Social Engineering von Sven Vetsch (Disenchant) Sven Vetsch www.disenchant.ch IT-Security

Sven Vetsch (Disenchant) Name: Sven Vetsch Geb. Datum: 01.11.1986 Wohnort: Frauenfeld (CH) E-Mail: admin@disenchant.ch Mehr Infos: www.disenchant.ch Sven Vetsch www.disenchant.ch IT-Security

Warum hat Social Engineering Erfolg? Arten von Social Engineering Inhalt Definition Warum hat Social Engineering Erfolg? Arten von Social Engineering Vorgehen der Social Engineer in sechs Schritten Beispielszenario Schutzmaßnahmen Fragen Sven Vetsch www.disenchant.ch IT-Security

Angriff auf IT-Systeme oder Diebstahl von Daten über Menschen Definition Angriff auf IT-Systeme oder Diebstahl von Daten über Menschen Durch Manipulation von Personen an Informationen kommen Sven Vetsch www.disenchant.ch IT-Security

Ziele von Social Engineering Industriespionage Datendiebstahl Identitätsdiebstahl Sven Vetsch www.disenchant.ch IT-Security

Warum hat Social Engineering Erfolg? Ein Mensch vertraut einer anderen Person bis zu einem bestimmten Punkt. Man unterwirft sich leicht, wenn man merkt, dass ein anderer überlegen ist. Macht alle Soft- und Hardware zur Abwehr von Angriffen unbrauchbar. Die wenigsten Unternehmen und auch Privatpersonen sind sich der Gefahr von Social Engineering bewusst. Sven Vetsch www.disenchant.ch IT-Security

Arten von Social Engineering Computer Based Social Engineering Human Based Social Engineering Reverse Social Engineering Sven Vetsch www.disenchant.ch IT-Security

Computer Based Social Engineering Ohne direkten Kontakt mit dem “Opfer“ Kein “wirkliches“ Social Engineering z.B Popups Phising Sven Vetsch www.disenchant.ch IT-Security

Human Based Social Engineering Direkter “Angriff“ z.B. Sich als andere Person ausgeben und Daten verlangen Durchwühlen von Müll ("dumpster diving„) Gesetzlich erlaubt, da Müll weder Privat noch Eigentum ist. Sven Vetsch www.disenchant.ch IT-Security

Reverse Social Engineering Passive Interaktion Man verursacht ein Problem und ist dann zur Stelle, um es wieder zu lösen. z.B. Wir schleusen einen Virus ein  Wir wollen den Virus entfernen dafür, müssen wir aber das Passwort des Opfers bekommen Sven Vetsch www.disenchant.ch IT-Security

Vorgehen der Social Engineer in sechs Schritten 1.) Informieren Informationen über das Ziel der Social Engineering Attacke sammeln Internet Dumpster diving Sven Vetsch www.disenchant.ch IT-Security

Vorgehen der Social Engineer in sechs Schritten 2.) Kontakt aufbauen Anrufen Persönlicher Besuch Brief Sven Vetsch www.disenchant.ch IT-Security

Vorgehen der Social Engineer in sechs Schritten 3.) Vortäuschung einer Identität In eine andere Rolle schlüpfen In der Unternehmenshierarchie höher gestellte als die Kontaktperson Endanwender Kunde Telefonumfrage Sven Vetsch www.disenchant.ch IT-Security

Vorgehen der Social Engineer in sechs Schritten 4.) Zielinformationen erarbeiten Sich durch verschiedene Fragen an die Zielinformationen herantasten Könnte ich als Beispiel einmal ihre ID wissen? Was machen Sie, wenn ein Auftrag hereinkommt? Sven Vetsch www.disenchant.ch IT-Security

Vorgehen der Social Engineer in sechs Schritten 5.) Wenn man die Zielinformationen hat Den Kontakt möglichst nicht “verlieren“ Die Kontaktperson darf nicht merken, dass sie sensible Daten an einen Social Engineer weitergegeben hat. Guten Kontakte kann man immer wieder verwenden. Sven Vetsch www.disenchant.ch IT-Security

Vorgehen der Social Engineer in sechs Schritten 6.) Informationen Zusammensetzen Die Teilantworten sinnvoll kombinieren Meist hat man nur nach Teilinformationen gefragt bzw. nur solche erhalten. Die erhaltenen Informationen können, auch wenn sie noch so banal scheinen, meist zu sensiblen Informationen kombiniert werden. Etwa fünf unwichtige Informationen ergeben eine sensible. Sven Vetsch www.disenchant.ch IT-Security

Vorgehen der Social Engineer in sechs Schritten Übersicht: Informieren Kontakt aufbauen Vortäuschung einer Identität Zielinformationen erarbeiten Wenn man die Zielinformationen hat Informationen Zusammensetzen Sven Vetsch www.disenchant.ch IT-Security

Beispielszenario Gelöschte Userdaten Situation: Herr Stefan Dau ist in der Buchhaltungsabteilung der Firma VTB tätig. S Roger ist unser Social Engineer, der die Zugangsdaten von Stefan Dau möchte.  R Sven Vetsch www.disenchant.ch IT-Security

