Post on 05-Apr-2015
Social Engineering – Christian Grafe 1
Social Engineeringbecause there is no patch for human stupidity
von Christian GrafeSeminar WS 06 / 07
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
2
Inhalt
1. Definition von Social Engineering und Beispiele2. Warum hat Social Engineering Erfolg?3. Arten von Social Engineering4. Vorgehen der Social Engineer in sechs Schritten5. Schutzmaßnahmen6. Fragen
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
3
Definition
Zwei kleine Geschichten über Social-Engineering:
• Statistik Test Anrufe• Firewall „Gewinnspiel“
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
4
Definition
• Der Begriff Sozialkonstruktion bzw. englisch Social Engineering (auch Social Hacking) bezeichnet in der Informatik das Erlangen vertraulicher Informationen durch Annäherung an Geheimnisträger mittels gesellschaftlicher oder gespielter Kontakte.
• Größter Hacker Kevin Mitnick und Begriffserfinder
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
5
Ziele von Social Engineering
• Industriespionage• Datendiebstahl• Identitätsdiebstahl• Spass - Machtgefühl• Finanzielle Bereicherung• Soziale Informationsbeschaffung (ExPartner)
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
6
Warum hatSocial Engineering Erfolg?
• Eine Vertrauensbasis zwischen Menschen kann leicht ausgenutzt werden
• Geschickte Redner können durch Überlegenheit Menschen in die Enge treiben
• Alle Soft- und Hardware zur Abwehr von Angriffen ist unbrauchbar.
• Laut HackersBlackBook die gefährlichste Art für Informationsverlust.
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
7
Arten von Social Engineering
• Computer Based Social Engineering• Human Based Social Engineering• Reverse Social Engineering
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
8
Computer Based Social Engineering
• Ist kein wirkliches Social Engineering• Kein direkter Kontakt zwischen dem Opfer und
dem Angreifer
• => Fake-Mail• => Fake-Homepage• => Emails FH Hof
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
9
Human Based Social Engineering
• Konkreter SE-Angriff
– Vertrauensgewinnung des Opfers– Kommunikation im Fachjargon des Unternehmens– Vortäuschen eine Autoritätsperson zu sein– Vortäuschung von verschiedenen Stimmungslagen (hektisch,
ärgerlich, freundlich)– Personen ohne Fachwissen zu sicherheitsgefährdenden Aktionen
bewegen– Müll durchwühlen ("dumpster diving„)
• Das ist gesetzlich erlaubt, da Müll weder Privat noch Eigentum ist.
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
10
Reverse Social Engineering
Man verursacht ein Problem und ist dann zur Stelle, um es wieder zu lösen.
• Beispiel: Der Telekom „Hack“Diebestour ermöglicht durch Social Engineering
(1992)
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
11
Vorgehen der Social Engineer in sechs Schritten
1. Informationsbeschaffung2. Aufbauen von Kontakten3. Identität fälschen4. Informationen über das Ziel erarbeiten5. Mit den Informationen6. Zusammensetzen von Informationen
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
12
Konkretes Beispiel
Die einzelnen Fachabteilungen und zentralen Einrichtungen der FH stehen Ihnen mit Rat
und Tat zur Seite.
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
13
Konkretes Beispiel
FH Hof User Accounts
Informieren Nicht notwendig
Kontakt aufbauen Rechenzentrum
Vortäuschung einer Identität Liste -> VI-MFREDL
Zielinformationen erarbeiten Passwort (-> SE)
Wenn man die Zielinformationen hat
Account zurücksetzen
Informationen Zusammensetzen
Cookies - History - Emails
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
14
Schutzmaßnahmen
• Vergleich mit Computerviren Es gibt immer neue Techniken und man ist davor nie
100%-ig sicher.
• Schutzansätze:
1. Schulung2. Wenige Menschen mit Autorisierung3. Zerschreddern und sichern von Festplatten / Papieren4. Keine Standardisierung bei Usern (Perl Scripte)
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
15
Richtlinien
Generell geht es um „Secure Awareness“:– Bewusstsein (Bsp: Anschnallen)– Die Mitarbeitenden jeder Stufe sollen
verstehen, warum sie etwas tun müssen oder nicht tun dürfen.
– Über die Bedeutung und Grenzen technischer Massnahmen wie Firewall, Virenschutz oder Spam-Filter muss realistisch informiert werden.
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
16
Informieren
• Es reicht nicht Mitarbeiter kurz zu informieren
– Demos– Schulungen– Videos– Plakate / Aufkleber
Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit
17
Fragen
Nun ist die Zeit für Fragen gekommen!
Weitere Informationen, Artikel, Sicherheitstipps und diesen Vortrag gibt es auch unter:http://social.christian-grafe.de
Social Engineering – Christian Grafe 18
Vielen Dank für eure Aufmerksamkeit