Deception – Täuschung

« Please explain the art of deception »

The art of deception is a skill that involves using false impressions and misinformation to manipulate others. It usually involves creating an illusion, or providing information that is misleading or false in order to get someone to believe something that is not true. Deception can be used for a variety of reasons, such as to influence or persuade another person, to gain an advantage in a situation, or to protect oneself from getting into trouble.

Deception – Täuschung

Decoy – Lockvogel, Köder

Honeypot – Honigtöpfe (statt Decoy)

Schon im letzten Jahrtausend   (1990er Jahre) war Kevin Mitnick, ein bekannter Hacker, aktiv und wurde durch seine Geniestreiche bekannt. Er beherrscht das Fach der Täuschung wie nur wenige. Nachdem er aus der Haft entlassen wurde, schrieb er das Buch „The Art of Deception^[1]“. Darin beschreibt er, wie man unüberwindbare Firewalls oder andere Schutzmechanismen über das schwächste Glied in der Kette, den Layer 8, also die Person hinter dem Bildschirm in der Computerwelt, überlisten kann. Viele Zugriffe hat er sich über ausserordentliche Menschenkenntnis erlangt und deren Schwächen schamlos ausgenutzt, um zum Ziel seiner Informationswünsche zu gelangen. Das Thema ist auch über 20 Jahre später immer noch hoch brisant und im Buch „The Security Culture Playbook^[3]“ beschreibt Perry Carpenter im Kapitel 2, dass für die Schulung des schwächsten Glieds ca. 3% der Kosten aufgewendet werden.

Lesen Sie das Buch von Kevin Mitnick und merken Sie sich die beschrieben Tricks. Diese helfen, um die 3% Aufwand besser unter Kontrolle zu bekommen. Investieren Sie mehr in die Schulung Ihrer User anhand der Beispiele.

Wenn wir zusätzlich die letzte Empfehlung der Bücher von Kevin Mitnick „The Art of Invisibility^[2]“ lesen, so können wir erkennen aus welchem grossen Pool von Informationen ein Perfektionist der Täuschung schöpfen kann. Es wird beschrieben welchen Aufwand ich betreiben muss, damit ich mich unsichtbar im Internet bewegen kann. Nur kleine Abweichungen von den Vorschlägen oder das Ignorieren – was heute öfters geschieht als man denkt, mit Facebook, LinkedIn, Instagram, Xing, Google und weiteren – so kann man sich die Angriffsvektoren an den Mitarbeitern und Usern sehr gut ausmalen.

Wenn wir hier mehr Aufwand betrieben haben, können wir uns ohne schlechtes Gewissen den neuen technischen Hilfsmitteln widmen. Zum Thema Deception (Täuschung) gibt es eine neue Erweiterung von Zscaler, welche das Prinzip der Täuschung als Schutz vor Attacken im Zero-Trust-Umfeld (spezifisch im ZPA-Umfeld) unterstützt.

Ich möchte hier nur ganz allgemein die Möglichkeiten auf einer hohen Abstraktion aufzeigen. Man kann Parallelen ziehen, welche auch für den Schutz der Mitarbeiter erarbeitet werden könnten. Also den technischen Ansatz der Decoys (Lockvögel, Köder) und Honeypots (Honigtöpfen) auf das Verhalten gegenüber Unbekannten (Anrufe, Emails, Empfang) abbilden. Kommen wir am Schluss des Blogs nochmals auf diese Gegenüberstellung zu sprechen.

Die Beschreibung möchte ich ohne grosse Marketingschlagwörter widergeben. Auszug aus der deutschen Zscaler Webseite^[4]:

Täuschung ist ein proaktiver Abwehransatz zur Erkennung aktiver Bedrohungen. Hierbei werden gezielt Decoys, also Köder, in der Umgebung platziert: gefälschte Endgeräte, Dateien, Services, Datenbanken, User, Computer und andere Ressourcen, die sich als Produktionsressourcen ausgeben. Diese dienen allein der Warnung, wenn ein Angreifer mit ihnen interagiert.

Diese Köder sind für den normalen User verborgen und sie wissen gar nichts von deren Existenz. Dadurch erkennt das System ziemlich sicher, wenn jemand, durch eine Interaktion mit diesen Ködern, bösartige Absichten hegt. Das Schöne ist, dass man keine zusätzliche Infrastruktur benötigt. Zusätzlich kann man jedoch eigene Docker-Images als Köder aufsetzen, wenn man möchte.

Folgende Decoys werden unterstützt:

Mit den zusätzlichen Alarmen und Dashboards gibt das eine gute Übersicht und wird sicher helfen, aktive Verteidigung im Zero Trust Umfeld zu erreichen.

Die Tricks des Social Engineers basieren oft auf der Empathie der Menschen. Durch einen gewissen Druck wird versucht, dass das Opfer nicht alle Handlungen genauer überlegt. Hier Beispiele wie es gemeint ist:

Social Engineer: «Mein Chef liegt mir in den Ohren, ich muss möglichst schnell …»

• • Zugriff auf den Serverraum haben
  • im geschickten Mail auf den Link klicken
  • er die Zugangsdaten/Batch erhalten
  • der Unbekannte vom internen Support-Team muss mein Login haben

Der Druck wird mit solchen Aussagen erhöht:

• • Ansonsten wird ihm gekündigt, da er schon mehr als einmal nicht rechtzeitig den Job erledigen konnte,
  • er erreicht seine Ziele nicht,
  • der Chef macht mir das Leben schwer,
  • er sollte schon beim nächsten Kunden sein,

und so weiter.

Wenn wir für solche Fälle für das potenzielle Opfer einen Fake Account haben, gar einen Fake Server-Raum mit ein paar alten Servern oder einen isolierten Internetzugang, so kann innert Kürze automatisch ein Alarm ausgelöst werden, wenn die drängende Person böse Absichten hat. In der Zwischenzeit kann mit weniger Druck der Vorgesetzte, CISO oder der Sicherheitsdienst gerufen werden.

Das Thema kommt Ihnen bekannt vor? Sie haben damit bereits Erfahrungen gemacht?
Über einen Kommentar von Ihnen zu diesem Thema würde ich mich freuen.

^[1] Mitnick, Kevin; Simon, William L. (October 2003). The Art of Deception: Controlling the Human Element of Security. Wiley Books. ISBN 978-0-7645-4280-0.

^[2] Mitnick, Kevin; Vamosi, Robert (February 2017). The Art of Invisibility. Little, Brown and Company. ISBN 978-0-3163-8049-2.

^[3] Carpenter, Perry; Roer, Kai (April 2022). The Security Culture Playbook, Wiley Books, ISBN: 978-1-1198-7523-9.

^[4] www.zscaler.de/products/deception-technology