«Die geringe Büropräsenz hilft uns sehr»

Kulturelle Unterschiede

CW: Gibt es auch gesellschaftliche Unterschiede? Funktionieren gewisse Social-Engineering-Tricks beispielsweise in der Schweiz besser als in anderen Ländern oder Kulturen? Was sind hier Ihre Erfahrungen?
Somaini: Auf jeden Fall! Es gibt Szenarien, die in der Schweiz funktionieren, aber in Italien oder auch in Deutschland nicht. In der Schweiz ist man generell nett, zuvorkommend und hilfsbereit. Das macht meinen Job tendenziell einfacher. Wenn Leute sehen, dass ich Probleme habe, wird mir geholfen. Auch beobachte ich bei sogenannten Tailgating-Versuchen, wo ich also hinter jemandem durch die noch offene Türe schlüpfe, dass in der Schweiz und besonders in der Deutschschweiz die Hemmschwelle sehr hoch ist, mich anzusprechen und zu fragen, wer ich bin und ob ich überhaupt berechtigt sei, mich hier aufzuhalten. Letzteres passiert in Deutschland und Italien übrigens öfter als in der Schweiz. Hierzulande erntet man zwar skeptische Blicke, aber zur Rede wird man selten gestellt.
Dafür kann man in Italien und Deutschland die Leute mit Titeln mehr beeinflussen, da diese in der dortigen Alltagskultur eine grössere Rolle spielen als in unserer. Hier ist also definitiv ein auf die Hierarchie abzielendes Szenario Erfolg versprechender als bei uns.
“Es gibt Szenarien, die in der Schweiz funktionieren, aber in Italien oder auch in Deutschland nicht„
Ivano Somaini
Compass Security
CW: Welche Rolle spielen Firmenkultur und -struktur dabei, ob ein Social-Engineering-Angriff erfolgreich ist? Ist es beispielsweise einfacher, in einem autoritär geführten Unternehmen an Infos zu kommen als in einer Firma mit flacher Hierarchie?
Somaini: Ob es einfacher ist, kann nicht gesagt werden. Es ist aber sicherlich so, dass Szenarien, die auf die Hierarchie setzen, in Organisationen wie dem Militär oder der Polizei, aber auch bei gewissen Grossbanken sehr gut funktionieren. Hier reicht es oft aus, mit Hilfe eines hohen Dienstgrads oder einer hohen Position im Management an die benötigten Informationen zu kommen.
Auf der anderen Seite hätten Sie damit bei Start-ups überhaupt keinen Erfolg. Das sind Firmen, die sehr offen und neugierig sind und Know-how aufsaugen möchten. Sie suchen geradezu neue Kontakte, so dass es nicht sonderlich schwierig ist, mit ihnen anzubandeln und sich zu treffen sowie offen auszutauschen.
Bei grösseren Unternehmen dagegen kann einerseits die Anonymität ausgenutzt werden, um sich beispielsweise ins Gebäude einzuschleusen. Andererseits sind hier Phishing-Aktionen meist erfolgreich, wenn man die Hierarchie-Karte spielt und sich etwa als Verkaufschef ausgibt. Allerdings braucht es gute vorgängige Osint-Recherchen wie das gründliche Studium des Organigramms.
CW: Wie wenden Sie die Informationen an, reicht das simple Nennen des Namens eines leitenden Managers?
Somaini: Meist nicht einmal nur das. Ein Trick etwa besteht darin, jemandem eine Mail mit einem Auftrag oder einer Bitte zu schreiben und die Adresse des Chefs oder Vorgesetzten ins «Cc:» zu nehmen, aber so, dass diese einen Schreibfehler enthält. Dadurch meint zwar der Angeschriebene, dass der Chef die Nachricht ebenfalls erhalten habe. Sie ist aber wegen der falschen Adresse nicht angekommen.
Daneben gibt es noch ganz andere Spielarten. Einmal durfte ich einen Politiker angreifen. Hier zielte ich dann auf das Ego des Betreffenden ab, indem ich mich als Zeitungsredaktor ausgab und erklärte, dass ich an einem Porträt über ihn arbeite, das morgen gedruckt werde und ihm den Text zur Durchsicht als Mailanhang schicke. Die Wahrscheinlichkeit, dass diese Person die Datei öffnet, ist in einem solchen Fall sehr hoch.
CW: Politiker könnte man auch mit bewussten Falschaussagen aus der Reserve locken ...
Somaini: Nicht nur Politiker! Falsche Angaben sind oft hilfreich, um an richtige Informationen zu kommen. Letztens haben wir die Rezeption einer Bank angerufen, um herauszufinden, wie der Prozess zur Ausstellung von Besucherbadges abläuft. Gegenüber dem Mitarbeitenden erklärten wir am Schluss als Bestätigung, dass wir ihn also anrufen würden, wenn wir einen Badge bräuchten. Darauf widersprach dieser und verriet uns die richtige Kontaktperson samt Mailadresse und Telefonnummer. Schlussendlich konnten wir in Erfahrung bringen, wie und mit welchen Informationen ein Formular ausgefüllt werden musste, um den Badge zu erhalten.



Das könnte Sie auch interessieren