Social Engineering - LinkedIn im Fokus

Social Engineering

LinkedIn im Fokus

Valérie Kastner
von Valérie Kastner
Lesezeit: 8 Minuten

Keypoints

So nutzen Hacker LinkedIn für ihre Angriffe

  • Es existieren viele Fake-Profile auf LinkedIn und jedermann kann ein mögliches Ziel darstellen
  • Automatisierte Tools wie ScrapedIn eruieren innert Sekunden Mitarbeiter einer Firma
  • Mit Methoden wie Google Dorking führen kleinste Informationen zu wesentlich mehr
  • Mit den richtigen Sicherheitseinstellungen ist ein LinkedIn Account besser vor Social Engineering Angriffen geschützt

Social Engineering zielt auf die Schwachstelle Mensch ab. Gemäss MELANI, der Melde- und Analysestelle Informationssicherung des Bundes, ist Social Engineering unter den erfolgreichsten Angriffsmöglichkeiten anzusiedeln. Wir alle haben auf dem einen oder anderen Weg bereits eigene Erfahrungen damit sammeln können: Sei es mit Anrufen von einem vermeintlichen Microsoft-Angestellten, der gerne unser Passwort hätte, einem Paypal-Phishing-Mail mit entsprechenden Grammatikfehlern oder sei es durch jemanden, dem wir bloss die Türe aufhalten sollten, da er seinen Badge vergessen habe. Social Engineering ist allgegenwärtig. Mit den Worten Big Data in aller Munde wird dem Einzelnen zunehmend bewusst, wie viele Daten und Informationen über einen selbst gesammelt werden können. Dies muss aber nicht zwangsläufig passiv mit der Cumulus-Karte der Migros erfolgen: Oftmals geben Menschen Informationen aktiv selbst preis. Ein Beispiel dafür ist ein Profil auf LinkedIn. Dieser Artikel behandelt einige Erkenntnisse aus Social Engineering Angriffen sowie mögliche Präventionsmassnahmen.

Mann gegen Frau

Stellen Sie sich vor, Sie müssten sich Informationen über eine Person im beruflichen Kontext beschaffen. Was wäre Ihr erster Schritt? Vielleicht das Erstellen eines Profils auf LinkedIn? Aber höchst wahrscheinlich keines mit Ihrem richtigen Namen, sondern ein Fake-Profil. Die ersten Entscheidungen stünden somit bereits an: Welchen Namen wählen Sie? Welches Geschlecht? Welchen beruflichen Werdegang?

Trotz des gesellschaftlichen Fortschritts und dem modernen Denken, zeichnet sich ab, dass gewisse Vorurteile nicht umsonst bis heute existieren. Zum Test wurden 2 identische Profile erstellt. Sowohl Alter, Arbeitserfahrungen, die Ausbildung und die Interessen wurden auf beiden Profilen identisch angegeben. Die einzigen Unterschiede waren die Bilder, die Namen und das Geschlecht. Um jedoch die Suchfunktion von LinkedIn weitergehend zu nutzen, sind mindestens 10 Kontakte notwendig. Infolgedessen wurden Personen aus dem vermeintlichen Arbeitsumfeld als Kontakte angefragt.

Das männliche Profil erreichte nach 4 Stunden insgesamt 13 Kontakte und wurde bereits teilweise gesperrt, sodass nur noch Kontaktanfragen mit einer Email-Verifizierung stattfinden konnten. Offenbar hatten zu viele Empfänger unser Testprofil als nicht bekannt klassifiziert. Anders verhielt es sich beim weiblichen Profil. Innert 5 Minuten hatte dieses bereits die 13 Kontakte übertroffen, zum Ende des Tests sogar die 300er Marke überstiegen. Fremde Arbeitskontakte bedankten sich mittels Message für das Vernetzen und boten berufliche Hilfe an, sofern welche benötigt würde. Nach kurzer Zeit wurde ausserdem sogar bereits nach unserem Fake-Profil gesucht.

Identifizierung von Mitarbeitern einer Firma

Wie genau aber werden nun diese Kontakte genutzt? Ein Profil gewinnt mit zunehmender Anzahl Kontakte an Glaubwürdigkeit und wird auch kaum mehr im selben Masse hinterfragt. Wenn Sie eine Anfrage erhalten mit 14 gemeinsamen Kontakten, ist die Skepsis niedriger. Man hat sich vielleicht auf dem Flur getroffen, bei einer Schulung oder bei einem anderen Event. Viele Kontakte in einem Netzwerk zu besitzen ist von grossem Vorteil. Diverse Profile zweiten oder dritten Grades werden detaillierter und mit mehr Informationen angezeigt. Ein Angreifer ist in der Lage Informationen über Sie zu gewinnen, ohne mit Ihnen vernetzt zu sein. Gerade im Kontext von firmenbezogenem Social Engineering, ist jeder Name und jeder Mitarbeiter enorm wertvoll. Teamzusammensetzungen können nachkonstruiert und potentielle Opfer identifiziert werden, sowie man mit OSINT-Recherchen zu einzelnen Schlüsselpersonen beginnen kann.

