über Einzelpersonen des Unternehmens getroffen; eventuelle Nachfragen „wer genau darauf hereingefallen ist“, werden keinesfalls beantwortet.

d. Informationsgewinnung

Der Detailierungsgrad der Settings im Phishing-Framework richtet sich nach dem „So grob wie möglich, so fein wie nötig!“-Prinzip. Erhoben werden ausschließlich Daten, die zur quantitativen Analyse des Angriffs notwendig sind. Einzelheiten über die Identität der BenutzerInnen oder der unverschlüsselte Wortlaut der Passwörter werden nicht erhoben.

e. Nutzung der gewonnenen Information

Informationen, die beim Phishing-Versuch geriert werden, werden ausschließlich für die Verarbeitung in der vorliegenden Arbeit genutzt. Es wird keine weitere Verwendung durch die Autorin stattfinden.

f. Zerstörung der gewonnenen Information

Informationen, die beim Phishing-Versuch generiert werden, werden nach Fristablauf zuverlässig vernichtet. Darüber hinaus bleibt die Anonymität des Unternehmens gewährleistet.

g. Durchführung

Jegliche Aktivität, die in der Kontaktsphäre mit dem untersuchten Unternehmen stattfindet, wird im Voraus mit einer befugten Person der IT-Abteilung abgesprochen.

3.2. Virtuelle Maschine

Um die eigene Identität bei der Recherche und während des Angriffs zu schützen, empfiehlt sich die Verwendung einer virtuellen Maschine. Diese simuliert einen “Computer im Computer”, was bewirkt, dass mehrere Betriebssysteme völlig unabhängig voneinander gleichzeitig betrieben werden können; z.B. wäre der Betrieb von Windows und Linux zugleich auf einem einzigen Endgerät möglich. Der physische Umbau einzelner Komponenten ist nicht nötig. (Ahnert 2009)

Einschränkungen bestehen lediglich durch Speicherkapazitäten, deren Überstrapazierung Performanzprobleme verursachen könnte.

Für die vorliegende Arbeit wurde die Virtual Box in der Version 6.1.16 des Unternehmens Oracle ausgewählt, da dieses Produkt kostenfrei erhältlich, mit Windows 10 kompatibel und gut gewartet ist.

Das Betriebssystem innerhalb der Virtual Box ist Windows 10, da dieses für den Betrieb des gewählten Phishing-Frameworks (siehe Kap. 3.4.) im User Guide als bestgeeignet dokumentiert wurde.

3.3. OSINT

Zunächst wird die Informationsbeschaffung oberflächlich gestaltet sein; es werden alltägliche Recherchemaßnahmen angestellt, welche die meisten LeserInnen der vorliegenden Arbeit wahrscheinlich täglich durchführen.Unter Zuhilfenahme des in Kap. 2.3.1. beschriebenen OSINT-Frameworks wird die Recherche verfeinert und immer gründlicher durchgeführt, um vielleicht auch Informationen gewinnen zu können, die das Unternehmen möglicherweise nicht öffentlich zugänglich wissen möchte.

3.3.1. Oberflächliche Suche

Zunächst wird erhoben, was die ersten Seiten gängiger Suchmaschinen über das Unternehmen zeigen. Womöglich lassen sich dabei bereits nützliche Informationen darüber generieren, was für das Unternehmen momentan besonders aktuell ist. Vielleicht zeigen sich hier bereits Themen, welche die Angestellten gerade akut betreffen und daher als “Eyecatcher” in den Phishing-Versuch integriert werden können.

3.3.2. Website

Bei Recherchemaßnahmen auf der Firmen-Website sind für das Social Engineering weniger die auffälligen Werbeeinschaltungen, bzw. jene Darstellungen interessant, welche die Aufmerksamkeit der KonsumentInnen erregen sollen, sondern solche, die Rückschlüsse auf die Organisationsstruktur und auf persönliche Daten erlauben. Insbesondere Seiten, die mit “Das sind wir”, “Das Team” oder ähnlichem beschrieben werden, enthalten oft Namen und/oder Mailadressen, die für den Phishing-Versuch genutzt werden können. Der Versuch, nahbar und verbindlich zu wirken (siehe Kap. 2.3.2.), führt bei einer Vielzahl von Firmendarstellungen zur Abbildung persönlicher Daten wie z.B. “Frau Mustermann kümmert sich bei Marketingfragen gerne um Ihr Anliegen, Sie erreichen sie unter … (+Mailadresse).” Und damit wäre bereits eine erste potentielle Ansprechperson für Social Engineers identifiziert.

Des Weiteren können auch Anfahrtsbeschreibungen bedeutsam sein. Diese sind bisweilen mit Satellitenbildern ausgestattet, die Aufschlüsse über die Lage interessanter Gebäudeteile (Müllcontainer für Dumpster Diving, Schranken für das Tailgating etc.) bieten.

Sollte das Unternehmen einen Newsletter anbieten, empfiehlt es sich, diesen zu abonnieren; gelegentlich enthalten diese Informationen über die im Unternehmen gepflegte Schriftform, bzw. über die Gestaltung der Mail-Signaturen.

3.3.3. Social Media

Konkret wird der Auftritt des Unternehmens auf Facebook, Instagram, LinkedIn und Twitter interessant sein. Im Bemühen um neue Kundenkreise oder potentielle BewerberInnen geben viele Unternehmen Einblicke in ihr Geschäft, die bei der Informationsbeschaffung auch für Social Engineers von Bedeutung sein können. Ein Fake-Account auf allen vier Plattformen wird die Recherche erleichtern.

3.3.4. Google Hacking

Wie am Ende des zweiten Kapitels bereits detailliert beschrieben wurde, wird die Recherche in diesem Teil der Arbeit vertieft. Die Google Advanced Operators werden ebenso eingesetzt wie die intensive Suche nach Hinweisen auf Google Maps. Möglicherweise können Metadaten identifiziert werden, die einen zusätzlichen Informationsgewinn ermöglichen.

3.3.5. Besuch am Firmengelände

Da in der praktischen Umsetzung kein Tailgating-Versuch inkludiert sein wird, beschränkt sich der persönliche Besuch auf jene Teile des Firmengeländes, deren Zutritt legal, bzw. ohne Verletzung infrastruktureller Barrieren oder Verkleidungstricks möglich ist. Das Ziel ist die Sichtung allgemein zugänglicher Informationen, eventuell sind Aushänge sichtbar oder es entsteht die Möglichkeit, ein Gespräch von Angestellten zu belauschen.

3.4. Reservierung der Domäne

Um dem Phishing-Mail Glaubwürdigkeit zu verleihen, ist eine möglichst gelungene Domänenkopie heutzutage Standard bei qualitativ hochwertigen und gut vorbereiteten Phishing-Versuchen.

