Drucksache: Windows Developer 6.17 - Wie kontert man Social Engineering?
Im windows.developer 6.17 ist ein Artikel über Social-Engineering-Angriffe (Scams, Phishing und Spear-Phishing) erschienen. Kann man diese Angriffe technisch bekämpfen, oder sind die potentiellen Opfer darauf angewiesen, sie eigenständig zu erkennen?
Eine Leseprobe des Artikels gibt es auf entwickler.de!
Beim Scam versprechen die Cyberkriminellen ihren Opfern große Gewinne, z.B. eine Erbschaft, dafür müssen sie aber vorher Geld investieren, z.B. als Sicherheit oder Bearbeitungsgebühr. Beim Phishing sollen die Opfer Zugangsdaten und ähnliches in täuschend echt nachgemachten Websites eingeben, von wo aus sie dann an die Cyberkriminellen geschickt werden. Und beim Spear Phishing wird den Opfern gezielt Schadsoftware untergeschoben.
Scams, Phishing und Spear Phishing setzen auf Social Engineering, und soziale Probleme lassen sich bekanntlich nicht mit Technik lösen. Jedenfalls weder vollständig noch zufriedenstellend. Und das gilt auch fürs Social Engineering - der beste Schutz vor diesen Angriffen besteht in einer umfassenden Information der Benutzer. Die sich trotzdem austricksen lassen, wie die Studien von Zinaida Benenson gezeigt haben.
Trotzdem kann bei der Bekämpfung der Cyberkriminellen Technik eingesetzt werden. Und das ist auch dringend nötig, manuell wäre z.B. ein Kampf gegen die teilweise im Sekundentakt registrierten Domainnamen gar nicht möglich. Und wenn die Domains weg sind, kann der Benutzer ruhig auf den Social Engineering Angriff hereinfallen und den Link zur Phishing-Seite oder zur Drive-by-Infektion anklicken, die Seite ist ja nicht mehr erreichbar.
Auch die Erkennung von Telefon-Scam über das Phoneprinting ist ein guter Ansatz, ermöglicht er es doch, die Telefonbasierten Angriffe ähnlich wie Spam-Mails bereits auf Provider-Ebene zu stoppen. Wenn die Telefonate die potentiellen Opfer gar nicht erst erreichen, können die auch nicht darauf herein fallen.
Und ansonsten gilt mein altbekannter Spruch "Schlimmer geht immer" - warum nicht mal für die Cyberkriminellen? Vielleicht findet ja noch jemand eine technische Lösung für das Social Engineering. Ausgeschlossen ist das nicht.
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Aude Marzuoli; Black Hat USA 2016: "Call Me: Gathering Threat Intelligence on Telephony Scams to Detect Fraud" (Video auf YouTube)
- [2] Judith Tabron; Black Hat USA 2016: "Language Properties of Phone Scammers: Cyberdefense at the Level of the Human" (Video auf YouTube)
- [3] "Unregistered436" Patrick McNeil, "Snide" Owen; DEF CON 23 (2015):"Sorry, Wrong Number: Mysteries Of The Phone System - Past and Present" (Präsentation als PDF, Video auf YouTube, Website)
- [4] Carsten Eilers: "Was ist ein Advanced Persistent Threat (APT)?"
- [5] Zinaida Benenson; Black Hat USA 2016: "Exploiting Curiosity and Context: How to Make People Click on a Dangerous Link Despite Their Security Awareness" (Video auf YouTube)
- [6] Arun Vishwanath; Black Hat USA 2016: "Blunting the Phisher's Spear: A Risk-Based Approach for Defining User Training and Awarding Administrative Privileges" (Video auf YouTube)
- [7] Joaquim Espinhara, Ulisses Albuquerque; Black Hat USA 2013: "Using Online Activity as Digital Fingerprints to Create a Better Spear Phisher" (Video auf YouTube)
- [8] Joaquim Espinhara, Ulisses Albuquerque; Hack in the Box Malaysia 2013: "Using Online Activity as Digital DNA to Create a Better Spear Phisher" (Präsentation als PDF)
- [9] GitHub: urma/microphisher - µphisher reference implementation
- [10] Markus Jakobsson, Ting-Fang Yen; Black Hat USA 2015: "How Vulnerable are We to Scams?" (Video auf YouTube)
- [11] Alexandrea Mellen, John Moore, Artem Losev; Black Hat USA 2015: "Mobile Point of Scam: Attacking the Square Reader" (Video auf YouTube)
- [12] Carsten Eilers: "Schlechte Karten"; Mobile Technology 1.2016
- [13] Zack Allen, Rusty Bower; DEF CON 23 2015: "Malware in the Gaming Micro-economy" (Präsentation als PDF, Video auf YouTube)
- [14] Paul Vixie; Black Hat Europe 2015: "New (and Newly-Changed) Fully Qualified Domain Names: A View of Worldwide Changes to the Internet's DNS" (Video auf YouTube)
- [15] Carsten Eilers: "Angriffsziel DNS"; Entwickler Magazin 3.16
- [16] Thibault Reuille, Jeremiah O'Connor; Black Hat Asia 2016: "The Security Wolf of Wall Street: Fighting Crime with High-Frequency Classification and Natural Language Processing" (Video auf YouTube)
- [17] GitHub: ThibaultReuille/avalanche: Realtime and Online Model Development Framework
- [18] John Seymour, Philip Tully; Black Hat USA 2016: "Weaponizing Data Science for Social Engineering: Automated E2E Spear Phishing on Twitter" (Video auf YouTube)
- [19] Delta Zero (John Seymour), KingPhish3r (Philip Tully); DEF CON 24 2016: "Weaponizing Data Science for Social Engineering: Automated E2E Spear Phishing on Twitter" (Präsentation als PDF, Paper als PDF, Extras)
- [20] GitHub: getzerofox/SNAP_R: A machine learning based social media pen-testing tool
- [21] Jay Beale, Larry Pesce; DEF CON 24 2016: "Phishing without Failure and Frustration" (Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube)
Trackbacks