Aber wer macht sich diese Mühe? Diverse Suchen zu starten und einzelne Mitarbeiter in ein Excel abzutippen? Kaum jemand, denn zahlreiche Tools sind open-source verfügbar und übernehmen diese lästigen Arbeiten. Beispielsweise steht mit der Zuhilfenahme des Tools ScrapedIn innert Sekunden ein automatischer Excel-Report bereit, welcher gewünschte LinkedIn-Details wie Name, Funktion, Ort und weitere Angaben zur Suchanfrage enthält.

ScrapedIn greift Daten ab

Beispiel von gezielter Informationsgewinnung

Je mehr Informationen auf einem Profil zur Verfügung stehen, desto grösser ist die Angriffsfläche. Es gibt viele Informationen, die ein Angreifer aus einem Profil herauslesen und weiterverwenden kann. Insbesondere Ausbildungsangaben können in vielen Fällen sehr nützlich sein, um private Informationen über eine Person zu gewinnen. An einen führenden Mitarbeiter werden oftmals hohe Anforderungen gestellt, ein abgeschlossenes Studium gehört unterdessen an vielen Orten zu einem must-have.

Mit der Jahresangabe des Studiumabschlusses, kann ein Angreifer die Master- oder Doktorarbeit des Angestellten ausfindig machen. Die ETH Zürich stellt hierzu eine eigene Suchfunktion bereit. Aus der Arbeit können sensitive Personendaten gewonnen werden, wie unter anderem der vollständige Name, das Geburtsdatum und die Nationalität. Im besten Fall kann das Acknowledgement öffentlich eingesehen werden. Nebst Professoren und Mitstudenten wird darin oftmals auch Personen aus dem persönlichen Umfeld gedankt. Damit erschliessen sich einem Angreifer potentiell neue Opfer. In einem Acknowledgement kann der Freundin und eventuell späteren Frau, dem besten Freund oder den Eltern gedankt werden.

Insbesondere mit Google Dorking können daraus zahlreiche und vielversprechende Suchkombinationen entstehen. Die gewonnenen Informationen können für weiterführende Angriffe wie Spear-Phishing oder Vishing genutzt werden. Je gezielter und glaubwürdiger eine Situation wirkt, desto wahrscheinlicher ist es, dass eine Person vertrauliche Informationen preisgibt. Nicht alle Phishing-Mails sind übersäht von Fehlern und Auffälligkeiten, die wirklich guten werden nicht so leicht erkannt.

Einstellungen für LinkedIn richtig setzen

LinkedIn bietet einige Einstellungen an, die es Ihnen ermöglicht Ihr Profil besser zu schützen. Mit einem geringen Aufwand können Sie so gerade bei einem automatisierten Scan aus der Opferliste fallen, da Ihr Nachname fehlt oder Sie in Suchmaschinen wie Google, Bing & Co. erst gar nicht auftauchen.

Im Folgenden finden Sie einige Einstellungen, welche einen Social Engineering-Angriff auf Sie erschweren können:

Als einer der wichtigsten Grundsätze gilt jedoch: Nehmen Sie keine Personen in Ihr Netzwerk auf, die Sie nicht kennen.

Fazit

In vielerlei Hinsicht bietet LinkedIn Vorteile im Berufsleben. Der Besitz eines Accounts selbst ist noch keine Gefahr, sofern das Profil keine Geschäftsgeheimnisse oder offensichtliche Verletzungen der Privatsphäre anderer beinhaltet.

Ist ein Angreifer in der Lage viele Informationen über Sie zu sammeln, müssen dennoch Sie selbst in einem Phishing-Email auf den dargebotenen Link klicken. Allerdings kann ein Angreifer mit mehr Informationen Sie erfolgreicher dazu verleiten und seinen Angriff besser tarnen. Aus diesem Grund wird empfohlen Informationen nur dann öffentlich verfügbar zu machen, wenn sie erforderlich sind und die Einstellungen so restriktiv wie möglich zu setzen. Lassen Sie sich aber vor allem für Entscheidungen Zeit, gesunde Skepsis und Vorsicht helfen Ihnen oftmals mehr als Sicherheitseinstellungen in Ihrem Account.

Über die Autorin

Valérie Kastner

Valérie Kastner studiert Betriebsökonomie mit Schwerpunkt Risk & Insurance an der Zürcher Hochschule für Angewandte Wissenschaften. Nach mehreren Jahren im Underwriting und Technical Center von Versicherungen, arbeitet sie seit 2018 im Bereich IT-Security mit Fokus auf Web Application Security Testing und Social Engineering. (ORCID 0000-0002-9214-572X)

Links

Haben Sie Interesse an einem Penetration Test?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv