Es soll die Bedeutung von Social Media für das Social Engineering aufzeigt werden. Anhand von Beispielen soll zudem dargestellt werden, wo die Risiken liegen und was mögliche Gegenmassnahmen sein könnten. Am Ende sollen die gewonnenen Erkenntnisse in ein paar wenige Handlungsempfehlungen abgeleitet werden, welche helfen sollen, sich sicherer in Social Media Netzwerken zu bewegen. Die Arbeit soll sich auf die Herleitung und die Analyse der Anhängigkeiten sowie des Zusammenspiels fokussieren. Es ist nicht das Ziel konkrete und detaillierte Massnahmen wie Schulungskonzepte für Mitarbeiter, interne Richtlinien für Firmen oder mögliche technische Massnahmen zu definieren.
Social Media gehört in der Zwischenzeit zu einem integralen Bestandteil unseres Lebens. Entsprechende Plattformen werden im privaten wie auch im geschäftlichen Umfeld tagtäglich verwendet. Dabei werden bewusst oder auch unbewusst Informationen preisgegeben, über welche man, einmal veröffentlicht, keine Kontrolle mehr hat. Diese freiwillig veröffentlichten Informationen sind eine Goldgrube für Social Engineers. Aus Ihnen können wiederum Strategien, Taktiken und Vorgehensweisen für Cyber-Angriffe gewonnen werden. Für entsprechende Recherchen müssen nicht mehr die Abfalleimer durchsucht werden. Man kann diese, Social Media sei Dank, bequem von zu Hause aus betreiben.
Da eine generelle Verweigerung gegenüber Social Media nur schwer möglich ist, je nach Tätigkeitbereich oder Umfeld sogar unmöglich, stellt sich die Frage, was der optimale Umgang ist. Was soll wie veröffentlicht werden? Wie gehe ich in der Handhabung der Plattformen um? Dies mit dem Ziel, so wenig Angriffsfläche wie möglich für einen Social Engineer zu bieten und somit kein Angriffsziel zu werden.
II. Inhaltsverzeichnis
I. Management Summary
II. Inhaltsverzeichnis
III. Glossar
1. Einleitung
1.1. Ausgangslage
1.2. Problemstellung
1.3. Zielsetzung der Arbeit
1.4. Abgrenzung
1.5. Methodisches Vorgehen
2. Grundlagen zum Thema
2.1. Social Media
2.2. Social Engineering
2.3. OSINT
2.4. SOCMINT
3. SOCMINT beim Social Engineering
3.1. Entwicklung, Wachstum und Verbreitung von Social Media Netzwerken
3.2. Entwicklung von Social Engineering basierten Angriffen
3.3. Social Media – Informationsgewinnung oder Angriffstool?
3.4. Social Media zur Informationsgewinnung
3.5. Herausforderung Social Media
4. Umgang mit dem Risiko SOCMINT
4.1. Risikofaktor und Nutzen – Die zwei Seiten
4.2. Genereller Umgang mit Social Media
4.3. Umgang mit Social Media Accounts
4.4. Spezialfall Unternehmen auf Social Media
5. Fazit
6. Quellenverzeichnis
7. Tabellen- und Abbildungsverzeichnis
A. Social Engineering Angriffsmethoden
B. Beschreibung der «INT» Mittel
C. Data Never Sleeps 7.0 Infografik
D. Crystal Profil von Michael Sturzenegger
I. Management Summary
Social Media Netzwerke und Plattformen nehmen in unserer Gesellschaft einen immer grösseren und wichtigeren Stellenwert ein. Immer mehr Anwender sind auf Ihnen vertreten und erstellen Informationen und teilen diese mit anderen Anwendern und der breiten Öffentlichkeit.
Dies eröffnet eine komplett neue Informationsquelle für die unterschiedlichen Verwendungszwecke. Diese Quelle wird als OSINT (Open Source Intelligence) oder im spezifischen, wenn es sich um Social Media Netzwerke handelt, als SOCMINT (Social Media Intelligence) bezeichnet. Alle diese Informationen, welche durch die Anwender freiwillig und ohne sich über die Auswirkung bewusst zu sein veröffentlicht werden, stehen auch den Social Engineers im Rahmen des Social Engineerings zur Verfügung.
