Kapitel 8

Fallstudien: Social Engineering unter der Lupe

Nur Schulung bietet beste Sicherheit.

Mati Aharoni

In diesem Buch untersuche ich jeden Aspekt eines hervorragenden Social Engineer. Wenn er alles Wissen dieses Buches mit ins Spiel bringt, wird er zu einer Kraft, die nicht unterschätzt werden darf.

In der Schule lernen die Schüler aus der Historie, was man machen sollte und was nicht. Geschichte ist ein hervorragendes Instrument, um zu erfahren, was in der Vergangenheit funktioniert hat und warum. So erschließen wir uns, wohin wir gehen und wie wir dorthin kommen.

Dem gleicht die Geschichte des Social Engineering. In der gesamten Geschichte geschäftlicher Vorgänge hat es immer Menschen gegeben, die gestohlen und betrogen haben. Andere widmeten ihr ganzes Leben der Absicherung gegen solche bösen Kräfte.

Will man die Aspekte professioneller Social Engineer-Angriffe erläutern, ist das oft sehr schwer, weil sie entweder illegal erfolgten oder wegen vertraglicher Vereinbarungen nicht offen diskutiert werden dürfen. Zum Glück hat Kevin Mitnick, der weltberühmte Social Engineer und Experte für Computersicherheit, viele seiner Storys veröffentlicht. Einige davon habe ich seinem Buch Die Kunst der Täuschung entnommen.

In diesem Kapitel wähle ich zwei der berühmtesten Geschichten aus seinem Buch aus und fasse kurz zusammen, was Kevin gemacht hat, analysiere die von ihm eingesetzten Aspekte für den Social Engineer und erläutere, was wir alle daraus lernen können.

Nach Analyse dieser beiden Berichte gehe ich auf gleiche Weise zwei meiner eigenen Erlebnisse an, die demonstrieren, wie einfach man an Informationen gelangt und wie leicht man damit eine ganze Firma kompromittieren kann. Zum Schluss enthülle ich zwei „Top Secret“-Storys, deren Quellen ich nicht nennen darf, aber Sie werden sehen, dass auch so schon eine Menge daraus zu lernen ist. Damit will ich Ihnen zeigen, wie gefährlich allein schon kleine Infobrocken sein können und wie verheerend sie in Händen eines erfahrenen Social Engineer sind. Gleichzeitig erfahren Sie, was ein Social Engineer aus vergangenen Erfolgen und Fehlschlägen lernen kann, um seine Fähigkeiten und Fertigkeiten zu erweitern.

Beginnen wir mit der ersten Fallstudie.

8.1   Mitnick-Fallstudie 1: Die Zulassungsstelle hacken

Kevin Mitnick kennt man allgemein als einen der weltweit berüchtigtsten Social Engineers. Er hat einige der mutigsten und berühmtesten Exploits der Welt ausgeführt – und das gilt erst recht für den hier vorgestellten Exploit.

Oft ist es sehr praktisch, wenn man einen Führerschein zur Verfügung hat, um sich Informationen über Personen zu verschaffen. Mit der Führerscheinnummer kann ein Social Engineer in den USA alle möglichen Arten persönlicher Informationen bekommen. Allerdings gibt es keinen kostenlosen Dienst, über den man an diese persönliche Information kommen kann. Ein Social Engineer oder Privatdetektiv muss sich schon sehr bemühen, um diese Info über seine Zielperson zu erfahren.

In seinem Buch Die Kunst der Täuschung erzählt er eine Geschichte mit dem Titel „Der umgekehrte Clou“. Auf den folgenden Seiten erfahren Sie Hintergrundinformationen über seinen Bericht und eine Analyse des Vorgehens.

8.1.1   Das Ziel

In einer seiner besten Storys beschreibt Mitnick, wie ein gewisser „Eric“ das System des Department of Motor Vehicles (DMV, das US-amerikanische Pendant zur deutschen Zulassungsstelle) und der Polizei nutzt, um an die Nummern von Führerscheinen zu kommen. Eric brauchte regelmäßigen Zugang zu Führerscheininformationen über seine Zielpersonen. Er kannte zwar schon eine Methode, an diese Infos zu kommen, fürchtete aber, dass wiederholte Social Engineering-Telefonate das DMV für ihn nutzlos machen würden oder dazu führen könnten, dass die Polizei im auf die Schliche kommt.

