1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Social Engineering: Die unterschätzte…

Wahnsinns Aufwand zum Erfolg

Helft uns, die neuen Foren besser zu machen! Unsere kleine Umfrage dauert nur wenige Sekunden!
  1. Thema

Neues Thema Ansicht wechseln


  1. Wahnsinns Aufwand zum Erfolg

    Autor: Der mit dem Blubb 01.08.19 - 13:03

    > Sie ermunterte ihn dazu, die Datei auf seinem Arbeitsrechner zu öffnen und
    > Makros zu erlauben, damit die Umfrage richtig funktioniere. Das Opfer öffnete
    > die Datei und sorgte so für die Installation der Schadsoftware Pupyrat.
    > Der alte Sicherheitstipp "Öffne keine Dateien von jemandem, den du
    > nicht kennst oder die du nicht erwartest" wurde so einfach außer Kraft gesetzt.

    Wow - sehr einfallsreiche Masche. Was soll man da noch sagen?

  2. Re: Wahnsinns Aufwand zum Erfolg

    Autor: Kleba 01.08.19 - 13:10

    Der mit dem Blubb schrieb:
    --------------------------------------------------------------------------------
    > Wow - sehr einfallsreiche Masche. Was soll man da noch sagen?

    Ich bin mir gerade nicht sicher, ob das ironisch gemeint ist. Falls es ironisch gemeint ist:

    Also wenn davor schon ein längerer und halbwegs vertrauter Kontakt bestand könnte das schon ein valider Angriffspunkt sein. Beinahe jeder weiß doch heutzutage, dass Dateianhänge von unbekannten Personen nicht geöffnet werden sollten und vor allem das Makros nicht aktiviert werden sollten in solchen Fällen.
    Aber genauso gut könnte ich mir dieses Szenario "in echt" vorstellen. Es gibt immer noch Unternehmen oder einzelne Mitarbeiter, die bestimmte, halbwegs interaktive Dinge mit Makros in solchen Dokumenten machen.
    Wenn eine befreunde Person mir so etwas schicken würde, würde ich vermutlich auch unachtsamer damit sein. Aber ich würde - sofern es keine IT-Person ist - das Ding vermutlich trotzdem vorher bei VirusTotal oder so hochladen um es zu überprüfen.

  3. Re: Wahnsinns Aufwand zum Erfolg

    Autor: Legendenkiller 01.08.19 - 13:19

    1 Monat Zeit für eine 4 Mio Überweisung ist doch nicht viel Aufwand.

    Ich muss dafür 100 Jahre Arbeiten gehen. Das ist viel Aufwand. ;-)

  4. Re: Wahnsinns Aufwand zum Erfolg

    Autor: Muhaha 01.08.19 - 13:26

    Der mit dem Blubb schrieb:
    --------------------------------------------------------------------------------

    > Wow - sehr einfallsreiche Masche. Was soll man da noch sagen?

    Dass der größte Schwachpunkt nicht ein technisches System, sondern der Mensch ist, der es bedienen und vor allem sichern soll.

    Anfang der 2000er meinte eine IT-Sicherheitsfirma in den USA sich öffentlich und ziemlich großspurig mit Anonymous anlegen zu müssen. Einige Monate später verkündete Anonymous stolz, dass man ALLE (!) Systeme der Firma unterwandert hatte, als Beweis jede Menge vertraulicher Daten und eine komplette Netzwerk-Analyse.

    Wie hat man das gemacht? Vollständig durch Social Hacking. In dem man einen der verantwortlichen Admins "gehackt" hat. Facebook, LinkedIn nach Mitarbeitern und Tätigkeitsfeldern durchsucht. Einige Kandidaten gefunden. Einen idealen Kandidaten ausgewählt und dann präzise nach ihm gesucht. Herausgefunden, dass er regelmäßig ein paar SpecialInterest-Chats besucht. Nix wildes, alles harmlos. Dort wurde er dann kontaktiert und es wurde ihm vorgemacht, der Kontakt sei eine junge Dame, die ihn witzig & interessant findet. Der Haken blieb hängen und mit der Zeit hat der Admin der "jungen Dame" so ziemlich alle Zugangsdaten verraten, um sie zu beeindrucken. Er hat das nicht von sich aus getan, er wurde DIREKT DANACH GEFRAGT! Danach hatte man freie Bahn.