Dabei können diese Informationen durch sie verwendet werden, um ein fast perfektes Bild über eine Person oder eine Firma zu erhalten. Dabei werden nicht nur offensichtliche Informationen auf den Netzwerken wie Ausbildung, aktuelle und vergangene Firmenzugehörigkeiten, Sprachkenntnisse und so weiter ausgewertet. Unter Berücksichtigung der Likes, eigener Beiträge, Freunde und Vernetzungen mit anderen Personen kann ein Profil über eine Person noch weiter verfeinert werden. Mittels dieser Profile ist es dann möglich, gezielte Angriffe zum Beispiel mittels Spear-Phishings zu starten, welcher sich eine Person fast nicht mehr entziehen kann. Daneben können Social Media Netzwerke von Social Engineers auch unter Verwendung von falschen Profilen oder gehackten Profilen für Angriffe verwendet werden.
Neben einer klaren Social Media Strategie für Firmen und auch private Personen, ist es unerlässliche die daraus entstehenden Risiken und Gefahren zu thematisieren. Zudem ist wichtig festzuhalten, welche Netzwerke für welche Art von Informationen und Interaktion verwendet werden und welche Informationen man bereit ist zu teilen.
Während die meisten firmeninternen IT Sicherheits-Trainings sich auf die Gefahren durch Mail oder fremde Datenträger wie USB Sticks konzentrieren, werden die Social Media Netzwerke und das dadurch mögliche Social Engineering grösstenteils ausgeblendet.
Hier ist zwingend ein Umdenken notwendig, wenn Anwender und auch Firmen sich in der Social Media Gesellschaft sicher und souverän bewegen wollen!
III. Glossar
Abbildung in dieser Leseprobe nicht enthalten
1. Einleitung
1.1. Ausgangslage
Social Media gehört in der Zwischenzeit zu einem integralen Bestandteil unseres Lebens. Entsprechende Plattformen werden im privaten wie auch im geschäftlichen Umfeld tagtäglich verwendet. Dabei werden bewusst oder auch unbewusst Informationen preisgegeben, über welche man, einmal veröffentlicht, keine Kontrolle mehr hat. Diese freiwillig veröffentlichten Informationen sind eine Goldgrube für Social Engineers. Aus Ihnen können wiederum Strategien, Taktiken und Vorgehensweisen für Cyber-Angriffe gewonnen werden. Für entsprechende Recherchen müssen nicht mehr die Abfalleimer durchsucht werden. Man kann diese, Social Media sei Dank, bequem von zu Hause aus betreiben.
1.2. Problemstellung
Da eine generelle Verweigerung gegenüber Social Media nur schwer möglich ist, je nach Tätigkeitbereich oder Umfeld sogar unmöglich, stellt sich die Frage, was der optimale Umgang ist. Was soll wie veröffentlicht werden? Wie gehe ich in der Handhabung der Plattformen um? Dies mit dem Ziel, so wenig Angriffsfläche wie möglich für einen Social Engineer zu bieten und somit kein Angriffsziel zu werden.
1.3. Zielsetzung der Arbeit
Es soll die Bedeutung von Social Media für das Social Engineering aufzeigt werden. Anhand von Beispielen soll zudem dargestellt werden, wo die Risiken liegen und was mögliche Gegenmassnahmen sein könnten. Am Ende sollen die gewonnenen Erkenntnisse in ein paar wenige Handlungsempfehlungen abgeleitet werden, welche helfen sollen, sich sicherer in Social Media Netzwerken zu bewegen.
1.4. Abgrenzung
Die Arbeit soll sich auf die Herleitung und die Analyse der Anhängigkeiten sowie des Zusammenspiels fokussieren. Es ist nicht das Ziel konkrete und detaillierte Massnahmen wie Schulungskonzepte für Mitarbeiter, interne Richtlinien für Firmen oder mögliche technische Massnahmen zu definieren.
1.5. Methodisches Vorgehen
Diese Arbeit wurde aufgrund von themenbezogenen Literaturanalysen sowie einer ausgiebigen Onlinerecherche erstellt. Es wurde versucht möglichst viele Aspekte zum Thema online zu recherchieren.
2. Grundlagen zum Thema
Im folgenden Kapitel werden die grundlegenden Bereiche und Disziplinen zum Thema dieser Arbeit beschrieben. Dies sind Social Media als Oberbegriff entsprechender Netzwerke, Social Engineering als Art der Informationsgewinnung und OSINT, SOCMINT als Quellen für Informationen im Bereich Social Engineering.
2.1. Social Media
Unter Social Media versteht man Webseiten und Apps, auf denen die Anwender Inhalte erstellen und teilen können sowie sich mit anderen Anwendern vernetzten können («Social Media Definition | OnlineMarketing.de Lexikon», 2020). Zu den bedeutendsten Netzwerken zählen unter anderem Unter Social Media versteht man Webseiten
Daneben haben sich noch sogenannte «Business Netzwerke» entwickelt. Dies sind unter anderem Unter Social Media versteht man Webseiten
Eine klare Trennung bei Social Media in die beiden Kategorien «privat» und «geschäftlich» ist jedoch schwierig bis unmöglich. Netzwerke welche mit einen klaren privaten Fokus begonnen haben können auch für die berufliche, geschäftliche Entwicklung eingesetzt werden («How to Use Social Media in Your Career and Business - Business Guides - The New York Times», 2020). Nochmals anders stellt sich die Situation dar, wenn es um den Auftritt und die Kommunikation einer Firma im Internet geht. Hier bestehen diese beiden Kategorien nicht mehr. Die gewählten Netzwerke sind einzig davon abhängig, welche Zielgruppen man erreichen will («21 Top Social Media Sites to Consider for Your Brand -», 2020).
Unbestritten ist jedoch, dass Social Media immer eine grössere Durchdringung in der Bevölkerung erreicht und immer stetig wächst. Januar 2020 waren bereits 3.805 Milliarden Anwender auf Social Media Netzwerken registriert (Kemp, 2020).
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1 - Entwicklung der Anwender auf Social Media (Kemp, 2020)
2.2. Social Engineering
Beim Social Engineering wird die Hilfsbereitschaft und Unsicherheit der Anwender ausgenutzt. Dies mit dem Ziel, an vertrauliche Informationen zu gelangen oder den Anwender zu Aktionen zu bewegen, welche er sonst nicht durchgeführt hätte («Social Engineering», 2020).
Entstanden ist der Begriff Social Engineering durch Karl Popper 1945. Es ging zunächst um soziologische und psychologische Elemente um die gesellschaftlichen Strukturen zu verbessern. Das Prinzip beruhte auf der Annahme, dass der Mensch wie eine Maschine optimiert werden kann. In den 1970er Jahren wurde die Theorie dann um einige psychologische «Taschenspielertricks» ergänzt. Dies jedoch immer im Sinne eines besseren Miteinanders. Heute versteht man Social Engineering eher als unterschwellige Beeinflussung des Anwenders (Eckermann, 2020).
Dabei basiert das Social Engineering auf ein paar wenigen, grundlegenden Mechanismen.
Reziprozität
Man erweist jemandem einen Gefallen oder überreicht ein Geschenk, nur um später eine Gegenleistung einfordern zu können.
Commitment und Konsistenz
Man appelliert an den geheimen Wunsch der meisten Menschen, konsequent zu erscheinen, sich treu zu bleiben und einen einmal eingeschlagenen Weg auch zu Ende zu gehen.
Soziale Bewährtheit
Man spielt dem Opfer vor, viele andere Personen hätten in einer bestimmten Situation auf jene Weise reagiert, wie man es auch bei ihm erreichen will.
Sympathie
Man macht sich "hübsch" und dem Opfer ähnlich oder erweckt den Eindruck, ähnliche Interessen zu haben.
Autorität
Man vermittelt den Eindruck, dem Opfer Anweisungen erteilen zu dürfen.
Knappheit
Man spielt Zeitnot oder drohenden Ressourcenmangel vor.
Quelle: («Weiche Angriffe mit harten Folgen: Social Engineering erkennen – IT-Security – LANline», 2007)
Basierend auf diesen Ansätzen bedient sich Social Engineering verschiedener Techniken, um die eigentlichen Angriffe durchzuführen und Informationen zu gewinnen. Diese sind unter anderem:
Abbildung in dieser Leseprobe nicht enthalten
Quellen: («What is Social Engineering | Attack Techniques & Prevention Methods | Imperva», 2020) und («5 Social Engineering Attacks to Watch Out For», 2020)
Die einzelnen Ansätze werden im Anhang «Social Engineering Angriffsmethoden» näher beschrieben.
Wichtig ist zu verstehen, dass Social Engineering selbst keine Angriffsmethode darstellt. Es ist ein Überbegriff für Methoden, welche auf den oben beschriebenen Prinzipien beruhen.
