Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human...

18
Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07

Transcript of Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human...

Page 1: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Social Engineering – Christian Grafe 1

Social Engineeringbecause there is no patch for human stupidity

von Christian GrafeSeminar WS 06 / 07

Page 2: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

2

Inhalt

1. Definition von Social Engineering und Beispiele2. Warum hat Social Engineering Erfolg?3. Arten von Social Engineering4. Vorgehen der Social Engineer in sechs Schritten5. Schutzmaßnahmen6. Fragen

Page 3: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

3

Definition

Zwei kleine Geschichten über Social-Engineering:

• Statistik Test Anrufe• Firewall „Gewinnspiel“

Page 4: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

4

Definition

• Der Begriff Sozialkonstruktion bzw. englisch Social Engineering (auch Social Hacking) bezeichnet in der Informatik das Erlangen vertraulicher Informationen durch Annäherung an Geheimnisträger mittels gesellschaftlicher oder gespielter Kontakte.

• Größter Hacker Kevin Mitnick und Begriffserfinder

Page 5: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

5

Ziele von Social Engineering

• Industriespionage• Datendiebstahl• Identitätsdiebstahl• Spass - Machtgefühl• Finanzielle Bereicherung• Soziale Informationsbeschaffung (ExPartner)

Page 6: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

6

Warum hatSocial Engineering Erfolg?

• Eine Vertrauensbasis zwischen Menschen kann leicht ausgenutzt werden

• Geschickte Redner können durch Überlegenheit Menschen in die Enge treiben

• Alle Soft- und Hardware zur Abwehr von Angriffen ist unbrauchbar.

• Laut HackersBlackBook die gefährlichste Art für Informationsverlust.

Page 7: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

7

Arten von Social Engineering

• Computer Based Social Engineering• Human Based Social Engineering• Reverse Social Engineering

Page 8: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

8

Computer Based Social Engineering

• Ist kein wirkliches Social Engineering• Kein direkter Kontakt zwischen dem Opfer und

dem Angreifer

• => Fake-Mail• => Fake-Homepage• => Emails FH Hof

Page 9: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

9

Human Based Social Engineering

• Konkreter SE-Angriff

– Vertrauensgewinnung des Opfers– Kommunikation im Fachjargon des Unternehmens– Vortäuschen eine Autoritätsperson zu sein– Vortäuschung von verschiedenen Stimmungslagen (hektisch,

ärgerlich, freundlich)– Personen ohne Fachwissen zu sicherheitsgefährdenden Aktionen

bewegen– Müll durchwühlen ("dumpster diving„)

• Das ist gesetzlich erlaubt, da Müll weder Privat noch Eigentum ist.

Page 10: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

10

Reverse Social Engineering

Man verursacht ein Problem und ist dann zur Stelle, um es wieder zu lösen.

• Beispiel: Der Telekom „Hack“Diebestour ermöglicht durch Social Engineering

(1992)

Page 12: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

12

Konkretes Beispiel

Die einzelnen Fachabteilungen und zentralen Einrichtungen der FH stehen Ihnen mit Rat

und Tat zur Seite.

Page 13: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

13

Konkretes Beispiel

FH Hof User Accounts

Informieren Nicht notwendig

Kontakt aufbauen Rechenzentrum

Vortäuschung einer Identität Liste -> VI-MFREDL

Zielinformationen erarbeiten Passwort (-> SE)

Wenn man die Zielinformationen hat

Account zurücksetzen

Informationen Zusammensetzen

Cookies - History - Emails

Page 14: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

14

Schutzmaßnahmen

• Vergleich mit Computerviren Es gibt immer neue Techniken und man ist davor nie

100%-ig sicher.

• Schutzansätze:

1. Schulung2. Wenige Menschen mit Autorisierung3. Zerschreddern und sichern von Festplatten / Papieren4. Keine Standardisierung bei Usern (Perl Scripte)

Page 15: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

15

Richtlinien

Generell geht es um „Secure Awareness“:– Bewusstsein (Bsp: Anschnallen)– Die Mitarbeitenden jeder Stufe sollen

verstehen, warum sie etwas tun müssen oder nicht tun dürfen.

– Über die Bedeutung und Grenzen technischer Massnahmen wie Firewall, Virenschutz oder Spam-Filter muss realistisch informiert werden.

Page 16: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

16

Informieren

• Es reicht nicht Mitarbeiter kurz zu informieren

– Demos– Schulungen– Videos– Plakate / Aufkleber

Page 17: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Christian Grafe Social EngineeringDie größte Gefahr für die Sicherheit

17

Fragen

Nun ist die Zeit für Fragen gekommen!

Weitere Informationen, Artikel, Sicherheitstipps und diesen Vortrag gibt es auch unter:http://social.christian-grafe.de

Page 18: Social Engineering – Christian Grafe 1 Social Engineering because there is no patch for human stupidity von Christian Grafe Seminar WS 06 / 07.

Social Engineering – Christian Grafe 18

Vielen Dank für eure Aufmerksamkeit