Nachdem die tatsächliche Firmendomäne natürlich nicht mehr verfügbar ist, wird ein Domänenname reserviert, der dem echten Firmennamen möglichst ähnlich ist; es empfiehlt sich, einen Buchstaben des Firmennamens auszutauschen, wobei dieser dem richtigen Buchstaben sehr ähnlich sehen sollte oder die Firmendomäne mit veränderter Länderkennung zu wählen. Die falsche Domäne wird registriert, um Mails unter dieser Domäne versenden zu können. Das Ziel ist die Vortäuschung eines “internen” Mails und die damit verbundene Generierung der notwendigen Glaubwürdigkeit.

3.5. Phishing-Framework

Die letzte Vorbereitungsphase für den Phishing-Angriff besteht aus der Erstellung und des Tests eines möglichst überzeugenden E-Mails.

Zu diesem Zweck hat sich das Open Source-Tool “GoPhish”6 von Jordan Wright etabliert, welches kostenlos über die Entwicklerplattform “GitHub” bezogen werden kann. Das letzte Update wurde im August 2020 vorgenommen, in der vorliegenden Arbeit wird die aktuellste Version, die v0.11.0 verwendet.

Die grafische Oberfläche von GoPhish umfasst ein übersichtliches Dashboard mit einer seitlich aufgebrachten Menüführung, welche die User intuitiv durch die Arbeitsschritte führt.

Demoseite von GoPhish

Abbildung in dieser Leseprobe nicht enthalten

Abb. 5 – Demo von GoPhish, Datenquelle: https://www.div0.sg/post/simulated-phishing-gophish (Zugriff am 28.09.2020)

Im linken, rot markierten Bereich befinden sich die ablaufrelevanten Funktionen. Unter “Users & Groups” können die zu attackierenden Personen erfasst und zu verschiedenen Gruppen (die z.B. unterschiedliche Mails erhalten könnten) zusammengefasst werden. Der Datenimport kann einzeln händisch oder bequem mit einem csv.-File realisiert werden.

Im Menüpunkt “Email-Templates” wird der Text für das Phishing-Mail erstellt. GoPhish bietet in diesem Bereich zwar die Möglichkeit, den HTML-Code für das betreffende Mail einzugeben, notwendig ist dies jedoch nicht. Das Mail kann auch als Text verfasst oder sogar bequem in die Software kopiert werden; händische Anpassungen im kopierten Textfeld sind ebenso möglich.

Unter “Landing Pages” wird das eigentliche Herzstück des Phishing-Mails konzipiert. Mit einer einfachen Import-Funktion lässt sich der Login-Bereich einer Homepage täuschend echt kopieren. Praktisch für die Einhaltung der Datenschutzvorschriften ist die Differenzierung der beiden Funktionen “Capture Submitted Data” und “Capture Passwords”.

Aktiviert man nur ersteres, wird in der Auswertung lediglich mitgeteilt, ob der Versuch einer Passwort-Eingabe stattgefunden hat. Unter “Capture Passwords” hingegen werden die erbeuteten Passwörter auch im Klartext angezeigt. Selbstverständlich wird im praktischen Teil der vorliegenden Arbeit lediglich “Capture Submitted Data” aktiviert, da ausschließlich die Anzahl der Eingabeversuche, nicht aber unverschlüsselte Passwörter für die Analyse interessant ist. Eine “Redirect”-Funktion ermöglicht das Umleiten der Eingabe auf eine gültige Seite.

In den Sending Profiles wird festgelegt, welche E-Mail-Adressen für den Versand der Phishing-Mails benutzt werden können. Es können mehrere Adressen gleichzeitig “aktiv” sein. Ein Button ermöglicht die Integration eines Custom Headers ohne Programmierkenntnisse; dieser kann in manchen Konfigurationen hilfreich sein, um den Spamfilter des attackierten Unternehmens zu umgehen. Auch das Verschicken von Testmails wird in diesem Teil der Software realisiert.

Der letzte Schritt vor dem Versand ist die Zusammenfassung der erfassten Informationen zur “Campaign”. Sämtliche bisher erstellten Informationen werden zu einer Kampagne zusammengefasst, die nach dem Launch selbständig Auswertungsdaten liefert.

Startfenster der GoPhish-Campaign

Abbildung in dieser Leseprobe nicht enthalten

Abb. 6 - Demo von GoPhish, Datenquelle: https://securitytrails.com/blog/gophish-phishing-framework (Zugriff am 29.09.2020)

3.6. Umsetzungsplan

In Kürze zusammengefasst entspricht der Ablauf der praktischen Umsetzung der im aktuellen Kapitel aufgeführten Reihenfolge.

Beginnen wird das Experiment mit der Installation einer virtuellen Maschine, innerhalb derer die Recherche und der Phishing-Angriff stattfinden wird.

Die Suche nach Informationen wird mit den OSINT-Methoden im Online-Bereich und einer persönlichen Besichtigung des Firmengeländes durchgeführt. Als Checkliste dient das in Kapitel 2.3.1. beschriebene OSINT-Framework.

Anschließend wird eine Domäne erstellt und reserviert, die der Original-Domäne zum Verwechseln ähnlich sieht. Von dieser werden die Mails versendet, um die Angestellten zu täuschen.

Das Phishing-Framework wird mit den Daten der zu untersuchenden Angestellten und sämtlichen Informationen befüllt und nach Fertigstellung der Kampagne versendet.Von professionellen TesterInnen wird eine Auswertung nach 72 Stunden empfohlen. Das bedeutet, dass die Phishing-Kampagne nach 72 Stunden beendet wird und später genannte Passwörter in der Auswertung keine Berücksichtigung mehr finden.

Anhand der dann vorliegenden Daten wird sichtbar, wie viele AdressatInnen sich von dem Phishing-Versuch täuschen ließen, wodurch sich auch die Forschungsfrage und Hypothese beantworten lässt.

4. Anwendung des Lösungsvorschlags

4.1. Installation der virtuellen Maschine

Installiert wird die aktuellste Version, die Virtual Box 6.1.16. Die Oracle VM Virtual Box bietet die volle Auswahl sämtlicher gängiger Betriebssysteme, auch alte Versionen können ausgewählt werden.

Oracle Virtual Box – Auswahl der Betriebssysteme

Abbildung in dieser Leseprobe nicht enthalten

Abb. 7 – Eigene Darstellung, Settings virtuelle Maschine

Die virtuelle Festplatte wird als VDI (Virtual Desk Image) angelegt.Zwar unterstützt dieses Format (im Gegensatz zu VDH und VDMK) keine anderen Virtualisierungen, aber diese sind ohnehin nicht geplant, beziehungsweise wird durch die VDI-Default-Einstellung die größtmögliche Stabilität gewährleistet.Entgegen der vorherrschenden Community-Meinung wird anstatt einer dynamisch allozierten Speicherform eine feste Größe gewählt, da ausreichend Speicherplatz zur Verfügung steht und auf kurze Zugriffszeiten Wert gelegt wird.