2.3. OSINT
Ist ein Begriff, welcher von den Nachrichtendiensten geprägt wurde und steht für Open Source Intelligence. Es handelt sich hier um die Informationsbeschaffung basierend auf frei zugänglichen Quellen wie Printmedien, TV oder das Internet. Neben den nachrichtendienstlichen Zwecken lässt sich OSINT auch für Business Intelligence, Cyberangriffe, Wirtschaftsspionage und politische Zwecke einsetzten («Was ist Open Source Intelligence (OSINT)?», 2020).
Da OSINT auf frei zugänglichen Informationen beruht, ist sie wohl jenes Mittel, welches ohne Gefahr der Illegalität eingesetzt werden kann. Weitere Mittel welche ein Nachrichtendienst wie der BND (Bundesnachrichtendienst) zur Informationsgewinnung einsetzt sind:
- IMINT – Imagery Intelligence
- OSINT – Open Source Intelligence
- SIGINT – Signals Intelligence
- HUMINT – Human Intelligence
- SOCMINT – Social Media Intelligence
- GEOINT – Geospatial Intelligence
Quelle: («BND - Informationsgewinnung», 2020)
Eine genauere Beschreibung der verschiedenen INT Mittel kann dem Anhang «Beschreibung der «INT» Mittel» entnommen werden.
Eine gute Übersicht, welche fast unerschöpflichen Quellen im Bereich OSINT verwendet werden können bietet die Seite osintframework.com («OSINT Framework», 2020).
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2 - Mögliche OSINT Quellen («OSINT Framework», 2020)
2.4. SOCMINT
Obwohl SOCMINT durch den BND auf die gleiche Ebene wie OSINT gestellt wird («BND - Informationsgewinnung», 2020), bedient sich SOCMINT auch öffentlich zugänglichen Informationen und könnte somit auch als Unterdisziplin von OSINT betrachtet werden. Oft verschmelzen auch die beiden Begriffe und es wird von OSINT als Oberbegriff in diesem Bereich gesprochen.
SOCMINT sind Techniken und Technologien, welche es erlauben Social Media Netzwerke zu überwachen und so entsprechende Informationen zu erhalten. Dabei werden Posts, Nachrichten, Bilder und andere Informationen ausgewertet. Dies im Bereich der Kommunikation von Person zu Person, Person zu Gruppen oder Gruppen zu Gruppen. Dabei werden private wie auch öffentliche Informationen verwendet («Social Media Intelligence | Privacy International», 2017).
So wurde SOCMINT zum Beispiel in Grossbritannien zur Überwachung von fast 9000 politischen Aktivisten und Aktivistinnen eingesetzt, welche als «domestic extremists» eingestuft wurden. Das heikle daran, darunter waren auch viele nicht vorbestrafte Personen. Zudem wurden sogenannte «sentiment analysis tools» eingesetzt, welches Algorithmen sind, die bei den überwachten Personen versuchen zukünftige Verbrechen hervorzusagen («Großbritannien: Polizeieinheit überwacht 9000 Aktivisten», 2013).
Im Verlauf dieser Arbeit und dem entsprechenden Kontext wird der Begriff SOCMINT verwendet werden. Dies stellvertretend für öffentlich zugängliche Informationen, welche aus den Social Media kommen und dies im Speziellen aus Business Netzwerken.
3. SOCMINT beim Social Engineering
Im Folgenden soll nun aufgezeigt werden, warum SOCMINT eine immer wichtigere Rolle beim Social Engineering spielt. Es sollen Spielregeln beim Umgang mit Social Media definiert und auch die damit entsprechenden Herausforderungen angesprochen werden.
