Neueste Beiträge
- „Wir bringen PDFs zum Leben“ – Gespräch mit Matthias Neumayer, Geschäftsführer FragDasPDF / heyqq GmbH
- Entscheidung: Datenübermittlung in die USA verstößt nicht gegen den Datenschutz!
- Große Bedeutung für die Werbebranche – Interview
- Härting Rechtsanwälte erklären „TADPF in a nutshell (& to do’s)“
- Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft getreten!
Archive
- Juni 2024
- März 2024
- Juli 2023
- April 2023
- März 2023
- Februar 2023
- Dezember 2022
- November 2022
- September 2022
- August 2022
- Juli 2022
- Juni 2022
- Mai 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- September 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- März 2021
- Februar 2021
- Januar 2021
- Dezember 2020
- November 2020
- Oktober 2020
- September 2020
- August 2020
- Juli 2020
- Juni 2020
- Mai 2020
- April 2020
- März 2020
- Februar 2020
- Januar 2020
- Dezember 2019
- November 2019
- Oktober 2019
- September 2019
- August 2019
- Juli 2019
- Juni 2019
- Mai 2019
- April 2019
- März 2019
- Februar 2019
- Januar 2019
- Dezember 2018
- November 2018
- Oktober 2018
- September 2018
- August 2018
- Juli 2018
- Juni 2018
- Mai 2018
- April 2018
- März 2018
- Februar 2018
- Januar 2018
- Dezember 2017
- November 2017
- Oktober 2017
- September 2017
- August 2017
- Juli 2017
- Juni 2017
- Mai 2017
- April 2017
- März 2017
- Februar 2017
- Januar 2017
- Dezember 2016
- November 2016
- Oktober 2016
- September 2016
- August 2016
- Juli 2016
- Juni 2016
- Mai 2016
- April 2016
- März 2016
- Februar 2016
- Januar 2016
- Dezember 2015
- November 2015
- Oktober 2015
- September 2015
- August 2015
- Juli 2015
- Juni 2015
- Mai 2015
- April 2015
- März 2015
- Februar 2015
- Januar 2015
- Dezember 2014
- November 2014
Telefon-Phishing, im Fachjargon Vishing (Voice Phishing) genannt, wird als Angriffsvektor in Unternehmen immer beliebter. Angreifer spähen interne Strukturen und Verantwortlichkeiten aus, fragen als IT-Mitarbeiter nach Passwörtern oder weisen als Chef die Überweisung von Geldbeträgen an (CEO-Fraud). Mit Hilfe von Nummern-Spoofing ist es dabei ein Kinderspiel, sich als interner Anrufer auszugeben.
IT-Seal führt Vishing-Angriffe im Rahmen von Social Engineering-Simulationen durch.
Ein Telefonmitschnitt: Gegeben sind lediglich der Name, die Telefonnummer und die E-Mail-Adresse des Mitarbeiters. Diese können häufig über die Internetpräsenz des Unternehmens oder einen Anruf bei der Zentrale in Erfahrung gebracht werden.
Mitarbeiter: *abhebend* „Mustermann.“
Angreifer: „Guten Tag Herr Mustermann, Schmitz hier aus der IT.“
Mitarbeiter: „Hallo.“
Angreifer: „Ich hatte Ihnen letzte Woche eine Mail geschrieben, in der es um ein Netzwerk-Update geht. Ich gehe gerade eine Liste der Leute durch, die darauf noch nicht geantwortet haben und Sie sind eine von diesen Personen.“
Mitarbeiter: „Ach, tatsächlich? Worum ging es denn da? Ich weiß jetzt nicht genau, was Sie meinen.“
Angreifer: „Wir wollen in Zukunft versuchen, Updates über ein Plug-In für den Remote-Desktop zu installieren, damit wir nicht ständig bei Ihnen persönlich aufkreuzen müssen. *Sympathielacher* In der Mail war ein Link zum internen Server, um zu prüfen, ob das schon bei Ihnen funktioniert oder ob wir tatsächlich nochmal persönlich zu Ihnen an den Platz müssen.“
Mitarbeiter: „Ok, komisch. Ich hab keine Mail gesehen, aber warten Sie kurz, ich schaue gerade nochmal nach.“
Angreifer: „Danke, aber machen Sie sich keinen Stress. Manche sind einfach zeitlich noch nicht dazu gekommen, bei Anderen kam die Mail auch nicht an.“
Mitarbeiter: „Tut mir leid, ich habe keine Mail erhalten. Wann soll das denn gewesen sein?“
Angreifer: „Die Mails sollten am Mittwoch oder Donnerstag letzter Woche rausgegangen sein. Ist aber alles kein Problem. Wenn Sie gerade am PC sind, schick ich Ihnen einfach nochmal die Mail und wir machen das direkt hier am Telefon, falls Sie zwei Minuten haben. Ich schicke Ihnen einfach nur nochmal den Link zu unserem Server, ist schon was angekommen?“
Vorab wurde eine E-Mail vorbereitet mit gefälschtem Absender und einer Linkadresse zu einer Seite mit sogenanntem „Drive by Download“, das heißt es wird bei Besuch der Seite direkt eine Datei heruntergeladen. Sowohl die Absenderadresse als auch der Link wurden so verändert, dass sie im Gewand des Unternehmens daherkommen. Beispiel: Der Link www.it-seal.de-safe.de/update/datei.exe sieht auf den ersten Blick so aus, als leite er auf die Seite von IT-Seal.
