Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
DeepSec (Logo)
Um den Bogen zur Zukunft des Social Engineering zu schlagen, begann Conheady mit der Vergangenheit. Sie berichtete, Social Engineering gebe es schon "seit Ewigkeiten". Der Ausdruck selbst allerdings entstand erst im Zuge der industriellen Revolution. Zunächst war damit die Anpassung sozialer Gegebenheiten zum eigenen Vorteil - idealerweise zum Vorteil der Allgemeinheit - gemeint, eine Verwendung des Begriffs, die in der Sozialwissenschaft bis heute zu finden ist. In den 1990er Jahren kam jedoch eine zweite Bedeutung hinzu: das Eindringen in IT-Systeme durch Manipulation der damit betrauten Menschen. Mit dieser Form des Social Engineering befasst sich auch Conheady bei ihrer beruflichen Tätigkeit (gulli:News berichtete).
Conheady brachte einige Beispiele für Social-Engineering-Angriffe, die ohne Computer auskommen. So habe es mehrere Personen gegeben, die sich jahrelang erfolgreich als Piloten bei kommerziellen Fluglinien ausgaben. Die Expertin bemerkte, dass dieser Trick durch das Internet sogar erleichtert würde: war es früher äußerst schwierig, die passende Uniform für diese Rolle zu finden, kann man diese mittlerweile - wenn auch für teures Geld - auf eBay kaufen.
Die erste Person, die das Social Engineering in großem Stil in der IT-Welt einführte, sei in den 1990er Jahren der US-Amerikaner Kevin Mitnick alias "Condor" gewesen, berichtete Conheady. Dieser schrieb zum Thema auch das recht bekannte Buch "The Art of Deception" ("Die Kunst der Täuschung").
Conheady nannte einige gängige Taktiken, mit denen Social-Engineering-Spezialisten ihre Opfer zu täuschen versuchen. Eine davon ist es, eine Autoritätsperson - sei es einen Vorgesetzten, jemanden mit viel sozialem Prestige oder auch den Netzwerk-Admin, der in IT-Dingen das Sagen hat - darzustellen. Viele Menschen hinterfragen dann auch merkwürdig oder riskant wirkende Anweisungen nicht, entweder aus Vertrauen in die Kompetenz der besagten Person oder auch aus Furcht vor negativen Konsequenzen.
Die zweite von Conheady genannte Taktik ist die Bezugnahme auf aktuelle Ereignisse. Jeder dürfte beispielsweise Spam- und Phishing-Mails kennen, die mit Schlagzeilen über politische Ereignisse, angesagte Gadgets, Naturkatastrophen oder Prominente das Interesse der Nutzer auf sich lenken wollen. Auch in anderen Kontexten findet diese Taktik teilweise Verwendung.
Auch eine weitere Taktik findet laut Conheady immer wieder Verwendung: dem Opfer wird ein dermaßen attraktives Geschäft angeboten, dass er die Vorsicht schnell außer acht läßt. Sei es nun der bekannte Nigeria-Scam mit seiner angeblichen reichen Belohnung oder die reihenweise verbreiteten supergünstigen iPhone- und iPad-Angebote der Cyberkriminellen.
Ein weiterer Faktor hilft den "Social Engineers" laut Conheady oftmals, unentdeckt zu bleiben: vielen Opfern ist es so peinlich, auf ein derartiges Schema hereingefallen zu sein, dass sie nicht zur Polizei gehen. Auch in der Unternehmenswelt werden derartige Vorfälle gern totgeschwiegen. Das hat natürlich den Nachteil, dass die Täter nicht gefasst und potentielle weitere Opfer nicht gewarnt werden - ein großer Vorteil für die Angreifer.
Conheady erklärte, dass es oftmals erfolgreich sei, über einen Umweg die eigentliche Zielperson anzugreifen: indem man zunächst deren Freunde ins Visier nimmt. Von diesen lassen sich oftmals wertvolle Informationen gewinnen, die die Erfolgschance eines Angriffs erhöhen. Eine Alternative ist es, beispielsweise den Account eines Freundes im Instant Messenger oder Sozialen Netzwerk zu übernehmen und somit aus einer Position der scheinbaren Vertrauenswürdigkeit aus zu handeln. Diese Taktik, so Conheady, sei seit etwa zehn Jahren unter Online-Kriminellen verstärkt zu beobachten.
Ebenfalls ein Faktor erfolgreicher Social-Engineering-Kampagnen sei es, bei den Opfern Emotionen hervorzurufen, so Conheady. Sei es nun Mitleid mit angeblich Benachteiligten, Wut über unfaire Handlungsweisen in Politik oder Wirtschaft oder die Freude über gute Nachrichten vom Lieblings-Star - emotionale Nachrichten erhöhen die Erfolgschancen eines Social-Engineering-Angriffs erheblich.
Soziale Netzwerke entwickeln sich zunehmend zu einem wertvollen Hilfsmittel beim Social Engineering. Conheady erklärte daher, wie sich in diesen Communities eine erfolgreiche Recherche durchführen läßt, an deren Ende man äußerst wertvolle Informationen über das potentielle Opfer hat. Sie erklärte, dass die Angreifer oftmals beim business-orientierten Netzwerk LinkedIn beginnen. Dort lasse sich beispielsweise die Unternehmensstruktur erforschen, die man dann benutzen könnte, um sich eine glaubwürdige "Legende" zu verschaffen. Anschließend könne man sich mit einem gefälschten Profil in das soziale Umfeld des Unternehmens einbringen und weitere Informationen sammeln. Dabei würden Personen identifiziert, bei denen eine weitere Recherche - etwa in anderen sozialen Netzwerken wie Facebook - lohnend sei. Sehr nützlich, so Conheady, seien auch kleine Umfragen oder Steckbriefe, die die Benutzer ausfüllen können. Dort ließen sich Vorlieben, Abneigungen und Interessen erkennen, die kreativen Angreifern viele Möglichkeiten für eine gezielte Manipulation bieten. Auch Geotagging-Features wie Facebook Places oder Twitters neuer Location-Dienst seien für Verbrecher oft hilfreich. Mit ihrer Hilfe ließe sich beispielsweise herausfinden, wann ein Haus leer stehe und man somit dort einbrechen könne. Eine andere Möglichkeit sei, die Zielperson gezielt in der Öffentlichkeit anzusprechen oder sogar zu überfallen.
Passend zum Thema des Vortrags beschrieb Conheady natürlich auch, wie ihrer Meinung nach die Zukunft des Social Engineering aussieht. Sie erklärte, wie bereits in der Vergangenheit werde auch zukünftig der Grundsatz "dieselben Tricks, neue Technologie" gelten - während sich die verwendeten Technologien und Medien ändern, bleiben die zugrunde liegenden psychologischen Tricks seit Jahrhunderten gleich. Daran wird sich laut Conheady auch zukünftig nichts ändern. An den Technologien allerdings wird sich einiges ändern, so die Expertin. So vermutet sie insbesondere, wie bereits angedeutet, eine verstärkte Nutzung sozialer Netzwerke sowohl zur Recherche als auch zur Durchführung der eigentlichen Angriffe. Ganz allgemein werde zukündtig mehr Technologie zur Verfügung stehen, um Angriffe zu verbessern und zu automatisieren, prophezeihte Conheady.
Insgesamt, so vermutet Conheady, werden die Angriffe in diesem Bereich wesentlich ausgeklügelter, komplexer und gezielter werden. Dies deckt sich mit Trends in anderen Bereichen der IT-Sicherheit, in denen ebenfalls gezielte Attacken ein zunehmendes Problem darstellen.
Ebenfalls an den Rest der Cybercrime-Szene erinnert der letzte von Conheady genannte Trend: Social-Engineering-Angriffe werden zukünftig nach Einschätzung der Expertin zunehmend von Spezialisten als Dienstleistung angeboten werden. "Social Engineering as a Service" hätte beispielsweise den Vorteil, dass derartige Gruppen Personen für die verschiedensten Rollen beschäftigen können, die beispielsweise bestimmte Fremdsprachen sprechen. Auch in anderen Bereichen der Cybercrime-Szene ist eine zunehmende Spezialisierung und Professionalisierung zu beobachten.
Es wird sich zeigen, ob sich die von Conheady aufgestellten Prognosen in dieser Form bewahrheiten. Eines jedoch kann wohl als sicher gelten: in der einen oder anderen Form wird das Social Engineering den Internetnutzern - und wohl nicht nur diesen - sicher erhalten bleiben.
Annika Kremer am Dienstag, 30.11.2010 21:29 Uhr
Tags:
deepsec
Es wird sich zeigen, ob sich die von Conheady aufgestellten Prognosen in dieser Form bewahrheiten. Kann man das bezweifeln ? Dort wo ein "Markt" ist da versuchen die Leute ihren Ertrag zu holen. Das gilt genauso und besonders für die Kriminalität. Kriminelle ...
Auf der IT-Sicherheitskonferenz DeepSec hielt Sharon Conheady, deren Unternehmen "First Defence Information Security" Trainings und Auditing zum Thema Social Engineering durchführt, einen Vortrag unter dem Titel "The Future of Social Engineering". Dabei ging sie insbesondere auf die zunehmend gröà ...
Lars Sobiraj am 20.05.2012, 16:54 Uhr
Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.
Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! 
spielen
Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! spielen
Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. spielen
Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. spielen
Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. spielen
Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. spielen