Zu finalen Installation wird ein ISO-file gewählt, wobei auch der Start über gängige optische Datenträger oder floppy disc zur Verfügung stünde.

4.2. OSINT

Wie im Kapitel 2.3.1. besprochen, wird das OSINT-Framework als Orientierung für die Recherche mit den aufgeführten OSINT-Methoden dienen. Es werden nur jene Methoden ausgewählt, die in Bezug auf das zu untersuchende Unternehmen relevant sind.

4.2.1. IT-Anwendung und Framework

a. Oberflächliche Suche: Im Framework ist unter “Search Engines” die Methode “General Search “ aufgeführt, welche mit einer Google-Empfehlung startet. Sämtliche oberflächlichen Suchen werden am 20. November 2020 durchgeführt, Angaben über die Ergebnisse beziehen sich somit auf dieses Datum. Als Suchbegriffe werden der Firmenname und die Ortsangabe verwendet.

Die Suche via Google liefert 367 Einträge, welche aus der Firmenhomepage, mehreren Einträge in unterschiedlichen Firmenverzeichnissen, drei Youtube-Videos, Einträgen auf Karriereseiten, regional wirksamen Pressemeldungen und einiger Erwähnungen in öffentlichen Chats besteht. Brisante Informationen über das Unternehmen sind auf diese Art nicht zu eruieren.

Das OSINT-Framework empfiehlt, sich nicht auf die Nutzung von Google zu beschränken, sondern die oberflächliche Suche mit weiteren Tools zu intensivieren.

Die Suchmaschine “Bing” zeigt das Zwanzigfache an Ausgaben, wobei sich Einträge deutlich häufiger wiederholen als bei Google, selbiges gilt für Yahoo. Als sehr nützlich erweist sich bei der Bing-Suche das Auffinden einer Login-Page für das firmeneigene Intranet. In den Lesezeichen gespeichert könnte diese Seite für das Design des Phishing-Mails verwendet werden, um Vertrauen zu generieren.

Die Suche mit der in Hackerkreisen beliebte Maschine “DuckDuckGo” zeigt nur gut 80 Resultate, jedoch ist sie dafür bekannt, auf das Tracking der Suchen zu verzichten. Für die Suche mit StartPage gilt das Gleiche wie für DuckDuckGo. Umfangreiche Ergebnisse bei gleichen Anonymitäts-Features wie die beiden eben genannten erbringt die Suche mit der Schweizer Maschine “Hulbee”.

Regional bekannte Suchmaschinen wie Yandex (russisch) und Baidu (chinesisch) liefern, abgesehen von einem korrekten Treffer, jeweils die Firmenhomepage, keine nützlichen Ergebnisse.

Die weiteren, von OSINT empfohlenen Search Engines wie iBoogie, Ixquick und Instya sind nicht mehr online, iZito und Advangle kombinieren die Features von Google und Bing.

Die nützlichsten Resultate der von osintframework.com empfohlenen Suchmaschinen, kombiniert mit dem Verzicht auf Tracking, bietet bei den unternehmensrelevanten Tools die Maschine “Hulbee”.

Das nützlichste Resultat der framework-geleiteten oberflächlichen Suche ist die von Bing ausgegebene genaue Designvorlage für den Intranet-Zugang.

b. Website: Die Internetauftritt des untersuchten Unternehmens bietet nicht nur einen hervorragenden Einblick in die Systematik der Mailadressen (fast ausnahmslos nach der Variante “Erster Buchstabe des Vornamens.Nachname@Firmenname.at”), sondern weist sämtliche Angestellten mit deren Zuständigkeitsbereichen auf einer Seite aus. Mit einem Klick auf “Kontakt” werden nahezu alle Mailadressen der im Unternehmen Beschäftigten angezeigt, die für den Versand der Phishing Mails gespeichert werden.
c. Social Media: Auf Facebook befinden sich hauptsächlich Fotos und Ankündigungen von Veranstaltungen der Geschäftspartner; diese gehören vorwiegend dem (Groß-)Handel und der gehobenen Gastronomie an. Diese Daten wären für einen CEO-Fraud sehr nützlich, man könnte die Buchhaltung des Unternehmens beispielsweise dahingehend anweisen, Geld wegen einer Reklamation an den Geschäftspartner zu überweisen und ein eigenes Konto dafür nennen. Für einen Phishing-Versuch sind Kundendaten hingegen weniger interessant. Nützlich hingegen sind die Stellenausschreibungen, die via Facebook veröffentlicht werden und weitere Informationen, bzw. Kontaktadressen beinhalten könnten. Im vorliegenden Fall enthalten die Ausschreibungen eine weitere Mailadresse, die auf der Website nicht aufgeführt war und als weiteres Phishing-Ziel registriert wurde. Gründlichere, vom OSINT-Framework empfohlene Facebook-Suchen, sind für die vorliegende Arbeit nicht zielführend, da für die meisten Suchen Namen und Mailadressen bekannt sein müssen.

Einen Twitter-Account unterhält das untersuchte Unternehmen nicht, auch auf Reddit ist es nicht vertreten.

Ein Instagram-Account dient der Produktplatzierung und Bewerbung der Homepage, es konnten keine zusätzlichen Kontaktdaten eruiert werden.

d. Google Hacking: Die Advanced Google Operators beschränken sich im Social Media-Bereich auf die Suchmöglichkeiten “@Facebook” und “@Instagram”; diese förderten keine weiteren Informationen zutage als jene, die bei der Social Media-Recherche unter c. erfolgt ist.

Die Cache-Suche verlief ergebnislos, zum gegenwärtigen Zeitpunkt befinden sich keine unternehmensrelevanten Informationen im Google-Cache.

Auch in den Passwortsammlungen (durchsucht wurden die Formate .xls, .txt und .pdf) konnten keine Einträge gefunden werden.

Selbstverständlich sind Passwortsammlungen der angeführten Art sehr kurzlebig, zumal sich der Standard, dass Passwörter regelmäßig geändert werden müssen, großflächig durchgesetzt hat.

Die Reverse Image Search wird ausschließlich mit Fotos des untersuchten Unternehmens durchgeführt, da mit den Geschäftspartnern keine Vereinbarungen getroffen wurden. Für diese Untersuchung werden jene Fotos herangezogen, die auf der Firmenhomepage und den Social Media-Kanälen des Unternehmens verfügbar sind. Das Ziel der Reverse Image Search ist die Sicherstellung eventuell vorliegender Meta-Informationen, die für den Phishing-Versuch hilfreich sein könnten.