    Es gibt Spezialisten, die Firmen grundsätzlich auf Sicherheitsmaßnahmen überprüfen. Zugangskontrollen usw. Die sitzen dann plötzlich unangemeldet im Büro des Auftraggebers, weil sie alle (!) Sicherheitsmaßnahmen unterlaufen konnten. Nicht technisch, rein durch Überlisten und Manipulieren von Menschen. Im dem sie diesen Menschen erfolgreich einreden konnten, sie seien vollkommen rechtmäßig hier. Deswegen wurden sie nie kontrolliert, niemand wollte ihre Zugangsausweise sehen.

  5. Re: Wahnsinns Aufwand zum Erfolg

    Autor: BlindSeer 01.08.19 - 13:34

    Auf LinkedIn mal ein Foto gesehen. Darauf war eine Pinnwand und ein Zettel "Our new password change service" dazu dann Spalten "Service","Old Password", "New Password" und ja, da waren echt einige Einträge drin. Dazu dann ein Zettel "Come have a word with me!" und ein Name, denke das wird dann der "ItTSec Guy" gewesen sein.

    Anderes Beispiel was ich mal gelesen habe (weiß nicht mehr wo), da ging es auch um Social Engineering. Sie haben alle in der Firma angeschrieben (war ein abgesprochener Test mit der GL) und auf eine Seite gelotst wo die Anmeldung zu einem Firmen-Vorteilsprogramm angeboten wurde. Zur Verifikation sollte Anmeldename und Passwort des Firmenaccounts angegeben werden. Fazit war dass innerhalb von kürzester Zeit 1/3 Rückläufer vorhanden waren.

  6. Re: Wahnsinns Aufwand zum Erfolg

    Autor: TrollNo1 01.08.19 - 13:40

    Also zum ersten: Ich würde niemals Bilder von meinem Arbeitsplatz im Internet posten. Ich wüsste nicht mal, warum ich überhaupt welche machen sollte. Gut, als meine alte Firma neu gebaut hatte und die Tische dann mal alle standen, hab ich vom gesamten Raum ein Bild gemacht, bevor die Leute ihre Arbeitsplätze bezogen haben, damit ich das dann daheim meiner Frau zeigen konnte.

    Wenn das beim zweiten von intern kommt, kann ich mir gut vorstellen, dass das auch bei uns Erfolg hätte. Abgesehen davon, dass keiner an ein Vorteilsprogramm glauben würde :D
    Aber im Notfall sitzen 2 Betriebsräte in Rufweite, spätestens die würden stutzig werden und beim Chef nachfragen.

    Menschen, die mich im Internet siezen, sind mir suspekt.

  7. Re: Wahnsinns Aufwand zum Erfolg

    Autor: BlindSeer 01.08.19 - 13:48

    Ich denke das Foto sollte sensibilisieren, dass das funktioniert und ist wahrschienlich vom Ersteller des Aushangs selber gemacht worden.

    Der Betriebsrat ist ggf. zu spät, wenn die ersten 20 schon alles eingegeben haben und erst der 21. fragt. Die größte Schwachstelle ist der Mensch der Dinge öffnet, USB Sticks ansteckt und unbedarft ist. Darum geht es ja halt bei den Beispielen. Man muss immer den Faktor Mensch einbeziehen, der das trojanische Pferd persönlich über die Pforten zieht.

  8. Re: Wahnsinns Aufwand zum Erfolg

    Autor: Muhaha 01.08.19 - 14:01

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------

    > Aber im Notfall sitzen 2 Betriebsräte in Rufweite, spätestens die würden
    > stutzig werden und beim Chef nachfragen.

    Das ist auch einer der Ratschläge, die Sicherheitsexperten Firmen geben: Die Mitarbeiter ermutigen, dass sie ganz ausdrücklich nachfragen dürfen! :)

    "Ja, ich bin Freund von Geschäftsführer X, der wollte mir kurz die neuen Prototypen zeigen, musste aber in ein Gespräch. Er meinte, Sie sollen das übernehmen. Sie sind doch Herr Y, oder?"

    "Kein Problem, hier entlang. Also, unsere Prototypen ..."

