Dauergäste mit vollen Rechten
Von Uli Ries
Social Engineering – der Begriff klingt nicht gerade nach der hohen Kunst der Verführung. Dabei ist diese Technik das wichtigste Werkzeug von Kriminellen auf dem Weg an ihr Ziel. Sie verleiten per Social Engineering Mitarbeiter von Unternehmen dazu, Passwörter auf (perfekt nachgeahmten) Phishing-Seiten einzugeben oder auf vergiftete E-Mail-Anhänge zu klicken. In Deutschland im Visier der Phisher: vor allem Unternehmen, die in den Segmenten erneuerbare Energien, Hybrid-Antriebstechnik oder Energieversorgung tätig sind. Auch hiesige Anlagenbauer stehen auf der Wunschliste der Angreifer. Sie sind in viele Lieferketten auf der ganzen Welt eingebunden und somit ein spannendes Angriffsziel.
So gut wie alle aufgeklärten Fälle von Industriespionage haben mit Social Engineering funktioniert. Erst wenn der Mensch überlistet wurde, setzen die Angreifer Software ein – die in vielen Fällen schon auf den Systemen ihrer Opfer vorinstalliert ist und somit unter dem Radar gewöhnlicher Antivirensoftware fliegt. James Lyne, Chef-Malware-Forscher bei Sophos, sagt für die kommenden Jahre sogar noch eine weitere Professionalisierung der Social-Engineering-Angriffe voraus. Der Grund: die immer höhere Code-Qualität in Anwendungen und Betriebssystemen sowie Schutzmechanismen wie der seit Windows 8.1 Update 3 verfügbare Control Flow Guard. Sie machen es den Angreifern immer schwerer, Schwachstellen in Software aufzuspüren und zu missbrauchen, sodass sie sich laut Lyne auf das weichere Ziel Mensch konzentrieren.
Zielgenaues Spear-Fishing
Wer sich über die vermeintliche Unwissenheit der Opfer amüsiert und solche Angriffe abtut, der begeht einen gefährlichen Irrtum: Die Spear-Phishing-Nachrichten sind keinesfalls vergleichbar mit den plumpen Phishing-Versuchen, die in den Postfächern von privaten Nutzern landen. Vielmehr basieren sie auf zuvor gesammelten Informationen, die der jeweiligen Person glaubhaft erscheinen.
Teil 1 beginnt den Angriff aufs Unternehmen an der größten Schwachstelle: beim Menschen. Teil 2 nennt die Alternativen zu Spear-Phishing nennen und erklärt, warum Hacker heute auf ein Golden Ticket aus sind. Teil 3 zeigt, wie die Angreifer die Daten nach draußen schmuggeln, und erklärt, worauf bei Sicherheitslösungen aus der Cloud zu achten ist. Teil 4 plädiert schließlich für eine feinere Einteilung in Schutzklassen und erinnert noch einmal an die größte Schwachstelle: den Menschen.
So berichtet Antivirenexperte Lyne von einer Social-Engineering-Attacke, die selbst ihn beinahe hinters Licht geführt hätte: Ihn erreichte vor einer Geschäftsreise, die tatsächlich stattfand, eine E-Mail, die vermeintlich von einem Kollegen stammte. Der Inhalt der Nachricht schlug ein Treffen vor Ort vor. Im Anhang: eine im Text der E-Mail erwähnte Word-Datei mit der Beschreibung der Reiseroute des Kollegen und ein Vorschlag zum Treffpunkt.
Das Word-Dokument hätte beim Öffnen mittels Makro die eigentliche Schadsoftware heruntergeladen, die dann – ganz ohne Exploit oder Admin-Rechte – die Maschine des Opfers übernommen hätte. Die Angreifer machten sich vor dem Versand der Spear-Phishing-Nachricht offensichtlich kundig, wo Lyne demnächst sein würde und mit wem er eventuell zusammenarbeitet. Makros in Office-Dokumenten erscheinen auf den ersten Blick anachronistisch. Aber auch beim Stromausfall, der die Ukraine kurz vor Weihnachten 2015 traf, kam die für die Manipulation verantwortliche Schadsoftware als Excel-Makro getarnt in einer Tabelle auf den Rechner.