Google Reverse Image Search

Abbildung in dieser Leseprobe nicht enthalten

Abb. 8 – Ausschnitt des Eingabefeldes der Google Reverse Image Search (letzter Zugriff am 29.11.2020)

Die Suche über die Google Image Search informiert über das Online-Vorkommen des upgeloadeten Bildes, d.h. es wird jede Seite angeführt, auf welcher das untersuchte Bild verwendet wird. Um die damit verbundenen Metadaten übersichtlich dargestellt sehen zu können, wird die Nutzung des Firefox-Browsers empfohlen, insbesondere mit dem Add-On “Exif Viewer” von Alan Raskin. Dieser ist mit einem Mausklick rechts bei der Untersuchung jedes Fotos im Menü verfügbar.

Aufruf Exif Viewer

Abbildung in dieser Leseprobe nicht enthalten

Abb. 9 – Zugriff auf den Exif Viewer am Beispiel der Homepage der Ferdinand-Porsche-FernFH (letzter Zugriff am 29.11.2020)

Dargestellt wird die Exif-View-Bearbeitung wie folgt:

Exif View auf der Startseite der Ferdinand-Porsche FernFH

Abbildung in dieser Leseprobe nicht enthalten

Abb. 10 – Exif View-Ergebnis der FernFH (29.11.2020)

Grundsätzlich findet man bei jedem untersuchten Bild die File-Adresse. In dem eben angeführten Beispiel sind keine nützlichen Metadaten sichtbar. Wählt man das Zusatzfeature “Show histograms” wird die Farbzusammenstellung des Bildes ausgewertet; im gewählten Beispiel allerdings ohne Pantone-Codes oder CSS-Schlüssel, sodass ein völlig exakter Nachbau des Bildes nur mit dieser Information nicht gelingen kann.

Auf der Homepage des untersuchten Unternehmens befinden sich vierzehn Bilder.Zwei dieser Bilder wurden mit dem Namen des Fotografen benannt. Dieses Wissen könnte nicht nur für einen CEO-Fraud verwendet werden, sondern auch, um Mailanhänge vertrauenswürdiger wirken zu lassen.

Auf Facebook und Instagram finden sich mehrere Hundert Fotos. Bei der Untersuchung beschränke ich mich daher auf den Zeitraum von 2018 bis 2020, beziehungsweise werden die Bilder nach Ähnlichkeit gruppiert und von jeder Gruppe wird eines exemplarisch ausgewählt und mit dem Exif Viewer untersucht.Insgesamt stehen dadurch 28 Fotos aus Facebook und Instagram zur Überprüfung auf Metadaten zur Verfügung.

Die Exif-Untersuchung auf Facebook führt zu keinen verwertbaren Informationen. Details über den Umgang Facebooks mit hochgeladenen Foto-Metadaten entzieht sich der öffentlichen Kenntnis, beziehungsweise des Zugriffs durch die Wissenschaft. Überprüfbar ist die IPTC-Referenz, die beim Upload eines Fotos auf Facebook erstellt wird; somit ist grundsätzlich gewährleistet, dass Informationen zur Klärung von Urheberrechtsfragen (wie etwa der Name der ErstellerIn) und einige Schlagwörter zur Nutzung von Suchalgorithmen zur Verfügung stehen. Zugriff auf die Informationen hinter den Referenznummern kann mit geeigneter Bildbearbeitungs-Software erreicht werden, wobei der Standard keine Speicherung heikler Daten vorsieht.

Exif-Darstellung eines Bildes auf Facebook

Abbildung in dieser Leseprobe nicht enthalten

Abb. 11 – Exif View-Ergebnis eines Fotos auf Facebook (05.12.2020)

Über die Speicherung weiterer Metadaten und deren interne Verarbeitung ist Facebook wenig auskunftsfreudig. Versuche, aus den zugewiesenen Nummern Regelmäßigkeiten (und damit eventuell) Informationen abzuleiten, finden sich lediglich in Hacker-Communities ohne wissenschaftlichen Anspruch und können daher nicht Gegenstand der vorliegenden Arbeit sein.

Auf Instagram sind die Metadaten von Fotos (mit Ausnahme der Ortsangabe) nicht abrufbar. Ähnlich wie bei Facebook sagt dies aber wenig darüber aus, wie viele Metadaten tatsächlich gespeichert werden und gehackt werden könnten.Eine interessante Anwendung findet sich bei Instagram aber in Bezug auf die mit dem Firmennamen verbundenen Personen. Instagram listet all jene Personen auf, die den Kanal des Unternehmens abonniert haben, namentlich auf, auch wenn man als BenutzerIn mit diesen nicht verbunden ist. Diese Informationen können die Kontaktliste für einen Phishing-Versuch ergänzen, d.h. Angestellte, die (noch) nicht auf der Homepage des Unternehmens sichtbar sind, können somit, eventuell verbunden mit einem Facebook-Gegencheck, als MitarbeiterInnen identifiziert und angeschrieben werden.

Im Fall des untersuchten Unternehmens sind sämtliche Angestellten, die den Instagram-Auftritt abonniert haben, bereits auf der Homepage als solche ausgewiesen.

4.2.2. Persönlicher Besuch

Vor der persönlichen Sondierung des Firmengeländes wurden die Details der Betriebsgebäude mit Google Maps recherchiert. Auf jegliche Form des Tailgaitings wird verzichtet, um dem Unternehmen keinen Schaden zuzufügen. Gerade im Lebensmittelbereich kann ein unbefugter Zutritt durch die damit verbundenen Verstöße gegen Hygienevorschriften gravierende Konsequenzen haben.

Online ermittelt wurde eine detaillierte Außenansicht eines Gebäudes, das einen modernen Anbau ausweist, der nach einem Empfang aussieht. Geplant ist der Zutritt mit der Bitte, die Toilette benutzen zu dürfen und der zusätzlichen Information, sich bei einer Wanderung verkalkuliert zu haben (Appell an die Hilfsbereitschaft).

Beim tatsächlichen Zutritt ist man als Testperson sofort für eine Empfangsangestellte sichtbar, die sich beim Versuch sehr aufmerksam zeigt. Der vorgebrachten Bitte wird zwar entsprochen, jedoch bleibt man als BesucherIn bis zur Toilettentüre unter strenger Aufsicht. Paradoxerweise entschuldigt sich die Angestellte für ihre erhöhte Aufmerksamkeit und begründet diese mit den im Winter 2020 strengen Covid-19-Verordnungen, die gewährleisten sollen, dass sämtliche BesucherInnen den Mund-Nasen-Schutz ordnungsgemäß tragen und sich die Hände beim Betreten und beim Verlassen des Gebäudes gründlich desinfizieren. Durch einige Corona-Clusterbildungen im Lebensmittelbereich im Frühjahr 2020 befinden sich die entsprechenden Betriebe nun besonders im Fokus der Gesundheitsbehörden und sind daher bei Besuchen sehr wachsam.

Tatsächlich waren auf dem Weg zwischen dem Eingang und der zugewiesenen Toilette kein Schaukasten oder ähnliche Informationsquellen sichtbar, beziehungsweise wäre eine Informationsverwertung durch ein Foto oder aufmerksames Lesen aufgrund der permanenten Beobachtungssituation nicht möglich gewesen. Allerdings kann die Nervosität der Angestellten im Lebensmittelbereich ein nützlicher Hinweis zur inhaltlichen Gestaltung eines Phishing-Mails sein. Ein Thema, das die MitarbeiterInnen sehr interessiert und besonders aktuell ist, wird das Risiko, auf einen Phishing-Versuch hereinzufallen, erhöhen. Interpol warnt bereits mit einem eigenen Begriff vor sogenannten “Covid 19-Cyberthreats: […] There are a considerable number of registered domains on the Internet that contain the terms: ‘coronavirus’, ‘corona-virus’, ‘covid19’ and ‘covid-19’. While some are legitimate websites, cybercriminals are creating thousands of new sites every day to carry out spam campaigns, phishing or to spread malware.” (Interpol 2020)

4.2.3. Zusammengefasste Resultate der OSINT-Recherche

Mit der oberflächlichen Suche unter Nutzung der geläufigsten Suchmaschinen konnten keine heiklen Informationen sichergestellt werden, jedoch ergab die Recherche via Bing die Designvorlage für den Login ins Intranet des untersuchten Unternehmens.

Auf der Website des Betriebs befinden sich fast alle Mailadressen der Angestellten. Aus dieser Quelle werden sie in weiterer Folge ins Framework integriert.

Der Social Media-Auftritt des Unternehmens ist vorwiegend von Geschäftskontakten geprägt. Da mit Geschäftspartnern keinerlei Vereinbarung besteht, werden diese in der vorliegenden Arbeit nicht berücksichtigt. Eine weitere Mailadresse, die auf der Website nicht aufscheint, konnte aber identifiziert werden.

Bei der Reverse Image Search konnte der Name des Fotografen auf zwei Bildern, die auf der Website veröffentlicht waren, ausgemacht werden. Dies könnte für einen CEO-Fraud interessant sein, für einen Phishing-Versuch ist diese Information nicht geeignet.

Ein persönlicher Besuch brachte gut verwertbare Informationen. Die erhöhte Aufmerksamkeit des Empfangspersonal wurde mit strengen Vorschriften zur Eindämmung der Covid-19-Pandemie begründet. Besonders Lebensmittelunternehmen werden mit erhöhter Aufmerksamkeit beobachtet; dies wird ein Teil des Inhalts des Phishing-Mails sein.

4.3. Reservierung der Domäne

Als Hosting-Provider wurde eine regionale Lösung gewählt und die gewünschte Domain bei dem Linzer Anbieter “World4You Internet Services GmbH” reserviert.Da die Domain mit dem Firmennamen und der Österreichischen Endung “.at” dem untersuchten Unternehmen gehört, fiel die Wahl auf die möglichst ähnliche Domain “firmenname.eu”

Ausgewählt wurde neben des Domänennamens auch das minimalmögliche Basispaket mit 5.000 MB Webspace, Webserver und FTP Zugang da die Anwendung lediglich auf die Aufgaben der vorliegenden Arbeit beschränkt bleibt.

Die Mailadresse, von der die Phishing-Versuche versendet werden, folgt dem Schema „office@ firmenname.eu“.

4.4. Setup des Frameworks

4.4.1. Usergroup

Im ersten Schritt werden die Daten jener Personen importiert, an die ein Phishing-Mail versendet werden soll. Das geforderte Dateiformat ist .csv oder .txt.

Import der AdressatInnen

Abbildung in dieser Leseprobe nicht enthalten

Abb. 12 – Importfunktion der Mailadressen (eigene Darstellung von 05.12.2020)

Insgesamt konnten 37 Mailadressen ermittelt werden, die sich für eine Phishing-Attacke eignen. Die Geschäftsführungs-Ebene wird ausgespart, um zu verhindern, dass der Versuch verraten wird, wenn das Mail den Anschein des Versandes durch die Geschäftsführung erwecken soll.

4.4.2. E-Mail-Template

Das „Email-Template“ soll aussagen, dass den Angestellten pünktlich zu Weihnachten eine Prämie ausbezahlt wird und dass nähere Informationen im Intranet verfügbar wären und sie sich in selbiges einloggen müssten, um diese zu sehen. Der Hintergrund dieses Inhalts liegt im persönlichen Besuch begründet, der im Kapitel 4.2.2 der vorliegenden Arbeit besprochen wurde. Die erhöhte Arbeitsbelastung durch die Covid-19-Situation wurde vermerkt, wodurch der Gedanke einer „Belohnung“ durch die Geschäftsführung naheliegend und für die Angestellten wohl auch attraktiv war.

Text des Mail-Templates

Abbildung in dieser Leseprobe nicht enthalten

Abb. 13 – Eigener Entwurf im GoPhish-Framework

Die Einbindung der URL zur Eingabe der Daten wurde in HTML realisiert:

Ausschnitt des Mail-Templates in HTML

Abbildung in dieser Leseprobe nicht enthalten

Abb. 14 – HTML-Snippet in GoPhish

Um das Mail angenehm lesbar zu machen, wurden nach dem Import des HTML-Codes mehrere <br>-Tags eingefügt. Diese führen zu zusätzlichen Leerzeichen, lockern das Schriftbild auf und lenken das menschliche Auge stärker zu dem angezeigten Link.

4.4.3. Landing Pages

Die „Landing Page“ ist die Grundlage für das Design des Phishing-Mails. Wie in Kap. 4.2.1 beschrieben wird das Suchergebnis von „Bing“, nämlich die Login-Oberfläche als Vorlage für das Design genutzt. Dies wird die Glaubwürdigkeit des Mails erhöhen, indem es einen „internen“ Eindruck erweckt. Die Landing Page ist jener Teil von GoPhish, der von den Usern als der mächtigste beschrieben wird. Es ist nämlich völlig ausreichend, den Quellcode der Seite in das Framework zu importieren, weitere Design-Maßnahmen sind nicht notwendig.

