Ist die Geschäftskontinuität nicht Teil der Sicherheit?
Andrea Covello
So nutzen Hacker LinkedIn für ihre Angriffe
Stellen Sie sich vor, Sie müssten sich Informationen über eine Person im beruflichen Kontext beschaffen. Was wäre Ihr erster Schritt? Vielleicht das Erstellen eines Profils auf LinkedIn? Aber höchst wahrscheinlich keines mit Ihrem richtigen Namen, sondern ein Fake-Profil. Die ersten Entscheidungen stünden somit bereits an: Welchen Namen wählen Sie? Welches Geschlecht? Welchen beruflichen Werdegang?
Trotz des gesellschaftlichen Fortschritts und dem modernen Denken, zeichnet sich ab, dass gewisse Vorurteile nicht umsonst bis heute existieren. Zum Test wurden 2 identische Profile erstellt. Sowohl Alter, Arbeitserfahrungen, die Ausbildung und die Interessen wurden auf beiden Profilen identisch angegeben. Die einzigen Unterschiede waren die Bilder, die Namen und das Geschlecht. Um jedoch die Suchfunktion von LinkedIn weitergehend zu nutzen, sind mindestens 10 Kontakte notwendig. Infolgedessen wurden Personen aus dem vermeintlichen Arbeitsumfeld als Kontakte angefragt.
Das männliche Profil erreichte nach 4 Stunden insgesamt 13 Kontakte und wurde bereits teilweise gesperrt, sodass nur noch Kontaktanfragen mit einer Email-Verifizierung stattfinden konnten. Offenbar hatten zu viele Empfänger unser Testprofil als nicht bekannt klassifiziert. Anders verhielt es sich beim weiblichen Profil. Innert 5 Minuten hatte dieses bereits die 13 Kontakte übertroffen, zum Ende des Tests sogar die 300er Marke überstiegen. Fremde Arbeitskontakte bedankten sich mittels Message für das Vernetzen und boten berufliche Hilfe an, sofern welche benötigt würde. Nach kurzer Zeit wurde ausserdem sogar bereits nach unserem Fake-Profil gesucht.
Wie genau aber werden nun diese Kontakte genutzt? Ein Profil gewinnt mit zunehmender Anzahl Kontakte an Glaubwürdigkeit und wird auch kaum mehr im selben Masse hinterfragt. Wenn Sie eine Anfrage erhalten mit 14 gemeinsamen Kontakten, ist die Skepsis niedriger. Man hat sich vielleicht auf dem Flur getroffen, bei einer Schulung oder bei einem anderen Event. Viele Kontakte in einem Netzwerk zu besitzen ist von grossem Vorteil. Diverse Profile zweiten oder dritten Grades werden detaillierter und mit mehr Informationen angezeigt. Ein Angreifer ist in der Lage Informationen über Sie zu gewinnen, ohne mit Ihnen vernetzt zu sein. Gerade im Kontext von firmenbezogenem Social Engineering, ist jeder Name und jeder Mitarbeiter enorm wertvoll. Teamzusammensetzungen können nachkonstruiert und potentielle Opfer identifiziert werden, sowie man mit OSINT-Recherchen zu einzelnen Schlüsselpersonen beginnen kann.
Aber wer macht sich diese Mühe? Diverse Suchen zu starten und einzelne Mitarbeiter in ein Excel abzutippen? Kaum jemand, denn zahlreiche Tools sind open-source verfügbar und übernehmen diese lästigen Arbeiten. Beispielsweise steht mit der Zuhilfenahme des Tools ScrapedIn innert Sekunden ein automatischer Excel-Report bereit, welcher gewünschte LinkedIn-Details wie Name, Funktion, Ort und weitere Angaben zur Suchanfrage enthält.
Je mehr Informationen auf einem Profil zur Verfügung stehen, desto grösser ist die Angriffsfläche. Es gibt viele Informationen, die ein Angreifer aus einem Profil herauslesen und weiterverwenden kann. Insbesondere Ausbildungsangaben können in vielen Fällen sehr nützlich sein, um private Informationen über eine Person zu gewinnen. An einen führenden Mitarbeiter werden oftmals hohe Anforderungen gestellt, ein abgeschlossenes Studium gehört unterdessen an vielen Orten zu einem must-have.
Mit der Jahresangabe des Studiumabschlusses, kann ein Angreifer die Master- oder Doktorarbeit des Angestellten ausfindig machen. Die ETH Zürich stellt hierzu eine eigene Suchfunktion bereit. Aus der Arbeit können sensitive Personendaten gewonnen werden, wie unter anderem der vollständige Name, das Geburtsdatum und die Nationalität. Im besten Fall kann das Acknowledgement öffentlich eingesehen werden. Nebst Professoren und Mitstudenten wird darin oftmals auch Personen aus dem persönlichen Umfeld gedankt. Damit erschliessen sich einem Angreifer potentiell neue Opfer. In einem Acknowledgement kann der Freundin und eventuell späteren Frau, dem besten Freund oder den Eltern gedankt werden.
Insbesondere mit Google Dorking können daraus zahlreiche und vielversprechende Suchkombinationen entstehen. Die gewonnenen Informationen können für weiterführende Angriffe wie Spear-Phishing oder Vishing genutzt werden. Je gezielter und glaubwürdiger eine Situation wirkt, desto wahrscheinlicher ist es, dass eine Person vertrauliche Informationen preisgibt. Nicht alle Phishing-Mails sind übersäht von Fehlern und Auffälligkeiten, die wirklich guten werden nicht so leicht erkannt.
LinkedIn bietet einige Einstellungen an, die es Ihnen ermöglicht Ihr Profil besser zu schützen. Mit einem geringen Aufwand können Sie so gerade bei einem automatisierten Scan aus der Opferliste fallen, da Ihr Nachname fehlt oder Sie in Suchmaschinen wie Google, Bing & Co. erst gar nicht auftauchen.
Im Folgenden finden Sie einige Einstellungen, welche einen Social Engineering-Angriff auf Sie erschweren können:
Als einer der wichtigsten Grundsätze gilt jedoch: Nehmen Sie keine Personen in Ihr Netzwerk auf, die Sie nicht kennen.
In vielerlei Hinsicht bietet LinkedIn Vorteile im Berufsleben. Der Besitz eines Accounts selbst ist noch keine Gefahr, sofern das Profil keine Geschäftsgeheimnisse oder offensichtliche Verletzungen der Privatsphäre anderer beinhaltet.
Ist ein Angreifer in der Lage viele Informationen über Sie zu sammeln, müssen dennoch Sie selbst in einem Phishing-Email auf den dargebotenen Link klicken. Allerdings kann ein Angreifer mit mehr Informationen Sie erfolgreicher dazu verleiten und seinen Angriff besser tarnen. Aus diesem Grund wird empfohlen Informationen nur dann öffentlich verfügbar zu machen, wenn sie erforderlich sind und die Einstellungen so restriktiv wie möglich zu setzen. Lassen Sie sich aber vor allem für Entscheidungen Zeit, gesunde Skepsis und Vorsicht helfen Ihnen oftmals mehr als Sicherheitseinstellungen in Ihrem Account.
Unsere Spezialisten kontaktieren Sie gern!
Andrea Covello
Michèle Trebo
Lucie Hoffmann
Yann Santschi
Unsere Spezialisten kontaktieren Sie gern!