Unspektakulär: Auch solch simple, von Betrügern mit legitim wirkendem Absender an potenzielle Opfer verschickte Spear-Phishing-E-Mails führen zum Erfolg. (Bild: Corporate Trust)
Ihr persönlicher Giftköder
Florian Oelmaier, Leiter IT-Sicherheit & Computerkriminalität bei Corporate Trust, sieht reichlich solcher Spear-Phishing-Nachrichten und sagt: „Es wundert mich nicht, dass der jeweilige Mitarbeiter auf den Betrug hereingefallen ist. Die Nachrichten sahen legitim aus, die Informationen darin waren maßgeschneidert.“ Dem E-Mail-Versand gehe in der Regel eine Recherche in sozialen Netzwerken voraus. Dort finden die Angreifer hinreichend frei zugängliche Informationen, um die erste Nachricht an ihr Opfer überzeugend genug zu formulieren. „In aller Regel genügen zwei Tage, um so viele Infos zu sammeln, dass das potenzielle Opfer beim Lesen der ersten Spear-Phishing-Nachricht nicht misstrauisch wird“, sagt Oelmaier. Die weitere Vorbereitung der Attacke nehme dann aber mehr Zeit in Anspruch.
Dem Verizon Data Breach Investigations Report zufolge liegt die Erfolgsrate beim Spear-Phishing bei gut 11 %. Jede zehnte Nachricht führt also zum Erfolg. Dies bestätigt Thomas Hemker, Sicherheitsstratege bei Symantec. Ihm zufolge steigt zwar die Anzahl der festgestellten gezielten Angriffe – gleichzeitig sinkt aber die Zahl der hierzu nötigen Nachrichten drastisch. So seien im Jahr 2014 vier Fünftel weniger Spear-Phishing-Nachrichten versandt worden als in den Jahren zuvor. Das lässt darauf schließen, dass sich die Angreifer mehr Zeit nehmen für Recherche und Vorbereitung.
Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit Download-Links zu sämtlichen Einzelheften bekommen Sie online im Pressezentrum des MittelstandsWiki.
Alex Cox, leitender Mitarbeiter der Threat-Watch-Abteilung beim Verschlüsselungsspezialisten RSA, unterstützt die Aussagen von Oelmaier in Bezug auf die Qualität der Nachrichten. Auch er kennt reichlich Spear-Phishing-E-Mails ohne Rechtschreibfehler und mit perfekt auf den Empfänger abgestimmten Inhalten. Ihm zufolge stammen die Informationen, die diesen Nachrichten zu Glaubwürdigkeit verhelfen, nicht nur aus frei zugänglichen Quellen. Vielmehr würden auch interne Nachrichten oder Chat-Konversationen der potenziellen Opfer abgefangen. Der gängige Weg hierbei: ein vorgelagerter Angriff auf einen Geschäftspartner, der in Kontakt mit dem eigentlichen Opfer steht. Insbesondere kleinere Zulieferer hätten oft unzureichende Sicherheitsvorkehrungen, sodass der Umweg von den Angreifern gern in Kauf genommen wird.
Buchhalter und geldgierige Admins
Ziel der Spear-Phishing-Attacke sind nicht zwingend die leitenden Mitarbeiter des auszuspähenden Unternehmens oder die Forscher, die an den von den Spionen begehrten Projekten arbeiten. Vielmehr spielen die Kriminellen über Bande und attackieren irgendeinen Mitarbeiter, über den sie zuvor hinreichend Informationen gesammelt haben, um die Phishing-Nachricht maximal überzeugend zu formulieren. Laut Symantec-Vertreter Hemker werden vor allem Mitarbeiter angeschrieben, die im Rahmen ihrer Tätigkeit ohnehin regelmäßig Post von unbekannten, externen Absendern samt Anhang bekommen. Bei Vertretern der Personalabteilungen beispielsweise schrillen keine Alarmglocken, wenn in ihrem Postfach E-Mails inklusive Word- oder PDF-Anhang auftauchen. Ist der Rechner des nichts ahnenden Mitarbeiters dann unter der Kontrolle der Angreifer, hangeln sie sich nach und nach durchs Netzwerk.
- Teil 2 dieser Serie erklärt, warum nach Übernahmeangeboten aus China besondere Vorsicht geboten ist und wie sich die Angreifer mit Administratorenrechten im System festsetzen.
Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.
Kontakt via Xing