Social Engineering – Das Phishen nach Informationen

Master-Studiengang Information Security

Dipl.-Ing. Gianluca Raberger, BSc

Betreuer: FH-Prof. Mag. Dr. Simon Tjoa

Ausgangslage

„Herzlichen Glückwunsch! Sie haben eine All-Inclusive Reise zu den Bahamas gewonnen. Klicken Sie auf den folgenden Link und geben Sie Ihre Facebook-Zugangsdaten ein, um Ihren Gewinn zu akzeptieren.“

Klingt doch schön, den Hauptgewinn gezogen zu haben und dann noch zu einer der schönsten Destinationen, die man sich vorstellen kann. Aber kann das wirklich wahr sein? Leider ist hier das Gegenteil der Fall. Bei der Eingabe der Zugangsdaten zu Facebook wurden diese zu einer Angreiferin bzw. einem Angreifer weitergeleitet. Nach und nach treffen E-Mails von zurückgesetzten Passwörtern bei verschiedenen Serviceanbietern ein und schlussendlich kommt auf das Firmenhandy eine SMS: „Über Ihren Benutzeraccount hat sich eine Malware im Unternehmen verbreitet.“

Angreiferinnen und Angreifer, welche Social Engineering und somit auch Phishingattacken anwenden, versuchen aktiv das Vertrauen ihrer Opfer zu missbrauchen, um so zum Beispiel Zugangsdaten zu Firmennetzwerken zu stehlen. Für eine Firma ist es daher das Um und Auf das schwächste Glied in der Informationssicherheitskette, welches der Mensch ist, gegenüber derartigen Angriffen zu sensibilisieren.

Diese Arbeit betrachtet daher verschiedene Tools, welche dazu dienen können, Mitarbeiterinnen und Mitarbeiter eines Unternehmens zu schulen und gegenüber Phishing zu sensibilisieren.

Ziel

Die Ziele dieser Arbeit sind Tools sowie deren Funktionen und allgemeine Techniken zu vergleichen, welche Social Engineering und insbesondere Phishing Angriffe unterstützen. Des Weiteren soll aufgezeigt werden, wie die Werkzeuge verwendet werden können, um das Sicherheitsbewusstsein im Unternehmen zu stärken. Abschließend sollen noch die Trends im Bereich Phishing aufgelistet werden so wie potenzielle Gegenmaßnahmen dargelegt werden. 

Ergebnis

Im Zuge dieser Arbeit konnte eine Übersicht über die Thematik Social Engineering und Phishing erarbeitet werden. Zusätzlich wurden verschiedene Techniken anhand von realen Beispielen beschrieben. Außerdem wurden Tools, welche Unternehmen bei der Sensibilisierung der einzelnen Mitarbeiterinnen und Mitarbeiter helfen sollen, anhand von verschiedenen Qualitätsmerkmalen miteinander vergleichen. Anhand der gewonnenen Erkenntnisse wurde ein Konzept für ein ideales Phishingtool erstellt. Abschließend wurden Gegenmaßnahmen gegen Phishing sowie der steigende Trend von Phishingangriffen in verschiedenen Industriesektoren näher analysiert.