Kritisch zu betrachten ist die Möglichkeit „Capture Passwords“. Diese Funktion ermöglicht die Anzeige von Passwörtern im Klartext und in der Forschung besteht dafür keinerlei Notwendigkeit. Um zu überprüfen, ob Passwörter sicher sind, kann ein Automatismus bei der Vergabe installiert werden, der die Anforderungen festlegt. Somit nützt die Capture Password-Funktion ausschließlich kriminellen Aktivitäten und wird daher nicht aktiviert.

Ausschnitt Landing Page

Abbildung in dieser Leseprobe nicht enthalten

Abb. 15 – Settings Landing Page in GoPhish

Die Redirection erfolgt direkt auf die Firmen-Homepage, d.h. User, welche ihr Passwort eingegeben haben, werden in Folge automatisch auf die eigene Unternehmensseite weitergeleitet.

4.4.4. Sending Profiles

Unter „Sending Profiles“ wird die Mailadresse gemäß dem Schema „office@ firmenname.eu“ als Absender hinterlegt. Die Ähnlichkeit mit der Adresse office@ fimenname.at soll die Angestellten dazu bringen, dem Absender zu vertrauen. In den Settings der Sending Profiles wird auch die Verbindung zum Host etabliert.

4.4.5. Campaign

Der Abschluss der Phishing-Vorbereitungsarbeiten und die Grundlage für den Versand sammeln sich im Menüpunkt „Campaign“. Dort werden Text- und Designvorlagen, sowie sämtliche involvierten Mailadressen zusammengeführt.

Start New Campaign 1

Abbildung in dieser Leseprobe nicht enthalten

Abb. 16 – Erster Teil der neuen Campaign in GoPhish

Die Landing Page trägt den Firmennamen, weshalb die Zeile geschwärzt wurde. Im URL-Feld steht die sogenannte „Location of GoPhish Listener“, also jene Seite, auf welche die User gelockt werden sollen. Der Zeitpunkt des Mailversandes kann händisch festgelegt werden.

Start New Campaign 2

Abbildung in dieser Leseprobe nicht enthalten

Abb. 17 – Zweiter Teil der neuen Campaign in GoPhish

Das Sending Profile ist unter dem Namen der Autorin gespeichert, dieser Name ist für die MailempfängerInnen nicht sichtbar; beim Versand erscheint lediglich die Angabe office@ firmenname. eu.

Unter Groups werden die Adressen jener Personen, die angeschrieben werden sollen, zusammengefasst werden.

Groups Campaign

Abbildung in dieser Leseprobe nicht enthalten

Abb. 18 – Groups und Launch in GoPhish

In der markierten Gruppe stehen jene 37 Mailadressen, die für den Phishing-Versuch benutzt wurden. Die anderen Gruppen dienten Testzwecken. Es empfiehlt sich, jeden Versand als eigene Campaign zu initiieren.

4.5. Versand der Mails

Mit dem Button „Launch Campaign“ wird der Versand gestartet. In der Community wird eine Laufzeit von 72 Stunden empfohlen. In Menüpunkt „Campaign“ findet sich eine Auflistung aller laufenden Kampagnen, sowie die statistische Aufbereitung in Echtzeit. Es wird live angezeigt, wie viele Menschen das Mail erhalten, geöffnet, auf den Link geklickt und ihre Passwörter eingegeben haben.

Das Dashboard zeigt eine Übersicht über alle Kampagnen mit aufsummierten Resultaten.

5. Analyse der Ergebnisse

5.1. Überblick

Darstellung der Resultate des Phishing-Versuchs im Überblick

Abbildung in dieser Leseprobe nicht enthalten

Abb. 19 – Resultate in GoPhish

Tabellarische Übersicht

Abbildung in dieser Leseprobe nicht enthalten

Abb. 20 – Resultat in tabellarischer Übersicht (eigene Darstellung)

Bei der Interpretation der Resultate ist darauf zu achten, dass jene, die ihre Zugangsdaten übergeben haben natürlich auch Teil der Gruppe sind, die zuvor auf den Link geklickt haben, bzw. diese zu dem Kreis gehören, der das Mail geöffnet hat.

5.2. Mails erhalten

Von 37 Versandversuchen konnten 100% problemlos versendet werden, Fehlermeldungen lagen keine vor.

5.3. Mails geöffnet

Von 37 versendeten Mails wurden 25, also gut zwei Drittel geöffnet. Das ausschließliche Öffnen eines Phishing-Mails ist ungefährlich.

5.4. Klicks auf Link

Sechs Personen, somit 16% der Angeschriebenen, klickten auf den mitgeschickten Link. Warum dieses Missgeschick kaum weniger gefährlich ist als der Versand des eigenen Passworts, wird im Kapitel 7 im Ausblick erläutert.

5.5. Eingabe des Passwortes

Vier Angestellte, also gut 10% übergaben der Phishing-Seite ihr Passwort und würden somit Kriminellen Zugang zum Firmennetzwerk verschaffen.

5.6. Detailansicht

GoPhish bietet nebst der allgemeinen Übersicht noch Detailreports mit Timeline zu jeder einzelnen angeschriebenen Person.

Detailansicht über User

Abbildung in dieser Leseprobe nicht enthalten

Abb. 20 – Userspezifische Timeline in GoPhish

In einer weiteren Detailansicht werden der Username, bzw. wenn die Variante „Capture Password“ ausgewählt wurde (was aus ethischen Gründen vermieden wurde, siehe Kap. 4.4.3), auch das Passwort sichtbar.

6. Schlussfolgerungen

Mit den erhaltenen Resultaten aus dem GoPhish-Framework lässt sich die Forschungsfrage eindeutig beantworten. Sie lautete: „Sind in dem von mir untersuchten Unternehmen mindestens 50% der von mir gestarteten Phishing-Versuche erfolgreich?“ und kann somit verneint werden, denn der Rücklauf der Passwörter im Phishing-Versuch beläuft sich auf ca. 10%.

Dem gegenüber ist ebenso die Hypothese: „Mindestens 50% der gestarteten Phishing-Versuche werden in dem untersuchten Unternehmen erfolgreich sein.“ deutlich falsifiziert.

Die Gründe dafür liegen zunächst beim attackierten Unternehmen, genauer gesagt bei einer sehr aufmerksamen Angestellten. Diese ist als Assistentin der Geschäftsführung tätig, erhielt das Mail daher nicht selbst und wurde bei persönlichen Gesprächen im Kollegium misstrauisch; ihr gelang der Versand einer Warnung eine halbe Stunde nach dem Eintreffen der Phishing-Mails.

Des Weiteren orientierte sich der von mir angegebene Wert von 50% an den Aussagen der bekannten Social Engineerin Jen Fox (siehe Einleitung). Allerdings benutzt Jen Fox für ihr Vorgehen im Social Engineering auch häufig das Telefon; möglicherweise könnte eine Kombination aus Telefongesprächen und Social Hacking die Erfolgsquote eines Phishing-Versuchs steigern.

Vergegenwärtigt man sich aber, dass im Grunde genommen ein einziger erfolgreicher Phishing-Versuch ausreichen kann, um ein Unternehmen in große Bedrängnis zu bringen, kann das Ziel der vorliegenden Arbeit, nämlich die Sichtbarmachung der Gefahren, als erreicht bezeichnet werden.

Das Ergebnis erreicht nicht die 50%, die in Forschungsfrage und Hypothese postuliert wurden, jedoch ist es für das Unternehmen dennoch wenig erfreulich; die Gefahr, die vom „Faktor Mensch“ ausgeht, ist offensichtlich.

Dem Unternehmen werden die Ergebnisse (ausschließlich die quantitativen Daten, keinesfalls die Namen der Betroffenen!) übergeben und, falls gewünscht, eine Beratung zum Thema „Sicherheitsschulung für MitarbeiterInnen“ angeboten.

7. Zusammenfassung und Ausblick

Die vorliegende Arbeit ist im Bereich der IT-Sicherheit angesiedelt. Die größte Gefahr für selbige ist der Mensch. Auch wenn die technischen Möglichkeiten weit entwickelt sind, können menschliche Eigenschaften wie Hilfsbereitschaft und Neugier, aber auch Prahlsucht und Habgier dazu benutzt werden, auch die ausgeklügeltsten Sicherheitssysteme auszuhebeln.

Um diese Gefahr sichtbar zu machen, wurde ein Phishing-Angriff auf ein mittelständisches Unternehmen der Lebensmittelindustrie lanciert. Nach der (unabdingbaren!) schriftlichen Genehmigung eines dazu befugten Angestellten wurde das kostenlose Framework GoPhish genutzt, um mehrere E-Mails gleichzeitig mit dem falschen Versprechen einer Prämie an die Angestellten des eben beschriebenen Unternehmens versendet. Dies sollte die MitarbeiterInnen dazu verleiten, einen Link zum vermeintlichen Intranet-Zugang anzuklicken und in weiterer Folge ihre Passwörter einzugeben.

Dies wurde von einigen Angestellten auch gemacht, jedoch nicht in dem Ausmaß, wie in der Forschungsfrage, bzw. Hypothese angenommen.

Zum Ausblick ist zunächst anzumerken, dass die Bedeutung des Sicherheitsthemas im selben Ausmaß wie die zu erwartende Automatisierung wachsen wird.Zunehmende Vernetzung und ubiquitous computing erfordern erhöhte Vorsicht gegen Eingriffe von außen.

Wie im Einführungsteil beschrieben, werden Phishing-Angriffe seit einigen Jahren immer weniger, dafür aber spezialisierter, hochwertiger und treffsicherer. Parallel zum quantitativen Rückgang des Phishings wuchs aber ein anderer betrügerischer Sektor bedrohlich heran – das Einschleusen von Ransomware und die damit verbundene Verschlüsselungs-Erpressung.

Kriminellen gelingt es mittlerweile immer wieder, Mail-User zum Klick auf einen Link zu verleiten, der mittels eines Schadprogramms Unternehmensdaten verschlüsselt. Die Entschlüsselung erfolgt erst nach der Bezahlung von Lösegeld. Laut dem Deutschen Handelsblatt waren in den Jahren 2017 – 2019 rund 31% aller Deutschen Unternehmen von einem Ransomware-Angriff betroffen. (Nagel und Kerkmann 2019)

Das Vorgehen ist vergleichsweise risikoarm, die Lösegeldforderungen werden meist in Kryptowährungen gestellt und immer noch bezahlen viele Unternehmen die Forderungen ohne die TäterInnen anzuzeigen – teils, weil wenig Hoffnung auf Fahndungserfolge besteht, teils weil ein Imageschaden befürchtet wird.

In Anbetracht dessen, dass bei dem Feldversuch in dieser Arbeit noch mehr MitarbeiterInnen auf den Link geklickt als Passwörter versendet haben, muss das Thema Ransomware stärker in den Fokus von Forschung und Lehre gerückt werden; mit ihr verbunden auch das große Feld der Kryptographie.

Weiterführende Arbeiten könnten sich mit dem eben erwähnten Teilbereich befassen. Auch die in den Schlussfolgerungen besprochenen Kombinationsmöglichkeiten aus Telefonanrufen und Testmails könnten lohnende Versuchsfelder sein.

Pädagogisch zentrierte Forschungstätigkeiten sollten sich vermehrt den Wirksamkeitsuntersuchungen von IT-Security-Schulungen widmen.

Zunehmende Komplexität und wachsende technische Möglichkeiten erfordern nicht nur vermehrtes Anwendungs-Know how, sondern auch vermehrtes Wissen um die Gefahren und Angriffspotentiale auf digitale Einrichtungen.

Beim Studium des großen Gebietes der IT-Security war (unabhängig vom Teilbereich) stets eins sehr auffällig – die ungeheure Kreativität, mit der Kriminelle ihre Betrügereien planen und umsetzen; um diese unschädlich zu machen, ist dieselbe Kreativität auch bei der Benützung digitaler Einrichtung notwendig.

Literaturverzeichnis

Ahnert, Sven. 2009. Virtuelle Maschinen mit VMware und Microsoft: für Entwicklung, Schulung, Test und Produktion. München: Pearson Education GmbH

Bazzell, Michael. 2010. Open Source Intelligence Techniques. 7th edition. IntelTechniques.com

Conflict International. 2015. “Hacking Challenge at DEFCON.”, Aufgenommen im August 2015, https://www.youtube.com/watch?v=fHhNWAKw0bY (letzter Zugriff am 05.10.2020)

Fox, Jen. 2018. 2 is Greater Than 1 – Teaming Up for Social Engineering Adventures. SANS Webcast. Aufgenommen im Februar 2018. https://www.youtube.com/watch?v=vY884bLZjio&list=RDCMUCP28F4uf9s2V1_SQwnJST_A&start_radio=1&t=54 (letzter Zugriff am 23.05.2020)

Gibson, Darril. 2011. Microsoft Windows Security Essentials. Hoboken, New Jersey: John Wiley & Sons

Haag, Dirk, Anselm Rohrer. 2019. „Manipulationstechniken.“ In Schutz vor Social Engineering, hrsg. von Dirk Drechsler, 119-150, Berlin: Erich Schmidt Verlag

Hadnagy, Christopher. 2011. Social Engineering: Die Kunst des Human Hacking. Hamburg: mitb

Interpol. 2020. „COVID-19 cyberthreats“. Veröffentlicht im April 2020. https://www.interpol.int/en/Crimes/Cybercrime/COVID-19-cyberthreats (letzter Zugriff am 05.12.2020)

it-daily. 2020. „Phishing in der aktuellen Krise – Wie Hacker den ‚Faktor Mensch‘ ausnützen.“ Veröffentlicht am 22.06.2020, https://www.it-daily.net/it-sicherheit/cloud-security/24478-phishing-in-der-aktuellen-krise-wie-hacker-den-faktor-mensch-ausnutzen (letzter Zugriff am 05.10.2020)

Jäger, Thomas, Verena Diersch, Stephan Liedtke. 2020. Was Europa wissen darf: Die Geheimdienste der USA und die europäische Politik. Zürich: Orell Füssli Sicherheitsdruck AG

Kremling, Janine und Amanda M. Sharp Parker. 2017. Cyberspace, Cybersecurity, and Cybercrime. California: SAGE Publications.

Kumar, Manu, Tal Garfinkel, Dan Boneh, Terry Winograd. 2007. Reducing Shoulder-surfing by Using Gaze-based Password Entry. Paper präsentiert beim Symposium On Usable Privacy and Security (SOUPS), Pittsburgh, USA,18.-20. Juli.

Long, Johnny. 2011. No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing. Burlington: Syngress

Lux, Christian und Thorsten Peske. 2002. Competitive Intelligence und Wirtschaftsspionage: Analyse, Praxis, Strategie. Wiesbaden: Springer Fachmedien

Mimikama. 2020. „Betrug am Geldautomat – Shoulder Surfing“. Zuletzt geändert am 25.06.2020, https://www.mimikama.at/aktuelles/shoulder-surfing (letzter Zugriff am 05.10.2020)

Mitnick, Kevin und William Simon.2003. Die Kunst der Täuschung. Risikofaktor Mensch. Hamburg: mitp

Nagel, Lars-Marten, Christof Kerkmann. 2019. “Daten als Geisel – Zahl der IT-Erpressungen steigt“. Handelsblatt vom 18. Dezember 2019. https://www.handelsblatt.com/technik/it-internet/ransomware-daten-als-geisel-zahl-der-it-erpressungen-steigt/24894356.html?ticket=ST-15815943-KqWUADuPHBz66yfpbSrK-ap6 (letzter Zugriff am 18.12.2020)

Pallaris, Chris. 2008. „Open Source Intelligence: A strategic enabler of national security.“CSS Analyses in Security Policy 3/32: 1-3

Proofpoint. 2020. „State of the Phish“. Annual Report. https://www.exclusive-networks.com/ch-de/wp-content/uploads/sites/22/2020/02/gtd-pfpt-us-tr-state-of-the-phish-2020.pdf (letzter Zugriff am 01.06.2020)

Rentrop, Christopher und Stephan Zimmermann. 2015. „Schatten-IT.“ In Gesellschaft für Informatik https://gi.de/informatiklexikon/schatten-it (letzter Zugriff am 05.10.2020)

Schaaf, Christian. 2015. „Datensicherheit und Informationsschutz.“ In Handbuch Sicherheitsgefahren, hrsg. von Thomas Jäger, 533-542, Köln: Springer Science+Business Media

Schaub, Harald. 2019. „Social Hacking: Psychologische Grundlagen des Social Engineering oder warum Firewalls nichts nützen.“ Keynote zu den SAEC Days 2019. Aufgenommen im Juli 2019. https://www.youtube.com/watch?v=iUDgKmQcz1c (letzter Zugriff am 31.05.2020)

Siller, Helmut. 2018. „Phishing.“ In Gabler Wirtschaftslexikon https://wirtschaftslexikon.gabler.de/definition/phishing-53396/version-276489 (letzter Zugriff am 31.05.2020)

Siller, Helmut. 2020. „Exploit“ In Gabler Wirtschaftslexikon https://wirtschaftslexikon.gabler.de/definition/exploit-53419/version-276511 (letzter Zugriff am 05.07.2020)

Trend. 2016. „Cyber Attacken: Nach FACC auch Internorm betroffen“. Veröffentlicht im September 2016, https://www.trend.at/branchen/digital/cyber-attacken-nach-facc-internorm-6258806 (letzter Zugriff am 05.10.2020) welivesecurity. 2020. „Twitter wurde Opfer von telefonischem Spear-Phishing.“ Veröffentlicht am 03.08.2020, https://www.welivesecurity.com/deutsch/2020/08/03/twitter-wurde-opfer-von-telefonischem-spear-phishing/ (letzter Zugriff am 05.10.2020)

WKO (Wirtschaftskammer Österreich). 2019. KMU Recruiting-Leitfaden. Wien: Career Institut & Verlag

Wolfert, Christoph. 2016. „Zielgerichtete Angriffe auf das Unternehmensnetzwerk.“ Video zum IT-GRC-Kongress. Aufgenommen im September 2016. https://www.schutzwerk.com/de/74/Vortrag-zum-Thema-Zielgerichtete-Angriffe-auf-das-Unternehmensnetzwerk,5,1,97.html (letzter Zugriff am 31.05.2020)

[...]


1 Zu meinem Entsetzen fand ich auch auf meinem Dienst-Laptop ein solches Label.

2 Z.B. https://threat.tevora.com/usb-drives-desktop-ini-and-ntlm-hashes/ (letzter Zugriff am 31.05.2020)

3 APWG: Anti-Phishing Working Group, ein weltweit agierendes Konsortium zur Bekämpfung von Phishing-Attacken

4 Zugriff am 11.07.2020

5 Z.B. Photo Exif Editor

6 https://getgophish.com/ (Zugriff am 28.09.2020)

58 von 58 Seiten

Details

Titel
Social Hacking. Sichtbarmachung der Gefahr durch einen Angriff auf ein Unternehmen der Lebensmittelindustrie
Hochschule
Ferdinand Porsche FernFH
Note
1,0
Autor
Jahr
2021
Seiten
58
Katalognummer
V1001035
ISBN (Buch)
9783346365989
Sprache
Deutsch
Schlagworte
IT-Security, Phishing, Social Hacking, Social Engineering
Arbeit zitieren
Julia Nusko (Autor), 2021, Social Hacking. Sichtbarmachung der Gefahr durch einen Angriff auf ein Unternehmen der Lebensmittelindustrie, München, GRIN Verlag, https://www.grin.com/document/1001035

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Social Hacking. Sichtbarmachung der Gefahr durch einen Angriff auf ein Unternehmen der Lebensmittelindustrie



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden