«Die geringe Büropräsenz hilft uns sehr»
Vorteil der leeren Büros
CW: Auch als Social Engineer müssen die letzten zwei Jahre speziell gewesen sein. Was waren Ihre Erfahrungen während der Pandemie, als viele Belegschaften mehrheitlich im Home Office waren? War es einfacher oder mühsamer für einen Social Engineer?
Somaini: Während der Pandemie haben wir weniger Aufträge erhalten für physische Eindringungsversuche. Schliesslich wollte man keine solche Szenarien anhand einer Aussnahmesituation testen. Denn wichtig sind ja die Ergebnisse für den Normalfall in Hinblick auf Awarenesskampagnen. Viele Auftraggeber haben daher die Pandemie für einen schlechten Zeitpunkt gehalten, da ungewiss war, wie lange diese anhalten würde. Die Ausnahmesituation hätte ja nach wenigen Wochen vorbei sein können. Zudem hätten Betroffene mit Verweis auf die Covidkrise eine gute Ausrede gehabt, warum sie im Sinne der Security falsch gehandelt haben.
“Die jetzige geringe Büropräsenz hilft bei Social-Engineering-Angriffen„
Ivano Somaini
Compass Security
Compass Security
Auch wollten wir keine Phishing-Mails entwerfen, die die Pandemie thematisieren. Schliesslich kann man davon ausgehen, dass viele Mitarbeitende selbst oder im näheren Umfeld Krankheitsfälle oder gar Todesfälle zu beklagen hatten. Unser Ziel als Social Engineer ist es, das Sicherheitsbewusstsein zu schärfen, und nicht bei den Betroffenen schlechte Gefühle hervorzurufen. Dies wäre bei Corona aber unweigerlich der Fall gewesen. Darum müssen wir immer Szenarien entwerfen, bei denen die Betroffenen sich zwar ärgern oder betroffen sind, dass sie in die von uns gestellte Falle getappt sind, aber nicht mehr.
CW: Was wäre ein solches Szenario?
Somaini: Beispielsweise migrieren derzeit viele Firmen auf Office 365 und sind dabei, die Zweifachauthentifizierung zu implementieren. Hier schreiben wir dann ein Mail im Namen des Supports und fordern die Angeschriebenen auf, für die Änderung der Konfiguration auf einen Link zu klicken, der auf eine Seite führt, auf der Login-Daten abgefangen werden können. Es handelt sich somit um ein relativ emotionsloses Thema, es geht schlicht um IT.
Ein weiteres Beispiel: Zur Zeit kann man Mitarbeitenden im Mail als Fringe-Benefit Tankgutscheine versprechen, wenn die Benzinpreise wieder steigen. Es werden also positive Köder ausgelegt, was moralisch weniger problematisch ist.
CW: Wie gut funktionieren physische Eindringungsversuche derzeit, da viele Mitarbeitende nur noch teilweise im Büro anzutreffen sind?
Somaini: Was die jetzige geringe Büropräsenz angeht, so hilft dies bei Social-Engineering-Angriffen. Wir können uns gegenüber früheren Zeiten freier bewegen, weil in den Grossraumbüros nur noch die Hälfte der Mitarbeitenden anwesend sind. In der Regel können wir uns an einen verwaisten Arbeitsplatz setzen und in aller Seelenruhe unsere weiteren Schritte planen. Auch wird man seltener angesprochen und fällt generell weniger auf. Besonders in grossen Konzernen wissen viele Angestellte gar nicht mehr, wer aktuell genau für das Unternehmen tätig ist und wie all die Mitarbeitenden aussehen. Somit kann man recht locker die Rolle als neuer Mitarbeiter spielen.