Penetrationstests mit Social Engineering: Vier effektive Techniken

Penetrationstester können mit diesen vier effektiven Social Engineering Techniken Sicherheitslücken im Unternehmen aufdecken und geeignete Maßnahmen empfehlen.

Das so genannte Social Engineering (etwa: soziale Manipulation) hat sich zu einer der wichtigsten Angriffstechniken...

im Computer-Bereich entwickelt. Der Einbruch bei RSA im Jahr 2011 zum Beispiel kam mit Hilfe von gezieltem Phishing („spear phishing“) und einer Excel-Datei voller Exploits zustande. Organisationen, die sich mit der wahren Bedrohungslage auseinandersetzen wollen, sollten deshalb zwingend auch Penetrationstests mittels Social Engineering vorsehen.

Penetrationstester sollten darauf vorbereitet sein, sensible Daten schnell zu kopieren oder ein mitgebrachtes Gerät schnell zu installieren – möglicherweise haben sie nur wenig Zeit, bevor sie das Gebäude wieder verlassen müssen.

Beim Social Engineering dreht sich alles um Psychologie. Es gibt eine Reihe unterschiedlicher Anreize und Motivationen, für die Menschen sehr anfällig sind; Angreifer können diese ausnutzen, um uns zu einer bestimmten Handlung zu bringen. In seinem Klassiker „Die Psychologie des Überzeugens“, erstmals veröffentlicht 1984, beschreibt der Marketing-Professor Robert Cialdini sechs Schlüsselfaktoren der Motivation:

  • Reziprozität: Wir fühlen uns verpflichtet gegenüber jemanden, der etwas für uns getan hat.
  • Sozialer Beweis: Um zu entscheiden, ob etwas richtig ist, orientieren wir uns an anderen.
  • Verpflichtung/Konsistenz: Wir entwickeln Verhaltensmuster und lassen sie zur Gewohnheit werden.
  • Sympathie: Wir wollen dazugehören und sind von jemandem, den wir mögen, leichter zu überzeugen.
  • Autorität: Bitten oder Forderungen von Personen, die Autorität ausstrahlen, werden eher erfüllt.
  • Knappheit: Exklusive oder begrenzt verfügbare Dinge motivieren uns stärker.

Penetrationstester, die Analysen mittels Social Engineering vornehmen, können sich diese Motivationsfaktoren zunutze machen. Dazu wiederum gibt es konkret vier effektive Techniken: Phishing, Pretexting (Vorspiegeln von Umständen), Media Dropping (scheinbares Verlieren von Speichermedien) und Tailgating (durch Kontrollen schlüpfen).

Penetrationstests mit Social Engineering: Phishing

Beim Phishing wird eine E-Mail an einen Nutzer geschickt, die bei diesem eine bestimmte Handlung auslösen soll. In Penetrationstests besteht das Ziel dabei meist nur darin, dass die Nutzer auf etwas klicken, was dann registriert wird. In manchen Fällen wird dadurch als Teil von umfangreicheren Tests auch ein Programm installiert. Dabei können die eingesetzten Exploits individuell auf Software mit bekannten Problemen beim Kunden abgestimmt werden, etwa auf Browser, Plug-ins und Programme für dynamische Inhalte oder Medien.

Der Schlüssel zu erfolgreichem Phishing ist Personalisierung. Wenn die E-Mail genau auf den geplanten Empfänger abgestimmt ist, indem sie etwa scheinbar von einer vertrauenswürdigen (oder scheinbar vertrauenswürdigen) Quelle abgeschickt wird, steigt die Wahrscheinlichkeit, dass der Empfänger sie liest und den enthaltenen Anweisungen folgt. Ein guter Penetrationstester wird dabei stets auf korrekte Schreibweise und Grammatik achten – gut geschriebene E-Mails sind, selbst wenn sie kurz sind, deutlich glaubwürdiger.

Das wohl bekannteste Werkzeug für die Entwicklung von Phishing-Attacken ist das Social Engineering Toolkit (SET), das als Open Source zur Verfügung steht. Sein über Menüs gesteuertes System zur Gestaltung von Angriffen und E-Mails macht es zu einem der einfachsten Phishing-Hilfsmittel überhaupt. Kommerzielle Angebote wie PhishMe von PhishMe Inc. oder PhishGuru von Wombar Security können ebenfalls nützlich sein.

Penetrationstests mit Social Engineering: Pretexting

Beim Pretexting wird die Zielperson angerufen und versucht, Informationen von ihr zu bekommen; dazu behauptet der Angreifer meist, Hilfe zu brauchen. Diese Technik funktioniert besonders gut bei Nutzern, die wenig technisches Wissen haben, aber über wichtige Informationen verfügen.

Die beste Strategie dabei ist, mit kleinen Fragen zu beginnen und echte Namen von Menschen in der Organisation fallen zu lassen, die angeblich auf etwas warten. Im Pretexting-Gespräch erklärt der Penetrationstester, warum er die Hilfe seines Opfers braucht – die meisten Leute sind zu kleinen Gefallen bereit, wenn diese nicht verdächtig erscheinen. Wenn eine erste Verbindung hergestellt ist, kann der Tester mit höheren Erfolgsaussichten weiter gehende Bitten formulieren.

