Social Engineering: Der Mensch als schwächstes Glied

Transkript

1 Informatikstrategieorgan Bund ISB Bundesamt für Polizei fedpol Melde- und Analysestelle Informationssicherung MELANI Social Engineering: Der Mensch als schwächstes Glied Dr. Ruedi Rytz Mai 2007

2 Melde- und Analysestelle Informationssicherung MELANI Lage- und Nachrichtenzentrum des Bundes für den Schutz der kritischen Informationsinfrastrukturen Stellt den Betreibern dieser Infrastrukturen, wie Energieversorgern Banken Telekommunikationsunternehmen usw. subsidiär Wissen und Mittel aus Quellen des Nachrichtendiensts der Strafverfolgungsbehörden der nationalen Computer Emergency Response Teams CERTs zur Verfügung 2

3 Aufgaben von MELANI Beobachtung und Darstellung der Lage als Voraussetzung für die Prävention Frühwarnung Koordination der Mittel in der Krise ( Sonderstab Informationssicherung SONIA) Aufbau und Pflege eines Beziehungsnetzwerks mit den Betreibern kritischer Infrastrukturen Geschlossener Kundenkreis (GK) Unterstützung der Betreiber kritischer Infrastrukturen bei der operativen Bewältigung von Vorfällen Präventionsarbeit zu Gunsten von KMU (bis zu den Bürgern) Offener Kundenkreis (OK) siehe 3

4 Organisationsmodell von MELANI DAP SWITCH ISB Leiter MELANI Ruedi Rytz administrative Unterstützung Leiter Lagezentrum Marc Henauer Leiter SWITCH-CERT Serge Droz MELANI Analytiker Wissenschaftliche MA 4

5 Kundenkreise von MELANI Mitglieder Geschlossen SWITCH-CERT Lagezentrum ausgewählte Betreiber kritischer Infrastrukturen Offen Lagezentrum KMU Bürger Anzahl Kundenkreis Vertrauen bis Ende Firmen (~ 60 Personen) Vertrauensverhältnis zu MELANI aufbauen unbeschränkt unpersönlich Aufbau des Vertrauens MELANI (Workshops, MELANI-Net) Medien, WWW, Präsenz an Ausstellungen 5

6 Halbjahresbericht 2006/II Siehe: 6

7 Social Engineering Social-Engineering Angriffe nutzen die Hilfsbereitschaft, Gutgläubigkeit oder die Unsicherheit von Personen aus, um diese zu bestimmten Handlungen zu bewegen Siehe dazu: 7

8 Kein Phänomen des Informationszeitalters Alte Maschen und Bauernfängereien werden auf die Mittel und Möglichkeiten des Informationszeitalters adaptiert Erstes Beispiel The Spanish Prisoner (anno 1588) Nigerianer Briefe, respektive 419 Betrug (um 1990) Zweites Beispiel The Adventures of Huckleberry Finn (Mark Twain, 1884) Einrichten von Redirect-Domänen (MELANI, 2005) 8

9 Phishing Password, Harvesting & Fishing (oder vom Internet-Slang : f ph) Phisher versuchen die Gutgläubigkeit der Leute auszunutzen, um u.a. an Zugangsdaten für das Internet- Banking zu kommen. Die Daten werden dann benutzt, um z.b. betrügerische Geldüberweisungen zu tätigen. 9

10 Phishing (früher) Geld-Diebstahl per 1 missbrauch@postbank.de 1. In Sicherheit wiegen 2. Einfache Lösung aufzeigen 3. Druck ausüben 2 3 Achtung: [...]konten... werden gesperrt! 10

11 Phishing heute der Geld-Diebstahl mit Malware Malware aus der Torpig / Sinowal Familie als Beispiel: Analyse der Malware durch MELANI-Spezialisten (SWITCH- CERT) Malware mit Keylogger-Funktionalität, die sich in den Internet Explorer einklinkt Kunden von schweizerischen Finanzinstituten betroffen Analyse-Bericht inklusive Liste betroffener Banken wird für den Geschlossenen Kundenkreis auf dem MELANI-Net publiziert 11

12 Transfer gephishter Gelder Phishing wird zunehmend durch andere Techniken (z.b. Trojaner mit Keylogging-Funktionalität, Man-in-the-middle Angriffe, usw.) ersetzt. Ein Problem bleibt: Gephishte Gelder können elektronisch einfach auf andere Bankkonten überwiesen werden. Dort sind sie aber für Internetkriminelle nicht so leicht zugänglich ohne (z.b. beim Abheben) Spuren zu hinterlassen. Wie kriegt man das Geld bar in die Hand? 12