    Stattdessen: "Kein Problem, ich frage nur noch mal kurz nach ... wo ist er jetzt hin?"

  9. Re: Wahnsinns Aufwand zum Erfolg

    Autor: TrollNo1 01.08.19 - 14:37

    Eben, deswegen die harte Direktive: Keine USB Sticks am Arbeitsplatz. Keine Anhänge öffnen.
    Wenn jemand Anhänge öffnen muss, dann in einer VM, die danach zurückgesetzt wird, ohne Netzwerkzugriff.

    Bei uns ist es auch lustig, ich darf keine .exe verschicken, aber eine 7zip mit der exe drin geht problemlos

    Menschen, die mich im Internet siezen, sind mir suspekt.

  10. Re: Wahnsinns Aufwand zum Erfolg

    Autor: AllDayPiano 01.08.19 - 15:13

    Es gibt halt nur einen Weg, dem einen Riegel vorzuschieben: Berechtigungsentzug.

    Gute IT-Systeme erlauben halt ausschließlich genau so viel, wie der Mitarbeiter für seine Arbeit braucht. Wir hier haben einen Sonderstatus (sind Administratoren im Firmennetz, aber das geht nicht anders), aber selbst das stinkt der IT schon gewaltig.

    Ansonsten ist auch klar: Wenn eine Workstation keinen Zugriff auf fachfremde Daten hat, und die IT durch Schulungen und Restriktionen im System sicherstellt, dass komprommitierte Rechner nicht Zugang zum kompletten Netz bekommen, dann ist zwar ein Einbruch immernoch ärgerlich, aber bei weitem nicht so schlimm, wie in einem nahezu offnen Netz.

  11. Re: Wahnsinns Aufwand zum Erfolg

    Autor: Anonymer Nutzer 01.08.19 - 15:20

    TrollNo1 schrieb:
    --------------------------------------------------------------------------------
    > Eben, deswegen die harte Direktive: Keine USB Sticks am Arbeitsplatz. Keine
    > Anhänge öffnen.
    > Wenn jemand Anhänge öffnen muss, dann in einer VM, die danach zurückgesetzt
    > wird, ohne Netzwerkzugriff.
    >
    > Bei uns ist es auch lustig, ich darf keine .exe verschicken, aber eine 7zip
    > mit der exe drin geht problemlos

    Was auch sehr oft funktiioniert, schlicht die Endung umbenennen.

  12. Re: Wahnsinns Aufwand zum Erfolg

    Autor: plutoniumsulfat 03.08.19 - 17:53

    BlindSeer schrieb:
    --------------------------------------------------------------------------------
    > Anderes Beispiel was ich mal gelesen habe (weiß nicht mehr wo), da ging es
    > auch um Social Engineering. Sie haben alle in der Firma angeschrieben (war
    > ein abgesprochener Test mit der GL) und auf eine Seite gelotst wo die
    > Anmeldung zu einem Firmen-Vorteilsprogramm angeboten wurde. Zur
    > Verifikation sollte Anmeldename und Passwort des Firmenaccounts angegeben
    > werden. Fazit war dass innerhalb von kürzester Zeit 1/3 Rückläufer
    > vorhanden waren.

    Nun, das ist ja, je nachdem, wie es gemacht wurde, auch kein Social Engineering in dem SInne wie im Artikel beschrieben mehr. Genau das gleiche wie mit der gefälschten Mail. Ja, wenn ich ne Mail von meinem Chef bekomme mit Anweisung XY, dann gehe ich natürlich aus, dass sie von ihm ist. Was auch sonst?

  13. Re: Wahnsinns Aufwand zum Erfolg

    Autor: Bluejanis 06.08.19 - 10:36

    Das ist aber ein Fehler. Du hast keine Sicherheiten bei E-Mails. Selbst für die normale Kommunikation sollte man zumindest überlegen, ob E-Mails langfristig wirklich eine Option sind.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universitätsklinikum Frankfurt, Frankfurt am Main
  2. Hays AG, Berlin
  3. Duisburger Versorgungs- und Verkehrsgesellschaft mbH, Duisburg
  4. Friedrich Lange GmbH Fachgroßhandel für Sanitär und Heizung, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 19,49€
  2. 25,99€
  3. 21€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme