Erfolgreicher Social Engineering-Angriff dank Arztbesuch

Gepostet in: Brainfuck - Internet - PC

Stell Dir mal vor, Du sitzt im Wartezimmer einer Arztpraxis und wartest mit ein paar anderen Menschen darauf, aufgerufen zu werden. Wartezimmer halt.

Nun sitzt da ein Typ neben dir und fummelt an seinem Smartphone rum. Du schielst verstohlen rüber und kannst das Logo der hiesigen ACME GmbH erkennen.

Plötzlich schnauft der Typ schwer, drückt erneut auf dem Display herum, hält das Gerät ans Ohr, wartet kurz und fängt dann an zu quatschen: „Ja, Schmidt hier. Du Hannes, sag mal, das mit den Firmen-Mails auf dem Smartphone. Das will bei mir nicht so richtig. Kannst Du mir dabei nochmal helfen? Ah, Du bist im Meeting. Ja okay, ich ruf später dann nochmal durch. Bin auch grad beim Arzt. Ciao.“

Der Typ legt auf, murmelt was in sich rein und startet Facebook.

Die Tür des Wartezimmers geht auf, Dein Name wird gerufen und Du verlässt den Raum, um nach der erfolgten Behandlung 10 Minuten später die Praxis wieder verlassen zu können. Jedoch nicht, ohne vorher noch einen kurzen Blick auf den Tresen der Anmeldung geworfen zu haben.

Nach fünf Minuten Fußweg, bist Du daheim, setzt Dich an den PC und rufst www.acme-ort.de, die Website der ACME GmbH, auf.

Wie praktisch, dass sich dort jede Abteilung vorstellt – sogar die IT.

Also flux zum Handy mit der eBay-SIM gegriffen und anonym die Zentrale der ACME GmbH angewählt.

„Ja, Schmidt hier. Hallo Frau Muster. Sagen Sie, können Sie mich eben mit der IT verbinden? Hannes geht nicht ran und ich brauche dringend Hilfe“, bittest Du im flehenden Tonfall.
„Selbstverständlich, kleinen Moment“, antwortet die Muster und es ertönt Wartemusik.

Ein Mann meldet sich. Du erzählst ihm, dass Du eben schon mit Hannes gesprochen hast, der aber nicht helfen konnte, weil er gerade im Meeting ist und Du dringend Hilfe brauchst, weil Du dich von außen nicht mehr in Dein Mail-Postfach einloggen kannst, da vermutlich das Passwort falsch ist. Du bräuchtest da wohl ein neues.

Wie denn Deine Mail-Adresse sei, möchte der IT-Mensch wissen. Klar, könnte ja sonst jeder anrufen und sich als der Schmidt ausgeben. Sicherheit geht vor!

Wie praktisch, dass die Arztpraxis in der Du eben warst es mit Datenschutz nicht so ernst nimmt und die Akten derer Patienten, die als nächstes aufgerufen werden sollen, gut lesbar an der Anmeldung aufgereiht hat. So konntest Du beim Verlassen der Räumlichkeiten Schmidts Vornamen und weitere persönliche Daten gut erkennen.

Durch Dein vorheriges Kurzstudium der ACME-Website kennst Du außerdem den Aufbau der Mail-Adressen und kannst dem IT-Mensch selbstverständlich seine Frage nach eben dieser beantworten.

Nun will er auch noch Dein Geburtsdatum wissen. Ob er das ebenfalls als Sicherheitscheck verwendet? Hat die IT wirklich Zugriff auf diese Daten der Mitarbeiter? Warum auch nicht. Kann Dir ja egal sein.

Du beantwortest diese Frage ebenfalls und ohne große Umschweife teilt Dir der IT-Mensch nach kurzem Gebrabbel Dein neues Passwort mit und bittet Dich, damit den Login in den Webmailer der Firma zu testen. Du mögest Dich bitte erneut melden, wenn es nicht klappen sollte. Es ist Mittagspause und in der Kantine gibt es jetzt Gyros. Klick-Tuut-Tuut.