Er brauchte eine andere Methode, um auf das DMV-Netzwerk zugreifen zu können, und mit etwas Wissen über die Arbeitsweise des DMV wusste er genau, wie das anzustellen war. Er nahm sich ein doppeltes Ziel vor: nicht nur das DMV, sondern auch die Polizei sollte ihm dabei helfen (unwissentlich natürlich), an diese Infos zu kommen.

8.1.2   Die Story

Eric wusste, dass das DMV privilegierte Informationen an Versicherungsagenturen, Privatdetektive und bestimmte andere Gruppen geben darf. Jede Branche kann dabei nur auf bestimmte Datentypen zugreifen.

Eine Versicherungsagentur darf nur bestimmte Informationen bekommen, ein Privatdetektiv wiederum nur andere, während ein polizeilicher Ermittler alles abfragen darf. Erics Ziel war natürlich, alle Informationen insgesamt zu bekommen.

Eine nicht-öffentliche DMV-Telefonnummer bekommen

Eric ging auf eine Weise vor, die seine hervorragenden Social Engineering-Fähigkeiten deutlich machen. Zuerst rief er die Auskunft an und fragte nach der Telefonnummer der DMV-Zentrale. Die Nummer, die er hier erfuhr, war für die Öffentlichkeit gedacht, aber natürlich wollte er tiefer hinein.

Dann rief er das Büro des Sheriffs an und fragte nach dem Teletype-Büro. Das ist die Abteilung, in der alle Nachrichten von anderen Strafverfolgungsbehörden versandt und empfangen werden. Als er die Teletype-Abteilung erreichte, fragte er nach der Nummer, die von Strafverfolgungsbehörden benutzt wird, wenn sie die DMV-Zentrale anrufen wollen.

Ich weiß ja nicht, wie es Ihnen geht, aber meines Erachtens schlägt so etwas fehl. Und richtig:

„Wer sind Sie denn?“ wurde er gefragt.

Er musste schnell reagieren und antwortete: „Hier ist Al. Ich habe 503-555-5753 angerufen.“

Diese Nummer hatte die gleiche Vorwahl und den Festnetzanschluss des DMV, aber die vier letzten Ziffern hatte Eric erfunden. Danach schwieg er einfach. Der angerufene Officer traf ein paar Unterstellungen:

       Der Anrufer muss zum internen Kreis gehören, weil er bereits die Nummer für einen nicht-öffentlichen Bereich (Teletype) kannte.

       Der Anrufer verfügte schon fast über die gesamte Nummer des DMV.

Nachdem der Officer diese beiden Fakten realisiert hatte, nahm er an, Eric müsse befugt sein, und gab ihm die Nummer. Doch Eric wollte mehr als nur eine Nummer: Er wollte so viele, wie er kriegen konnte.

Um dies zu erreichen, war ein noch weitreichenderer Hack nötig: ein mehrstufiger Angriff mit vielen unterschiedlichen Zugangswegen. Das hatte schon epische Ausmaße.

Zugang zum staatlichen Telefonsystem

Eric rief die Nummer an, die er für die Zulassungsstelle bekommen hatte. Dort teilte er dem Vertreter mit, er sei von Nortel (einem Anbieter für Telekommunikationsgeräte), und wolle einen Techniker sprechen, weil er mit DMS-100 arbeite, einer sehr verbreiteten Telefonschaltanlage.

Im Gespräch mit dem Techniker behauptete er, zum technischen Kundendienstcenter des texanischen Nortel zu gehören, und erklärte, er würde alle Vermittlungsstellen aktualisieren. Das würde remote gemacht, und der Techniker bräuchte dafür nichts weiter zu tun, als die Einwahlnummer für die Schaltzentrale anzugeben, damit Eric die Updates direkt über das technische Zentrum vornehmen kann.

Diese Geschichte klang absolut glaubwürdig, also willigte der Techniker ein und gab Eric alle erwünschten Infos. Gewappnet mit dieser Information konnte er sich nun direkt in eine der staatlichen Telefonschaltzentralen einwählen.