Mitarbeiter: „Ahja, hier kommt grad was rein. Was soll ich jetzt machen?“
Angreifer: „Einfach auf den Link klicken. Sie sollten automatisch zum Plug-In auf dem internen Server weitergeleitet werden.
Mitarbeiter: „Hier steht jetzt, dass das keine verifizierte Quelle ist?!“
Angreifer: „Genau, das soll sogar so sein, weil wir ja auf Netzwerkeinstellungen zugreifen, wenn wir prüfen, ob eine Remote-Installation geht. Die Meldung soll verhindern, dass Sie nicht einfach irgendwas anklicken, was ungewollt ist.“
Mitarbeiter: „Wenn Sie das sagen… *Sympathielacher* Also jetzt sagt ‚der‘ mir hier, ich kann speichern oder ausführen.“
Angreifer: „Können Sie direkt ausführen. Das sollte automatisch funktionieren. Dann sollte eine Infobox aufgehen, in der einiges an Meldungen steht, wichtig ist nur, ob am Ende immer ein OK angezeigt wird oder nicht. Ansonsten müssen wir doch noch persönlich vorbeikommen.
Mitarbeiter: „Also das Fenster sehe ich, und hier steht zweimal OK…“
Zu diesem Zeitpunkt hat der Mitarbeiter die Datei ausgeführt hat und der Penetrationstest war erfolgreich. Der Angreifer hat mit der „Infobox“ sogar eine Bestätigung, dass die Datei erfolgreich installiert wurde. Um keinen Verdacht zu erwecken, wird das Gespräch aber noch freundlich beendet. Im schlimmsten Fall hat der Mitarbeiter im Anschluss nicht gemerkt, dass er einen Trojaner o. Ä. installiert hat.
WIE KONNTE DAS PASSIEREN? PSYCHOLOGISCHE TRICKS DER ANGREIFER
Idealerweise wird vor dem Anruf die ausgehende Telefonnummer so verändert, dass diese, ähnlich wie später die E-Mail-Absender und der Link zum „internen Server“, wie eine Nummer aus dem Unternehmen selbst aussieht. Dies ist heute sogar für technische Laien möglich.
Direkt zu Anfang des Gesprächs wird dem Mitarbeiter unterstellt, dass er einer Aufforderung nicht nachgekommen ist – es wird Druck und Schuldgefühl erzeugt. Das Ganze noch mit ein wenig Fachjargon gewürzt, und Herr Mustermann ist zunächst perplex und davon abgelenkt, herauszufinden, wer genau denn eigentlich anruft. Gerade in größeren Unternehmen sind „die aus der IT“ oft eine Gruppe, die unter sich bleibt und es ist nicht unüblich, dass der Anrufer dem Mitarbeiter nicht auf Anhieb bekannt vorkommt. Bei kleinen Unternehmen bleibt die Rolle des Praktikanten, der erst seit kurzem Teil der Firma und so natürlich noch unbekannt ist. Dem ersten Vorwurf schließt sich direkt eine Relativierung an – „Sie sind nicht der einzige, der noch nicht geantwortet hat“, sowie eine schnelle Lösungsmöglichkeit: „Wenn Sie gerade am PC sind, machen wir das direkt zusammen am Telefon. Das dauert keine zwei Minuten.“
Die letzte Hürde ist damit nur noch, einen Link zum Drive-by-Download per E-Mail zu schicken. Nachfragen zur Verifizierung oder andere Sicherheitsbedenken werden oft mit „das ist kein Problem“ (hier noch dreister: „das soll sogar so sein“) oder anderen Ausreden abgehandelt.
BEI VISHING-TESTS ERREICHT IT-SEAL EINE „ERFOLGS“-QUOTE VON ETWA 34% – AWARENESS-TRAININGS SIND UNUMGÄNGLICH
Im Angriffs-Test durch IT-Seal wird natürlich kein schadhafter Code in das Unternehmen eingeschleust. Die Tatsache, dass der Mitarbeiter eine Datei auf dem PC ausführt, reicht jedoch dazu aus, einen Keylogger zum Ausspähen von Passwörtern oder einen Trojaner zur Komplettübernahme des Systems zu installieren. Nach Wunsch des Auftraggebers wird der angerufene Mitarbeiter aufgeklärt, dass es sich um einen Vishing-Test handelt, und wie er besser hätte reagieren können.
Ähnliche Artikel
Richtige E-Mail...
Im vergangenen Monat überprüfte das Bayerische Landesamt für Datenschutzaufsicht...
- By Martin Henfling
- Datenschutz
Datenschutzerklärung für...
Der Anteil von Nutzern, die heutzutage lieber mit dem Smartphone oder Tablet im Internet...
- By Ingo Kaiser
- Datenschutz
Datenschutz...
Die bayerische Datenschutz-Aufsichtsbehörde hatte im September stichprobenartig...
- By Gerald Lill
- Datenschutz