3.1. Entwicklung, Wachstum und Verbreitung von Social Media Netzwerken
Wie in Abbildung 1 - Entwicklung der Anwender auf Social Media (Kemp, 2020) dargestellt, dürfen sich die Social Media Netzwerke seit 2014 einem jährlichen Wachstum von neun bis einundzwanzig Prozent erfreuen. 2020 konnten bereits 3.8 Milliarden aktive Nutzer dieser Netzwerke gezählt werden. Gemäss «Data Never Sleeps 7.0» («Data Never Sleeps 7.0 Infographic | Domo», o. J.) werden jede Minute unglaubliche Mengen an neuen Daten generiert. Im Bereich der Social Media Netzwerke können unter anderem die folgenden Kennzahlen entnommen werden:
- 227'777 neue Stories pro Minute auf Instagram oder
- 55'140 neue Bilder pro Minute auf Instagram
- 511'200 neue Tweets pro Minute auf Twitter
- 188'000'000 Mails pro Minute
- 4'497’420 Suchanfragen pro Minute auf Google
- 4'416’720 GB Daten konsumiert in den USA
Siehe auch Anhang «Data Never Sleeps 7.0 Infografik»
Die entsprechenden Zahlen steigen von Jahr zu Jahr weiter. All diese Indikatoren zeigen, dass die Durchdringung der Social Media Netzwerken weiter zunehmen wird. Das Wachstum wird aus Sicht des Autors erst dann abflachen oder stoppen, wenn eine annähernd hundert prozentige Durchdringung in der Weltbevölkerung erreicht ist. Bis zu diesem Zeitpunkt wird die Datenmengen, welche durch die Netzwerke generiert werden, jedoch weiterhin zunehmen.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 3 - Prozentuale Durchdringung Social Media pro Region (Kemp, 2020)
Betrachtet man hier LinkedIn im speziellen, stellt man fest, dass die sogenannten B2B Netzwerke noch nicht denselben Durchdringungsgrad aufweisen. So ist LinkedIn im amerikanischen Markt von 2018 bis 2020 lediglich um 2% gewachsen und 27% der Amerikaner verwenden 2020 dies B2B Netzwerk. Es ist jedoch auch anzumerken, dass 70% der Anwender von LinkedIn ausserhalb des amerikanischen Marktes sind. Bemerkenswert ist, dass neben den aktuell 630 Millionen Anwender auch 30 Millionen Firmen auf LinkedIn präsent sind («50+ LinkedIn Statistics For 2020 (Users, Demographics & More)», 2020).
3.2. Entwicklung von Social Engineering basierten Angriffen
Während die technischen Massnahmen zum Schutz von Angriffen immer besser werden, ist und bleibt der Anwender die unberechenbare Komponente. Dies zeigt sich auch im Umstand, dass lediglich 3% der Malware auf technische Sicherheitslücken abzielen. Die anderen 97% haben es auf den Anwender mittels Social Engineering abgesehen (Wilson, 2020).
Auch Europol bestätigt in Ihrem «Internet Organised Crime Threat Assessment 2018», kurz IOCTA, dass Social Engineering ein wichtiger Motor für viele Cyberverbrechen ist. Dabei wir Social Engineering mit dem Ziel eingesetzt an persönliche Daten zu gelangen, Konten zu übernehmen, Identitäten zu stehlen, unrechtmässige Zahlungen zu veranlassen oder das Opfer davon zu überzeugen, mit anderen Aktivitäten gegen sein Eigeninteresse zu handeln, wie z.B. Geldüberweisungen oder die Weitergabe persönlicher Daten («Internet Organised Crime Threat Assessment 2018 | Europol», 2018).
Dabei spielen B2B orientierte Social Media Netzwerke eine immer wichtigere Rolle bei der Beschaffung von Informationen um später den eigentlichen Social Engineering Angriff durchzuführen (LinkedIn: A Target for Social Engineers?, 2019).
Die gewonnen Informationen können dann gezielt für Spear-Phishing Angriffe eingesetzt werden. So wird diese Methode in der Zwischenzeit von 65% der Angreifer als bevorzugte Art gewählt («110 Must-Know Cybersecurity Statistics for 2020 | Varonis», 2020).
Genauere Zahlen über die Entwicklung der Spear-Phishing Angriffe sind schwer herauszufinden, da diese in der Masse der allgemeinen Phishing Angriffe untergehen.
3.3. Social Media – Informationsgewinnung oder Angriffstool?
Die heutigen Social Media Plattformen sind ein wahres Schlaraffenland für Social Engineers. Auf Ihnen werden freiwillig Informationen preisgegeben, welche vor Jahren in dieser Form und Fülle nicht vorstellbar waren. Dabei können Social Media Netzwerke dem Social Engineer in zweierlei Hinsicht nützlich sein. Zur Informationsgewinnung oder zum gezielten Angriff. Beim letzteren erstellt er ein falsches Profil oder übernimmt ein bestehendes Profil und gibt sich als jemanden anderes aus (Identitätsdiebstahl).
Social Media zur Informationsgewinnung
Wie weiter oben bereits mehrmals erwähnt, stellen Social Media Netzwerke eine schier unerschöpfliche Quelle an Informationen dar. Der Social Engineer kann dabei die Daten der verschiedenen Netzwerke zusätzlich noch in Relation zueinander stellen. Dies eröffnet ihm dann nochmals eine weitere Dimension an Informationen und Erkenntnissen.
[...]