Ein Passwort bekommen

Die nächste Hürde hätte diesen ganzen Hack komplett ausbremsen können: Er brauchte die Passwörter. Die vom DMV eingesetzten Nortel-Schaltzentralen waren passwortgeschützt. Aus früheren Erfahrungen mit Nortel-Switches wusste Eric, dass darauf ein Standardbenutzerkonto NTAS lief. Er wählte sich dann mehrfach ein und probierte die ihm bekannten Standardpasswörter aus:

       NTAS – falsch

       Benutzername – falsch

       Helper – falsch

       Patch – falsch

       Update – richtig!

Ach was, wirklich? Das Passwort lautete update. Nun hatte er die vollständige Kontrolle über den Switch und alle damit verbundenen Leitungen. Er suchte nach Telefonverbindungen zu seinem Ziel. Schnell fand er heraus, dass 19 Telefonleitungen zur gleichen Abteilung gehörten.

Nach Überprüfen einiger interner Einstellungen der Schaltzentrale bemerkte er, dass sie so programmiert war, die 19 Leitungen durchzugehen, bis eine unbesetzte gefunden wurde. Er wählte Leitung 18 und gab den Standardcode zur Weiterleitung ein, mit dem ein Anrufweiterleitungsbefehl für diese Leitung eingefügt wurde.

Eric kaufte ein billiges Prepaid-Handy, das bei Bedarf einfach entsorgt werden konnte. Er gab als Nummer, an die weitergeleitet werden sollte, wenn ein Anruf auf Leitung 18 einging, dieses Handy ein. Im Grunde war es nun also so, wenn das DMV so viele Anrufe bekam, dass 17 Leitungen besetzt waren, dann würde der 18. Anruf nicht im DMV landen, sondern auf Erics Handy.

Der ließ nicht lange auf sich warten. Ab etwa gegen acht Uhr früh am nächsten Morgen begann das Telefon zu klingeln. Jedes Mal war es ein Polizeibeamter, der nach Informationen über bestimmte Personen suchte. Er beantwortete nun Anrufe von der Polizei bei sich zu Hause, beim Essen, im Auto – überall gab er einfach vor, ein Mitarbeiter des DMV zu sein.

Ich selbst musste herzlich darüber lachen, wie er den Ablauf der Gespräche beschreibt.

Das Handy klingelte z.B., und Eric sagte dann: „DMV, wie kann ich Ihnen helfen?“

„Detective Andrew Cole am Apparat.“

„Hallo Detective, was darf ich heute für Sie tun?“

„Ich brauche ein Soundex von der Führerscheinnummer 005602789.“

„Gerne. Kleinen Moment, ich rufe gerade den Eintrag auf.“ Während er so tat, als arbeite er an einem Computer, stellte er einige Fragen: „Detective Cole, bei welcher Agentur arbeiten Sie?“

„Jefferson County.“

Eric schob dann noch weitere Fragen nach: „Wie lautet Ihr Anfragecode?“ „Wie ist Ihre Führerscheinnummer?“ „Wann sind Sie geboren?“

Als der Officer all diese persönlichen Informationen angab, täuschte Eric vor, sie zu verifizieren. Dann gab er vor, dass alles bestätigt sei, und fragte, welche Details der Officer nun brauche. Er tat so, als würde er den Namen und andere Informationen nachschlagen, und sagte dann: „Oh, mein Computer ist gerade wieder abgestürzt. Tut mir leid, Detective, aber mein Rechner ist schon die ganze Woche so instabil. Könnten Sie bitte noch einmal anrufen und sich von meinem Kollegen helfen lassen?“

Das war für den Officer sicherlich recht ärgerlich, sorgte aber dafür, dass nichts im Raume stehen blieb. In der Zwischenzeit besaß Eric nun die Identitätsdaten dieses Officers. Diese Informationen konnte er jetzt auf verschiedenste Weise nutzen, aber sich vor allem bei Bedarf Infos des DMV besorgen.

Er sammelte diese DMV-Informationen noch ein paar Stunden länger, wählte sich dann erneut in die Schaltzentrale ein und deaktivierte die Anrufweiterleitung. Nun besaß er eine beträchtliche Liste.

Noch Monate nach diesem Hack konnte Eric sich einfach einwählen. Er aktivierte die Anrufweiterleitung, heimste heimlich weitere Infos der Officers ein, deaktivierte die Weiterleitung wieder und konnte sich mit diesen Angaben der Polizeibeamten gültige Führerscheine besorgen. Diese Daten verkaufte er an Privatdetektive oder sonstige Leute, die keine Fragen nach der Herkunft dieser Infos stellen.

8.1.3   Das SE-Framework auf den DMV-Hack anwenden

In der Story kehrt Kevin einige Dinge hervor, die Eric gemacht hat, und mit welcher inneren Einstellung er so erfolgreich werden konnte: dass Eric z.B. keine Angst dabei gehabt hat, mit der Polizei zu sprechen, und sich auch in unbekannten Bereichen zurechtfand.

Außerdem wird deutlich, welchen Teil des Social Engineering-Frameworks Eric eingesetzt hat und wie.

Der erste Schritt bei jedem erfolgreichen SE-Audit oder -Angriff ist die Erfassung von Informationen. In diesem Bericht erkennen Sie klar, dass Eric vor dem Angriff wirklich seine Hausaufgaben gemacht hat. Er wusste eine Menge über das Telefonsystem, die Arbeitsweise des DMV und den generellen Ablauf des Vorgangs, den er infiltrieren wollte. Ich bin nicht sicher, wie lange dieser Angriff her ist, aber heutzutage wäre ein solcher Angriff wegen des Internets noch einfacher. Das ist eine Goldmine für die Informationssammlung. Vor wenigen Jahren fand jemand einen Hack für einen Tranax-Geldautomaten heraus, und bereits nach wenigen Wochen gab es detaillierte Anleitungen im Internet, wie man diesen Angriff ausführt.

Wie auch schon an anderer Stelle in diesem Buch erwähnt, erhöhen Sie Ihre Erfolgschancen, wenn Sie sich für einen Pretext entscheiden, der das nachahmt, was Sie im wirklichen Leben machen oder was Sie vielleicht früher schon mal gemacht haben. Dies ist deswegen so wirkungsvoll, weil der Pretext für Sie „realistischer“ ist und Ihnen deswegen dabei hilft, Informationen zu sammeln, aber auch beim Ziel eine Lücke zu finden. Eric schien über sehr intime Kenntnisse dieses Bereichs zu verfügen.

Wie Sie sich erinnern, kommt im Framework als nächste Phase das Elizitieren. Dabei formulieren Sie durchdachte Fragen, um Informationen oder Zugang zu bekommen. Eric entlockte seinen Zielpersonen die Informationen meisterhaft. Als er mit der Polizei telefonierte, diente sein Einsatz des Elizitierens als Beleg, dass er der sei, für den er sich ausgab, und seinen „Job“ gut kannte. Er war im Fachjargon bewandert und stellte die Routinefragen, die beantwortet werden müssen. Tatsächlich hätte es deutlich alarmierender gewirkt, wenn er diese Fragen nicht gestellt hätte. Darum hat eine gute Taktik des Elizitierens eine derartige Power.

Schon recht früh wusste Eric, dass er für die Durchführung des Angriffs bestimmte Telefonnummern brauchte. Anstatt zu begründen, wofür er bestimmte Informationen brauchte, setzte er eine Fragetechnik aus Kapitel 3 ein und stellte Fragen, die im Grunde besagen: „Ich habe gewissermaßen ein Recht auf diese Antworten, also sag mir jetzt, was ich wissen will.“ Dies ist ein weiteres Beispiel für wirkungsvolles Elizitieren. Sie lernen eine Menge, wenn Sie Erics Methoden eingehend analysieren.

Die meisten guten Angriffe enthalten auch sehr viel Pretexting. Dieser Bericht bildet hier keine Ausnahme. Eric musste in diesem Angriffsvektor ein paar Pretexte entwickeln. Er musste viele Male umschalten, um seine Ziele zu erreichen. So beeindruckend es auch ist, dass Eric sich als Polizeibeamter ausgab (was er sehr gut gemacht hat), Sie sollten stets bedenken, dass dies in den USA und auch in sehr vielen anderen Ländern absolut illegal ist. Sie können viel aus dem Ablauf und Erics Methoden lernen, aber seien Sie vorsichtig, wenn Sie etwas davon einsetzen. Auch wenn Sie einen bezahlten Auftrag für ein Social Engineering-Audit haben, bleibt es illegal, sich als Polizeibeamter auszugeben.