In aller Seelenruhe rufst Du webmail.acme-ort.de auf, tickerst die Zugangsdaten ein und hast Zugriff auf das Mail-Konto vom Schmidt. Woher Du den Link hast? Nun, da gibt es unter Anderem Websites, die sowas finden können.

Ach guck, der Schmidt ist ja Personaler. Der kann doch bestimmt neue Nutzeraccounts in der IT beauftragen…

Was war das denn?

Das war ein fiktives Szenario, welches durchaus der Wirklichkeit entstammen könnte.

In vielen Firmen werden den MitarbeiterInnen, trotz fortschreitender Digitalisierung, nicht die entsprechenden Verhaltensregeln geschult, die das oben erdachte Szenario in der Welt der Fiktion belassen würden.

Dies gilt für die MitarbeiterInnen der IT genauso wie für die aller anderen Abteilungen. Vom Hausmeister bis zum CEO. Von der Reinigungskraft bis zum CTO. Alle müssen geschult werden, damit vertrauliche Daten oder Angriffspunkte nicht an die Öffentlichkeit gelangen können.

Gerade in den Zeiten, in denen möglichst viele MitarbeiterInnen ins Home-Office geschickt werden oder das „mobile Arbeiten“ forciert wird, sind gewisse Verhaltensregeln unabdingbar.

Diese fangen beim klassischen „Bitte nicht das Passwort notieren und unter die Tastatur legen“ an, gehen über „In der Öffentlichkeit wird nicht über interne Abläufe geredet“ und hören bei „Lassen Sie sich von Fremden nicht unter Druck setzen, indem Ihnen diese mit Konsequenzen drohen, wenn Sie deren Bitte nicht nachkommen“ noch lange nicht auf.

Im erdachten Szenario hatte der Angreifer außerdem das Glück, dass in vielen Arztpraxen die DSGVO mit Füßen getreten wird. Da hängen großartige DIN A3 Zettel an den Türen, die über die Verwendung der Daten aufklären, aber einen Raum weiter liegen die Patientenakten für alle Welt einsehbar auf dem Tresen der Anmeldung.
Schlimmer noch! In 4 von 6 Praxen, die ich im letzten Jahr besuchen „durfte“, war es üblich, die Rechner in den Behandlungszimmern nicht zu sperren, sodass jede Person sich die digitalen Akten der anderen Patienten öffnen und anpassen/bearbeiten könnte. Was da alles passieren kann, mag ich mir nicht vorstellen. Mal eben die Medikation der alten Frau Müller anpassen? Kein Problem.

Schlaf gut, Frau Müller. ¯\_(ツ)_/¯


Wenn Dir dieser Beitrag geholfen hat und/oder Du mich finanziell unterstützen magst, kannst Du dies gerne per Paypal machen.

Bei Paypal spenden


Alternativ kannst Du Dir meinen Amazon-Partnerlink in die Favoriten legen und Amazon bei Deinen zukünftigen Einkäufen darüber aufrufen:

Amazon Partnerlink

Es entstehen Dir dadurch keine Mehrkosten, ich erhalte aber eine kleine Provision.


Über einen Kommentar freue ich mich natürlich auch :-)


The following two tabs change content below.

Jan B-Punkt

CEO, bitch!
Ich bin Jan, der Hauptakteur bei janbpunkt.de. Naja, eigtl. bin ich sogar der einzige Schreiberling hier. 1980 in Eckernförde geboren, lebe ich aktuell in Kiel und habe Spaß an Technik, Gadgets und dem Internet. Außerdem fotografiere und zocke ich gern. Verständlich, dass die meisten Artikel sich daher auf eben jene Themen beziehen.
Abonnieren
Benachrichtige mich bei
4 Comments
Oldest
Newest Most Voted
Inline Feedbacks
Zeige alle Kommentare
Lukas
9 Monate zuvor

Sehr guter Artikel :)

Anonym
9 Monate zuvor

Fun Fact: Das Mail Passwort ist eigentlich das vom Userprofil im AD/LDAP gewesen! Die Mail nach Hause im sent Folder mit dem VPN-Profil und Zertifikaten regeln den FullAccess inkl. RDP.