Beispielszenario Gelöschte Userdaten Bei VTB klingelt das Telefon: S: Hallo. VTB Buchhaltungsabteilung, Sie sprechen mit Stefan Dau. R: Hallo Stefan, hier ist Roger von der IT-Abteilung. Es ist mir etwas peinlich, aber wir haben ein riesiges Problem. S: Sorry, aber von IT habe ich überhaupt keine Ahnung. Sven Vetsch www.disenchant.ch IT-Security

Beispielszenario Gelöschte Userdaten R: Oh… Nein du hast mich falsch verstanden. Du musst keine Ahnung davon haben, sonst hätten wir hier wohl auch nichts mehr zu tun *g*. Nein jetzt im Ernst, uns ist der Server ausgefallen, mit dem wir alle Passwörter und so weiter wieder herstellen können, wenn diese verloren gehen sollten. S: Ja und was hat das jetzt mit mir zu tun? Sven Vetsch www.disenchant.ch IT-Security

Beispielszenario Gelöschte Userdaten R: Ganz einfach, wir haben durch den Ausfall dieses Servers alle Userdaten verloren und um zu vermeiden, dass die Systeme der User keine Probleme haben, beim nächsten Passwortwechsel, müssen wir diese wieder manuell eintragen. S: Das heisst, du möchtest dafür meine Daten? Sven Vetsch www.disenchant.ch IT-Security

Beispielszenario Gelöschte Userdaten R: Ja das wäre super. S: Tut mir leid Roger, aber ich habe schon soviel gehört von Leuten, die ihre Daten weitergegeben haben und dann Probleme bekommen haben. Somit kann ich dir die Daten leider nicht geben. R: Oh… Naja da wird auch viel übertrieben. Immerhin weißt du, dass du deine Daten nicht jedem geben solltest, ich wünschte alle würden schon so denken. Das Problem ist jetzt nur, das es die einzige Möglichkeit ist, die Verfügbarkeit unseres Servers wieder garantieren zu können. Sven Vetsch www.disenchant.ch IT-Security

Beispielszenario Gelöschte Userdaten S: Phuu… Ja was machen wir denn jetzt? R: Ach kein Problem. Gib mir einfach deine Userdaten und in fünf Minuten ruf ich dich zurück und dann kannst du das Passwort sofort wechseln. Somit hätte ich nicht die Zeit, irgend etwas Böses mit deinen Daten anzustellen. *g* S: Ok das leuchtet ein. Also mein Username ist “Stefanius“ und mein Passwort ist “123456a“. Sven Vetsch www.disenchant.ch IT-Security

Beispielszenario Gelöschte Userdaten R: Ok. Danke Stefan und nur so als Tipp, wähl nachher ein etwas schwierigeres Passwort, denn dieses ist ja nicht wirklich sicher. Aber egal, geht mich ja nichts an. Dann bedanke ich mich für deine Hilfe und wie gesagt, ich ruf dich in zirka fünf Minuten wieder zurück. Tschüss. S: In Ordnung. Tschüss. Sven Vetsch www.disenchant.ch IT-Security

Beispielszenario Gelöschte Userdaten Nun ist wohl klar was passiert. Roger loggt sich sofort mit Stefans Daten ein. Ändert Stefans Passwort Sucht sich in aller Ruhe die Dateien die er möchte. Sven Vetsch www.disenchant.ch IT-Security

Analyse Beispielszenario Gelöschte Userdaten Stefan hat zuerst richtig reagiert und seine Daten nicht an Roger weitergegeben, dann aber einer völlig sinnlosen Idee von Roger zugestimmt. Roger hat auch viel Dinge gesagt, die nicht notwendig waren, jedoch die Stimmung gelockert haben. z.B. „sonst hätten wir hier wohl auch nichts mehr zu tun“ Sven Vetsch www.disenchant.ch IT-Security

Schutzmaßnahmen Vergleichen Sie es mit Computerviren Es gibt immer neue Techniken und man ist davor nie 100%-ig sicher. Der wohl beste Ansatz ist, seine Mitarbeiter entsprechend zu schulen, damit diese in heiklen Situationen richtig reagieren. Sensible Daten nur einem möglichst kleinen Personenkreis zugänglich machen. Ausgedruckte Daten egal welcher Art sollten vor dem wegwerfen immer geschreddert werden. Nun werden zwei weitere Schutzmaßnahmen vorgestellt Sven Vetsch www.disenchant.ch IT-Security

Weitere Möglichkeit um sich gegen Social Engineering zu schützen. Richtlinien Weitere Möglichkeit um sich gegen Social Engineering zu schützen. Für die Mitarbeiter der eigenen Unternehmung Inhalt: Zuständigkeiten festlegen Potentielle Social Engineer vor der Übergabe von Informationen zurückrufen, um eine Standortbestimmung vorzunehmen Einführung einer ID-Card Dokumente mit sensiblem Inhalt einschliessen Sven Vetsch www.disenchant.ch IT-Security

Informieren Es reicht nicht die Mitarbeiter nur schriftlich über die Gefahren von Social Engineering zu informieren. Besser sind: Demos Schulungen Videos Plakate Sven Vetsch www.disenchant.ch IT-Security

Nun haben Sie Zeit Fragen zu stellen. Sollte Ihnen später noch Fragen in den Sinn kommen, erreichen Sie mich unter: admin@disenchant.ch Sven Vetsch www.disenchant.ch IT-Security

Vielen Dank für Ihre Aufmerksamkeit Sven Vetsch www.disenchant.ch IT-Security