Kapitel 2

Informationssammlung

Krieg besteht zu 90 % aus Information.
Napoleon Bonaparte

Man hat gesagt, dass Information nie irrelevant ist. Diese Anmerkung gilt besonders, wenn es wie in diesem Kapitel um Informationssammlung geht. Noch das kleinste Detail kann zu einem erfolgreichen Social Engineering-Einbruch führen.

Mein guter Freund und Mentor Mati Aharoni, der über zehn Jahre als professioneller Pentester tätig war, erzählt eine Geschichte, die diesen Aspekt hervorragend illustriert. Er hatte den Auftrag bekommen, in die Netzwerke einer Firma einzudringen, über die im Internet praktische keine Spuren zu finden waren. Weil diese Firma nur sehr wenige Zugangswege anbot, über die man sich hineinhacken konnte, war dieser Auftrag eine besondere Herausforderung.

Mati machte sich daran, im Internet nach möglichen Einzelheiten zu forschen, die zu einem Weg hinein führen könnten. Bei einem seiner Suchgänge fand er einen hochrangigen Firmenangehörigen, der mit seiner dienstlichen E-Mail-Adresse in einem Forum übers Briefmarkensammeln unterwegs gewesen war und dort sein Interesse an Marken aus den 1950ern bekundet hatte. Mati registrierte schnell eine URL, so etwas wie www.stampcollection.com, und fand dann bei Google ein paar alt wirkende Briefmarkenbilder aus den 1950ern. Er richtete im Handumdrehen eine Website ein, um dort seine „Briefmarkensammlung“ vorzustellen, und formulierte dann eine E-Mail an diesen Firmenmitarbeiter:

Sehr geehrter Herr,

ich habe auf www.forum.com gesehen, dass Sie sich für Marken aus den 1950er Jahren interessieren. Mein Großvater ist kürzlich verstorben und hinterließ mir eine Briefmarkensammlung, die ich gerne veräußern möchte. Dafür habe ich eine Website eingerichtet. Wenn Sie daran interessiert sind, besuchen Sie bitte www.stampcollection.com.

Vielen Dank,
Mati

Bevor er die E-Mail an die Zielperson versandte, wollte er sichergehen, dass sich diese Mail optimal auswirkte. Er entnahm dem Forum-Posting die Büronummer und rief diesen Mann im Büro an. „Guten Tag, ich heiße Bob. Ich habe Ihr Posting auf www.forum.com gesehen. Mein Großvater ist vor Kurzem gestorben, und er hat mir ziemlich viele Briefmarken aus den Fünziger- und Sechzigerjahren hinterlassen. Ich habe sie fotografiert und auf eine Website gestellt. Wenn Sie interessiert sind, kann ich Ihnen den Link schicken, und dann können Sie sich das selbst einmal anschauen.“

Die Zielperson war sehr begierig, sich diese Sammlung anzuschauen, und wollte sich gerne die E-Mail senden lassen. Mati schickte dem Mann die E-Mail mit dem Link und wartete darauf, dass er darauf klickte. Mati hatte nun auf der Website einen heimtückischen Frame eingebettet. Dieser Frame enthielt Code, der eine damals bekannte Schwachstelle im Internet Explorer ausnutzte. Darüber wollte Mati dann die Kontrolle über den Computer der Zielperson bekommen.

Er brauchte nicht allzu lange zu warten: Sobald der Mann die E-Mail empfangen hatte, klickte er auf den Link, und der Schutz der Firma war kompromittiert.

Ein winziges Fitzelchen Information (die Firmen-E-Mail-Adresse, über die dieser Mann Briefmarken gesucht hatte) führte zu dieser Kompromittierung. Kein Stück Information ist irrelevant. Mit diesem Wissen im Hinterkopf folgen hier nun einige Fragen, die sich im Zusammenhang mit dem Sammeln von Informationen stellen:

       Wie machen Sie Informationen ausfindig?

       Welche Quellen existieren für Social Engineers, um Informationen zu sammeln?

       Was können Sie durch diese Informationen herausbekommen, um sich ein Profil Ihrer Ziele zu verschaffen?

       Wie können Sie all diese Informationen zur späteren Verwendung auf einfachste Weise lokalisieren, speichern und katalogisieren?

Dies sind nur ein paar der Fragen, auf die Sie Antworten finden müssen, um eine angemessene und effektive Informationssammlung aufzubauen. Durch die Unmengen der Sites für soziale Netzwerke teilen die Leute auf einfachste Weise jeden Aspekt ihres Lebens mit beliebigen Menschen. So werden potenziell schädigende Informationen viel einfacher verfügbar als jemals zuvor. Dieses Kapitel konzentriert sich auf die Prinzipien der Informationssammlung. Hier werden Beispiele präsentiert, wie man die Informationserfassung beim Social Engineering einsetzt, und welch verheerende Effekte manche dieser Informationen, die Leute ins Netz stellen, auf ihre persönliche und berufliche Sicherheit haben.

Viele der Skills oder Methoden, mit denen Social Engineers arbeiten, stammen aus anderen Bereichen oder Branchen. Ein Feld, in dem die Informationserfassung hervorragend ist, ist der Verkaufsbereich. Verkäufer sind meist sehr gesprächsfreudig, locker und sehr gut darin, Daten über alle zu erfassen, mit denen sie zu tun haben.

Ich habe mal ein Buch über Verkaufstechniken gelesen, in denen der Autor die Verkäufer ermutigte, Empfehlungen vom Käufer abzufragen, etwa in der Form: „Können Sie mir eine Person nennen, die von diesem Produkt mindestens genauso viel profitieren wird wie Sie?“

Mit einfachen Formulierungen sorgt man dafür, dass sich jemand öffnet und Familienmitglieder, Freunde und vielleicht sogar Mitarbeiter empfiehlt. Mit dem „Ernten“ dieser Informationen bekommen Verkaufsleute einen sogenannten warm lead (also einen aussichtsreichen Kontakt), auf den sie sich beziehen können. Mit warm lead ist gemeint, eine Kontaktperson zu haben, über die man an andere aussichtsreiche Kontakte kommt. So hat man einen Fuß in der Tür, ohne sich (und andere) mit ungebetenen Anrufen quälen zu müssen.

Der Verkäufer kann sich dann bei den empfohlenen Personen melden und etwa sagen: „Ich war gerade bei Ihrer Nachbarin Jane, und sie hat sich für unsere Premium-Police entschieden. Nachdem sie die Vorteile geprüft und schon ein ganzes Jahr im Voraus bezahlt hat, meinte sie, ich sollte Ihnen das einmal vorstellen, weil Sie von der gleichen Leistung vielleicht auch profitieren. Haben Sie mal einen kurzen Moment Zeit, damit ich Ihnen zeigen kann, für welches Produkt Jane sich entschieden hat?“

Diese von Verkäufern eingesetzten Skills übernehmen auch Social Engineers oft ähnlich. Natürlich lässt sich ein Social Engineer nicht einfach weiterempfehlen, aber denken Sie nur an den Fluss der Informationen, die in dieses Gespräch einfließen und auch wieder heraus. Der Verkäufer sammelt Informationen von seinem aktuellen Kunden und leitet diese Informationen auf eine Weise weiter, durch die das neue „Ziel“ bereitwilliger zuhört und den Verkäufer mit seinem Angebot schon mal zulässt. Wenn er außerdem noch Hinweise einstreut, was der erste Kunde gekauft hat, und mit Begriffen wie „Premium“ und „günstige Gelegenheit“ arbeitet, füttert der Verkäufer das neue Ziel schon mit den Schlüsselwörtern, die er gleich darauf bei genau dieser Zielperson anwenden wird. Diese Technik ist effektiv, da sie Vertrauen aufbaut, eine Vertrautheit schafft und der Zielperson die Möglichkeit gibt, sich mit dem Verkäufer (oder dem Social Engineer) wohlzufühlen. So wird die soziale Lücke, die zur Zielperson normalerweise existiert, schon mal überbrückt. Dieses und auch das folgende Kapitel wird sich eingehend mit diesen Themen beschäftigen.

Als Social Engineer sind beide Blickwinkel von wesentlicher Bedeutung: Sie müssen verstanden und dann effektiv genutzt werden. Um noch einmal die Metapher aus Kapitel 1 aufzugreifen: Ein guter Koch kennt sich umfassend damit aus, wie man Produkte in guter Qualität, frisches Gemüse und qualitativ hochwertiges Fleisch erkennt. Er weiß Bescheid darüber, was ins Rezept gehört, aber wenn nicht die richtigen Mengen verwendet werden, wird das Gericht vielleicht fade oder zu stark gewürzt oder womöglich ganz ungenießbar. Man wird kein Koch, bloß weil man weiß, dass ein Rezept Salz erfordert. Aber wenn man weiß, wie die richtigen Zutaten in den passenden Mengen zu kombinieren sind, kann man die Kunst des Kochens meistern. Ein Social Engineer muss die Art und Menge der einzusetzenden Skills meistern (also das „Rezept“). Wenn ihm das gelingt, kann er sich daran machen, als Social Engineer ein Meister zu werden.

Dieses Kapitel hilft dabei, diese Ausgewogenheit zu identifizieren. Die erste Zutat bei jedem Rezept für einen Social Engineer ist Information (Näheres folgt gleich). Je besser die Qualität der Information ist, desto wahrscheinlicher landen Sie einen Treffer. Dieses Kapitel startet mit der Erfassung und Sammlung von Informationen. Dann geht es weiter damit, welche Quellen man zum Ernten dieser Informationen nutzen kann. Ohne eine abschließende Diskussion darüber, wie alles verknüpft wird und wie man diese Ressourcen als Social Engineer zweckdienlich einsetzt, wäre dieses Kapitel unvollständig.

2.1   Informationen sammeln

Informationen zu sammeln, ist wie ein Haus zu bauen. Wenn Sie mit dem Bau beim Dach anfangen, steht der Hausbau unter keinem guten Stern. Ein gutes Haus wird auf ein solides Fundament gegründet und von dort aus buchstäblich von Grund auf gebaut. Wenn Sie Informationen sammeln, fühlen Sie sich möglicherweise überwältigt von der Aufgabe, diese Daten zu organisieren und einzusetzen. Also wäre es eine gute Idee, zum Informationensammeln eine Datei oder einen Dienst anzulegen.

Dafür existieren viele Tools. Für Penetrationstests und Social Engineering-Audits nutze ich eine Linux-Distribution namens BackTrack, die speziell für diesen Zweck zusammengestellt wurde. BackTrack gleicht den meisten Linux-Distributionen insofern, als es kostenlos und Open Source ist. Vielleicht sein größter Vorteil ist, dass es über 300 Tools enthält, die für ein Security-Auditing sehr praktisch sind.

Alle Tools in BackTrack sind ebenfalls Open Source und kostenlos. Besonders attraktiv ist die hohe Qualität der darin enthaltenen Tools, die mit solchen Tools, für die man richtig tief in die Tasche greifen muss, gut und gerne konkurrieren können und sie gar überflügeln. Zwei BackTrack-Tools sind zum Erfassen und Speichern von Informationen besonders geeignet: Dradis und BasKet. In den folgenden Abschnitten werden sie vorgestellt.

2.1.1   Die Arbeit mit BasKet

BasKet ist von seiner Funktionalität her wie der Editor unter Windows, aber mehr wie ein Turbo-Editor. Es wird aktuell von Kelvie Wong gepflegt und findet sich kostenlos entweder in BackTrack oder bei http://basket.kde.org/. Auf der Website stehen alle Infos über die Installation von BasKet. Nach der Installation steigt man leicht und einfach in die Arbeit mit dem Programm ein, und das Interface kapiert man schnell.

f0201.jpg 

Abb. 2.1: Mit BasKet kann man die beim Sammeln von Informationen erfassten Daten einfach organisieren.

Wie Sie aus Abbildung 2.1 erkennen, erschließt sich die Benutzeroberfläche recht einfach. Um einen neuen „Basket“ (Korb) einzufügen, der Daten aufnehmen soll, klickt man einfach auf die linke Seite des Bildschirms und wählt New Basket.

Wenn neue Baskets eingefügt sind, kann es richtig losgehen. Sie können Daten kopieren und einfügen, Screenshots im Basket ablegen oder sogar OpenOffice-Dokumente oder andere Arten von Diagrammen, Grafiken und Utilities damit verknüpfen.

Einen Screenshot fügt man auf verschiedene Weise ein. Am einfachsten kopiert man das Bild und klickt dann mit der rechten Maustaste auf den neuen Basket und wählt Paste. Wie in Abbildung 2.1 gezeigt, ist es einfach, Bilder einzufügen, aber das Bild wird auch gleich angezeigt. Notizen für die Bilder werden eingetippt oder einfügt, indem man einfach  in den Basket klickt und mit dem Tippen beginnt.

Für normale Security-Audits ist BasKet wegen der Art und Weise so attraktiv, wie Daten katalogisiert und auf dem Bildschirm angezeigt werden. Ich nehme normalerweise jeweils verschiedene Baskets je nachdem, mit was für Daten wie Whois, Social Media usw. ich arbeite. Dann mache ich mich an die weitere Aufklärungsarbeit und gehe über Google Maps oder Google Earth, um einige Bilder des Gebäudes oder Firmengeländes des Kunden zu machen. Die kann ich dann auch in BasKet speichern. Wenn das Audit vollständig ist, kann man auf diese Informationen sehr schnell zugreifen und einsetzen. In Abbildung 2.2 wird ein fast vollständiger  Basket gezeigt, in dem eine Menge nützlicher Informationen und Tabs enthalten sind.

Wie in Abbildung 2.2 gezeigt wird, kann man in BasKet sehr einfach die Informationen in einem leicht zu lesenden Format speichern. Ich versuche, so viele Informationen wie möglich einzubauen, weil Informationen nie so geringfügig sind, dass sich ein Speichern nicht lohnt. Zu den von mir eingefügten Informationen gehören Elemente von der Website des Kunden, Whois-Informationen, Social-Media-Sites, Bilder, Kontaktinfos über Angestellte, gefundene Lebensläufe, Foren, Hobbys und alles andere, was ich noch finde und was mit der Firma irgendwie verbunden ist.

Wenn ich fertig bin, klicke ich einfach auf den Menüpunkt Basket und dann auf Export, um das ganze BasKet als HTML-Seite zu exportieren. Damit kann man hervorragend Berichte erstellen oder diese Daten weitergeben.

Für einen Social Engineer ist die Erfassung und Sammlung von Daten (wird gleich noch eingehender behandelt) der zentrale Punkt eines jeden Auftrags, denn wenn Sie die Daten nicht schnell wieder aufrufen und passend einsetzen können, sind sie nutzlos. Durch ein Tool wie BasKet bekommt man die Daten ganz einfach und kann sie zielführend wieder einsetzen. Wenn Sie BasKet erst einmal ausprobiert haben, werden Sie nicht mehr darauf verzichten wollen.

f0202.jpg 

Abb. 2.2: Eine beinahe vollständige Sammlung in BasKet mit vielen nützlichen Informationen

2.1.2   Die Arbeit mit Dradis

Obwohl BasKet ein hervorragendes Tool ist, kommen Sie doch an seine Grenzen, wenn Sie sehr viel Informationen sammeln oder in einem Team arbeiten, in dem Daten gesammelt, gespeichert und verwendet werden. Dann brauchen Sie ein Tool zur einfachen Weitergabe dieser Daten. Dazu dient Dradis. Den Schöpfern dieses Open Source-Programms zufolge ist das Programm eine „autarke Webapplikation, die eine zentralisierte Ablage von Informationen ermöglicht“. Diese Infos sammeln Sie und nutzen Dradis als Instrument, mit dem das weitere Vorgehen geplant wird.

Wie BasKet ist auch Dradis ein kostenloses Open Source-Tool, zu finden unter http://dradisframework.org/. Es kann unter Linux, Windows oder auf einem Mac eingesetzt werden. Angaben zum Installieren und Einrichten finden Sie unter http://dradisframework.org/install.html.

Nach Installation und Einrichtung wechseln Sie einfach zum localhost und Port, den Sie zugewiesen haben, oder dem Standard 3004. Dazu öffnen Sie einfach einen Browser und tippen https://localhost:3004/ ein.

Nach dem Einloggen sehen Sie den Startbildschirm aus Abbildung 2.3. Beachten Sie den Button Add Branch oben links. Wenn Sie einen Branch (Zweig) einfügen, können Sie ebensolche Details einarbeiten wie in BasKet: Notizen, Bilder und anderes mehr, außerdem können Sie auch Notizen importieren.

f0203.jpg 

Abb. 2.3: Dradis hat ein schönes, einfach zu nutzendes Interface.

Dradis und BasKet sind zwei sehr praktische Tools zum Sammeln und Speichern von Daten. Auf den Websites für Dradis und BasKet sind gut gemachte Tutorials verfügbar, wie man diese leistungsfähigen Tools einrichtet und nutzt.

Unabhängig vom Betriebssystem (Mac, Windows, Linux) stehen Ihnen verschiedene Möglichkeiten zur Verfügung. Wichtig dabei ist, dass Ihnen die Arbeit mit einem Tool zur Datenerfassung leicht von der Hand geht und dass dieses Tool große Datenmengen verwalten kann.

Aus diesem Grund rate ich von solchen Sachen wie dem Editor in Windows oder Smultron oder TextEdit beim Mac ab. Sie sollten bestimmte Bereiche formatieren und hervorheben können, damit sie auffallen. Auf meinem Dradis-Server (siehe Abbildung 2.3) habe ich einen Bereich für Transkripte von Telefonaten. Diese Funktionalität ist praktisch, um Ideen festzuhalten und zu formulieren, die basierend auf den von mir gesammelten Informationen funktionieren.

Diese Tools machen deutlich, wie ein Social Engineer sich die bereits gesammelten Informationen nutzbar macht. In der ersten Phase dazu müssen Sie sich angewöhnen, wie ein Social Engineer zu denken.

2.1.3   Denken wie ein Social Engineer 

Es ist toll, ein paar Hundert Megabyte mit Daten und Bildern zu haben, aber wenn Sie damit beginnen, all diese Infos auszuwerten, wie schulen Sie sich selbst darin, die Daten optimal zu nutzen?

Natürlich können Sie einfach einen Browser öffnen und weitschweifige, willkürliche Suchen eintippen, die vielleicht zu irgendwelchen Infos führen, unter denen womöglich etwas Nützliches steckt. Wenn Sie hungrig sind, rennen Sie ja auch nicht einfach in die Küche und werfen ein paar Zutaten, die Ihnen vor die Nase kommen, in eine Schale und schaufeln die Mischung in  sich hinein. Erst durch Planung, Vorbereitung und Nachdenken entsteht eine gute Mahlzeit. Entsprechend muss ein Social Engineer planen, vorbereiten und darüber nachdenken, an welche Informationen er gelangen will und wie er das anstellt.

Wenn es zu diesem zentralen Schritt in der Informationserfassung kommt, müssen viele erst einmal die Art und Weise ändern, wie sie denken. Sie müssen die Welt der Informationen vor sich erst einmal anders betrachten und sie mit einer anderen als der normalen Einstellung angehen. Sie müssen lernen, alles zu hinterfragen, und wenn Sie ein Fitzelchen Information sehen, so wie ein Social Engineer darüber nachzudenken. Die Art und Weise, wie Sie Dinge aus dem Netz oder anderen Quellen abfragen, muss sich ändern. Die Art, wie Sie dann die Antworten betrachten, muss ebenfalls anders werden. Wenn Sie ein Gespräch belauschen, wenn Sie ein scheinbar bedeutungsloses Forum-Posting lesen oder eine Tüte Müll sehen – stets sollten Sie diese Information auf eine andere Weise aufnehmen als vorher. Mein Mentor Mati wird immer ganz aufgeregt, wenn er mitkriegt, wie ein Programm abstürzt. Warum? Weil er ein Penetrationstester und Exploit-Autor ist. Ein Crash ist der erste Schritt, um eine Schwachstelle in einer Software zu finden. Also ist er nicht irritiert darüber, Daten zu verlieren, sondern findet den Crash sehr spannend. Ein Social Engineer muss Informationen auf eine sehr ähnliche Weise angehen. Wenn Sie nach einer Zielperson suchen, die viele unterschiedliche Social-Media-Sites verwendet, achten Sie auf Verknüpfungen dazwischen und jene Informationen, mit denen man ein umfassendes Profil schaffen kann.

Hier ein Beispiel: Ich habe einmal einen Wagen gemietet, um geschäftlich durch die USA zu fahren. Ich lud mit meinem Begleiter zusammen das ganze Gepäck in den Kofferraum. Als wir uns in den Wagen setzten, fiel uns eine kleine Mülltüte auf dem Rücksitz auf. Mein Begleiter meinte: „Der Service heutzutage ist ja echt mies. Wenn man soviel Geld löhnt, dann sollte man doch annehmen können, dass die wenigstens den Wagen saubermachen.“

Stimmt, das sollte man annehmen können, aber ich verhinderte, dass diese Tüte einfach in den nächsten Mülleimer wanderte, und sagte: „Ich schau da mal kurz rein.“ Als ich die Tüte öffnete und die Verpackung von ein paar Taco Bells beiseite schob, war ich über den Anblick regelrecht schockiert: Ich sah die Hälfte eines durchgerissenen Schecks. Ich kippte schnell die Tüte aus und fand eine Bankquittung und die andere Hälfte des Schecks. Der Scheck war über mehrere Tausend Dollar ausgestellt und dann einfach durchgerissen worden – nicht in kleine Stückchen, sondern einfach nur in vier große Teile, und dann mit den Überresten des Taco Bell Snacks in diese Tüte gesteckt worden. Als ich diesen Scheck wieder zusammenklebte, konnte ich den Namen der Person, den Firmennamen, Adresse, Telefonnummer, Kontonummer und Bankleitzahl lesen. Zusammen mit der Bankquittung kannte ich nun den Stand dieses Kontos. Zum Glück für den Aussteller bin ich keine bösartige Person, weil es nur noch wenige Schritte gebraucht hätte, um einen Identitätsdiebstahl zu begehen.

Diese Geschichte verdeutlicht, wie die Menschen ihre wertvollen persönlichen Informationen betrachten. Da hatte einer vor mir den Wagen gemietet, und weil er den Scheck einfach weggeworfen hatte, war er der Ansicht, der sei nun verschwunden und sicher entsorgt. So war zumindest sein Handeln zu deuten, und dies ist kein Einzelfall. Unter der folgenden URL finden Sie aktuelle Angaben, welche wertvollen Sachen die Leute einfach weggeworfen oder auf dem Flohmarkt für einen Apfel und ein Ei verkauft haben: www.social-engineer.org/wiki/archives/BlogPosts/LookWhatIFound.html.

Darunter fanden sich z.B.:

       Ein Gemälde, das ein Museum für 1,2 Millionen Dollar ankaufte.

       Ein Bugatti 57S Atalante von 1937 mit gerade mal 38.000 Kilometer, der für 3 Millionen verkauft wurde.

       Eine Kopie der Unabhängigkeitserklärung.

Wenn es Leute gibt, die ein Gemälde mit einer darin versteckten Kopie der amerikanischen Unabhängigkeitserklärung wegwerfen, dann messen sie dem wahrscheinlich auch keine große Aufmerksamkeit bei, Kassenbelege, Arztberichte, alte Rechnungen oder Kontoauszüge wegzuwerfen.

Es kann verheerende Auswirkungen haben, wie Sie in der Öffentlichkeit mit Menschen umgehen. Im folgenden Szenario bekam ich den Auftrag für ein Audit einer Firma, und bevor ich weitermachen konnte, musste ich dafür einige Daten erfassen. Schauen Sie sich mal an, wie einfache, scheinbar bedeutungslose Informationen zu einer Sicherheitslücke führen können.

Ich folgte einem Mitarbeiter aus den höheren Etagen der Zielfirma ein oder zwei Tage lang und bemerkte, dass er jeden Morgen zur gleichen Zeit ins Café ging. Da ich nun wusste, dass er sich um halb acht Uhr morgens auf einen Kaffee in „sein“ Eckcafé setzte, konnte ich eine Begegnung planen. Dort saß er etwa eine halbe Stunde, las die Zeitung und trank einen mittelgroßen Café Latte. Ich betrete das Café wenige Minuten, nachdem er sich hingesetzt hat. Ich bestelle das gleiche Getränk wie er und setze mich an den Nebentisch. Ich sehe auf, als er einen Teil der Zeitung ablegt, und frage ihn, ob ich den Teil lesen dürfe, mit dem er fertig ist. Weil ich mir die gleiche Zeitung schon vorher durchgesehen hatte, wusste ich, dass auf Seite 3 ein Artikel über einen Mord in dieser Gegend steht. Ich tue so, als würde ich ihn lesen, und sage dann laut: „Heutzutage ist es sogar in diesen kleinen Orten richtig beängstigend. Wohnen Sie hier in der Gegend?“

An diesem Punkt könnte die Zielperson mich nun abtropfen lassen, doch wenn ich meine Karten richtig ausspiele, beruhigen ihn meine Körpersprache, mein Tonfall und mein äußerer Eindruck. Er entgegnet: „Ja, vor ein paar Jahren bin ich aus beruflichen Gründen hier wieder hergezogen. Ich mag kleine Städte, aber von so etwas liest man immer öfter.“

Ich fahre fort: „Ich bin gerade auf der Durchreise. Ich berate große Firmen mit einem anspruchsvollen Angebote und fahre immer sehr gerne durch die kleineren Städte, aber solche Geschichten höre ich immer öfter – sogar in ländlichen Gegenden.“ Dann sage ich in einem betont scherzhaften Tonfall: „Sie sind nicht zufällig ein hohes Tier hier in einer großen Firma, die vielleicht etwas Beratung bräuchte?“

Er tut das lachend ab, und als hätte ich ihn gerade herausgefordert zu beweisen, was er wert ist, ergänzt er: „Nun, ich bin Vizepräsident für Finanzen bei der hiesigen Firma XYZ, aber für diesen Bereich bin ich nicht zuständig.“

„Hören Sie, ich will Ihnen gar nichts verkaufen. Genießen Sie einfach Ihren Kaffee. Aber glauben Sie, ich könnte morgen oder am Mittwoch mal vorbeikommen und Ihnen ein paar Infos da lassen?“

Hier wird die Geschichte interessant, denn er antwortet: „Tja, würde wohl gehen, aber ich fahre Mittwoch in Urlaub, ich bin reif für die Insel. Aber warum mailen Sie mir das nicht einfach, und ich rufe Sie dann an?“ Er gibt mir seine Karte.

„Ich hoffe, Sie fahren irgendwohin in die Sonne zum Ausspannen, oder?“ Ich frage dies, weil ich weiß, dass ich da wahrscheinlich dicht an den Punkt gerate, wo ich mich ziemlich weit aus dem Fenster lehne.

„Ich fahre mit meiner Frau auf eine Kreuzfahrt in den Süden.“ Ich merke wohl, dass er mir nicht mehr erzählen will, und das ist auch okay. Also reichen wir uns die Hände und verabschieden uns voneinander.

Hat er mich nun eigentlich abblitzen lassen? Möglicherweise, aber ich habe nun wertvolle Informationen:

       Seine Durchwahl

       Ab wann er Urlaub macht

       Welche Art Urlaub er macht

       Dass er aus der Gegend ist

       Den Namen seiner Firma

       Seinen Titel bzw. Rang in der Firma

       Dass er vor Kurzem umgezogen ist

Natürlich weiß ich einige dieser Infos bereits aus meinen bisherigen Ermittlungen, aber ich konnte nach diesem Meeting wesentliche Dinge ergänzen. Um nun den nächsten Teil des Angriffs zu starten, rufe ich am Tag nach seiner vermutlichen Abreise auf seinem Apparat an und frage nach ihm. Doch ich höre von seiner Sekretärin: „Es tut mir leid, aber Mr. Smith ist im Urlaub. Darf ich eine Nachricht für ihn annehmen?“

Hervorragend. Die Information wurde somit bestätigt, und nun muss ich nur die finale Phase starten. Dazu werfe ich mich mit einem Anzug in Schale und bringe meine Visitenkarte in sein Büro. Ich betrete das Gebäude, trage mich in die Besucherliste ein und sage der Empfangsdame, dass ich heute um 10 Uhr einen Termin mit Mr. Smith habe. Darauf antwortet sie: „Oh, der ist aber in Urlaub. Sind Sie sicher, dass der Termin heute ist?“

Ich nutze meine eingeübten Mikroexpressionen (dieses Thema wird in Kapitel 5 näher ausgeführt) und zeige echte Überraschung. „Ach, seine Kreuzfahrt ist schon diese Woche? Ich dachte, er würde erst nächste Woche starten.“

Diese Aussage ist nun sehr bedeutsam – warum?

Ich will, dass die Verabredung glaubwürdig ist, und ich will, dass die Empfangsdame mir stellvertretend vertraut. Dass ich über seine Kreuzfahrt spreche, kann nur bedeuten, dass ich mit Mr. Smith ein vertrauliches Gespräch gehabt habe – ausreichend, um seine Reisepläne zu kennen. Doch meine Hilflosigkeit sorgt bei der Empfangsdame gleichzeitig für Bedauern und Mitleid, und sie will sogleich aushelfen. „Ach, das tut mir aber sehr leid. Möchten Sie, dass ich seine Sekretärin anrufe?“

„Ah, nein, vielen Dank“, antworte ich. „Ich wollte ihm nur ein paar Infos bringen. Mein Vorschlag ist, dass ich die Sachen einfach bei Ihnen lasse, und Sie geben ihm die Unterlagen dann, wenn er wieder da ist, ja? Das ist mir schrecklich peinlich. Vielleicht bleibt das einfach unter uns, dass ich hier gewesen bin?“

„Sicher, ich kann schweigen.“

„Vielen Dank. Ich werde dann mal wieder verschwinden, aber dürfte ich eben noch mal kurz die Toilette hier benutzen?“ Ich weiß, dass ich normalerweise hier nicht durchgelassen worden wäre, aber ich baue darauf, dass mein Bericht, meine Hilflosigkeit und ihr Mitleid gemeinsam zum Erfolg führen – und ich behalte recht.

Während ich in der Toilette bin, lege ich einen Umschlag in eine Kabine. Außen klebt ein Etikett mit den Worten PRIVAT. In diesem „privaten“ Umschlag ist ein USB-Stick mit einem bösartigen Payload (Nutzlast). Das mache ich in einer der Toilettenkabinen und auch im Flur vor einem Pausenraum, um die Chance zu erhöhen, dass jemand diesen Umschlag findet und so neugierig ist, dass er den Stick in seinen PC steckt.

Und tatsächlich scheint diese Methode praktisch immer zu funktionieren. Das Beängstigende ist, dass dieser Angriff ohne diese nutzlose kleine Konversation in einem Café wahrscheinlich nicht funktioniert hätte.

Der Punkt ist, dass man sich nicht nur darüber im Klaren sein muss, wie auch geringfügige Daten zu einem Einbruch führen können, sondern auch, wie man diese Daten sammelt. Die Quellen, die man zum Sammeln solcher Daten nutzen kann, muss man wirklich gut verstehen und testen, bis man bei jeder Methode und Quelle bewandert und erfahren ist. Es gibt viele unterschiedliche Quellen, um Daten zu erfassen. Ein guter Social Engineer muss sich darauf einstellen, Zeit dafür aufzuwenden, die jeweiligen Stärken und Schwächen zu lernen und auch, wie man jede Quelle am besten einsetzt. Dies ist Thema des nächsten Abschnitts.

2.2   Quellen zur Informationssammlung

Man kann aus vielen unterschiedlichen Quellen schöpfen, wenn man nach Auskünften und Infos sucht. Die folgende Liste deckt wahrscheinlich nicht jede verfügbare Quelle ab, aber Sie erhalten zumindest einen groben Überblick über die verfügbaren Möglichkeiten.

2.2.1   Informationen von Websites abgreifen

Firmen- und/oder persönliche Websites bieten Unmengen von Informationen. Ein guter Social Engineer beginnt hier oft mit seiner Suche nach Auskünften und Angaben. Wenn man sich eingehend mit der Site beschäftigt, erfährt man u.a. Folgendes:

       Was jemand macht

       Welche Produkte und Dienstleistungen angeboten werden

       Wo sich die Gebäude oder andere Einrichtungen geografisch befinden

       Stellenangebote

       Kontakttelefonnummern

       Biografien der Manager oder des Vorstands

       Kundendienstforen

       Konventionen bei E-Mail-Adressen

       Spezielle Wörter oder Formulierungen, die beim Profiling der Passwörter hilfreich sind

Wenn man sich die persönlichen Websites mancher Leute anschaut, kommt man schon mal ins Staunen, weil dort alle möglichen höchstpersönlichen oder gar intimen Angaben über Kinder, Häuser, Arbeit usw. zu finden sind. Diese Informationen sollte man in Sektionen katalogisieren, weil oft etwas aus diesen Listen im Angriff verwendet werden kann.

Sehr oft tummeln sich Mitarbeiter der Firma in den gleichen Foren, Hobbylisten oder Social-Media-Sites. Wenn Sie einen der Angestellten bei LinkedIn oder Facebook finden, stehen die Chancen gut, dass auch andere dort anzutreffen sind. Wenn man all diese Daten sammelt, kann man sich als Social Engineer ein Profil sowohl von der Firma als auch den Angestellten verschaffen. Viele Angestellte stellen sich in ihren Angaben auf den sozialen Netzwerken auch mit ihrer Jobbezeichnung vor. Das verrät einem Social Engineer möglicherweise, wie viele Leute in dieser Abteilung arbeiten oder wie die Abteilungen strukturiert sind.

Suchmaschinen

Johnny Long hat ein berühmtes Buch namens Google Hacking geschrieben und der Welt wirklich die Augen geöffnet für die erstaunlichen Mengen an Informationen, die über Google verfügbar sind.

Google vergibt, aber vergisst nie, und man hat es schon mit dem Orakel verglichen. Wenn man nur weiß, wie die Fragen zu stellen sind, bekommt man fast alles heraus, was man wissen will.

Johnny entwickelte eine Liste, die er „Google Dorks“ nennt. Das ist eine Zeichenfolge (String), mit dem man bei Google Informationen über eine Firma suchen kann. Wenn Sie beispielsweise site:microsoft.com filetype:pdf eintippen, bekommen Sie eine Liste mit allen Dateien auf der Domäne www.microsoft.com, die die Dateierweiterung PDF tragen.

Ein außerordentlich wichtiger Teil der Informationserfassung ist, sich mit den Suchbegriffen vertraut zu machen, mit denen Sie Dateien bei Ihrem Ziel lokalisieren können. Ich habe mir angewöhnt, nach filetype:pdf, filetype:doc, filetype:xls und filetype:txt zu suchen. Eine andere gute Idee ist, nach Dateien wie DAT, CFG oder anderen Datenbank- bzw. Konfigurationsdateien zu suchen, die Mitarbeiter offen auf ihren Servern gelassen haben, und die man abgreifen kann.

Ganze Bücher widmen sich dem Einsatz von Google, um Daten zu finden, aber das Wichtigste ist, sich die bei Google gültigen Operanden zu merken, mit denen Sie eigene entwickeln können.

Auf einer Website wie www.googleguide.com/advanced_operators.html finden Sie eine sehr schöne Liste sowohl der Operanden als auch deren Verwendungszweck.

Google ist nicht die einzige Suchmaschine, auf der erstaunliche Informationen zu finden sind. Ein Forscher namens John Matherly hat eine Suchmaschine namens Shodan geschaffen (www.shodanhq.com).

Shodan ist insofern einzigartig, als  sie im Netz nach Servern, Routern, spezieller Software usw. sucht. Eine Suche nach microsoft-iis os:"windows 2003" ergibt beispielsweise die folgende Zahl von Servern, auf denen Windows 2003 mit Microsoft IIS läuft:

       USA 59.140

       China 5.361

       Kanada 4.424

       England 3.406

       Taiwan 3.027

Diese Suche ist nicht zielspezifisch, aber demonstriert doch etwas Wesentliches: Im Internet befindet sich eine erstaunliche Menge von Informationen, die nur von einem Social Engineer angezapft zu werden braucht, damit er effektive Informationen erfassen kann.

Whois-Ermittlungen

„Whois“ ist der Name eines Services und einer Datenbank. Whois-Datenbanken enthalten massenhaft Informationen, zu denen in manchen Fällen sogar die vollständigen Kontaktinformationen der Website-Administratoren gehören.

Wenn man einen Linux-Befehl oder eine Website wie www.whois.net nutzt, bekommt man überraschend spezifische Ergebnisse wie z.B. die E-Mail-Adresse einer Person, ihre Telefonnummer oder gar die IP-Adresse des DNS-Servers.

Whois-Informationen sind sehr hilfreich, wenn man das Profil für eine Firma erstellt und Details über deren Server herausfinden will. Alle diese Informationen können für weitere Erkundungen verwendet werden oder um Social Engineering-Angriffe zu starten.

Öffentliche Server

Die öffentlich erreichbaren Server einer Firma sind ebenfalls hervorragende Quellen für das, was deren Websites nicht verraten. Wenn man den Fingerprint eines Servers erstellt und dessen Betriebssystem, die installierten Applikationen und IP-Informationen erfasst, verrät dies eine Menge über die Infrastruktur einer Firma. Nachdem Sie die verwendete Plattform und Applikationen festgestellt haben, können Sie diese Daten mit einer Suche nach dem Domänennamen der Firma kombinieren, um Einträge auf öffentlichen Support-Sites zu finden.

Den IP-Adressen können Sie entnehmen, ob die Server lokal oder bei einem Provider gehostet werden, und mit DNS-Einträgen bestimmen Sie sowohl Servernamen und Funktionen als auch IPs.

Bei einem Audit suchte ich im Netz mit einem Tool namens Maltego (wird in Kapitel 7 vorgestellt) und fand einen öffentlich erreichbaren Server, auf dem tatsächlich Hunderte von Dokumenten mit wesentlichen Informationen über Projekte, Kunden und die Autoren dieser Dokumente abgelegt waren. Das waren für die Firma verheerende Informationen.

Eine wichtige Information sollte man im Hinterkopf behalten: Wenn man einen Portscan (mit einem Tool wie NMAP oder einem anderen Scanner) durchführt, um offene Ports, Software und Betriebssysteme zu lokalisieren, die auf einem öffentlichen Server ausgeführt werden, kann das in manchen Ländern zu Problemen mit dem Gesetz führen.

Ein Beispiel: Im Juni 2003 wurde der Israeli Avi Mizrahi von der israelischen Polizei der Straftat beschuldigt, unerlaubt auf Computermaterial zugegriffen zu haben. Er hatte Ports der Mossad-Website gescannt. Etwa acht Monate später wurde er von allen Anklagepunkten freigesprochen. Der Richter entschied sogar, dass diese Art Aktionen nicht unterbunden werden sollte, wenn sie auf positive Weise durchgeführt werden (www.law.co.il/media/computer-law/mizrachi_en.pdf).

Im Dezember 1999 wurde Scott Moulton vom FBI verhaftet und des Computereinbruchs nach dem Computer Systems Protection Act and Computer Fraud and Abuse Act of America von Georgia beschuldigt. Zu dieser Zeit war seine IT-Service-Firma vertraglich verpflichtet, für das Cherokee County in Georgia dessen Notrufzentrum zu warten und zu aktualisieren.

Zu seiner Arbeit gehörte, dass Moulton mehrere Portscans bei Servern des Cherokee County durchführte, um deren Sicherheit zu prüfen, und schließlich auch die Ports eines Servers scannte, der von einer anderen IT-Firma überwacht wurde. Das führte zu einem Rechtsstreit, bei dem er im Jahre 2000 freigesprochen wurde. Der Richter entschied, dass kein Schaden entstanden sei, der die Integrität und Verfügbarkeit des Netzwerks beeinträchtigt hätte.

2007 und 2008 wurden in England, Frankreich und Deutschland Gesetze erlassen, nach denen es illegal ist, Materialien zu erstellen, zu besitzen oder weiterzugeben, mit denen man Gesetze zum Schutze von Computern brechen kann. Portscanner fallen unter diese Beschreibung.

Wenn Sie natürlich mit einem bezahlten Audit einer Firma zu tun haben, wird dann das Meiste vertraglich geregelt sein, doch hier sollte unbedingt darauf hingewiesen werden, dass es Sache des Social Engineering-Auditors ist, über die Gesetzeslage Bescheid zu wissen, und sicher zu sein, dass keine Gesetze verletzt werden.

Social Media

Viele Unternehmen und Organisationen haben sich in letzter Zeit bei sozialen Medien engagiert. Mit diesem preisgünstigen Marketing können sie viele potenzielle Kunden erreichen. Außerdem bildet dies einen weiteren Informationsstrom aus einer Firma, der viele Infokrümel wertvoller Daten liefern kann. Die Firmen veröffentlichen Nachrichten über Events, neue Produkte, Pressemitteilungen und Storys, die sich mit aktuellen Ereignissen beschäftigen.

Seit kurzem haben soziale Netzwerke gewissermaßen ein Eigenleben angenommen. Wird eines erfolgreich, tauchen scheinbar gleich mehrere neue auf, die eine ähnliche Technologie nutzen. Mit solchen Sites wie Twitter, Blippy, PleaseRobMe, ICanStalkU, Facebook, LinkedIn, MySpace und anderen finden Sie frei verfügbare Informationen über das Leben und die Gegebenheiten anderer Menschen. Später wird es in diesem Buch noch eingehender um diese Themen gehen, und Sie werden erkennen, welch erstaunliche Fülle umfassender Informationen soziale Netzwerke liefern.

User-Sites, Blogs usw.

Sites wie Blogs, Wikis und Online-Videos bieten nicht nur Informationen über das Zielunternehmen, sondern bauen auch für die User eine persönlichere Verbindung mit der Firma auf, indem sie selbst Inhalte posten können. Ein verärgerter Mitarbeiter, der über die Probleme seiner Firma bloggt, ist womöglich anfällig dafür, wenn jemand, der ähnliche Meinungen oder Probleme hegt, ihm sein wohlwollendes Ohr schenkt. Wie dem auch sei, die User posten immer ganz erstaunliche Datenmengen im Netz, die jeder sehen und lesen kann.

Typisches Beispiel: Werfen Sie mal einen Blick auf eine neu erschienene Site namens www.icanstalku.com (wörtlich: Ich kann dich stalken) (Abbildung 2.4). Im Gegensatz zu ihrem Namen sollen auf dieser Site aber keine Leute ermutigt werden, andere zu stalken. Diese Site wendet sich an die absolute Gedankenlosigkeit vieler Twitter-User. Sie grast die Twitter-Site ab und sucht nach Usern, die dumm genug sind, Bilder über ihre Smartphones zu posten. Viele wissen nicht, dass die meisten Smartphones GPS-Daten über den Standort in die Fotos einbetten. Wenn ein User ein Bild ins Web stellt, bei dem diese Daten eingebettet sind, kann man prima den Standort dieses Bildes herausfinden.

Wenn standortbasierte Informationen dargestellt werden, ist das ein gruseliger Aspekt der Social-Media-Websites. Damit können Sie nicht nur Bilder von sich einstellen, sondern es wird implizit auch Ihr Aufenthaltsort veröffentlicht – wahrscheinlich sogar ohne Ihr Wissen oder Wollen.

Sites wie ICanStalkU unterstreichen die Gefahr dieser Information. Lesen Sie eine Story (von vielen), die zeigt, wie man diese Daten für Hauseinbrüche, Raubüberfälle und manchmal auch mehr nutzen kann, unter www.social-engineer.org/wiki/archives/BlogPosts/TwitterHomeRobbery.html.

Mit dieser Art Information können Sie ein sehr detailliertes Profil Ihrer Zielperson bekommen. Die Leute lieben es, darüber zu twittern, wo sie sind, was sie machen und mit wem sie gerade zusammen sind. Über Blippy kann man seine Bankkonten miteinander verbinden, und im Prinzip wird dann jeder Einkauf getwittert mit Infos darüber, wo er getätigt und wie viel Geld ausgegeben wurde. Wenn die Bilder Standortdaten enthalten und Sites wie Facebook voller persönlicher Angaben stecken, weil sehr viele dort ihre persönlichen Bilder, Storys und andere Infos ablegen, sind das für einen Social Engineer paradiesische Zustände. Nach kurzer Zeit kann man ein vollständiges Profil zusammenstellen, in dem die Postanschrift, Angaben über Beruf, Bilder, Hobbys und vieles mehr enthalten ist.

f0204.jpg 

Abb. 2.4: Eine typische Szene auf der Homepage von ICanStalkU.com

Ein weiterer Aspekt dieser Social-Media-Sites, durch den sie solch hervorragende Quellen zur Informationserfassung werden, ist die Möglichkeit, anonym zu bleiben. Wenn die Zielperson ein gerade eben geschiedener Mann mittleren Alters ist, der seine Facebook-Seite liebt, könnten Sie eine junge Frau werden, die auf der Suche nach einem neuen Freund ist. Beim Flirten lassen sich den Leuten sehr oft wertvolle Informationen entlocken. Wenn man die Möglichkeit, im Netz jeder oder alles zu sein, mit der Tatsache kombiniert, dass die meisten das, was sie lesen, als gottgegebene Tatsache betrachten, dann führt das letzten Endes zu den größten Sicherheitsrisiken.

Öffentliche Berichte

Öffentliche Daten können von Körperschaften innerhalb und außerhalb der Zielfirma generiert werden und aus Quartalsberichten, Regierungserklärungen, Berichten von Analysten, Ertragsanzeigen für börsennotierte Firmen usw. bestehen. Ein Beispiel hierfür sind die Berichte von Dunn & Bradstreet oder andere Verkaufsberichte, die für einen geringen Obolus verkauft werden und viele Details über das Zielunternehmen enthalten.

Ein weiterer guter Weg, der später ausführlicher erläutert wird, ist der Einsatz von Recherchediensten, die den Hintergrund von Personen oder Firmen prüfen, z.B. www.ussearch.com und www.intelius.com. Diese Sites kann man mit einem Background-Check beauftragen und zahlt dafür etwa 1 Dollar für einen Bericht. Wenn Sie bis zu 49 Dollar monatlich zahlen, können Sie so viele Checks wie gewünscht abfordern. Sie bekommen viele dieser Informationen gratis, wenn Sie Suchmaschinen anwerfen, aber einige detaillierte Finanzdaten und persönlichere Informationen bekommt man auf einfache und legale Weise nur durch solche Bezahldienste. Vielleicht am schockierendsten ist, dass viele dieser Firmen an manche ihrer Kunden sogar solche Daten wie die Sozialversicherungsnummer weitergeben.

2.2.2   Die Macht der Observation

Obwohl Observation nicht sonderlich häufig als Tool fürs Social Engineering eingesetzt wird, kann eine einfache Beobachtung Ihnen sehr viel über das Ziel verraten. Nutzen die Angestellten der Zielfirma Schlüssel, RFID-Karten oder andere Methoden, um ins Gebäude zu kommen? Gibt es einen speziellen Raucherbereich? Sind die Mülltonnen abgeschlossen und ist das Gebäude mit externen Kameras bestückt? Auf externen Geräten wie Strom- oder Energieleitungen oder Klimaanlagen ist meist vermerkt, welche Firma für den Kundendienst zuständig ist. So bekommt der Social Engineer einen weiteren Vektor für sein Anliegen, den Zugriff zu bekommen.

Dies sind nur einige Fragen, die man durch eine Beobachtung beantworten kann. Wenn man sich die Zeit nimmt, das Ziel zu beobachten, mit einer versteckten Kamera Filmaufnahmen macht und die Informationen dann später studiert und analysiert, erfährt man sehr viel und kann die eigene Informationsdatei hervorragend füttern.

2.2.3   Den Müll durchwühlen

Man mag es sich nicht so gerne vorstellen, irgendwo Mülltonnen zu durchwühlen, aber zur Informationssammlung ist das unter Umständen eine der lohnendsten Aktivitäten. Oft werden Rechnungen, Notizen, Briefe, CDs, Computer, USB-Sticks und Unmengen anderer Geräte und Berichte mit überraschenden und vielfältigen Informationen einfach weggeworfen. Wenn wie bereits erwähnt sogar Bilder weggeworfen werden, die sich als äußerst wertvoll erweisen, dann schenkt man Dingen, die in den Müll wandern, keine weiteren Gedanken und wirft sie einfach weg.

Manchmal schreddern Firmen solche Dokumente, die man als zu wichtig betrachtet, um einfach in den Papierkorb geworfen zu werden. Doch gelegentlich ist der Schredder nicht sonderlich effektiv, und die Streifen lassen sich nutzbringend wieder zusammensetzen – siehe Abbildung 2.5.

f0205.jpg 

Abb. 2.5: Auf großen Streifen sind Wörter manchmal noch lesbar, wenn der Schredder nur in eine Richtung arbeitet.

Dieses Bild zeigt ein paar Dokumente nach dem Schreddern, aber manche Wörter sind immer noch zu erkennen. Derart geschreddertes Papier kann mit ein bisschen Zeit, Übung und Klebeband wieder lesbar gemacht werden (Abbildung 2.6). Dokumente, die auch nur teilweise wieder zusammenzukleben sind, enthalten manchmal vertrauliche Informationen, die für verheerende Konsequenzen sorgen können.

f0206.jpg 

Abb. 2.6: Dokumente wiederherzustellen, benötigt nur Zeit und Geduld.

Doch ein Schredder, der in beide Richtungen arbeitet, verwandelt das Papier in ein feingehäckseltes Chaos, und es wird praktisch unmöglich, Dokumente wieder zusammenzufügen (siehe Abbildung 2.7).

f0207.jpg 

Abb. 2.7: Man kann kaum erkennen, dass dies einmal Geld war.

Viele Firmen nutzen kommerzielle Dienste und lassen ihre geschredderten Dokumente zur Verbrennung abtransportieren. Manche Firmen überlassen gar das geschredderte Gut einem Dritten, was – wie Sie sich gewiss denken können – zu einem weiteren Angriffsvektor führt. Wenn ein Social Engineer den Namen einer solchen Firma herausfindet, kann er sich einfach als Entsorger ausgeben und bekommt so alle weggeworfenen Dokumente. Nichtsdestotrotz bietet auch das sogenannte Dumpster Diving einen schnellen Weg, um an alle möglichen Informationen zu gelangen. Denken Sie an folgende wesentliche Punkte, wenn Sie Mülltonnen durchwühlen wollen:

       Tragen Sie gute Schuhe oder Stiefel: Es macht keinen Spaß, in einen Müllcontainer zu springen und sich dort die Sohle mit einem Nagel durchlöchern zu lassen. Achten Sie darauf, dass die Schuhe oben gut abschließen und auch vor scharfen Gegenständen schützen.

       Tragen Sie dunkle Kleidung: Das braucht wohl nicht näher erklärt zu werden. Sie sollten Sachen tragen, die man problemlos entsorgen kann, und die dunkel sind, um nicht so leicht entdeckt zu werden.

       Nehmen Sie eine Taschenlampe mit.

       Einpacken und abhauen: Wenn Sie nicht gerade in einer derart einsamen Gegend unterwegs sind, dass keine Gefahr des Entdecktwerdens besteht, ist es meist besser, sich ein paar der Mülltüten zu schnappen und diese zum Durchsuchen an einen sicheren Ort mitzunehmen.

Dumpster Diving führt fast immer zu einigen nützlichen Informationen. Manchmal braucht ein Social Engineer nicht einmal wirklich in den Müllcontainer steigen, um die guten Sachen zu finden. Bereits in Kapitel 1 habe ich den Artikel unter www.social-engineer.org/resources/book/TopSecretStolen.htm angesprochen, der diesen Gedanken noch untermauert. Die kanadische Antiterroreinheit CTU (Counter-Terrorism Unit) hatte Pläne für ein neues Gebäude, in denen die Sicherheitskameras, Zäune und andere hochgeheime Elemente eingezeichnet waren. Diese Baupläne hatte man einfach weggeworfen – genau, einfach nur in den Müll, und nicht einmal geschreddert. Zum Glück wurden sie von einer umsichtigen Person gefunden.

Diese Story ist nur eine von vielen, die das „Ausmaß an Dummheit“ zeigen, wie es im Artikel bezeichnet wird, aber vom Standpunkt eines Social Engineers ist das Durchsuchen des Mülls eine der besten Wege zur Informationssuche.

2.2.4   Die Arbeit mit Profiling-Software 

In Kapitel 7 werden die Tools für das professionelle Instrumentarium eines Social Engineers umfassend vorgestellt, und darum hier nur ein kurzer Überblick.

Passwort-Profiler wie Common User Passwords Profiler (CUPP) und Who’s Your Daddy (WYD) helfen einem Social Engineer dabei, potenzielle Passwörter zu erfassen, die eine Firma oder Person einsetzt.

Wie man diese Tools verwendet, steht in Kapitel 7. Ein Tool wie WYD grast die Website einer Person oder einer Firma ab und erstellt eine Passwortliste aus den auf dieser Site gefundenen Wörtern. Es ist nicht unüblich, dass Leute als Passwörter Wörter, Namen oder Daten nehmen. Durch diese Art von Software kann man einfacher Listen zum Ausprobieren erstellen.

Solche erstaunliche Tools wie Maltego von Paterva (mehr darüber in Kapitel 7) sind der Traum eines jeden Informationssammlers. Mit Maltego kann ein Social Engineer viele webbasierte und passive Informationssuchläufe durchführen und braucht dafür einzig Maltego.

Das Programm speichert die Daten und gibt sie auf dem Bildschirm in einem Diagramm aus, das man für Berichte verwenden, exportieren oder anderweitig einsetzen kann. Es ist sehr hilfreich bei der Erstellung eines Profils für eine Firma.

Denken Sie daran: Wenn Sie Daten erfassen, wollen Sie mehr über die Zielfirma und deren Mitarbeiter wissen. Wenn ein Social Engineer genug Daten gesammelt hat, bildet sich vor seinem geistigen Auge ein klares Bild dessen ab, wie er die Daten am besten den Zielpersonen entlocken kann. Sie können z.B. die Firma insgesamt profilieren und herausfinden, wie viele ihrer Angestellten etwa zu einem Club oder einer bestimmten Gruppe gehören oder ein Hobby haben. Spenden sie für eine bestimmte Wohltätigkeitsorganisation oder gehen ihre Kinder auf die gleiche Schule? All diese Informationen sind sehr hilfreich, um ein Profil zu entwickeln.

Ein klares Profil hilft dem Social Engineer, nicht nur einen guten Pretext (Vorwand) zu entwickeln, sondern umreißt auch, welche Fragen gestellt werden sollten, welche Tage gut und welche schlecht sind für Anrufe und auch viele weitere Hinweise, die den Job deutlich erleichtern.

Alle bisher diskutierten Methoden sind eher materielle, mehr persönliche Methoden der Informationserfassung. Die mehr technische Seite habe ich noch nicht angesprochen, z.B. Dienste wie SMTP, DNS, NetBIOS und das allmächtige SNMP. Ich werde einige der eher technischen Details, für die Maltego sehr praktisch ist, in Kapitel 7 abhandeln. Es lohnt sich, diese Methoden näher zu betrachten, aber sie sind von ihrer Art her sehr technisch und weniger „menschlich“.

Egal welche Methode Sie zur logischen Sortierung der Infos nutzen, es bleibt noch eine Frage offen: Nachdem Sie wissen, wo und wie gesammelt werden soll und auch, wie man diese Infos katalogisiert, speichert und darstellt – was stellen Sie denn nun damit an?

Als Social Engineer müssen Sie nach Erfassen der Infos Ihren Angriff planen. Dafür müssen Sie anhand dieser Informationen einen Leitfaden entwerfen. Eine der besten Möglichkeiten, diese Daten zu nutzen, ist die Entwicklung eines sogenannten Kommunikationsmodells.

2.3   Kommunikationsmodellierung

Je ausgeklügelter unsere Kommunikationsmittel sind, desto weniger kommunizieren wir.

Joseph Priestley

Kommunikation ist der Prozess, Informationen von einer Instanz zu einer anderen zu transferieren. Kommunikation zieht Interaktionen zwischen zumindest zwei Beteiligten nach sich und kann als gegenseitiger Prozess betrachtet werden, bei dem es einen Austausch von Informationen gibt und eine Entwicklung oder Abfolge von Gedanken, Gefühlen oder Ideen bezogen auf ein gegenseitig akzeptiertes Ziel oder eine (Handlungs-)Richtung.

Dieses Konzept ähnelt sehr der Definition des Social Engineering außer der Annahme, dass die an der Kommunikation Beteiligten bereits ein gemeinsames Ziel haben. Das Ziel des Social Engineer ist es vielmehr, per Kommunikation ein solches gemeinsames Ziel zu schaffen. Kommunikation ist ein Prozess, bei dem Informationen verpackt und vom Sender mittels eines Mediums an den Empfänger anhand eines Kanals übermittelt werden. Der Empfänger entschlüsselt dann die Botschaft und gibt dem Sender Feedback. Alle Formen der Kommunikation erfordern Sender, Botschaft und Empfänger. Um als Social Engineer ein Kommunikationsmodell zu entwickeln, muss man vor allem verstehen, wie Kommunikation funktioniert. Wenn wir unsere Kommunikation als Social Engineer modellieren, hilft uns das, die beste Übertragungsmethode, die beste Methode fürs Feedback und die beste zu übermittelnde Botschaft zu finden.

Kommunikation kann vielerlei unterschiedliche Formen annehmen. Es gibt auditive Hilfsmittel wie Sprache, Gesang oder Tonfall und nicht-sprachliche Mittel wie Körpersprache, Zeichensprache, Parasprache, Berührung oder Augenkontakt.

Egal welche Art der Kommunikation eingesetzt wird, die Botschaft und wie sie übermittelt wird, hat einen eindeutigen Effekt auf den Empfänger.

Diese grundlegenden Regeln muss man unbedingt verstehen, um sich ein Kommunikationsmodell für ein Ziel aufzubauen. Manche Regeln können nicht verletzt werden, z.B. dass Kommunikation immer Sender und Empfänger hat. Auch hat jeder unterschiedliche persönliche Realitäten, die von den jeweiligen gemachten Erfahrungen und den eigenen Wahrnehmungen aufgebaut und geprägt werden.

Basierend auf dieser persönlichen Realität nimmt jeder die Dinge unterschiedlich wahr, erfährt und interpretiert sie anders. Jedes Ereignis wird von verschiedenen Leuten aufgrund dieser Tatsache immer unterschiedlich wahrgenommen. Wenn Sie Zwillingen befragen können, können Sie das sehr schön überprüfen, indem Sie sie nach ihre Interpretation oder Erinnerung eines Ereignisses fragen, vor allem, wenn es sich um einen sehr emotionalen Vorfall handelt. Sie werden sehen, dass die Interpretation dieses Vorkommnisses durch die Zwillinge sich sehr von dem unterscheidet, was Sie erinnern.

Jeder Mensch hat sowohl einen materiellen als auch einen mentalen persönlichen Raum um sich. Man erlaubt oder untersagt anderen abhängig von vielen Faktoren, in diesen Raum einzudringen oder einem nahe zu kommen. Wenn man auf irgendeine Weise mit einer Person kommuniziert, versucht man, in deren persönlichen Raum zu gelangen. Wenn ein Social Engineer kommuniziert, versucht er, jemand anderes in seinen eigenen Raum zu bringen, damit dieser seine persönliche Realität mit ihm teilt. Wirksame Kommunikation versucht, alle Beteiligten an einen gemeinsamen mentalen Standort zu bringen. Das geschieht bei jeglicher Interaktion, doch weil das so allgemein verbreitet ist, denken die Menschen darüber nicht mehr weiter nach.

Bei zwischenmenschlicher Kommunikation werden Botschaften auf zwei Ebenen übermittelt: verbal und nonverbal.

Kommunikation enthält normalerweise einen verbalen oder sprachlichen Anteil, sei es als gesprochenes, geschriebenes oder anderweitig ausgedrücktes Wort. Außerdem gehört auch das Nonverbale dazu: Mimik, Körpersprache oder andere nicht-sprachliche Botschaften wie Emoticons oder Fonts.

Ungeachtet der Menge der jeweiligen Signale (verbal oder nonverbal) wird das Kommunikationspaket nun an den Empfänger übermittelt und dann durch dessen persönliche Realität gefiltert. Er formt dann, basierend auf seiner Realitätswahrnehmung, ein Konzept und interpretiert damit das Paket. Wenn der Empfänger diese Botschaft entschlüsselt, wird er dessen Bedeutung dechiffrieren, auch wenn es nicht jene Bedeutung ist, die der Sender beabsichtigt hat. Der Sender wird wissen, ob sein Paket auf gewünschte Weise empfangen wurde, wenn der Empfänger ein Kommunikationspaket zurückgibt, durch das deutlich wird, ob das Originalpaket akzeptiert oder abgelehnt wurde.

Hier ist das Paket die Form der Kommunikation: die gesendeten Wörter oder Briefe oder E-Mails. Wenn der Empfänger die Nachricht bekommt, muss er sie entschlüsseln. Viele Faktoren hängen davon ab, wie die Botschaft interpretiert wird. Ist der Empfänger in einer guten oder schlechten Stimmung, ist er traurig, wütend, leidenschaftlich? All diese Dinge und auch noch weitere Signale, die seine Wahrnehmung verändern, werden ihm dabei helfen, die Botschaft zu entschlüsseln.

Das Ziel des Social Engineer muss sein, sowohl den verbalen als auch den nonverbalen Signalen die Chance zu geben, die Wahrnehmung der Zielperson zu verändern, damit die vom Social Engineer gewünschte Wirkung erzielt wird.

Zu den grundlegenden Regeln der Kommunikation gehört Folgendes:

       Gehen Sie niemals davon aus, dass der Empfänger die gleiche Realität teilt wie Sie.

       Halten Sie nicht für selbstverständlich, dass der Empfänger die Botschaft so interpretiert, wie sie gedacht war.

       Kommunikation ist keine absolute, abgeschlossene Angelegenheit.

       Gehen Sie immer davon aus, dass es so viele unterschiedliche Realitäten gibt, wie verschiedene Personen an der Kommunikation beteiligt sind.

Wenn man diese Regeln kennt und berücksichtigt, wird damit die Chance auf eine gute und hilfreiche Kommunikation deutlich gesteigert. Das ist alles ganz schön und gut, aber was hat Kommunikation damit zu tun, ein Modell zu entwickeln? Und außerdem: Was hat das mit Social Engineering zu tun?

2.3.1   Das Kommunikationsmodell und seine Wurzeln

Wie bereits erwähnt, bedeutet Kommunikation im Grunde genommen erst einmal, ein Paket mit Informationen an einen bestimmten Empfänger zu senden. Die Botschaft kann aus vielerlei Quellen stammen, z.B. Sehen, Klänge, Berührungen, Geruch und Wörter. Dieses Paket wird dann vom Ziel verarbeitet und dazu verwendet, sich ein umfassendes Bild vom „Gesagten“ zu machen. Diese Methode der Einschätzung und Begutachtung bezeichnet man als Kommunikationsprozess. Dieser Prozess wurde ursprünglich 1947 von den Begründern der Informationstheorie, den Mathematikern Claude Shannon und Warren Weaver umrissen. Dazu entwickelten sie das Shannon-Weaver-Modell, auch bekannt als die „Mutter aller Modelle“.

Das Shannon-Weaver-Modell umfasst laut Wikipedia u.a. „die Konzepte von Informationsquelle, Botschaft, Übermittlung, Signal, Kanal, Rauschen, Empfänger, Informationsziel, Fehlerwahrscheinlichkeit, Kodierung, Dekodierung, Informationsrate [und] Kanalkapazität“.

Shannon und Weaver definierten dieses Modell mit einer Grafik (siehe Abbildung 2.8).

In einem einfachen Modell, das auch als Übertragungsmodell bezeichnet wird, werden Inhalte oder Informationen in bestimmter Form von einem Sender an einen Zielort oder Empfänger gesendet. Dieses allgemeine Konzept betrachtet Kommunikation einfach als Mittel, um Informationen zu senden und zu empfangen. Die Stärken dieses Modells sind seine Einfachheit, Allgemeingültigkeit und Quantifizierbarkeit.

f0208.jpg 

Abb. 2.8: Das Kommunikationsmodell nach Shannon und Weaver

Nach Shannon und Weaver gehört Folgendes zu diesem Modell:

       Eine Informationsquelle, die eine Botschaft produziert

       Ein Übermittler, der die Botschaft in Signale umsetzt

       Ein Kanal, auf den die Signale zur Übermittlung angepasst werden müssen

       Ein Empfänger, der die Botschaft aus dem Signal „dekodiert“ (rekonstruiert)

       Ein Bestimmungsort, an dem die Botschaft eintreffen soll

Sie stellten fest, dass es in dieser Theorie drei Ebenen für Kommunikationsprobleme gibt:

       Das technische Problem: Wie akkurat kann die Botschaft übermittelt werden?

       Das semantische Problem: Wie präzise wird die Bedeutung übertragen?

       Das Effektivitätsproblem: Wie effektiv wirkt sich die empfangende Bedeutung auf das Verhalten aus? (Beim Social Engineering sollte dieser letzte Punkt gesondert berücksichtigt werden. Das gesamte Ziel von Social Engineering ist, ein Verhalten zu schaffen, das für den Social Engineer erwünscht ist.)

Etwa 15 Jahre später erweiterte David Berlo das lineare Kommunikationsmodell von Shannon und Weaver und schuf ein eigenes Modell. Dieses Modell teilt sich in klar umrissene Bestandteile auf (Abbildung 2.9).

f0209.jpg 

Abb. 2.9: Das Kommunikationsmodell nach Berlo 

Man kann sich Kommunikation als Prozess der Informationsübermittlung vorstellen, die durch Ebenen von Regeln gesteuert wird:

       Formale Eigenschaften von Zeichen und Symbolen

       Die Beziehung zwischen Zeichen/Ausdrücken und ihren Verwendern

       Die Beziehungen zwischen Zeichen und Symbolen und ihren Bedeutungen

Somit können Sie die Definition von Kommunikation weiter verfeinern als eine soziale Interaktion, wo mindestens zwei miteinander agierende Beteiligte den gleichen Zeichen- und Regelsatz verwenden.

Im Jahre 2008 hat ein anderer Forscher namens D.C. Balmund die bisherigen Arbeiten vieler seiner Kollegen mit seinen eigenen kombiniert und ein transaktionales Modell der Kommunikation entwickelt (Abbildung 2.10).

In diesem Modell sehen Sie, dass Kanal und Botschaft vielerlei Formen annehmen können, nicht nur die im Bild dargestellte gesprochene Form. Die Botschaft kann in geschriebener oder akustischer Form oder als Video gesendet werden, und der Empfänger kann eine oder mehrere Personen sein. Das Feedback kann auch sehr unterschiedlich aussehen.

Wenn man diese Forschungen kombiniert und analysiert, hilft das einem Social Engineer, ein solides Kommunikationsmodell zu entwickeln. Nicht nur Social Engineers profitieren davon, sondern jeder. Wenn man lernt, wie ein Kommunikationsplan entwickelt wird, erweitert das die Art und Weise, wie Sie mit Ihrem Ehepartner, Ihren Kindern, Ihren Angestellten oder Arbeitgebern umgehen – also mit praktisch jedem, mit dem Sie kommunizieren.

f0210.jpg 

Abb. 2.10: Das neue und verbesserte Kommunikationsmodell

Weil der Schwerpunkt in diesem Buch auf Social Engineering liegt, müssen Sie analysieren, was ein Social Engineer dem allem entnehmen kann. Nach der Beschäftigung mit dieser ganzen Theorie fragen Sie sich vielleicht, wie man sie praktisch einsetzen kann. Denken Sie daran: Ein Social Engineer muss ein Meister der Kommunikation sein. Er muss in der Lage sein, wirkungsvoll in den persönlichen und mentalen Raum einer Person einzutreten und dort auch bleiben zu können, und darf das Ziel nicht abschrecken oder vergraulen. Die Entwicklung, der Einsatz und die Einübung wirksamer Kommunikationsmodelle ist der Schlüssel zur Erlangung dieses Ziels. Der nächste Schritt ist also die Entwicklung eines Kommunikationsmodells.

2.3.2   Ein Kommunikationsmodell entwickeln

Nun, da Sie die zentralen Elemente kennen, schauen Sie es das Kommunikationsmodell mit den Augen eines Social Engineers an:

       Die Quelle: Der Social Engineer ist die Quelle der Information oder Kommunikation, die weitergegeben werden soll.

       Der Kanal: Dies ist die Übermittlungsmethode.

       Die Botschaft: Wahrscheinlich besteht die Botschaft größtenteils daraus, was Sie den/dem Empfänger/n sagen werden.

       Der/die Empfänger: Dies ist das Ziel.

       Das Feedback: Was sollen die Empfänger machen, nachdem Sie mit ihnen effektiv kommuniziert haben?

Wie können Sie diese Elemente effektiv einsetzen? Der erste Schritt in die Welt der Kommunikationsmodelle ist, mit Ihrem Ziel zu beginnen. Probieren Sie, für einen typischen Social Engineering-Einsatz ein paar Szenarien auszuarbeiten:

       Entwickeln Sie eine Phishing-E-Mail für 25 bis 50 Mitarbeiter. Dann versuchen Sie, diese Leute dazu zu bewegen, während ihrer Arbeitszeit auf eine nicht mit der Arbeit zusammenhängende Website zu gehen, in der bösartiger Code eingebettet ist, um sich in ihre Netzwerke zu hacken.

       Gehen Sie in eine Firma und geben sich dort als potenzieller Bewerber aus, der gerade seinen Lebenslauf mit Kaffee bekleckert hat und nun die Person am Empfangstisch zu überreden versucht, seinen USB-Stick in einen Computer stecken zu dürfen, um den Lebenslauf erneut auszudrucken.

Wenn Sie eine Kommunikationsstrategie entwickeln, kann es für Sie praktisch sein, das Modell in umgekehrter Reihenfolge durchzugehen.

       Feedback: Wie sieht die von Ihnen erwünschte Reaktion aus? Die erwünschte Reaktion ist, dass die meisten Angestellten auf die von Ihnen versandte E-Mail klicken. Das wäre natürlich optimal, aber sind Sie auch mit weniger zufrieden oder wenn es überhaupt nur einer ist. Doch das Ziel, also das erwünschte Feedback bleibt, dass die Mehrheit der Zielpersonen auf den Phishing-Link klickt.

       Empfänger: Hier werden Ihre Skills bei der Infoerfassung praktisch eingesetzt. Sie müssen alles über Ihre Zielpersonen wissen. Mögen sie Sport? Handelt es sich vor allem um Frauen oder eher um Männer? Gehören sie irgendwelchen Vereinen vor Ort an? Was machen sie in ihrer Freizeit? Haben sie Familie? Liegt der Altersdurchschnitt höher oder niedriger? Die Antworten auf diese Fragen helfen dem Social Engineer zu entscheiden, welcher Art die von ihm gesendeten Botschaften sein sollen.

       Botschaft: Wenn die Zielpersonen vor allem Männer zwischen 25 und 40 sind und ein paar in einer Fantasy-Liga Football oder Basketball spielen (http://de.wikipedia.org/wiki/Fantasy_Football), könnte man diese Leute zu einem Klick auf einen Link für ein Ereignis verlocken, das mit Sport, Fußball oder Frauen zusammenhängt. Die E-Mail sollte inhaltlich gut formuliert sein, aber auf jeden Fall auch gute Grammatik, Rechtschreibung und Zeichensetzung aufweisen. Die Phishing-E-Mails der Vergangenheit flogen meist deswegen auf, weil die Rechtschreibung so mies war.

Wenn man eine E-Mail bekommt, in der steht: „Klicken sie hier und geben sie ihr passwort ein, um ihre kontoeinstellung zu bestähtigen“, ist das todsicher eine illegitime E-Mail. Ihre E-Mail muss gut formuliert und korrekt geschrieben sein sowie ein ansprechendes Angebot enthalten, das zum Ziel passt. Auch wenn die Absicht gleich ist, muss sich die Botschaft ggf. abhängig vom Geschlecht, Alter und vielen anderen Faktoren verändern. Die gleiche E-Mail wird wahrscheinlich fehlschlagen, wenn die Zielpersonen vor allem aus Frauen bestehen.

       Kanal: Die Antwort auf dieses Element ist einfach, da Sie bereits wissen, dass es sich um eine E-Mail handelt.

       Quelle: Auch über dieses Element brauchen Sie nicht nachzudenken, denn Sie als Social Engineer sind die Quelle. Wie glaubwürdig Sie sind, hängt vom Grad Ihrer Geschicklichkeit als Social Engineer ab.

Szenario 1: Phishing-E-Mail 

Die Zielpersonen sind 45 Männer zwischen 25 und 45. Von den 45 Personen sind 24 in der gleichen Fantasy-Basketball-Liga. Sie gehen alle täglich auf eine Site (www.myfantasybasketballleague.com), um dort ihre Auswahl (für ihre fiktive Mannschaftsaufstellung) registrieren zu lassen. Das haben Sie durch Posts in den Foren ermittelt.

Das Ziel ist, sie auf eine von Ihnen eingerichtete Site zu locken: www.myfantasybasketballeague.com – beachten Sie den kleinen Tippfehler. Diese Site ist ein Klon der Site, die von den Leuten besucht wird, mit einer Änderung: Sie enthält ein eingebettetes iframe. In der Mitte der Seite steht ein Login-Button, und wenn man darauf klickt, kommt man zur echten Site zurück. Durch die Verzögerung fürs Laden und Klicken bekommt der Code die Zeit, die er braucht, um die Systeme zu hacken.

Wie formulieren Sie die E-Mail? Hier folgt das von mir verfasste Beispiel:

Hallo,

es gibt auf unserer Website My Fantasy Basket Ball League ein paar spannende neue Entwicklungen. Wir haben einige neue Features integriert, mit denen Sie Ihre Auswahl besser steuern können, und ein paar besondere Extras eingebaut. Wir setzen alles daran, diese Features allen unseren Mitgliedern verfügbar zu machen, aber möglicherweise bleibt es nicht aus, dass zusätzliche Gebühren erhoben werden.

Wir freuen uns, dass es uns möglich ist, den ersten 100 Personen, die sich einloggen, diesen neuen Service kostenlos zu ermöglichen. Klicken Sie auf diesen Link, dann kommen Sie auf die Sonderseite mit dem grauen Login-Button. Wenn Sie sich dort einloggen, werden diese Features für Ihr Konto freigeschaltet. www.myfantasybasketballeague.com.

Vielen Dank,
Ihr MFBB-Team

Diese E-Mail wird wahrscheinlich zumindest zu den 24 Personen gelangen, die bereits in der Liga sind und Interesse genug haben, auf den Link zu klicken und sich die Site mal anzuschauen, um diese Features kostenlos auszuprobieren.

Analysieren wir diese E-Mail nun. Erstens enthält sie ein Angebot, das für die aktuellen Mitglieder dieser Fantasy-Liga interessant sein kann. Viele werden spitzkriegen, dass dieses Angebot nur für die ersten 100 gilt. Also klicken sie schnell darauf, sobald sie die E-Mail bekommen, und das passiert wahrscheinlich während ihrer Arbeitszeit. Die Site, zu der sie durch diese E-Mail geleitet werden, enthält den bösartigen Code, und obwohl die Mehrheit der Empfänger wahrscheinlich diesem Code zum Opfer fällt, benötigt ein böswilliger Social Engineer eigentlich nur ein Opfer.

Beachten Sie auch, dass die E-Mail grammatisch und von der Rechtschreibung her korrekt verfasst ist, ein verlockendes Angebot enthält und ausreichend motiviert, um schnell den Klick vorzunehmen. Diese E-Mail basiert perfekt auf einem soliden Kommunikationsmodell.

Szenario 2: Der USB-Stick

Das Szenario vor Ort ist etwas schwieriger, da es persönlich erfolgen muss. Sie können hier nur Ihre Identität als Person „spoofen“, also falsche Tatsachen vortäuschen. Bei diesem Szenario müssen Sie daran denken, dass Sie unbedingt alle Details im Gedächtnis behalten müssen, weil Sie sich keine Spickzettel machen oder benutzen können. Außerdem gilt es zu berücksichtigen, dass man oft nur eine Chance hat, einen bestimmten Eindruck zu machen. Wenn das schiefgeht, ruiniert das möglicherweise den restlichen Verlauf.

       Feedback: Das Ziel bei diesem Szenario ist, die Empfangsdame dazu zu bewegen, Ihren USB-Stick mit dem böswilligen Programm darauf zu akzeptieren. Das Programm lädt selbsttätig und greift auf dem System alle Informationen wie Usernamen, Passwörter, E-Mail-Konten, SAM-Dateien mit allen Passwörtern des Systems und anderes mehr ab. Alles wird in ein Verzeichnis auf dem USB-Stick kopiert. Es baut auch eine Verbindung vom Rechner am Empfang zu Ihren Servern auf, wodurch Sie auf den Computer an der Empfangstheke und dann hoffentlich auch aufs Netzwerk zugreifen können. Ich arbeite gerne mit dem Metasploit-Framework oder dem Social Engineering Toolkit (siehe Kapitel 7), das sich bei Metasploit einklinkt. Metasploit führt bei den Opfern Exploit-Code aus und besitzt einen integrierten Handler namens Meterpreter. Der User kann viele Dinge wie Keylogging, Screenshots und weitere Ermittlungen von den Rechnern des Opfers skripten.

       Empfänger: Wenn man nur ein echtes Ziel hat, wird es heikel, denn falls dieses Ziel für Ihre Idee und Ihr Vorgehen nicht empfänglich ist, ist der Plan gelaufen. Sie müssen warmherzig, freundlich und überzeugend sein. Dies muss auch flott ablaufen, denn wenn zu viel Zeit vergeht, kommen möglicherweise Zweifel auf. Doch wenn Sie zu forsch vorgehen, sorgen Sie eventuell ebenfalls für Zweifel oder gar Angst und bringen sich um Ihre Chancen. Hier muss auf perfekte Balance geachtet werden.

       Botschaft: Weil Sie die Botschaft persönlich überbringen, muss sie klar und prägnant sein. Die Grundlage der Story ist, dass Sie in der Zeitung die Stellenanzeige für einen Datenbankadministrator gesehen und deswegen mit Debbie, der Kontaktperson aus der Personalabteilung, telefoniert haben. Sie hat gesagt, sie hätte heute keine Termine frei, aber Sie möchten doch einfach vorbeikommen und einen Lebenslauf für sie abgeben. Den will sie sich dann anschauen und mit Ihnen gegen Ende der Woche einen Termin machen. Als Sie hergefahren sind, rannte ein Hund über die Straße. Sie sind darum voll auf die Bremse gestiegen, und dann ist der Kaffee aus dem Becherhalter übergeschwappt und in Ihre Tasche gelaufen. Das hat nun den Lebenslauf und alle anderen Sachen ruiniert. Sie haben jetzt noch einen weiteren Termin, aber Sie brauchen diesen Job ganz dringend und bitten die Dame am Empfang ganz freundlich darum, ob sie diesen Lebenslauf eben noch mal vom USB-Stick ausdrucken könne.

       Kanal: Sie kommunizieren persönlich mit Sprache, Mimik und Körpersprache.

       Quelle: Auch dieses Mal sind Sie es als Social Engineer, außer Sie haben einen guten Grund, einen Vertreter zu schicken.

Wenn man einen Ordner voller Kaffeeflecken mit ein paar feuchten Blättern darin in der Hand hält, hilft das dabei weiter, die Story „an die Frau“ zu bringen. Wenn man deprimiert aussieht und sich nicht gerade wie ein Alphamännchen geriert, sorgt auch das für weitere Akzeptanz der Story. Wenn Sie freundlich und höflich mit ihr reden und sprachlich nicht ausfallend werden, wird ihr das helfen, Sie sympathisch zu finden, und vielleicht hat sie auch etwas Mitleid mit Ihnen. Der USB-Stick sollte eine Datei namens lebenslauf.doc oder lebenslauf.pdf enthalten, die ausdruckbar ist. PDFs sind die hierbei am häufigsten verwendeten Formate, weil die meisten Firmen eine ältere Version des Adobe Readers verwenden, die für viele unterschiedliche Exploits anfällig ist. Achten Sie darauf, dass der Lebenslauf in einem Format ist, das auch von den meisten geöffnet werden kann, und nicht irgendein ganz seltsames oder seltenes Format aufweist.

Meistens sind die Menschen sehr bereitwillig hilfsbereit. Sie wollen einer Person in einer Notlage bereitwillig helfen, wenn die Story sowohl glaubwürdig als auch herzerweichend ist. Wenn es Ihnen daran mangelt, als Social Engineer mutig aufzutreten, können Sie der Story auch einen besonderen Anstrich verleihen: „Auf dem Weg hierher bin ich noch an der Schule vorbeigefahren, weil ich heute damit dran war, meine Tochter hinzubringen. Als sie über den Sitz kletterte, um mir einen Kuss zu geben, hat sie meinen Kaffeebecher umgekippt. Der Kaffee ist dann in meine Tasche gelaufen. Ich war sowieso schon spät dran und zu weit weg von zu Hause, sondern eher hier in der Nähe ... und so wollte ich Sie bitten, ob Sie mir eine Kopie vom Lebenslauf ausdrucken könnten?“

Egal wie, diese Story funktioniert normalerweise und führt dazu, dass der USB-Stick im Computer landet und dort höchstwahrscheinlich für eine komplette Kompromittierung des PCs der Empfangsdame sorgt – was letzten Endes eine vollständige Kompromittierung der Firma nach sich zieht.

2.4   Die Macht der Kommunikationsmodelle

Die Modellierung von Kommunikation ist ein besonders wirksames Tool und ein unverzichtbarer Skill für jeden Social Engineer. Der schwierigste Teil des Kommunikationsmodells ist, bombensichere und belastbare Informationen zu sammeln.

Beide vorgestellte Szenarien werden zum Schlag ins Wasser, wenn man keinen guten Plan und kein gutes Modell hat. Ein solches Modell formuliert man übungsweise am besten so, dass Sie Ihnen vertraute Menschen so manipulieren (Ehepartner, Eltern, Kind, Chef oder Freunde), damit diese eine von Ihnen gewünschte Aktion durchführen.

Nehmen Sie sich ein Ziel vor. Das muss nichts Hinterhältiges sein, sondern Sie könnten jemanden dazu bringen, sich für ein anderes Urlaubsziel zu entscheiden oder in ein Restaurant zu gehen, das Sie lieben, aber Ihr Partner hasst, oder Ihnen zu erlauben, Geld für etwas auszugeben, nach dem Sie normalerweise nicht fragen würden. Lassen Sie sich etwas einfallen und schreiben dann die fünf Komponenten der Kommunikation auf. Achten Sie nun darauf, wie gut die Kommunikation abläuft, wenn Sie über einen geschriebenen Plan verfügen. Sie werden merken, dass Sie Ihre Kommunikationsmethoden als Social Engineer besser testen, wenn Ihre Ziele klar definiert sind, und Sie erreichen diese Ziele auch leichter. Listen Sie die folgenden fünf Punkte auf und füllen Sie sie einen nach dem anderen. Bringen Sie die Punkte in Zusammenhang.

       Quelle

       Botschaft

       Kanal

       Empfänger

       Feedback

Das Kommunikationsmodell ergibt sehr wertvolle Informationen, und ohne ein solches Modell läuft die meiste Kommunikation für einen Social Engineer nicht erfolgreich und zielführend ab. Wie bereits erwähnt, ist die Erfassung und Sammlung von Informationen der zentrale Punkt aller Social Engineering-Aktivitäten. Wenn Sie dabei effizient sind und große Datenmengen erfassen, aber sie nicht passend nutzen können, ist alles verschwendet.

Werden Sie zu einem Meister der Informationssammlung und üben Sie dann ein, wie Sie Informationen anhand eines Kommunikationsmodells in Aktion umsetzen. Dies ist nur der Anfang, aber es kann buchstäblich die Art und Weise ändern, wie Sie mit Menschen umgehen – sowohl als Social Engineer als auch in alltäglichen Zusammenhängen. Doch es gehört noch sehr viel mehr dazu, eine brauchbare Botschaft in einem Kommunikationsmodell zu entwickeln.

Ein zentraler Aspekt, wenn man sich Kommunizieren und Manipulieren so aneignen will, dass man zum Social Engineer wird, ist zu lernen, wie man die richtigen Fragen stellt. Diesem Thema wenden wir uns im nächsten Kapitel zu.