social engineering

 SOCIAL ENGINEERING There is no patch against human stupidity Gerald KORTSCHAK
¡  Forschungsfragen ¡  Themeneinführung ¡  Umfrageergebnisse ¡  Zusammenfassung und Fazit Forschungsfrage: Sind österreichische KMU durch Social Engineering Attacken gefährdet? Welche technischen und organisatorischen Prozesse ermöglichen die Abwehr bzw. Prävention von Social Engineering Attacken [...]? based on Gartner Group research from 2002
basierend auf einer Studie der Gartner Group von 2002
1 2 3 4 •  Informationsbeschaffung •  AuQau einer Beziehung •  Ausnutzung der Beziehung •  Informationsnutzung zur Erlangung Zielobjekt basierend auf einer Studie der Gartner Group von 2002
Kevin MITNICK Nov. 1992 Dumpster Diving
Das Durchstöbern von Müll
Tailgating
Einer authorisierten Person in das Gebäude folgen
Shoulder Surfing
Über die Schulter den Bildschirminhalt mitlesen
Physical Security
Lock Bumping, das Knacken von Schlössern
Google Hacking
Informationen über ein Zielobjekt über Google erlangen, bzw. Schadcode
über Google ausführen
P2P Hacking
Trojaner über P2P Portale einschleusen
Kiosks
Anzapfen oder manipulieren von Kiosk-Systemen
Vehicle Surveillance
Ausspähen von Informationen in Fahrzeugen. z.B. finden sich Ausweise
und Parkberechtigungen in den Frontscheiben etc.
Badge Surveillance
Ausweiskarten ausspionieren, manipulieren oder stehlen.
¡  Keine Rückrufnummer ¡  ungewöhnliches Anliegen ¡  Autorität ¡  hohe Dringlichkeit ¡  negative Konsequenzen ¡  Rückfragen lästig ¡  Name Dropping ¡  Schmeichelei ¡  Flirts vgl. Mittnick 2006 ¡  computer based ¡  reverse ¡  human based pictures: sevian7 IT development GmbH
picture: sevian7 IT development GmbH
picture: http://www.keelog.com/images/kl_mod25_m.jpg Zuneigung Furcht Impuls der Einwilligung Attribuierung Glaubwürdigkeit Psychologische Prinzipien psychologische Reaktanz Altercasting Helfer-­‐
syndrom basierend auf Kevin Mitnick, The Art of Intrusion, 2006
Ablenkung von systematischen Denken Aus-­‐
schmückung Zuneigung Furcht Attribuierung main unit 175.000 country Austria age 20 -­‐ 59 employment self-­‐employed / executive basic set 1.004 42% 58% Geschäftsführung Selbständig „Wurde Ihr Unternehmen bereits einmal Opfer eines IT-­‐Sicherheitsproblems, z.B. Computervirus, bewusste oder unbewusste Schädigung durch Mitarbeiter, Hacker-­‐
Angriffe etc.?“ In weiterer Folge als Q51 bezeichnet. 36% 64% ja nein 24,50% 25,00% 20,00% 20,10% 14,60% 15,00% 15,40% 12,60% 12,90% 10,00% 5,00% 0,00% 0 Euro 1-­‐200 Euro 201-­‐500 Euro 501 -­‐ 1000 Euro 1001 -­‐ 5000 Euro > 5000 Euro 080% 070% 060% 050% 040% 030% Q51-­‐Nein Q51-­‐Ja 020% 010% 000% Opfer 30,00% 30,00% 25,00% 20,00% 19,00% 15,00% 17,00% 11,00% 9,00% 10,00% 9,00% 6,00% 5,00% 0,00% Gewerbe und Handwerk Industrie Handel Banken und Versicherungen Transport und Verkehr Tourismus und Freizeitwirtschaft Information und Consulting Opfer 48,00% 50,00% 45,00% 40,00% 35,00% 30,00% 25,00% 20,00% 15,00% 10,00% 12,00% 16,00% 18,00% 6,00% 5,00% 0,00% 0 bis 2 Jahre 3 bis 5 Jahre 6 bis 10 Jahre 11 bis 20 Jahre Älter als 20 Jahre Opfer 27,00% 30,00% 25,00% 20,00% 16,00% 20,00% 15,00% 18,00% 11,00% 8,00% 10,00% 5,00% 0,00% Nur ich selbst 1 bis 4 Mitarbeiter 5 bis 9 Mitarbeiter 10 bis 49 Mitarbeiter 50 bis 249 Mitarbeiter 250 und mehr Mitarbeiter Zusammenhang zwischen eingesetzten Abwehrmaßnahmen und SE-­‐Angriffen: 25,70% Ja 74,30% Nein 100% 90% 22% 80% 28% 70% 60% VR-­‐Nein 50% 40% 78% 30% VR-­‐Ja 72% 20% 10% 0% Q51-­‐JA Q51-­‐Nein 48,30% 51,70% yes no 120% 100% 080% 45% 50% IM-­‐Nein 060% IM-­‐Ja 040% 020% 55% 50% 000% Q51-­‐JA Q51-­‐Nein 35,70% 64,30% Ja Nein 100% 90% 80% 70% 63% 65% 60% VS-­‐Nein 50% VS-­‐Ja 40% 30% 20% 37% 35% Q51-­‐JA Q51-­‐Nein 10% 0% 55) Welcher Art sind diese Identifikationsmerkmale? [1]
in %
Kundennummer
22,0%
Kennwort/ Passwort
10,4%
Kundennummer und Passwort
7,1%
Benutzername und Passwort
6,4%
Buchstaben/Nummerncodes
4,8%
Code/ Codewort
3,1%
ID Nummern
2,5%
Digitale Signatur
1,2%
Geschäftzahl und Ordnungsnummern
1,2%
Eigene Kennzahlen
1,0%
Geheim
1,0%
E-Mail und Passwort
0,6%
Ausweis
0,4%
Kundenkennwort
0,4%
Rechnungsnummer
0,4%
55) Welcher Art sind diese Identifikationsmerkmale? [2]
12-stellige Kundennummer plus fortlaufende Auftragsnummern
4-stelliger Code
Alphanummerisch
Austausch der Zertifikate
Digitaler Ausweis
Diverse Zugangsberechtigungen
Erkennungsnummer und Geheimzahl
Geheimwörter
Kontonummer, Losungswörter
Kenndaten
Reisepassnummer
Rückrufnummer
Steuernummer
keine Ahnung / weiß nicht
keine Angabe
Summe der Nennungen
in %
0,2%
0,2%
0,2%
0,2%
0,2%
0,2%
0,2%
0,2%
0,2%
0,2%
0,2%
0,2%
0,2%
2,5%
32,2%
67,2%
48,30% 51,70% Ja Nein 100% 90% 80% 44% 70% 51% 60% SD-­‐Nein 50% SD-­‐Ja 40% 30% 56% 20% 49% 10% 0% Q51-­‐JA Q51-­‐Nein 16,40% yes 83,60% no 100% 90% 80% 70% 60% 75% 50% 89% DK-­‐Nein DK-­‐Ja 40% 30% 20% 10% 26% 0% Q51-­‐JA 11% Q51-­‐Nein anders Telefon pers. Gespräch eMail 0,00% 10,00% 20,00% 30,00% 40,00% 50,00% 60,00% Mehrfachnennungen waren möglich, daher andere Grundmenge Entstehung Bearbeitung Übertragung / Übermittlung Speicherung / Archivierung Entsorgung / Löschung vgl. Königs, 2005 ¡ 
Unternehmen > 250 MA gefährdet ¡ 
KMU einheitliches Bedrohungsszenario ¡ 
KMU keine schriftlichen Regeln ¡ 
KMU kein Risikomanagement für Informationen ¡ 
Abwehrmaßnahmen eingeführt nicht gelebt ¡ 
kaum Mindeststandards E-­‐Mail Live-­‐Chat Hotlines SE File-­‐
Sharing Twitter Soziale Netzwerke ¡  Über 250 MA stärker betroffen ¡  KMU gleiche Bedrohungsszenarien ¡  Über 250 MA Regeln vorhanden ¡  getroffene Abwehrmaßnahmen nicht konsequent realisiert ¡  Mindeststandards nach BSI kaum verbreitet ¡  Social Engineering kaum berücksichtigt Riskmanagement durchführen Verhaltensregeln einführen Ausbildung, Kontrolle, Nachbesserung Schutzareal definieren Identifikations-­‐
merkmale einführen Maßnahmen evaluieren Unternehmenskultur anpassen Strategie (Policy) Motivation (Incentives) Mechanismus (Mechanism) Verlässlichkeit (Assurance) basierend auf Security Engineering, Anderson, 2008
¡ 
¡ 
¡ 
¡ 
¡ 
Cialdini, Robert B.: Die Psychologie des Überzeugens, Huber Verlag, Bern 2007 Long, Johnny: No Tech Hacking, Syngress Media, USA 2008 Mitnick, Kevin: Die Kunst der Täuschung, mitp-­‐Verlag, Heidelberg 2006 (A) Mitnick, Kevin: Die Kunst des Einbruchs, mitp-­‐Verlag, Heidelberg 2006 (B) Schneier, Bruce: Secrets & Lies, dpunkt-­‐Verlag, Heidelberg 2004 ¡ 
DI Gerald KORTSCHAK, BSC, CMC [email protected] www.sevian7.com www.itsecurityexperts.at Download: ¡  https://public.me.com/kortschak ¡  pwd: sevian7