| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung |
| gf_informatik:phishing [2024-02-08 15:10] – [Aufgabe B – Plant eure eigene Attacke] hof | gf_informatik:phishing [2025-02-04 12:24] (aktuell) – [Aufgabe B – Plant eure eigene Attacke] hof |
|---|
| ====== Phishing und Social engineering ====== | ====== Phishing und Social Engineering ====== |
| |
| ===== Übersicht ===== | ===== Übersicht ===== |
| Weshalb startet jemand eine Phishing-Attacke, weshalb will jemand bestimmte Daten von anderen sammeln? In den meisten Fällen geht es natürlich darum, Geld zu verdienen. Seltener geht es darum, der Zielperson oder -organisation zu schaden. Wie aber sollte jemand Geld damit verdienen, wenn er oder sie beispielsweise mein Passwort für mein Galaxus-Konto angelt? Was kann jemand anderes damit tun, als Produkte an meine Adresse bestellen? | Weshalb startet jemand eine Phishing-Attacke, weshalb will jemand bestimmte Daten von anderen sammeln? In den meisten Fällen geht es natürlich darum, Geld zu verdienen. Seltener geht es darum, der Zielperson oder -organisation zu schaden. Wie aber sollte jemand Geld damit verdienen, wenn er oder sie beispielsweise mein Passwort für mein Galaxus-Konto angelt? Was kann jemand anderes damit tun, als Produkte an meine Adresse bestellen? |
| |
| Es gibt mehrere Arten, wie solche Daten von Betrüger:innen genutzt werden können. Je nach Ziel und Motivation bieten sich andere Arten von social engineering an. | Es gibt mehrere Arten, wie solche Daten von Betrüger:innen genutzt werden können. Je nach Ziel und Motivation bieten sich andere Arten von Social Engineering an. |
| |
| ===== Social-engineering-Vektoren ===== | ===== Social-Engineering-Vektoren ===== |
| Folgend werden einige "beliebte" Strategien bzw. Tricks des Social engineering erläutert. Man spricht auch von Social-engineering-Vektoren. Ein Vektor ist ja sowas wie ein Pfeil mit einer bestimmten Richtung. Bildlich gesprochen kann eine Betrüger:in also unterschiedliche Vektoren wählen, um die Zielpersonen aus unterschiedlichen Richtungen bzw. auf unterschiedlichen Wegen anzugreifen. Welcher Weg auch gewählt wird: immer kommen psychologische Tricks zur Anwendung, die helfen, die Opfer zu täuschen. | Folgend werden einige "beliebte" Strategien bzw. Tricks des Social engineering erläutert. Man spricht auch von Social-Engineering-Vektoren. Ein Vektor ist ja sowas wie ein Pfeil mit einer bestimmten Richtung. Bildlich gesprochen kann eine Betrüger:in also unterschiedliche Vektoren wählen, um die Zielpersonen aus unterschiedlichen Richtungen bzw. auf unterschiedlichen Wegen anzugreifen. Welcher Weg auch gewählt wird: immer kommen psychologische Tricks zur Anwendung, die helfen, die Opfer zu täuschen. |
| |
| ==== Aufgaben A – Mindmap ==== | ==== Aufgaben A – Mindmap ==== |
| |
| |
| ==== Spear phishing und Whaling ==== | ==== Spear Phishing und Whaling ==== |
| Eine Spear-phishing-Attacke richtet sich gezielt auf eine einzelne Person (wie auch beim Fischen mit Wurfspiess (spear) nach genau einem Fisch gezielt wird). Handelt es sich dabei um eine besonders "wichtige" Person, etwa um die oder den CEO einer Firma, spricht man auch von //Whaling// (Walfang): man hat es auf ein besonders grosses Tier abgesehen. Weshalb? | Eine Spear-phishing-Attacke richtet sich gezielt auf eine einzelne Person (wie auch beim Fischen mit Wurfspiess (spear) nach genau einem Fisch gezielt wird). Handelt es sich dabei um eine besonders "wichtige" Person, etwa um die oder den CEO einer Firma, spricht man auch von //Whaling// (Walfang): man hat es auf ein besonders grosses Tier abgesehen. Weshalb? |
