IT-Sicherheitsdienstleistungen

Social Engineering

01

Social Engineering nutzt zwischenmenschliche Beeinflussungen zur unberechtigten Erlangung von Informationen und stellt auch eine Art des Durchsuchens von Sicherheitsprozeduren und –maßnahmen dar. Ein solcher Angriff greift auf die Fähigkeiten der sozialen Beeinflussung und Manipulation zurück. Es nutzt ebenfalls geringe Sicherheitskenntnisse der Neutzer aus. Diese Schwächen sind Bestandteil der Informationssicherheit. Das Ziel des Angreifers ist die Störung der inneren Organisationsumgebung oder der Gewinn sensibler oder vertraulicher Informationen durch Ausnutzen verschiedener psychlogischer Einflussnahmen (Spiele, Manipulationen oder auch Drohungen).

Brauchen sie Social Engineering?

Ein Angreifer, der mit Methoden des Social Engineering angreift, kann verschiedene Motivationen haben, wie z.B. finanziellen Gewinn, persönliche Interessen oder eine gezielte Schädigung. Social Engineering nutzt die natürlichen Eigenschaften einzelner Personen, die ihrer Umgebung vertrauen. Deshalb kann dieser Angriff auch durch Personen durchgeführt werden, die keine tieferen technischen Kenntnisse haben

Eine Erhöhung der Organisationssicherheit erfordert ein gleichzeitige Testung der IT-Struktur und Web-Applikationen mit Methoden des Social Enginnering. Nur diese komplexe Überprüfung kann Sicherheitslücken entdecken, die ein einfache technische Testung nicht erkennt.

Testverlauf mit Social Engineering
Minimale Testlänge 5 Tage, wobei die Dauer von der Anzahl der getesteten Angriffsmethoden ab-hängt.

 

Testlänge 5 Tage 6-7 Tage 8-10 Tage
Realisierte Methoden
  • Passive Social Engineering
  • Phishingsimulation
  • Passive Social Engineering
  • Phishingsimulation
  • Gewinn von sensiblen und vertrauten Informationen
  • Passive Social Engineering
  • Phishingsimulation
  • Gewinn von sensiblen und vertrauten Informationen
  • Aktive Social Engineering
Management Summary JA JA JA

 

Während des Testens benutzen wir verschiedene Tricks wie E-mail Spoofing, Caller-ID oder Sender-ID bei SMS-Nachrichten oder Telefongespächen, Identitätsmissbrauch von Angestellten der Organisation und andere psychologischen Methoden wie die Bitte um Hilfe, Drohungen oder Zwang. Die Social Engineering Tests können als einzelne Tests durchgeführt werden oder eine Kombination von Tests darstellen.

Ausgang und Auswertung 

Alle entdeckten Zwischenfälle, Sicherheitslücken und gewonnenen sensiblen Informationen werden in dem Schlussbericht eingetragen und detailiert beschrieben.

Methoden, die während des Testens eingesetzt werden

Passives Social Engineering stellt das Sammeln und Überprüfen der Informationen mit folgenden Methoden dar:

  • Überprüfung öffentlich erreichbarer Informationen über die getestete Organisation
  • Gezielte Datensuche in Sicherheitslücken bei Penetrationstests

Ziel: Informationsgewinn, der bei Angriffen mittels Social Engineering hilft.

Phishingsimulation orientiert sich an einer ausgewählten oder zufälligen Angestelltengruppe orientiert. An diese Gruppe wird eine E-mail gesendet.

Ziel:  Durch Phishing den Angestellten anzuregen, einen gefälschten Link anzuklicken. Dadurch kann Malware auf den PC gebracht werden, Kontrolle über diesen Computer gewonnenoder die Angestellten auf eine gefälschte Domäne geführt werden, wo sensible Informationen von ihnen gewonnen werden können.

Gewinn sensibler und vertrauter Informationen wird durch folgende Techniken realisiert:

  • Telefonischer Kontakt oder SMS an den gezielt oder zufällig ausgewählten Angestellten der zu testenden Organisation. Es ist dabei möglich die gefälschte Caller ID Identität zu verwenden
  • Kontakt durch soziale Netzwerke, IM oder VoIP Kommunikation an den gezielt oder zufällig ausgewählten Angestellten der zu testenden Organisation.

Ziel: Gewinn von sensiblen Informationen, die missbraucht werden können (z.B. Kenntnis über Organisationstruktur, angewendete Softwaremethoden, Funktion der technischen Unterstützung, Gewinn von Lösungen für E-Mail Kontos).

Aktives Social Engineering beinhaltet folgende Tests:

  • Physisches Eindringen in Räume mit dem Ziel, Kontakt mit Angestellten der getesteten Organisation aufzunehmen
  • Test durch tragbare Medien, die den Angestellten untergeschoben werden – USB-Key oder optische Disk
  • Abfalluntersuchung (trashdiving / dumpster diving)

Ziel: Zugang und Kontrolle über PCs mittels infizierter Malware oder mittels Bewegung durch Gebäude, umsensible und vertrauliche Informationen zu gewinnen, die an verschiedenen Stellen im Gebäude zu finden sind (Tische, Abfallkörbe usw.) oder um Zugang zum Intranet durch aktive Elementen im Netzwerk zu gewinnen.