IT-Seal führt Vishing-Angriffe im Rahmen von Social Engineering-Simulationen durch.
Ein Telefonmitschnitt: Gegeben sind lediglich der Name, die
Telefonnummer und die E-Mail-Adresse des Mitarbeiters. Diese können
häufig über die Internetpräsenz des Unternehmens oder einen Anruf bei
der Zentrale in Erfahrung gebracht werden.
Mitarbeiter: *abhebend* „Mustermann.“
Angreifer: „Guten Tag Herr Mustermann, Schmitz hier aus der IT.“
Mitarbeiter: „Hallo.“
Angreifer: „Ich hatte Ihnen letzte Woche eine Mail
geschrieben, in der es um ein Netzwerk-Update geht. Ich gehe gerade eine
Liste der Leute durch, die darauf noch nicht geantwortet haben und Sie
sind eine von diesen Personen.“
Mitarbeiter: „Ach, tatsächlich? Worum ging es denn da? Ich weiß jetzt nicht genau, was Sie meinen.“
Angreifer: „Wir wollen in Zukunft versuchen, Updates
über ein Plug-In für den Remote-Desktop zu installieren, damit wir nicht
ständig bei Ihnen persönlich aufkreuzen müssen. *Sympathielacher* In
der Mail war ein Link zum internen Server, um zu prüfen, ob das schon
bei Ihnen funktioniert oder ob wir tatsächlich nochmal persönlich zu
Ihnen an den Platz müssen.“
Mitarbeiter: „Ok, komisch. Ich hab keine Mail gesehen, aber warten Sie kurz, ich schaue gerade nochmal nach.“
Angreifer: „Danke, aber machen Sie sich keinen Stress.
Manche sind einfach zeitlich noch nicht dazu gekommen, bei Anderen kam
die Mail auch nicht an.“
Mitarbeiter: „Tut mir leid, ich habe keine Mail erhalten. Wann soll das denn gewesen sein?“
Angreifer: „Die Mails sollten am Mittwoch oder
Donnerstag letzter Woche rausgegangen sein. Ist aber alles kein Problem.
Wenn Sie gerade am PC sind, schick ich Ihnen einfach nochmal die Mail
und wir machen das direkt hier am Telefon, falls Sie zwei Minuten haben.
Ich schicke Ihnen einfach nur nochmal den Link zu unserem Server, ist
schon was angekommen?“
Vorab wurde eine E-Mail vorbereitet mit gefälschtem Absender
und einer Linkadresse zu einer Seite mit sogenanntem „Drive by
Download“, das heißt es wird bei Besuch der Seite direkt eine Datei
heruntergeladen. Sowohl die Absenderadresse als auch der Link wurden so
verändert, dass sie im Gewand des Unternehmens daherkommen. Beispiel:
Der Link www.it-seal.de-safe.de/update/datei.exe sieht auf den ersten
Blick so aus, als leite er auf die Seite von IT-Seal.
Mitarbeiter: „Ahja, hier kommt grad was rein. Was soll ich jetzt machen?“
Angreifer: „Einfach auf den Link klicken. Sie sollten automatisch zum Plug-In auf dem internen Server weitergeleitet werden.
Mitarbeiter: „Hier steht jetzt, dass das keine verifizierte Quelle ist?!“
Angreifer: „Genau, das soll sogar so sein, weil wir ja
auf Netzwerkeinstellungen zugreifen, wenn wir prüfen, ob eine
Remote-Installation geht. Die Meldung soll verhindern, dass Sie nicht
einfach irgendwas anklicken, was ungewollt ist.“
Mitarbeiter: „Wenn Sie das sagen… *Sympathielacher* Also jetzt sagt ‚der‘ mir hier, ich kann speichern oder ausführen.“
Angreifer: „Können Sie direkt ausführen. Das sollte
automatisch funktionieren. Dann sollte eine Infobox aufgehen, in der
einiges an Meldungen steht, wichtig ist nur, ob am Ende immer ein OK
angezeigt wird oder nicht. Ansonsten müssen wir doch noch persönlich
vorbeikommen.
Mitarbeiter: „Also das Fenster sehe ich, und hier steht zweimal OK…“
Zu diesem Zeitpunkt hat der Mitarbeiter
die Datei ausgeführt hat und der Penetrationstest war erfolgreich. Der
Angreifer hat mit der „Infobox“ sogar eine Bestätigung, dass die Datei
erfolgreich installiert wurde. Um keinen Verdacht zu erwecken, wird das
Gespräch aber noch freundlich beendet. Im schlimmsten Fall hat der
Mitarbeiter im Anschluss nicht gemerkt, dass er einen Trojaner o. Ä.
installiert hat.
Wie konnte das passieren? Psychologische Tricks der Angreifer:
Idealerweise wird vor dem Anruf die
ausgehende Telefonnummer so verändert, dass diese, ähnlich wie später
die E-Mail-Absender und der Link zum „internen Server“, wie eine Nummer
aus dem Unternehmen selbst aussieht. Dies ist heute sogar für technische
Laien möglich.
Direkt zu Anfang des Gesprächs wird dem Mitarbeiter unterstellt, dass er
einer Aufforderung nicht nachgekommen ist – es wird Druck und
Schuldgefühl erzeugt. Das Ganze noch mit ein wenig Fachjargon gewürzt,
und Herr Mustermann ist zunächst perplex und davon abgelenkt,
herauszufinden, wer genau denn eigentlich anruft. Gerade in größeren
Unternehmen sind „die aus der IT“ oft eine Gruppe, die unter sich bleibt
und es ist nicht unüblich, dass der Anrufer dem Mitarbeiter nicht auf
Anhieb bekannt vorkommt. Bei kleinen Unternehmen bleibt die Rolle des
Praktikanten, der erst seit kurzem Teil der Firma und so natürlich noch
unbekannt ist. Dem ersten Vorwurf schließt sich direkt eine
Relativierung an – „Sie sind nicht der einzige, der noch nicht
geantwortet hat“, sowie eine schnelle Lösungsmöglichkeit: „Wenn Sie
gerade am PC sind, machen wir das direkt zusammen am Telefon. Das dauert
keine zwei Minuten.“
Die letzte Hürde ist damit nur noch, einen Link zum Drive-by-Download
per E-Mail zu schicken. Nachfragen zur Verifizierung oder andere
Sicherheitsbedenken werden oft mit „das ist kein Problem“ (hier noch
dreister: „das soll sogar so sein“) oder anderen Ausreden abgehandelt.
Bei Vishing-Tests erreicht IT-Seal eine „Erfolgs“-Quote von etwa 34% – Awareness-Trainings sind unumgänglich.
Im Angriffs-Test durch IT-Seal wird natürlich kein schadhafter Code in das Unternehmen eingeschleust. Die Tatsache, dass der Mitarbeiter eine Datei auf dem PC ausführt, reicht jedoch dazu aus, einen Keylogger zum Ausspähen von Passwörtern oder einen Trojaner zur Komplettübernahme des Systems zu installieren. Nach Wunsch des Auftraggebers wird der angerufene Mitarbeiter aufgeklärt, dass es sich um einen Vishing-Test handelt, und wie er besser hätte reagieren können.