| |
| Wer eine Attacke auf bloss eine Person startet, erhofft sich natürlich eine grössere Erfolgsquote als mit der Massen-E-Mail-Methode. Um die Chancen zu erhöhen, dass die Zielperson "anbeisst", wird die E-Mail genau auf sie zugeschnitten. Das geht umso besser, je mehr die Angreifer:in über die Zielperson weiss. Nach nützliche Informationen kann zum Beispiel auf Social-Media-Plattformen wie LinkedIn, Instagram oder Facebook recherchiert werden. | Wer eine Attacke auf bloss eine Person startet, erhofft sich natürlich eine grössere Erfolgsquote als mit der Massen-E-Mail-Methode. Um die Chancen zu erhöhen, dass die Zielperson "anbeisst", wird die E-Mail genau auf sie zugeschnitten. Das geht umso besser, je mehr die Angreifer:in über die Zielperson weiss. Nach nützliche Informationen kann zum Beispiel auf Social-Media-Plattformen wie LinkedIn, Instagram oder Facebook recherchiert werden. |
| |
| === CEO fraud === | === CEO Fraud === |
| Gewinnt eine Hacker:in ausreichend Einblick in die Organisation einer Firma sowie Informationen über die Namen und E-Mail-Adressen der Angestellten, so könnte sie oder er versuchen, E-Mails an bestimmte Mitarbeitende zu versenden, deren Absender scheinbar die oder der CEO dieser Firma ist (oder eine Person in ähnlich hoher Position). Dann erhält zum Beispiel ein:e Mitarbeitende:r in der Buchhaltungsabteilung plötzlich eine Mail vom CEO, in der steht, dass SOFORT, noch innerhalb der nächsten Minuten, die schon lange versäumte Zahlung über 50'000 Franken an X mit Kontonummer Y gezahlt werden soll. Weil hier sowohl hohe Autorität als auch hohe Dringlichkeit vorgetäuscht wird, kann es passieren, dass Mitarbeitende den Anweisungen in der Mail folgen, obwohl es Regeln gäbe, die so unvorsichtiges Handeln verhindern sollten. | Gewinnt eine Hacker:in ausreichend Einblick in die Organisation einer Firma sowie Informationen über die Namen und E-Mail-Adressen der Angestellten, so könnte sie oder er versuchen, E-Mails an bestimmte Mitarbeitende zu versenden, deren Absender scheinbar die oder der CEO dieser Firma ist (oder eine Person in ähnlich hoher Position). Dann erhält zum Beispiel ein:e Mitarbeitende:r in der Buchhaltungsabteilung plötzlich eine Mail vom CEO, in der steht, dass SOFORT, noch innerhalb der nächsten Minuten, die schon lange versäumte Zahlung über 50'000 Franken an X mit Kontonummer Y gezahlt werden soll. Weil hier sowohl hohe Autorität als auch hohe Dringlichkeit vorgetäuscht wird, kann es passieren, dass Mitarbeitende den Anweisungen in der Mail folgen, obwohl es Regeln gäbe, die so unvorsichtiges Handeln verhindern sollten. |
| |
| |
| ==== Baiting ==== | ==== Baiting ==== |
| Das klassische Baiting ("Ködern") mit physikalischen Datenträgern wie CD-ROMs oder USB-Sticks war verbreiteter, als diese noch öfter in Gebrauch waren, aber [[https://www.inside-it.ch/de/post/fin7-bande-verschickt-usb-sticks-mit-ransomware-20220111|kommt auch]] [[https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2023/cybertipp-rubberducky.html|2023 noch vor]]. Die Idee: Die Betrüger:innen, die sich beispielsweise Zugang zum IT-System einer bestimmten Firma verschaffen wollen, verteilen beispielsweise schöne neue USB-Sticks in der Nähe des Firmengeländes. | Das klassische Baiting ("Ködern") mit physikalischen Datenträgern wie CD-ROMs oder USB-Sticks war verbreiteter, als diese noch öfter in Gebrauch waren, aber [[https://www.inside-it.ch/de/post/fin7-bande-verschickt-usb-sticks-mit-ransomware-20220111|kommt auch]] [[https://www.ncsc.admin.ch/ncsc/en/home/aktuell/im-fokus/2023/cybertipp-rubberducky.html|heute noch vor]]. Die Idee: Die Betrüger:innen, die sich beispielsweise Zugang zum IT-System einer bestimmten Firma verschaffen wollen, verteilen beispielsweise schöne neue USB-Sticks in der Nähe des Firmengeländes. |
| Oder sie lassen an geeignetem Ort eine CD liegen, die zum Beispiel mit "Lohntabelle 2023" beschriftet ist. Einige Mitarbeitende, erfreut über das neue Gerät oder überaus neugierig auf die vermuteten Informationen, verbinden den USB-Stick mit ihrem PC am Arbeitsplatz oder legen dort die CD-ROM ein. Wenn Sie Dateien, die die Hacker:innen darauf platziert haben, öffnen, installieren sie Programme auf einem PC, der in das interne Netzwerk der Firma eingebunden ist. So können sich die Hacker:innen Zugang zu firmeninternen Informationen verschaffen und die IT-Sicherheit von innen angreifen. | Oder sie lassen an geeignetem Ort eine CD liegen, die zum Beispiel mit "Lohntabelle 2025" beschriftet ist. Einige Mitarbeitende, erfreut über das neue Gerät oder überaus neugierig auf die vermuteten Informationen, verbinden den USB-Stick mit ihrem PC am Arbeitsplatz oder legen dort die CD-ROM ein. Wenn Sie Dateien, die die Hacker:innen darauf platziert haben, öffnen, installieren sie Programme auf einem PC, der in das interne Netzwerk der Firma eingebunden ist. So können sich die Hacker:innen Zugang zu firmeninternen Informationen verschaffen und die IT-Sicherheit von innen angreifen. |
| |
| === Phishing mit QR-Codes === | === Phishing mit QR-Codes === |
| Entwickelt in 3er- oder 4er-Gruppen einen Plan für eure eigene Social-Engineering-Strategie. Am Ende eurer Arbeit soll eine **Videobotschaft** vorliegen, in der ihr eure Strategie den anderen Social-Hacker:innen eurer Klasse mitteilt. | Entwickelt in 3er- oder 4er-Gruppen einen Plan für eure eigene Social-Engineering-Strategie. Am Ende eurer Arbeit soll eine **Videobotschaft** vorliegen, in der ihr eure Strategie den anderen Social-Hacker:innen eurer Klasse mitteilt. |
| Geht dabei wie folgt vor: | Geht dabei wie folgt vor: |
| - **Motivation und Ziele:** Überlegt und diskutiert gemeinsam, was ihr erreichen wollt. Eure Ziele können eigennützig oder gemeinnützig sein. Geld stehlen? Und an jene verteilen, die es brauchen? Gratis Produkte von Online-Händlern erhalten? Einer bestimmten Firma oder Organisation schaden, die euch unlieb ist? Anderen Kriminellen das Handwerk legen? An geheime Daten einer Organisation kommen und diese löschen – oder veröffentlichen? Etc. etc. etc. | - **Motivation und Ziele:** Überlegt und diskutiert gemeinsam, was ihr erreichen wollt. Eure Ziele können eigennützig oder gemeinnützig sein. |
| - **Zielpersonen, -Gruppen oder -Organisationen:** Aufgrund eures Ziels bestimmt ihr, auf wen oder was ihr eure Aufmerksamkeit richtet. | * Gratis Produkte von Online-Händlern erhalten? |
| - **Konzept:** Besprecht und skizziert eure Strategie auf einer Notiz (Papier oder elektronisch). **Dieses besprecht ihr mit der Lehrperson**. | * Geld stehlen? |
| | * Und an jene verteilen, die es brauchen? |
| | * ... oder lieber in die Ferien fahren? |
| | * Einer bestimmten Firma oder Organisation schaden, die euch unlieb ist? |
| | * Anderen Kriminellen das Handwerk legen? |
| | * An geheime Daten einer Organisation kommen und diese löschen – oder veröffentlichen? |
| | - **Zielpersonen, -Gruppen oder -Organisationen:** |
| | * Aufgrund eures Ziels bestimmt ihr, auf wen oder was ihr eure Aufmerksamkeit richtet. |
| | - **Konzept:** Besprecht und skizziert eure Strategie auf einer Notiz (Papier oder elektronisch). **Besprecht sie mit der Lehrperson**. |
| * Das Konzept beschreibt die unterschiedlichen Phasen euerer Strategie: Vorbereitung, Recherche, Daten sammeln/phishen, gesammelte Daten für eine bestimmte Aktion nutzen etc. | * Das Konzept beschreibt die unterschiedlichen Phasen euerer Strategie: Vorbereitung, Recherche, Daten sammeln/phishen, gesammelte Daten für eine bestimmte Aktion nutzen etc. |
| * Nutzt einen oder mehrere der oben beschriebenen Social-Engineering-Vektoren. Ihr könnt auch andere, hier nicht beschriebene Vektoren wählen. | * Nutzt einen oder mehrere der oben beschriebenen Social-Engineering-Vektoren. Ihr könnt auch andere, hier nicht beschriebene Vektoren wählen. |
| | * Dies ist der Kern der Arbeit: Wie wird Social Engineering verwendet, um an Geld oder Daten zu kommen? |
| * Wenn ihr Ideen braucht: Sucht im Internet nach Social-Engineering-Tricks. | * Wenn ihr Ideen braucht: Sucht im Internet nach Social-Engineering-Tricks. |
| * Werdet ihr wirklich reich? Wieviel liegt drin für jedes Teammitglied? | * Werdet ihr wirklich reich? Wieviel liegt drin für jedes Teammitglied? |
| * s.a. https://www.privacyaffairs.com/dark-web-price-index-2023/ | * s.a. https://www.privacyaffairs.com/dark-web-price-index-2023/ |
| - **Master-Plan:** Jetzt könnt ihr euer Konzept zu einem Plan ausarbeiten, der auch die nötigen Details enthält. Solche Details sind zum Beispiel: | * Lässt sich die Attacke **skalieren** (werdet ihr mit wenig Zusatzaufwand 10 mal reicher)? |
| | - **Master-Plan:** Jetzt könnt ihr euer Konzept zu einem Plan ausarbeiten, der auch die nötigen _Artefakte_ enthält. Artefakte sind zum Beispiel: |
| * Texte einer Phishing-Email in vollständigem Wortlaut, | * Texte einer Phishing-Email in vollständigem Wortlaut, |
| * Skripte (Ansagen und mögliche Antworten) für Vishing-Gespräche, | * Skripte (Ansagen und mögliche Antworten) für Vishing-Gespräche, |
| * Bilder von Phishing-Webseiten etc. | * Bilder von Phishing-Webseiten etc. |
| | * Video-Sequenzen, die einen Teil der Operation nachspielen. |
| | * Für die Artefakte dürft ihr hemmungslos kopieren, fälschen, photoshoppen, KI-Tools benützen, was das Zeug hält. |
| - **Zusammenstellung:** Zeichnet euren Plan mit den einzelnen Phasen übersichtlich auf einem **A3-Plakat** auf. Bilder oder Texte könnt ihr auch auf separaten Blättern bereithalten. | - **Zusammenstellung:** Zeichnet euren Plan mit den einzelnen Phasen übersichtlich auf einem **A3-Plakat** auf. Bilder oder Texte könnt ihr auch auf separaten Blättern bereithalten. |
| - **Videobotschaft filmen:** Nun filmt ihr das Plakat und erklärt euren Plan. Dabei könnt ihr auch Bilder oder Texte dazulegen und wieder wegnehmen. **Die Botschaft muss so gemacht sein, dass die Zuschauenden klar und deutlich verstehen, wie genau eure Strategie funktionieren soll.** | - **Videobotschaft filmen:** Nun filmt ihr das Plakat und erklärt euren Plan. Dabei könnt ihr auch Bilder oder Texte dazulegen und wieder wegnehmen. **Die Botschaft muss so gemacht sein, dass die Zuschauenden klar und deutlich verstehen, wie genau eure Strategie funktionieren soll.** |
hof