Spearphishing: Jeder Fünfte geht in die Falle
IT-Benutzer sind gutgläubig. Ein Rabattversprechen reicht, um jede Menge Passwörter einzusammeln. Auf der Wiener Security-Konferenz Deepsec wurden erschreckende Zahlen aus der Praxis verraten.
Meldungen über Betrugswellen und Phishing-Tricks haben bislang nicht genügt, um Internet-Nutzer hinreichend misstrauisch zu machen. Noch immer lassen viele sich mit windigen Behauptungen Zugangsdaten abgaunern.
Enorme Erfolgsraten mit Phishing haben italienische Sicherheitsexperten erzielt. Im Auftrag international tätiger Unternehmen testen sie, wie anfällig deren Belegschaften für Tricks sind, die auf Social Engineering beruhen. Auf der Security-Konferenz Deepsec in Wien berichteten die Forscher diese Woche über ihre Arbeit: Im Schnitt haben sie binnen zweier Stunden nach Versand von Phishingmails die echten Zugangsdaten jedes fünften Mitarbeiters ergattert.
(Bild: Daniel AJ Sokolov)
"Social Engineering ist heute die wichtigste Strategie für die Infektion mit Malware", sagte Enrico Frumento, Security-Spezialist bei CEFRIEL (ICT Center of Excellence for Research, Innovation, Education and Industrial Labs Partnership) in Mailand. Diese Organisation möchte die Brücke zwischen akademischen Forschungsergebnissen und deren Anwendung in der Privatwirtschaft schlagen.
Wer Zugangsdaten oder Infiltrationsmöglichkeiten für IT-Systeme auf Grundlage von Social Engineering ausspäht, setzt statt auf technische Angriffe auf Tricks, die Nutzer dazu bringen, die gewünschten Informationen preiszugeben. Derlei Aktionen werden heute weitgehend automatisiert und in großem Maßstab betrieben, wie Frumento und sein Kollege Roberto Puricelli in Wien berichteten.
Massenvernichtungswaffe Facebook
Facebook, Twitter, Tumblr, YouTube und Co seien "Massenvernichtungswaffen" gegen IT-Security, meinen die beiden Sicherheitsexperten. In sozialen Netzwerken könnten Angreifer automatisiert Informationen sammeln und inhaltlich analysieren. Daraus bildeten sie mit professionellen Methoden, insbesondere aus der kognitiven Psychologie, Persönlichkeitsmodelle. Anschließend wählten sie Zielpersonen aus und schickten ihnen dann beispielsweise passend zugeschnittene Phishing-Mails.
"E-Mail wird massiv genutzt. Dazu braucht es keine talentierten Hacker. Sie sprechen einfach sehr viele User auf einmal an", berichtete Puricelli. Auch Chatbots, die sich das Vertrauen von Zielpersonen erschleichen, würden für Social-Engineering-Attacken in großem Maßstab eingesetzt.
Bisweilen ist solches Vorgehen auch mit der Ausnutzung technischer Sicherheitslücken kombiniert worden. Im Falle "Darkhotel" etwa setzten Angreifer auf Drive-By-Downloads über Hotelnetzwerke. Zuvor hatten sie mittels Social Engineering die Reisepläne der Zielpersonen in Erfahrung gebracht. Andere Hotelgäste wurden nicht behelligt. So konnten die Angreifer über mehr als sieben Jahre unentdeckt bleiben.
Das Risiko in Zahlen
Im Auftrag zirka 15 großer Unternehmen haben Frumento und Puricelli über 12.000 Mitarbeiter angeschrieben. Dabei nutzten sie ausschließlich öffentlich verfügbare Informationen sowie Angaben des Arbeitergebers. Die beiden Italiener verschickten beispielsweise eine Massenmail, die der Belegschaft attraktive Rabatte bei Urlaubsreisen in Aussicht stellte. In der Nachricht prangte das jeweilige Firmenlogo.
Zur Registrierung auf der verlinkten Website reichten die Zugangsdaten des Firmenaccounts aus. Die Phishingmails wurden absichtlich mit Rechtschreibfehlern verziert und über russische Server verschickt. Trotzdem waren sie erschreckend wirksam.
Nach nur zwei Stunden hatte im Schnitt mehr als ein Drittel der Empfänger die angebliche Rabattwebsite besucht. Davon wiederum gaben rund 58 Prozent tatsächlich ihre Daten ein. Überdurchschnittlich anfällig waren dabei Mailempfänger unter 30 Jahren.
(Bild: CEFRIEL/Sokolov)
Sehr flott
Insgesamt haben 21 Prozent aller Mitarbeiter ihre echten Zugangsdaten eingegeben. Nach nur zehn Minuten waren fast neun Prozent aller Accounts kompromittiert, nach 20 Minuten mehr als zehn Prozent.
Frumento und Puricelli teilen die freizügigen User in drei Gruppen: Da sind zunächst die Narren, die sich darüber beschweren, nach der Registrierung keine Rabattangebote erhalten zu haben. Dann gibt es die Reumütigen, die nach dem Offenlegen Verdacht schöpfen und ihr Passwort ändern. Die dritte Gruppe bilden die "Guten", die Alarm schlagen. Zu dieser letzten Gruppe gehörte jedoch nur jeder hundertste Mitarbeiter. Die schnellste solche Meldung ging nach sechs Minuten ein. Die schnellste Sperre des Zugriffs auf die Website wurde in einem der Firmennetze nach 20 Minuten eingerichtet.
Traditionelle Schulungen helfen kaum
Einige der Unternehmen hatten ihre Mitarbeiter bereits in Bezug auf Phishing-Risiken geschult. Leider half das kaum. Von den geschulten Mitarbeitern gingen 19 Prozent in die Falle, von den ungeschulten 24 Prozent. "Die traditionellen Trainingsmethoden mit Lehrer und Postern sind nicht sehr effektiv", resümierten die Forscher.
Und sogar der geringe Erfolg verblasst offenbar schnell. "Drei Monate nach der Schulung ist kein Unterschied (in der Reaktion auf die Phishing-Mails) mehr feststellbar", sagte Frumento im Gespräch mit heise security. Er hofft auf neue Lehrmethoden, unter anderem mit spielerischen Elementen.
Psychologen an die Front!
(Bild: Daniel AJ Sokolov)
In eine ähnliche Kerbe schlug Stefan Schumacher, Vorstandsvorsitzender des Magdeburger Instituts für Sicherheitsforschung, mit seinem Vortrag auf der Deepsec. Er rief nach gänzlich neuen Schwerpunkten im Kampf um Informationssicherheit. Mehr Wissenschaftler, vor allem Psychologen, seien einzusetzen.
IT-Security müsse weit über die Beschäftigung mit technischen Probleme hinaus professioneller werden. "Die Psychologie ist die einzige Wissenschaft, welche die Grundlagen der Sicherheit erforschen kann", sagte Schumacher. Dabei denkt er nicht nur an leichtgläubige Anwender. Er würde auch gerne wissen: "Warum produzieren Programmierer noch immer Buffer Overflows?" (ds)
