Spionage mithilfe sozialer Netzwerke

Originalbeitrag von Cedric Pernet (Threat Researcher)

Sind beruflich genutzte soziale Netzwerke das schwächste Glied in den Sicherheitsstrategien von Unternehmen?

Vor (und während) eines gezielten Angriffs sind Informationen über die anvisierte Organisation und ihre Mitarbeiter für einen Angreifer nützlich. Sie können zum Design täuschend echter Social-Engineering-Attacken dienen, die von den Zielpersonen mit einer weit höheren Wahrscheinlichkeit geöffnet werden. Darüber hinaus können sie zusätzliche Informationen über die Ziele selbst liefern, so dass ein Angreifer darüber entscheiden kann, welche Individuen in einer Organisation ins Visier genommen werden sollten.

Soziale Medien wie Facebook und Twitter sind wertvolle Informationsquellen. Andere für die Öffentlichkeit bestimmte Sites (wie diejenigen der Zielorganisation) enthalten unter Umständen Details, die sich als nützlich erweisen können. Eine wertvolle Quelle von in der Regel privaten Informationen jedoch wird gerne übersehen: die der beruflich genutzten sozialer Medien.

Wie andere soziale Medien auch ermutigen beruflich genutzte soziale Netzwerke ihre Nutzer dazu, Informationen zu teilen. Unglücklicherweise macht die Art der dort veröffentlichten Informationen – Arbeitsstellen in der Vergangenheit, Berufsbezeichnungen etc. – diese zu einer sehr attraktiven Informationsquelle für Angreifer.

Zum Beispiel ist da größte beruflich genutzte soziale Netzwerk, LinkedIn, bereits dafür bekannt, das Medium zu sein, auf dem Mitarbeiter unabsichtlich Informationen ihres Arbeitgebers ausplaudern. So haben Anfang 2015 Ingenieure des Chip-Herstellers AMD in ihren Profilen unabsichtlich Details zu den kommenden Produkten preisgegeben. Außerdem ist bekannt, dass Mitarbeiter der US-Regierung in ihren Profilen mehrfach NSA-Codenamen hinzugefügt haben. Selbst unabsichtlich lassen sich also Informationen über LinkedIn-Profile enthüllen.

Aktive Attacken auf sozialen Medien

Freilich ist es eine Sache, Informationen gleichsam passiv auf sozialen Medien zu veröffentlichen. Etwas ganz anderes ist es jedoch, wenn Angreifer aktiv versuchen, diese Medien auszunutzen. Einige echte Angriffe auf Trend Micro zeigen, wie das vonstattengeht.

Vor kurzem erhielten wir eine Welle von Viadeo-Einladungen, die an die Trend Micro-Niederlassung in Frankreich geschickt wurden (Bei Viadeo handelt es sich um ein beruflich genutztes soziales Netzwerk mit Sitz in Frankreich). Die Empfänger waren mehrere Mitarbeiter, mich eingeschlossen, und alle diese Nachrichten kamen von ein und demselben Viadeo-Konto. Angeblich gehörte dieses Konto einem IT-Manager aus dem Trend Micro-Niederlassung in Australien, der vorgab, seit achtzehn Jahren zum Unternehmen zu gehören. Das Profil enthielt ansonsten nur sehr wenige Informationen und zum Zeitpunkt, als ich die Einladung erhielt und das Profil überprüfte, wies es nur vier Kontakte auf.

Außerdem hatte der vermeintliche Besitzer in „havard, new yord“ studiert. Auch wenn man unterstellt, dass es sich hier lediglich um Tippfehler handelt, ist diese Information an sich schon Unsinn, da die Harvard University nicht in New York angesiedelt ist, und es auch sonst im ganzen Bundesstaat New York keine Stadt mit dem Namen Harvard gibt.

Grund genug also, um misstrauisch zu sein. Ein kurzer Blick ins unser Unternehmensverzeichnis genügte, um festzustellen, dass es keinen Mitarbeiter mit diesem Namen gab, auch nicht am Standort Australien.

Offensichtlich lag hier also der Versuch vor, Informationen oder Kontakte von Trend Micro zu bekommen. Wir haben unsere Kollegen intern auf diesen Angriffsversuch hingewiesen, um einem möglichen Problem schon im Vorfeld entgegenzutreten.

Welche Informationen lassen sich auf diese Art sammeln?

Mit den Informationen von einem beruflich genutzten sozialen Netzwerk kann ein gewiefter Angreifer im Grunde ein Insider werden und lernen, was ein echter Mitarbeiter weiß. Zum Beispiel kennt er die unmittelbaren Vorgesetzten einer Person, deren Teamkollegen und aktuellen Projekte etc. Dieses Wissen öffnet Türen, wie sie einem Insider offen stehen würden.

Einfach ausgedrückt glauben User eher einem Menschen, den sie „kennen“. Und Menschen, mit denen sie sich auf einem beruflich genutzten sozialen Netzwerk verbunden haben, fallen in diese Kategorie. So wird aus einem Angriff von außen eine Insiderbedrohung.

Wir haben schon an anderer Stelle über das Bedrohungspotenzial eines Insiders für eine Organisation gesprochen: Man stelle sich jetzt einmal vor, wie es ist, wenn jemand in der Lage ist, so zu tun, als wäre er ein Insider. Die dadurch eingesammelten Informationen könnten direkt zu den Schwächen einer Organisation führen oder zu den Orten, an denen möglicherweise wertvolle Informationen liegen. Der Schaden könnte beträchtlich sein.

Was könnten Nutzer und Unternehmen dagegen tun?

Für Enduser haben wir im Blogeintrag „How to Spot Frauds on Professional Networks“ Tipps und Verhaltensregeln auflistet, mit deren Hilfe sich solche Attacken auf beruflich genutzten sozialen Netzwerken erkennen und vermeiden lassen.

Organisationen müssen sicherstellen, dass sie über eine Social Media Policy verfügen. Und dieses Regelwerk muss über allzu einfache Maßnahmen hinausgehen wie das Verbot sozialer Medien im Büro. Vielmehr muss das Regelwerk klar aufführen, was ein Mitarbeiter auf sozialen Medien preisgeben darf und was nicht. Unterschiedliche Branchen werden freilich unterschiedliche Regeln erfordern: Das Restaurant von nebenan muss sicherlich nicht dieselben Maßstäbe an die Geheimhaltung anlegen wie ein Zulieferer der Rüstungsindustrie.

Zudem muss eine Organisation ihre Mitarbeiter befähigen, derartige Angriffsversuche zu erkennen und zu melden. Ein Incident Response Team muss vorhanden sein und diese Meldungen aufgreifen, um bei Bedarf den Rest der Belegschaft zu warnen. Außerdem können geeignete Werkzeuge die Mitarbeiter dabei unterstützen herauszufinden, ob und wann eine Person bei dem Unternehmen beschäftig ist (war).

Social Engineering-Angriffe abzuwehren erfordert anzuerkennen, dass nicht alle geeigneten Lösungen technischer Natur sind. Einige Abwehrmechanismen setzen voraus, dass die betroffenen Menschen gewappnet sind. Unter Umständen erfordert diese Tatsache einen Sinneswandel auf Seiten der Verteidiger.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*