Aufklärung vor dem Pretexting, etwa mit Hilfe von Google oder Werkzeugen wie Maltego von Paterva, kann dafür nützliche Hintergrund-Informationen liefern. Mit Masking- und Proxy-Werkzeugen fürs Telefon wie SpoofCard, SpoofApp von SpoofApp.com LLC oder Add-ons für Asterisk PBX von Digium Inc. lässt sich die eigene Telefonnummer verschleiern – sogar so, dass der Anruf von innerhalb der Organisation zu kommen scheint.

Penetrationstests mit Social Engineering: Media Dropping

Bei dieser Technik wird meist ein USB-Speicherstick an einem auffälligen Ort hinterlassen, etwa einem Firmenparkplatz oder Eingangsbereich. Der soziale Manipulator hat darauf zuvor eine interessant klingende Datei abgelegt, die beim Öffnen eine Angriffssoftware auf dem Computer des Opfers installiert.

Geräte für Penetrationstests

Penetrationstester können einen kleinen, unverdächtig aussehenden Kasten im Netzwerk eines Kunden installieren und darüber auf Entfernung heimlich weitere Tests durchführen. Dafür gibt es  kommerziell erhältliche Produkte wie PwnPlug von Pwnie Express, ebenfalls möglich ist der Bau von eigenen „pwning“-Geräten voller Werkzeuge für Hacking, Netzwerk-Schnüffeln und Verschleierung.

Ein kostenloses Werkzeug dafür ist Metasploit mit seinem eingebauten Generator für schädliche Programme. Auch die Funktion „Infectious Media Generator“ in SET verwendet Metasploit, automatisiert den Prozess aber. Mit SET lassen sich ordnungsgemäß ausführbare Programme schaffen, die automatisch gestartet werden, wenn auf dem Ziel-PC die Autorun-Funktion aktiviert ist. Automatische Ausführung und interessante Dateinamen zusammen können die Erfolgschancen deutlich erhöhen.

Noch raffinierter wird Media Dropping, wenn der Angreifer (oder hoffentlich nur Tester) auf dem USB-Laufwerk maßgeschneiderte Angriffe und Programme ablegt; man kann sogar fertig vorbereitete Laufwerke für solche Zwecke kaufen. Die Chancen von USB-Angriffen steigen durch eine Kombination von automatisierten Exploits mit weiteren schädlichen Dateien – die Formate PDF, Word und Excel eignen sich am besten dafür. Auch ein neugierig machendes Etikett für das Laufwerk – etwa „Personal-Daten“ oder „Beschäftigte“ – kann helfen.

Penetrationstests mit Social Engineering: Tailgating

Beim Tailgating wird mit Druck, Tricks oder einfachem Hineingehen versucht, Zutritt zu einem physisch gesicherten Gebäude zu bekommen. Bei derartigen Penetrationstests geht es meist darum, zu zeigen, dass physische Sicherheitsmaßnahmen umgangen werden können.

Dabei sollten Penetrationstester darauf vorbereitet sein, sensible Daten schnell zu kopieren oder ein mitgebrachtes Gerät schnell zu installieren – möglicherweise haben sie nur wenig Zeit, bevor sie das Gebäude wieder verlassen müssen. Vorher können sie Fotos von auf Druckern oder Schreibtischen zurückgelassenen Unterlagen machen oder ein Gerät installieren, über das sie später mittels WLAN oder Mobilfunk virtuell wieder Zugriff auf die besuchte Umgebung bekommen.

Mit diesen vier Techniken für Social Engineering können Penetrationstester die Schwachstellen einer Organisation aufdecken. Anschließend können sie Sicherheits- und Aufklärungsmaßnahmen empfehlen, mit denen sich die Wahrscheinlichkeit verringern lässt, dass ihr Kunde zum Opfer von Social Engineering wird.

Über den Autor:

Dave Shackleford ist Eigentümer und leitender Berater bei Voodoo Security, Senior Vice President für Research und CTO bei IANS sowie Analyst, Instruktor und Kurs-Autor bei SANS. Er hat hunderte von Organisationen in den Bereichen Sicherheit, Compliance sowie Netzwerk-Architektur und -Technik beraten. Shackleford ist VMware vExpert und hat umfangreiche Erfahrung mit Planung und Konfiguration von sicheren virtualisierten Infrastrukturen. Zu seinen früheren Tätigkeiten zählen CSO bei Configuresoft, CTO beim Center for Internet Security sowie Sicherheitsarchitekt, Analyst und Manager bei mehreren Fortune-500-Unternehmen. Shackleford ist Co-Autor des Buches „Hands-On Information Security“ von Course Technology und Autor des Kapitels „Managing Incident Response" im Buch „Readings and Cases in the Management of Information Security“ desselben Verlags. Vor kurzem hat er den ersten öffentlichen Kurs für Virtualisierungssicherheit des SANS Institute mitgestaltet. Aktuell ist er Mitglied des Board of Directors am SANS Technology Institute und gehört zu den Leitern der Sektion Atlanta der Cloud Security Alliance.

Artikel wurde zuletzt im Juli 2012 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close