13 Lösung 1 Social Engineering: Finanzmanager sog. Money Mules 1. Online-Job-Börsen 2. Einfach Geld verdienen Achtung: Straftatbestand Geldwäsche Siehe: Meldung vom 30. Juni

14 Lösung 2 Social Engineering: Der gutgläubige Geldempfänger 1. Überweisung gephishter Gelder 2. Mitteilung des (vermeintlichen) Irrtums 3. Rückerstattung via Bargeldtransfer ins Ausland (typischerweise nach Osteuropa) Siehe: Meldung vom 5. April

15 Spionage das klassische Verfahren Vorgehensweise: Wissen verschaffen ( Footprinting ) Informationen (Namen, Telefonnummern, usw.) über die Mitarbeiter der Firma beschaffen Social Engineering Mit diesen Informationen und unter einem Vorwand, Zutritt ins Firmengebäude erlangen Gutgläubigkeit und Hilfsbereitschaft von Mitarbeitern ausnutzen, um an wertvolle Dokumente zu gelangen Abtransport des Wissens Gebäude mit den gestohlenen Unterlagen verlassen Beispiel: Der Mann mit dem Drucker 15

16 Spionage im Informationszeitalter: Trojanisches Pferd Anscheinend nützliches Programm, das versteckte Funktionen enthält. Solche Funktionen können zur Spionage, Fernsteuerung des PC, Versenden von Spam, usw. genutzt werden. Trojanische Pferde gelangen zum Beispiel durch freiwilliges Installieren unter Einsatz von Social Engineering (z.b. USB-Stick gratis abgeben) Ausnutzen von Sicherheitslücken auf den Computer. 16

17 Spionage gegen Betreiber kritischer Infrastrukturen Spionage gegen kritische Informationsinfrastrukturen in GB, USA, CA, NZ, AUS mittels individualisierten Trojanischen Pferden Die Angriffe stammen aus China. Erkannte Angriffsvektoren und Signaturen werden unter Partnerdiensten ausgetauscht. MELANI stellt diese den Mitgliedern des Geschlossenen Kundenkreises zur Verfügung. 17

18 Spionage Bezug zur Schweiz? 1/2 Im Rahmen eines Falles von Spionage mit einem individualisierten Trojanischen Pferd in Israel klärt MELANI einen möglichen Bezug zur Schweiz ab. Faktenlage: Zwei israelische Staatsbürger wurden als Programmierer und Vertreiber des Trojaners verhaftet. Weiter wurden 7 CEOs und CSOs israelischer Firmen unter dem Verdacht der Spionage verhaftet. Die Trojaner rapportierten auf verschiedene FTP-Server in den USA, Deutschland und Israel. Involviert sind Interpol, NHTCU (GB), LKA (D) sowie die israelische Polizei. Der Bezug zur Schweiz beschränkt sich auf einen Scheidungsfall ohne weitere Implikationen für den Geschlossenen Kundenkreis. 18

19 Spionage Bezug zur Schweiz? 2/2 19

20 Zusammenfassung: Social Engineering & Spionage per Malware Die eingesetzte Malware (Trojanische Pferde) ist massgefertigt und wird über Social Engineering in kleinen Zahlen verbreitet ( Erkennung durch Virenscanner schwierig). Der Fall in Israel, sowie die aufgedeckten Fälle der Spionage in GB und den USA durch eine chinesische Tätergruppe belegen diese Vorgehensweise. Vor allem im Falle der Spionage gegen die GB- und US-Behörden ist davon auszugehen, dass die Täterschaft nicht alleine und losgelöst von staatlichen Interessen handelte. MELANI hat Angriffe dieser Art in der Schweiz festgestellt. Sie kamen aus dem nordostasiatischen Raum aber auch vom netten Nachbarn in Europa 20

21 Zusammenfassung Technische Sicherheit von Betriebssystemen (und auch Applikationen) nimmt zu Installation von Malware wird schwieriger, respektive setzt die Mitarbeit des Opfers voraus. Social Engineering ist die Methode der Wahl hat Jahrhunderte lang funktioniert, wird dies auch in Zukunft tun und weiter an Bedeutung gewinnen wird laufend verbessert (vgl. z.b. die Entwicklung im Bereich des Phishing) Massnahmen sind Sensibilisierung gesundes Misstrauen entwickeln Organisatorische Massnahmen ergreifen und kontrollieren Ultima ratio: Maschinen mit heiklen Daten vom Internet trennen 21

22 Fragen 22