Social Engineering-Taktiken: Von Sensationen zum normalen Alltagsverhalten

Originalartikel von JM Hipolito, Technical Communications

Cyberkriminelle nutzen verschiedene Arten von Social Engineering-Ködern, um bei den potenziellen Opfern unterschiedliche Emotionen zu wecken, etwa Angst oder Freude. Dass sie damit leider Erfolg haben, zeigen die sich häufenden Sicherheitsvorfälle. Andererseits sind solche Köder auch leicht zu durchschauen, denn die Bösen missbrauchen häufig beliebte Themen, etwa aktuelle Ereignisse oder Feiertage wie Weihnachten oder Ostern.

Es gibt aber auch weitere Techniken mit einem anderen, nüchterneren Ansatz. Diese sollen keine Aufregung hervorrufen, sondern versuchen gerade sie zu vermeiden. Ziel ist es, sich in das normale Verhalten der potenziellen Opfer einzuschleichen oder deren Interessen zu nutzen, um sie zu ködern. Damit lösen sie keine Aufregung aus, sind aber schwerer zu entdecken.

Ein Beispiel dafür ist die so genannte Watering Hole-Technik, die kürzlich in einem Angriff mündete, der Unternehmen wie Facebook und Apple betraf. Als „Wasserloch“ nutzten die Kriminellen ein Forum für Entwickler mobiler Software, und der Köder war nahezu passiv ausgerichtet, denn es bedurfte keiner Mittel, um die Opfer auf die Webseite zu locken. Die Site war strategisch gut ausgesucht, denn  zur normalen Routine der Opfer gehörte deren Besuch dazu.

Vor ein paar Tagen gab es Berichte über einen Angriff, der als Köder den Namen des Reports von Mandiant einsetzte und die Lektüre des Artikels empfahl. Eine pdf-Datei im Anhang enthielt vorgeblich den Report (natürlich war die Datei bösartig und enthielt einen pdf-Exploit, den Trend Micro als TROJ_PIDIEF.EVF identifizierte).

Auch gibt es Berichte über eine weitere Bedrohung, die den Mandiant-Report nutzt und die Journalisten im Visier hat. Die als TROJ_PIDIEF.VEV identifizierte Schadsoftware legt die harmlose pdf-Dateien Mandiant_APT2_Report.pdf und einen Hintertür-Schädling BKDR_POISON.EVE ab.



Abbildung 1. Screenshot der PDF-Datei



Abbildung 2. TROJ_PIDIEF.EVE hinterlässt diese harmlose PDF-Datei

Ironischerweise wird das anvisierte Opfer infiziert, weil es die Datei öffnet, um mehr über einen gezielten Angriff zu erfahren. Ein weiteres ähnlich gelagertes Beispiel ist der Java-Zero-Day-Exploit, in dem sich eine Malware befindet, die sich als Oracle-Update zum Schließen der Lücke tarnt. Weitere Informationen zum Thema liefert der Blog-Eintrag The Trends in Targeted Attacks of 2012.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*