Stuttgart-West, 3 ZKB, 90qm², 500€ warm, nähe Phishmarkt…Part 1

Wir hören immer öfter von Social Engineering. Und das kann nerven, weil immer wieder unsere Gutmütigkeit schlechtgemacht wird. In diesem Blogbeitrag werfe ich einen kritischen Blick auf die Motive von Cyber-Kriminellen und deren Einsatz von Social Engineering.

Eine Definition von Social Engineering ist in den Blogs meiner Kollegen zu finden: https://blog.to.com/social-engineering-das-aelteste-gewerbe-der-welt/

Im Klartext: Social Engineering ist Manipulation, wie es Götz W. und Oliver P.  in ihren Blog-Beiträgen sehr gut dargestellt haben. Auch die Technik und Taktiken die bei Phishing angewendet werden, sind irritierend, weil wir uns jedes Mal die Frage stellen: „Wie dumm kann ich denn nur sein? Das hätte ich doch checken sollen!“.

Motivationen

Aber wenn wir etwas tiefer in den Gründen und Motivationen dieser Phishing- bzw. Social-Engineering-Angriffe schauen, und  uns überlegen, was das Ziel des Täters wirklich ist, dann würde unser Überlebens- oder Verteidigungsreflex vielleicht herausgefordert sein und reagieren.

Im Artikel „Know Your Enemy: Understanding the Motivation Behind Cyberattacks“ kann man lesen, dass die Motivation zur Geldabzocke sehr unterschiedlich sein kann. Natürlich gibt es die einen oder anderen, die ganz einfach nur ein Kostüm von Hugo Boss oder einen neuen Stretch-Hummer kaufen wollen. Aber das sind nicht die gefährlichsten und vor allem nicht die versiertesten Hacker.

Die Hacker, die wirklich gefährlich sind, sind die, die das Geld (oder die Daten) abzocken, um einer Ideologie/Sucht zu dienen. Terroristische oder organisierte Gruppen brauchen viel Geld, um ihre Taten in der realen Welt umzusetzen.

Diese Art von Kriminalität läuft seit Anfang der Zeiten im Schatten, und mithilfe von Cyberangriffen sind diese natürlich noch erfolgreicher, da man physisch gar nicht vor Ort sein muss.

Um dem entgegenzusteuern, wird es mit der aktuellen elektronischen Kontrolle von Geldtransaktionen in der Welt immer schwieriger das Geld von A nach B unentdeckt zu transferieren. Also, was macht man in diesem Fall?

Stichwort: Geldwäsche, mal auf Cyber.

Zum einen findet man neue Wege, in der Unterwelt Geld zu machen. Und elektronisches Geld, z.B. von einer gestohlenen Kreditkarte, ist nun mal unsichtbar und kontaktlos, also hat der Kriminelle keine Hemmungen diese zu stehlen. Die Auswirkungen für den einen oder anderen sind jedoch sehr real.

Zum zweiten nutzt man eine Grauzone im Kriminalrecht aus. Eine ausländische IP-Adresse wird nicht von der Polizei verfolgt, außer wenn die nationale Sicherheit in Gefahr ist. Also ist es einfach einen Cyberangriff durchzuführen ohne erwischt zu werden. Von einem ausländischen VPN-Tunnel aus oder im TOR geht ganz viel.

Wer sich als Benutzer oder Firma nicht schützt ist dann fast ein Mittäter geworden, in dem die Sicherheitsmaßnahmen die heute vorhanden sind nicht eingesetzt wurden.

Sich nicht preisgeben, vor allem nicht die persönlichen Informationen.

Wer besonders konfliktscheu ist, wird vermutlich auch als Erste/r zum Opfer und um ein paar 100 oder Millionen Euros zügig erleichtert.

Da freut sich der Kriminelle! Narzissmus und Naivität sind nun mal die größten Einfallstore der Hacker im Social Engineering. Besonders von Unternehmen, die Prototypen erstellen oder wichtige Daten bearbeiten, wie Ergebnisse von Waffentests, oder DNA-Signaturen, müssen entsprechende Sicherheitsvorkehrungen umgesetzt werden. Auch die Personaldaten müssen geschützt werden. Da fängt es an. Identitätsdiebstahl ist auch ein Hack auf Ihr Privatleben und Finanzen. Wer weiß wer bei Ihnen arbeitet, der findet die persönlichen Schwachstellen heraus und ist zügig an Ihrer Datenbank.

IT-Hausaufgaben machen!

Diese Darstellung von Angriffen https://www.ibm.com/security/resources/xforce/xfisi/ zeigt auf, dass das Einfallstor in diesen Fällen eine falsche Konfiguration der IT-Infrastruktur/Software war. Eigenartigerweise ist die Computer-Dienstleistungsbranche am stärksten betroffen…

Als Hilfe zur Selbsthilfe sollte die Geschäftsführung einen Fokus auf die IT-Sicherheit legen. Um diese Entscheidung zu unterstützen, kann auf jeden Fall eine Zertifizierung nach ISO27001 helfen. Zum zweiten, ist die Auswahl der IT-Dienstleister ein wichtiger Prozess. Wer keine Zertifizierung vorweisen kann, aber das Thema ernst nimmt z.B. mit dem Einsatz eines ISMS, ist auch gut vorbereitet.

Cyberkriminalität ist nicht zu unterschätzen. Eines Tages passiert es jedem.

Bis lang wurde sie nur als Nebenkriminalität in unserem gesellschaftlichen Geist behandelt; Terrorismus und organisierte Kriminalität als das Problem des Staates bezeichnet. Das ist aber ein sehr falscher Ansatz. Cyberkriminalität ist unser aller Problem, gerade weil sie so ungreifbar ist und jeden treffen kann.

Wenn eine zentrale Netzspannanlage wegen einem Hackangriff oder Bombenattentat ausfällt, wird es ein Problem für uns alle, vor allem für die Wirtschaft. Das ist ein Ziel, dass ein ideologischer/politischer Cyberkrimineller im Auge hat. Das Gleiche gilt für Produktionsanlagen in der Pharma- oder Ölindustrie. Breitet sich ein Virus aus, weil die technischen Anlagen eine bakteriologische oder virale Kontamination nicht richtig identifizieren konnte, dann ist das auch ein Problem für die Gemeinschaft und die Weltwirtschaft. Sparen hilft dann nicht mehr. Da geht es um lebenswichtige Infrastrukturen und letztendlich auch um unser Geld und unsere Gesundheit.

Es hört sich an wie ein Katastrophen-Szenario, ist aber leider kein eventueller Albtraum mehr.  https://www.nytimes.com/2018/03/15/technology/saudi-arabia-hacks-cyberattacks.html

Daher sollte man sich die Frage stellen: wie kann es dazu kommen?

Das einfachste und breiteste Einfallstor

Ein Mensch in Not ist verletzlich und verliert seinen gesunden Menschenverstand. Es kann sich um Trauer, Finanzen, Sozialansehen, Stress in der Arbeit oder verlorene Liebe handeln. Was auch immer die Not ist, sie verursacht Schaden, wenn sie ausgenutzt wird.

Der Mensch kann durch seine Menschlichkeit sehr viel Unschönes antun (sich und anderen), auch ohne sein Wissen. Ein aktuelles Beispiel: Die Kombi „Kriminalität“ und „Wohnungssuche“ hat eigentlich nichts miteinander zu tun. Falsch! Gerade solche Dinge müssen zusammen verbunden werden. Geld von Menschen herauszuquetschen, die für Ihre Familie sorgen wollen, finanziert Kriminalität.

Ein Beispiel dazu:

 

Kriminalitätsfinanzierung ist eine einfache Rechenaufgabe

Nehmen wir ca. 2000 Menschen, die in einer Großstadt Deutschland auf Wohnungssuche sind, und zwar seit geraumer Zeit. Von 2000 Menschen sind 1000 in Not eine Wohnung zu finden. Davon können 250 aus verschiedenen Gründen eine Abzocke nicht identifizieren. Beispielsweise „überschreibt“ die empfundene Selbstbestätigung beim Finden des tollen Angebots den gesunden Menschenverstand „Ich bin gut und habe ein Schnäppchen gefunden“.

Das Beispiel von meiner Kollegin Anka, in ihrem kommenden Blogbeitrag, rechnet sich dann ungefähr so aus:

Der Kriminelle fordert ca. 1000 EUR ein, bei den erwähnten 250 Personen -> wenn das Geld tatsächlich verschickt wird, dann sind es schon eine Viertel Million EUR, die hier in die kriminelle Welt verschwinden! Zigaretten oder Drogen auf dem Schwarzmarkt zu kaufen finanziert kriminelle Organisationen ebenso. Der vereinzelte Kauf ist nicht schlimm. Aber das Volumen macht es zur Kriminalitätsfinanzierung.

Wieso denn so viel Wind, um dieses Thema?

Der ein oder andere würde hier sagen: „Pff, das passiert mir niemals!“

Geschützt ist vereinfacht gesagt, nur der, der in einer Höhle lebt! Was den Cyberkriminellen interessiert, ist Geld und ein Stück weit die Herausforderungen jemanden übers Ohr hauen zu können.

Fazit

Social Engineering Angriffe sind eine Bedrohung für unsere politische, soziale, gemeinschaftliche und wirtschaftliche Stabilität. Sich, die Familie, Freunde, und seine Mitarbeiter darauf aufmerksam zu machen, ist eine wichtige Angelegenheit.

Damit können Kriminaltaten wie Geldabzocke und Datendiebstal verhindert werden. Hinterfragen tut nicht weh. Offene Kommunikation, um das Wohlbefinden der Mitarbeiter oder Familienmitglieder und Freunde sicherzustellen, sind Waffen die kein Krimineller zerstören oder kontrollieren kann. Und sie sind viel effizienter als jegliche technische Lösung.

 

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *