05 Februar 2019 ~ 0 Comments

CIA: Die Sicherheit will getestet sein

Wichtige Bausteine eines jeden Sicherheitskonzepts sind die regelmäßige Prüfung sowie Anpassung der bestehenden Konzepte. In diesem Kontext ist der Faktor Mensch nie zu vernachlässigen und immer mit einzubeziehen. Hierfür eignen sich die Methoden des Social Engineering und Pishing, welche primär auf einer aktiven Hintergrundforschung sowie psychologischen Tricks aufbauen.

Um unsere eigene Sicherheit zu prüfen und ein entsprechendes Bewusstsein für das Thema Pishing zu schaffen, haben wir einen Versuch gestartet: ein Angriff auf unsere eigene Firma.

Vorbereitung

Zu einer der wichtigsten Aktionen während der Vorbereitung zählt es wohl, sich eine Genehmigung für die Durchführung des Angriffs-Szenarios zu besorgen. In unserem Fall haben wir diese bei unserem Geschäftsführer eingeholt – alle anderen, nicht an der Umsetzung des Szenarios beteiligten Kollegen, haben wir aber im Unklaren gelassen.

Zielfindung

Möchte man einen Social Engineering Angriff oder einen Pishing Angriff, starten ist es essentiell, das Ziel zu benennen: Betreibt man beispielsweise Spearphishing, so wird die gefälschte Nachricht lediglich an ein bis zwei gezielte Mitarbeiter verschickt, um möglicherweise eine Überweisung zu erschleichen oder detailiertere Informationen zu gewinnen.

In unserem Fall – wir nahmen uns die gesamte Firma als Ziel des Angriffs vor – musste die versendete Nachricht viel allgemeiner aber dennoch glaubwürdig sein, dabei aber auch den notwendigen Druck aufbauen, um auch gelesen zu werden.

Die Nachricht

Um eine entsprechende Nachricht sowie eine passende, authentische Landingpage erstellen zu können, ist in der Regel eine ausführliche Hintergrundrecherche notwendig.

Für die it-economics zum Beispiel war es für unser Angriffs-Szenario relevant zu wissen, dass diese Atlassian-Partner ist (siehe vergangene Pressemitteilungen) und somit höchst wahrscheinlich auch die Atlassian-Toolchain einsetzt. Durch einfaches Ausprobieren von naheliegenden URLs (z.B. ergibt einfaches Kombinieren von Anwendungsnamen mit der URL der Firma Jira.firma.de Confluence.firma.de …), gelangt man schnell zu einem gültigen System – die erratene URL für JIRA liefert das erste erfolgreiche Testergebnis, so dass von dort aus weiter vorgegangen werden kann. In der Regel sind Atlassian-Anwendungen miteinander verknüpft, so dass man über diese Verknüpfungen leicht weitere Informationen sammeln kann.
(Natürlich sind unsere Produktivsysteme so abgesichert, dass entsprechende Informationen nicht für unauthorisierte User sichtbar sind – standardmäßig werden entsprechende Verlinkungen allerdings öffentlich angezeigt.)

Nun da bekannt ist, dass ein Confluence eingesetzt wird – und sogar dessen URL bekannt ist – kann man sich auf die in Confluence enthaltenen Medienarten stürzen und ein Angriffskonzept erarbeiten. Möchte man möglichst alle Mitarbeiter erreichen, so eignet sich beispielsweise ein Blogpost einer wichtigen Führungskraft, auf den die Führungskraft dann vermeintlich auch nochmals explizit aufmerksam macht.

Für den Inhalt des vermeintlichen Blogposts, auf den in der Fake-E-Mail verwiesen wird, kann man sich wieder Presse- und Öffentlichkeitsarbeit des Angriffsziels und eines gewissen Allgemeinwissens bedienen. In unserem Fall haben wir das folgende Pressemitteilungen und Informationen genutzt:

Aus diesen Informationen zusammen ist es möglich, eine knappe und doch inhaltlich glaubwürdige Mail zu konstruieren, die vermeintlich durch den Geschäftsführer verschickt wurde. Den Empfängerkreis kann ein Angreifer mittels Xing, LinkedIn und weiteren (sozialen) Netzwerk-Plattformen ermitteln.

Die Pishingseite

Um eine möglichst hohe Ausbeute an Useranmeldungen zu generieren, haben wir die in der Mail verlinkte Intranetseite – sprich einen Confluence Login – nachgebaut und mit dieser speziellen Landingpage alle dort durchgeführten Loginversuche geloggt. Hierbei ist es mit der eigens dafür entwickelten Anwendung (https://tinyurl.com/y74x6fmb) sogar möglich, den Angriff heimlich und im Stillen durchzuführen – anstelle eines Hinweises würde der Nutzer direkt auf den offiziellen Login weiter geleitet.

Folgende Bilder zeigen den marginalen Unterschied zwischen offiziellem Login und gefälschtem Login – die Phishing-Seite bietet keine SSO-Login-Möglichkeit an, sondern erwartet sofort die Eingabe von Username und Passwort:

Dass Websites, welche ein User über reines HTTP aufruft, unsicher sind hat sich über die vergangenen Jahre in die Köpfe der User eingebrannt. Dazu trägt u.a. auch bei, dass die großen Konzerne wie Google und Co hier entsprechend die Werbetrommel rühren und z.B. Google Chrome als einer der führenden Webbrowser es dem User erschwert, eine Nicht über HTTPS gesicherte Website aufzurufen.

Um dieses Problem zu umgehen und möglichst glaubwürdig zu wirken, haben wir für unsere der Original-URL ähnlich klingenden Domain ein SSL-Zertifikat via LetsEncrypt erzeugt und eingestellt.

Beim Aufsetzen des Test-Angriffs-Szenarios haben wir überlegt, wie wir die User am besten sensibilisieren können. Unsere Überlegung war es, dass ein heimlicher Login keinen Effekt hätte – wir wollten, dass die Empfänger unserer Fake-E-Mail sofort nach Absenden des Login-Formulars ein negatives Feedback erhalten. Dieses Feedback war dann eine entsprechende Hinweisseite:

Fazit

Die Durchführung derartiger Tests ist für jede Firma in regelmäßigen Abständen zusammen mit einer Sensibilisieserung der Mitarbeiter empfehlenswert. Auch eine Peer-to-peer Sensibilisierung kann hierbei zu enormen Erfolgen führen – in unserem Testfall wurde beispielsweise direkt innerhalb der ersten Stunde eine Warnung in unserem echten Intranet gepostet, dass eine Phishing-Mail im Umlauf ist und die Kollegen doch bitte aufpassen sollen.

Dass Sensibilisierung für das Thema Sicherheit und sicherer Umgang mit dem und im Internet wichtig ist, zeigt insbesondere die aktuelle Generation der Computerviren, z.B. Emotet. Diese Schadsoftware nutzt Techniken der künstlichen Intelligenz, um auf Basis von lokal gesammelten Daten personalisierte Pishingmails zu verfassen (https://www.bsi-fuer-buerger.de/BSIFB/DE/Service/Aktuell/Informationen/Artikel/emotet.html).

Leave a Reply

%d Bloggern gefällt das: