Social Engineering? WhatsApp? Facebook? Ein Paradies für Hacker

Social Engineering? Was ist das? Schon mal gehört, aber betrifft mich das? Unter „Social Engineering“ versteht man das Erarbeiten von wichtigen Informationen durch Nutzung des sozialen Umfelds einer Person. Social Engineering ist eine der wichtigsten Methoden von Hackern. Die einfachste und oft in Filmen gezeigte Variante ist das Erraten des Passworts durch die Bilder, die so auf dem Schreibtisch rumstehen. Name vom Haustier, Geburtsdatum eines Kindes, Kosename des Partners usw. Das ist, naja sagen wir mal die Hollywoodvariante. Social Engineering ist aber tatsächlich sehr verbreitet. Warum? Weil Menschen mehr verraten als Computer. Das Ziel eines Hackers ist ja im Normalfall die Information die auf einem Computer gespeichert ist. Computer sind aber meistens nicht besonders geschwätzig. Sie sind so gebaut, dass sie ihre Information nur preisgeben im Tausch gegen ein Passwort oder andere Sicherheitsmechanismen. Aber in jedem Sicherheitskonzept ist immer der Mensch das schwächste Glied. Darum wird ein Hacker meistens versuchen über den Menschen an den Computer bzw. die Info zu kommen. Das hat aber nichts mit dem Erraten von Passwörtern zu tun. Ich versuche hier beispielhaft aufzuzeigen, wie ein Hacker vorgehen kann und wird. Dabei geht es mir nicht darum bestimmte Plattformen als unsicher zu verdammen, oder Panik bzw. Paranoia zu sähen, sondern zu zeigen, wie Hacker heute arbeiten.

Der Erstkontakt

Stell Dir vor Du blätterst in den Kleinanzeigen Deiner Zeitung. Dort verkauft Jaqueline aus Münster ihren alten Schülerschreibtisch und hat ihre Handynummer angegeben damit Du sie kontaktieren kannst. Jetzt wissen wir schon eine ganze Menge: Jaqueline wohnt in Münster, Name und Schülerschreibtisch lassen darauf schließen, dass sie ca. 20 Jahre alt ist und sie erwartet, dass Leute sie über ihre Handynummer kontaktieren. Wunderbar, genau was wir brauchen.

Recherche

Jetzt wollen wir ein bisschen was über Jaqueline wissen. Wir speichern die Handynummer in unserem Handy und da Jaqueline WhatsApp nutzt wird ihr Profilbild automatisch angezeigt. Mit Vorname, Wohnort, Handynummer und Foto ist es ein Kinderspiel Jaqueline auf Facebook zu finden. Ein paar Suchanfragen später habe wir sie. Ihr Profil sagt nicht allzuviel aus, weil sie ihre Privatsphäreneinstellungen richtig gesetzt hat. Aber wir erfahren wo sie zur Schule gegangen ist. Das ist ein sehr nützliches Detail, denn wer würde schon die Freundschaftsanfrage eines ehemaligen Klassenkameraden ablehnen, hehehe. Also erstellen wir uns schnell ein falsches Facebookprofil mit dem Namen eines anderen Schülers von dieser Schule (um welche zu finden, reicht ein Mausklick in Facebook, alternativ kann man auch Yasni oder ähnliches bemühen) und schicken Jaqueline eine Freundschaftsanfrage. Wir sind ein ehemaliger Mitschüler aus der Nachbarklasse. Freundschaftsanfrage ankzeptiert, wunderbar. Jetzt haben wir Zugang zu Jaquelines innerem Freundeskreise. Im Fall von Jaqueline sind das vielleicht 250 Freunde. Eine wahre Fundgrube.

Der Angriff

Was wir jetzt brauchen ist ein nicht besonders aktiver Freund. Da wir als Freund unbeschränkten Zugriff auf die Chronik und die Freundesliste von Jaqueline haben, können wir uns uneingeschränkt umschauen. Wir suchen jemanden der nicht viel postet und vielleicht schon länger nichts mehr gepostet hat. Vielleicht jemand mit einem gleichen Interessensgebiet wie Jaqueline. Ein Musikfan vielleicht, jemand der bestimmte Beiträge Jaquelines kommentiert. Wir finden Roman. Es scheint die beiden haben sich auf einem Konzert kennengelernt und für einige Zeit hat er auf Jaqueline Chronik Einträge hinterlassen, aber der letzte ist über 6 Monat alt. Ratet Mal: wir werden Roman. Ausgerüstet mit Romans Bild, einem Handy und Jaquelines Handynummer schicken wir Jaqueline eine WhatsApp Message als Roman. In dieser Message schicken wir Jaqueline ein bisschen Blabla, Bezug zu dem Konzert auf dem wir uns getroffen haben und das das Handy weg war, darum war so lange Funkstille, aber jetzt haben wir ein neues Handy und hier ist der Link zu einem Konzert unserer Lieblingsband in Deiner Nähe. Vielleicht können wir uns da treffen. Bäm. Der Link führt zu einer Website die einen Virus auf das Handy von Jaqueline lädt und dann zu der Konzertseite weiterleitet. Ein sogenannter Drive-By-Download. Das Ganze geht so schnell, das Jaqueline davon natürlich nichts merkt.
Mehrere Gründe sprechen dafür dass das funktionieren wird. 1. Jaqueline vertraut Roman, denn sie kennt ihn (er weiß gewisse Dinge, er hat ihre Handynummer, sie sieht sein Bild). 2. Jaqueline hat keinen Virenschutz auf ihrem Handy (denn das hat so gut wie niemand) 3. Handyviren kann man sich für ein paar hundert Euro im Internet kaufen.

Jetzt geht’s los

Und was machen wir jetzt? Wir haben Kontrolle über Jaquelines Handy. Damit haben wir Kontrolle über ihre Kontaktliste, ihr email usw. Wir werden Jaqueline. Jaqueline arbeitet als Auszubildende in einer Rechtsanwaltskanzlei. Wir schicken in ihrem Namen Emails an Kollegen, Kunden usw. Alle erhalten einen Link z.B. auf neueste relevante Informationen usw. Dahinter steckt ein Drive-By-Download und schon haben wir Zugriff auf die Dateien ihres Chefs und einiger wichtiger Kunden. Und das war genau das, was wir wollten. Jaqueline ist uninteressant. Ihr Chef und ihre Kunden sind es nicht. Denn mein Kunde bezahlt mich dafür wichtige Information zu besorgen, die auf dem Rechner des Rechtsanwalts gespeichert sind.

Fazit

Was lernen wir daraus? Bezahlte Hacker sind heute weit davon entfernt im dunklen Kämmerchen zu sitzen und sich die Zähne an irgend einer Firewall auszubeissen. Es gibt viel einfachere Wege in das Netzwerk einer Firma zu kommen. Die Angriffe von heute sind zielgerichtet, raffiniert und wurzeln im sozialen Umfeld des Opfers. Leider wird darüber viel zu wenig veröffentlicht, darum sollte sich jeder selber fragen ob er gegen so einen Angriff, wie den hier beschriebenen gefeit wäre.

Was bedeutet das für Firmen? Es sollte klare Regelungen für die Angestellten geben, wie Firmengeräte genutzt werden dürfen (keine private Nutzung von Firmenhandies) usw. Firmengeräte einschl. Handies müssen Virenschutz haben. Mitarbeiter müssen die Risiken kennen. Sogenannte Awarenesskampagnen können da Wunder wirken müssen aber auch regelmäßig wiederholt werden. Wenn Sie mehr darüber wissen wollen, kontaktieren Sie mich: David Gabel, David.Gabel@audit27001.de

David Gabel arbeitet freiberuflich als Datenschutzbeauftragter und Auditor/Berater für Informationssicherheitsmanagement. Sein Schwerpunkt ist der Bereich Marketing und Kundenbindung. Er berät Firmen im Umgang mit personenbezogenen Daten sowie im Schutz der eigenen Daten bzw. des geistigen Eigentums. Kontaktieren Sie ihn unter David.Gabel@audit27001.de