Social Engineering? WhatsApp? Facebook? Ein Paradies für Hacker

Social Engineering? Was ist das? Schon mal gehört, aber betrifft mich das? Unter „Social Engineering“ versteht man das Erarbeiten von wichtigen Informationen durch Nutzung des sozialen Umfelds einer Person. Social Engineering ist eine der wichtigsten Methoden von Hackern. Die einfachste und oft in Filmen gezeigte Variante ist das Erraten des Passworts durch die Bilder, die so auf dem Schreibtisch rumstehen. Name vom Haustier, Geburtsdatum eines Kindes, Kosename des Partners usw. Das ist, naja sagen wir mal die Hollywoodvariante. Social Engineering ist aber tatsächlich sehr verbreitet. Warum? Weil Menschen mehr verraten als Computer. Das Ziel eines Hackers ist ja im Normalfall die Information die auf einem Computer gespeichert ist. Computer sind aber meistens nicht besonders geschwätzig. Sie sind so gebaut, dass sie ihre Information nur preisgeben im Tausch gegen ein Passwort oder andere Sicherheitsmechanismen. Aber in jedem Sicherheitskonzept ist immer der Mensch das schwächste Glied. Darum wird ein Hacker meistens versuchen über den Menschen an den Computer bzw. die Info zu kommen. Das hat aber nichts mit dem Erraten von Passwörtern zu tun. Ich versuche hier beispielhaft aufzuzeigen, wie ein Hacker vorgehen kann und wird. Dabei geht es mir nicht darum bestimmte Plattformen als unsicher zu verdammen, oder Panik bzw. Paranoia zu sähen, sondern zu zeigen, wie Hacker heute arbeiten.

Der Erstkontakt

Stell Dir vor Du blätterst in den Kleinanzeigen Deiner Zeitung. Dort verkauft Jaqueline aus Münster ihren alten Schülerschreibtisch und hat ihre Handynummer angegeben damit Du sie kontaktieren kannst. Jetzt wissen wir schon eine ganze Menge: Jaqueline wohnt in Münster, Name und Schülerschreibtisch lassen darauf schließen, dass sie ca. 20 Jahre alt ist und sie erwartet, dass Leute sie über ihre Handynummer kontaktieren. Wunderbar, genau was wir brauchen.

Recherche

Jetzt wollen wir ein bisschen was über Jaqueline wissen. Wir speichern die Handynummer in unserem Handy und da Jaqueline WhatsApp nutzt wird ihr Profilbild automatisch angezeigt. Mit Vorname, Wohnort, Handynummer und Foto ist es ein Kinderspiel Jaqueline auf Facebook zu finden. Ein paar Suchanfragen später habe wir sie. Ihr Profil sagt nicht allzuviel aus, weil sie ihre Privatsphäreneinstellungen richtig gesetzt hat. Aber wir erfahren wo sie zur Schule gegangen ist. Das ist ein sehr nützliches Detail, denn wer würde schon die Freundschaftsanfrage eines ehemaligen Klassenkameraden ablehnen, hehehe. Also erstellen wir uns schnell ein falsches Facebookprofil mit dem Namen eines anderen Schülers von dieser Schule (um welche zu finden, reicht ein Mausklick in Facebook, alternativ kann man auch Yasni oder ähnliches bemühen) und schicken Jaqueline eine Freundschaftsanfrage. Wir sind ein ehemaliger Mitschüler aus der Nachbarklasse. Freundschaftsanfrage ankzeptiert, wunderbar. Jetzt haben wir Zugang zu Jaquelines innerem Freundeskreise. Im Fall von Jaqueline sind das vielleicht 250 Freunde. Eine wahre Fundgrube.

Der Angriff

Was wir jetzt brauchen ist ein nicht besonders aktiver Freund. Da wir als Freund unbeschränkten Zugriff auf die Chronik und die Freundesliste von Jaqueline haben, können wir uns uneingeschränkt umschauen. Wir suchen jemanden der nicht viel postet und vielleicht schon länger nichts mehr gepostet hat. Vielleicht jemand mit einem gleichen Interessensgebiet wie Jaqueline. Ein Musikfan vielleicht, jemand der bestimmte Beiträge Jaquelines kommentiert. Wir finden Roman. Es scheint die beiden haben sich auf einem Konzert kennengelernt und für einige Zeit hat er auf Jaqueline Chronik Einträge hinterlassen, aber der letzte ist über 6 Monat alt. Ratet Mal: wir werden Roman. Ausgerüstet mit Romans Bild, einem Handy und Jaquelines Handynummer schicken wir Jaqueline eine WhatsApp Message als Roman. In dieser Message schicken wir Jaqueline ein bisschen Blabla, Bezug zu dem Konzert auf dem wir uns getroffen haben und das das Handy weg war, darum war so lange Funkstille, aber jetzt haben wir ein neues Handy und hier ist der Link zu einem Konzert unserer Lieblingsband in Deiner Nähe. Vielleicht können wir uns da treffen. Bäm. Der Link führt zu einer Website die einen Virus auf das Handy von Jaqueline lädt und dann zu der Konzertseite weiterleitet. Ein sogenannter Drive-By-Download. Das Ganze geht so schnell, das Jaqueline davon natürlich nichts merkt.
Mehrere Gründe sprechen dafür dass das funktionieren wird. 1. Jaqueline vertraut Roman, denn sie kennt ihn (er weiß gewisse Dinge, er hat ihre Handynummer, sie sieht sein Bild). 2. Jaqueline hat keinen Virenschutz auf ihrem Handy (denn das hat so gut wie niemand) 3. Handyviren kann man sich für ein paar hundert Euro im Internet kaufen.

Jetzt geht’s los

Und was machen wir jetzt? Wir haben Kontrolle über Jaquelines Handy. Damit haben wir Kontrolle über ihre Kontaktliste, ihr email usw. Wir werden Jaqueline. Jaqueline arbeitet als Auszubildende in einer Rechtsanwaltskanzlei. Wir schicken in ihrem Namen Emails an Kollegen, Kunden usw. Alle erhalten einen Link z.B. auf neueste relevante Informationen usw. Dahinter steckt ein Drive-By-Download und schon haben wir Zugriff auf die Dateien ihres Chefs und einiger wichtiger Kunden. Und das war genau das, was wir wollten. Jaqueline ist uninteressant. Ihr Chef und ihre Kunden sind es nicht. Denn mein Kunde bezahlt mich dafür wichtige Information zu besorgen, die auf dem Rechner des Rechtsanwalts gespeichert sind.

Fazit

Was lernen wir daraus? Bezahlte Hacker sind heute weit davon entfernt im dunklen Kämmerchen zu sitzen und sich die Zähne an irgend einer Firewall auszubeissen. Es gibt viel einfachere Wege in das Netzwerk einer Firma zu kommen. Die Angriffe von heute sind zielgerichtet, raffiniert und wurzeln im sozialen Umfeld des Opfers. Leider wird darüber viel zu wenig veröffentlicht, darum sollte sich jeder selber fragen ob er gegen so einen Angriff, wie den hier beschriebenen gefeit wäre.

Was bedeutet das für Firmen? Es sollte klare Regelungen für die Angestellten geben, wie Firmengeräte genutzt werden dürfen (keine private Nutzung von Firmenhandies) usw. Firmengeräte einschl. Handies müssen Virenschutz haben. Mitarbeiter müssen die Risiken kennen. Sogenannte Awarenesskampagnen können da Wunder wirken müssen aber auch regelmäßig wiederholt werden. Wenn Sie mehr darüber wissen wollen, kontaktieren Sie mich: David Gabel, David.Gabel@audit27001.de

David Gabel arbeitet freiberuflich als Datenschutzbeauftragter und Auditor/Berater für Informationssicherheitsmanagement. Sein Schwerpunkt ist der Bereich Marketing und Kundenbindung. Er berät Firmen im Umgang mit personenbezogenen Daten sowie im Schutz der eigenen Daten bzw. des geistigen Eigentums. Kontaktieren Sie ihn unter David.Gabel@audit27001.de

 

2 Thoughts on “Social Engineering? WhatsApp? Facebook? Ein Paradies für Hacker

  1. Hallo David,

    interessante neue Webseite hast du da. Ich denk, da werd ich mich öfter mal umsehen 😉
    Ich könnte mir durchaus vorstellen, dass social hacking so funktioniert, sehr einleuchtend erklärt!
    Da ich in der IT einer mittelständischen Firma tätig bin, ist mir durchaus bekannt, dass die Mitarbeiter oftmals das größte Sicherheitsrisiko darstellen, egal, ob es jetzt um das preisgeben sensibler Daten geht, oder um Versuche, die Sicherheitsmechanismen der IT zu umgehen.

    In deinem Bericht gehst du darauf ein, dass der Hacker sich scheinbar wahllos eine gewisse Jaqueline aussuchst, die in einer Anzeige ihre Handy-Nummer angegeben hat. Dass er auf die beschriebene Art und Weise an die Daten der Chefs und Kunden kommst, glaub ich.
    Wie sieht das aber mit dem Käufer aus?
    Hat der Käufer der Informationen den Hacker beauftragt?
    Woher wusstest der Hacker dann, dass Jaqueline genau in dieser Firma arbeitet?
    Hat der Hacker die Infos eingeholt und dann nach einem Käufer gesucht? Dann würde es wieder passen.

    Viele Grüße,
    Alex

    • david.gabel@audit27001.de on 28. Juli 2014 at 19:58 said:

      Hallo Alex,

      der Beitrag ist bewusst so aufgebaut, dass es am Anfang erscheint, als wäre Jaqueline ein zufälliges Opfer und man erst am Schluss erkennt, dass es eigentlich nicht so ist. In der Wirklichkeit sind die allermeisten Opfer von solchen Angriffen gezielt ausgewählt. Es erscheint nur so zufällig, weil niemand damit rechnet. Die meisten Opfer sind nur eine Stufe auf der Leiter zum eigentlichen Ziel und man fängt immer mit dem unvorsichtigsten und schwächsten Glied der Kette an. Das ist im Normalfall der, der denkt, er hat nichts zu verbergen.
      Ausgangspunkt ist die Handynummer von Jaqueline. An die kommt man aber nicht einfach über ihr Facebookprofil und ein normaler Hacker wird niemals versuchen Jaqueline in der „echten“ Welt kennenzulernen um an ihre Handynummer zu kommen. Kleinanzeigenportale usw. sind hier die ideale Informationsquelle.
      Hacker haben immer einen Auftraggeber im Hintergrund. Sie leben davon. Natürlich gibt es auch Zwischenhändler, aber es wäre viel zu aufwendig und unsicher einfach wahllos nach Information zu fischen und dann einen Käufer zu suchen.

      LG David

Post Navigation