1.5.9 Social Engineering

Der Schwerpunkt in diesem Kapitel lag soweit auf technischen Angriffsmöglichen, bei denen die Einbeziehung von Menschen nur in wenigen Fällen explizit genannt wurde. Viele Angriffsversuche stellen heute aber eine Kombination aus dem Ausnutzen technischer und menschlicher Schwächen dar.

Ein Beispiel ist sog. Keylogger Hardware. Hierbei handelt es sich um eine kleine Hardware, die in den Tastaturanschluss am PC gesteckt wird. Damit geht alles, was der Nutzer eintippt durch diese Hardware, also insbesondere auch die Eingaben von Logins und Passwörtern. Diese relativ kleine Hardware wird in vielen Fällen unentdeckt bleiben, wenn die Desktop Rechner unter dem Schreibtisch stehen. Eine solche Keylogger Hardware kann legal erworben werden und ist leicht zu bekommen (wie die Eingabe von "Keylogger Hardware" in eine Suchmaschine zeigt). Ein Szenario wäre beispielsweise, dass sich jemand in das Reinigungspersonal bei einer Firma einschleicht und dabei die Hardware platziert. Nach einigen Tagen kann diese dann wieder unauffällig entfernt werden.

Präparierte USB-Sticks stellen ebenfalls ein großes Risiko dar, da diese mit automatischen Funktionen nur durch das Anstecken an einen Rechner viele Befehle absetzen können (siehe Artikel über BadUSB Sticks). Hier wäre ein Szenario denkbar, dass Angreifer scheinbar zufällig USB Sticks verlieren. Mitarbeiter einer Firma, die ausspioniert werden soll, könnten einen solche Stick in ihren Rechner einstecken, um den Besitzer festzustellen und den Stick zurückzugeben. Auf diese Weise infizieren sie sich jedoch mit Schadsoftware.

Die Funktionalität eines solchen BadUSB-Sticks kann sich auch in anderer Hardware verbergen, die mittels USB angeschlossen wird. Insbesondere Computer-Mäuse eignen sich für diesen Zweck, bei dem entweder eine Maus verschenkt wird (siehe Falldarstellung auf Heise.de) oder Angreifer bei einem Beusch heimlich die Maus austauschen. Das zusätzliche Bauteil kostet übrigens nur ca. 9 Dollar.

Eine andere Problematik besteht in der Möglichkeit zur Manipulation der Anzeige von Telefonnumern. Dieses wird Caller ID Spoofing genannt. Die Fälschung der Anzeige der eigenen Telefonnummer, die man bei einem Anruf verwendet, war in Deutschland schon immer illegal, in den USA bis zum Jahr 2010 jedoch nicht. Es gibt spezielle Apps, die die Fälschung ermöglichen, was insbesondere durch VoIPVoice over Internet Protocol-Dienste ermöglicht wird (solche Angebote sind wiederum mit einer Suchmaschine nicht schwer zu finden). Durch die Fälschung der angezeigten Telefonnummer besteht die Möglichkeit eine interne Rufnummer vorzutäuschen, beispielsweise von der IT Support-Abteilung. Damit könnte der Angreifer einen Nutzer auffordern, ausnahmeweise sein Passwort preiszugeben, da der Rechner erhebliche Auffälligkeiten zeige.

Oftmals führt auch die umständliche Bedienung oder, je nach Betrachtungsweise, die Nachlässigkeit der Nutzer zu Sicherheitsrisiken. Beispielsweise wurden für den NSANational Security Agency-Untersuchungsausschuss des Bundestages Handys mit einer kryptographischen Verschlüsselung (Hersteller Secusmart) angeschafft, die jedoch wegen komplizierter Bedienung von den Abgeordneten teilweise nicht genutzt werden (siehe Tagesschau.de-Artikel).

Die sozialen Netzwerke sind in diesem Zusammenhang ebenfalls sehr relevant. Hier sei beispielsweise auf den Fall "Robin Sage" verwiesen, bei dem ein falsches Nutzerprofil mit erfundenem Lebenslauf in sozialen Netzwerken angelegt wurde. Dieses war zwar nur ein Sicherheitstest, der jedoch zeigte, wie schnell mit dieser Methode das Vertrauen von anderen Nutzern erschlichen werden konnte.