Die Lektion ist: Sie sollten über die für Sie gültige Gesetzeslage Bescheid wissen – oder keine Angst haben, erwischt zu werden. Trotz der Tatsache, dass wir es hier mit einem illegalen Vorgang zu tun haben, können Sie doch eine Menge aus Erics Haltung bei diesem Hack lernen. Er war stets gefasst und bewahrte die Ruhe. Als er mit dem Pretext DMV-Agent arbeitete, konnte er elizitieren, und das diente als Beweis. Als er sich als Polizist ausgab, wurde dieser Pretext durch sein Gebaren, seine Stimme und auch die Formulierungen gestützt. Für viele ist es womöglich schwer, andauernd umzuschalten. Also sollten Sie das am besten üben, bevor Sie sich damit in die freie Wildbahn wagen.

Erics Pretexte waren solide, und er hielt alles meisterhaft zusammen, vor allem als er als DMV-Agent handelte und echte Telefonate mit der Polizei abwickeln musste. In vielen Situationen hätte er auch leicht mal aus der Rolle fallen können, aber er schien es recht gut und leicht zusammenhalten zu können.

Viele der Techniken, die man für die psychologischen Aspekte des Social Engineering braucht, z.B. Augenbewegungen und Mikroexpressionen, kamen bei diesem Angriff nicht zum Einsatz, weil das alles meistens am Telefon ablief. Doch bestimmte Aspekte des Frameworks musste Eric schon einsetzen, z.B. das Schaffen von Rapport, NLP (neurolinguistisches Programmieren) und die Denkmodi.

Eric scheint ein Naturtalent zu sein, wenn es um den Aufbau von Rapport geht. Er war freundlich und sympathisch, schien keine Angst vor einem „was wäre wenn“ zu haben und war in der Lage, seinen Fähigkeiten gemäß voller Selbstvertrauen zu handeln. Er stellte sich mit seiner Stimme und seiner Gesprächsführung auf eine Weise dar, durch die Leute am anderen Ende der Leitung ihm vertrauten, weil er ihnen keinen Grund zum Misstrauen gab.

Eric arbeitete mit beeindruckenden Taktiken des Verhörs und der Befragung, sogar bei Polizeibeamten, die sich mit solchen Taktiken auskennen. Er setzte sie derart erfolgreich ein, dass er mit diesen Methoden unerkannt blieb und alle gewünschten Angaben bekam.

Eric schien auch ein hervorragendes Händchen für Taktiken der Beeinflussung zu haben. Die wahrscheinlich bemerkenswerteste Taktik bei dem Angriff war, als er den Polizeibeamten bat, noch einmal zurückzurufen, um einen anderen DMV-Mitarbeiter an die Strippe zu bekommen. Das war für den Beamten wahrscheinlich lästig und ärgerlich, aber die Taktik wurde dadurch erfolgreich, dass Eric dem Officer zuerst etwas gegeben hatte. Denn er „verifizierte“ die Daten, die der Officer brauchte, und als er ihm die letzte Info geben sollte, war das der Moment, als der Computer „abstürzte“.

Weil er die Regeln der Beeinflussung angewendet hat, brachte Eric den Officer mit leichter Hand dazu, ihm zu folgen.

Eng verknüpft mit Erics Pretext war, dass er ein erfolgreiches Framing einsetzen konnte. Um Ihre Erinnerung aufzufrischen: Mit Framing (wörtlich: Hereinlegen) ist gemeint, die Zielperson auf Ihr Denken auszurichten, indem Sie sich und Ihre Storys so positionieren und einbringen, dass alles glaubwürdig ist. Das ist ein wichtiger Teil des Pretext-Puzzles, der Sie in den Vordergrund rückt und der Zielperson beweist, dass Sie wirklich der sind, der Sie zu behaupten vorgeben. Erics Pretexte waren großartig und glaubwürdig, aber er hat sie wirklich erst durch sein Tricksen an den Mann gebracht. Sein Framing änderte sich abhängig davon, mit wem er sprach. In einer Situation musste er den Officer am anderen Ende dazu bringen, ihm die Teletype-Nummer zu geben, bei dem anderen Telefonat musste er einen kenntnisreichen und geschickten DMV-Agenten spielen.

Das Framing machte ihn glaubwürdig, denn er vermittelte durch seine innere Haltung, die erfragte Information auch bekommen zu müssen. Darum zeigte er in seinem Verhalten keine Anzeichen von Angst, sondern fragte vielmehr selbstbewusst nach Einzelheiten, bei denen er das „Gefühl“ hatte, dazu berechtigt zu sein. Diese gesamte Haltung hat die Zielperson so getäuscht, dass sie den Pretext akzeptierte und auf natürliche Weise reagierte.

Wie Sie sehen, können Sie eine Menge aus der Analyse von Erics Social Engineer-Angriff lernen. Man sollte annehmen, dass Eric entweder all diese Methoden eingeübt oder ein paar Probeläufe gemacht hat, damit er bei all den Interna dieses Angriffs nicht ins Schwimmen kommt.

Erics Methoden haben ihm geholfen und waren erfolgreich, doch ich hätte noch einige weitere Vorsichtsmaßnahmen getroffen. Hier meine Beispiele:

       Als er die DMV-Telefonate abwickelte, hätte ich an seiner Stelle darauf geachtet, das Telefonat nur dann weiterzuleiten, wenn ich „im Büro“ bin. Ich hätte mir einen Bürobereich mit ein paar Hintergrundgeräuschen eingerichtet und mit der entsprechenden Ausstattung alle erforderlichen Infos aufgeschrieben, um das Risiko zu vermeiden, durch eine Kellnerin oder einen Freund entlarvt zu werden.

       Obwohl es eine gute Idee ist, aus Gründen der schlechteren Verfolgbarkeit ein Wegwerf-Handy zu nehmen, wäre es eine bessere Technik, diese Nummer an eine Google Voice- oder Skype-Nummer weiterzuleiten. Ich traue einer Handyverbindung nicht sonderlich, und nichts hätte diesen Job schneller auffliegen lassen, als wenn die Verbindung abreißt oder das Gespräch wegen eines schwachen Signals verrauscht ist.

Neben diesen Aspekten bleibt kaum etwas an diesem Hack zu verbessern. Eric hat hervorragende Arbeit gemacht und alles richtig durchgeführt, indem er viele der Talente und Skills des Frameworks nutzte, um sein Ziel zu erreichen.

8.2   Mitnick-Fallstudie 2: Die Sozialversicherungsbehörde hacken

Mitnick erwähnt einen Mann, den er Keith Carter nennt, einen nicht sonderlich ehrenwerten Privatermittler, der den Auftrag bekommt, etwas über den Hintergrund eines Mannes herauszufinden, der Geld vor seiner Frau versteckt (die sich schon bald von ihm trennen wird). Sie hatte sein Unternehmen finanziell unterstützt, das mittlerweile zu einer mehrere Millionen Dollar schweren Firma angewachsen war.

Die Scheidung stand schon beinahe fest, aber der Anwalt der Frau musste zuerst noch die „versteckten Güter“ ausfindig machen. Dieser Angriffsvektor ist interessant, denn wie in der ersten Fallstudie beobachten wir in dieser Geschichte eine sehr zwielichtige Methode der Sammlung von Informationen.

8.2.1   Das Ziel

Das Ziel bestand darin, das Vermögen des Ehemannes „Joe Johnson“ zu finden, aber das war nicht Ziel, das beim eigentlichen Social Engineering-Angriff eingesetzt wurde. Um Infos über Joe zu bekommen, musste der Privatdetektiv Keith die Sozialversicherungsbehörde (Social Security Administration, SSA) hacken.

Sehr oft präsentiert sich diese Option bei einem Social Engineering-Audit ganz von selbst. Dieser Abschnitt erläutert einige seiner eingesetzten Methoden, um dieses Ziel zu erreichen, aber hier soll es reichen festzustellen, welch gefährliches Glatteis es ist, diese Behörde hacken zu wollen. Im Laufe der Geschichte werden Sie merken, wie gefährlich gerade dieser Hack war.

8.2.2   Die Story

Joe Johnson war mit einer sehr wohlhabenden Frau verheiratet. Er hatte mit ihrer Zustimmung Zehntausende von ihren Dollars in eine seiner Ideen investiert. Diese Idee war dann zu einer millionenschweren Organisation herangewachsen.

Wie das Leben so spielt, war ihre Ehe nicht sonderlich solide, also wurde über die Scheidung gesprochen. Während der Scheidungsverhandlungen „merkte“ die zukünftige Ex-Mrs. Johnson, dass ihr Gatte Geld beiseite geschafft hatte, um es aus den Scheidungsvereinbarungen herauszuhalten.

Sie beauftragte den Privatdetektiv Keith, der es mit der Moral nicht so genau nahm und kein Problem damit hatte, sich auch an der Grenze der Legalität zu bewegen, um die für diesen Fall nötigen Informationen zu bekommen.

Als Keith sich daran machte, den Fall zu analysieren, stellte er fest, dass die Sozialversicherungsbehörde ein guter Ausgangspunkt sein musste. Er meinte, wenn er nur an die dort geführten Finanzberichte von Joe kommen könnte, würde er schon einige Diskrepanzen finden und Joe ans Messer liefern können. Er wollte sich in die Lage versetzen, Joes Banken, Investmentfirmen und Offshore-Konten frei anrufen und sich für diesen Pretext als Joe ausgeben zu können. Dafür brauchte er detaillierte Informationen, und das führte ihn auf den Pfad, die Sozialversicherungsbehörde zu hacken.

Keith begann damit, grundlegende Informationen zu sammeln. Er ging online und fand einen Leitfaden, indem die internen Systeme der Behörde sowie deren interne Terminologie und der Jargon beschrieben wurden. Nachdem er diese Unterlagen eingehend studiert und sich den Jargon perfekt angeeignet hatte, rief er die öffentliche Nummer der Sozialversicherungsbehörde vor Ort an. Als er jemanden an den Apparat bekam, bat er, mit dem Büro für die Regulierung von Ansprüchen verbunden zu werden. Das Gespräch lief wie folgt ab:

„Hier spricht Gregory Adams, Bezirksbüro 329. Hören Sie, ich versuche dauernd, einen Sachbearbeiter für Schadensersatz zu erreichen, der eine Kontonummer bearbeitet, die auf 6363 endet. Aber die Nummer, die ich habe, geht an ein Fax-Gerät.“

„Oh, das ist Mod 3. Die Nummer lautet …“

Wirklich? So einfach geht das? Toll! In nur wenigen Augenblicken bekam er die Nummer der internen Büroapparate, die der Öffentlichkeit normalerweise nicht zugänglich sind. Nun der schwere Teil.

Er musste Mod 3 anrufen, seinen Pretext ändern und wichtige Infos über Joe besorgen. Der Donnerstagmorgen bricht an, und es sieht so aus, als hätte Keith alles gut vorausgeplant. Er hebt das Telefon ab und wählt die Nummer von Mod 3:

„Mod 3. May Linn Wang am Apparat.“

„Ms. Wang, hier spricht Arthur Arondale aus dem Büro des Generalinspektors. Darf ich Sie May nennen?“

„Dann bitte ›May Linn‹“, antwortet sie.

„Tja, es geht um Folgendes, May Linn. Wir haben hier einen neuen Kollegen, für den wir noch keinen Rechner haben, und nun hat er ein sehr dringendes Projekt und benutzt dafür meinen. Um Himmels willen, wir gehören zur Regierung der Vereinigten Staaten, und man sagt uns, es sei einfach nicht genug Geld im Topf, um einen Computer für diesen Kerl zu kaufen. Und jetzt glaubt mein Chef, dass ich mit der Arbeit trödele und will keine Entschuldigungen mehr hören, wissen Sie?“

„Kann ich mir bildlich vorstellen, ja.“

„Können Sie mir bei einer kleinen Anfrage für MCS helfen?“, bittet er und erwähnt dabei den Namen des Computersystems, mit dem man Daten von Steuerzahlern aufrufen kann.

„Klar, worum geht’s denn?“

„Als Erstes brauche ich einen Alphadent über Joseph Johnson, geboren 4.7.69.“ (Alphadent steht für eine alphabetische Computersuche nach einem Konto über den Namen des Steuerzahlers, das weiter über das Geburtsdatum identifiziert wird.)

„Was wollen Sie genau wissen?“

„Wie seine Kontonummer lautet“, fragt Keith (damit meint er Joes Sozialversicherungsnummer).

Sie liest es vor.

„Okay, bitte machen Sie für diese Kontonummer noch eine Numident.“ (Numident gleicht Alphadent, nur ist es eine numerische Suche statt einer alphabetischen.) Bei dieser Anfrage soll sie die allgemeinen Daten des Steuerzahlers vorlesen, und May Linn nennt nun am Telefon den Geburtsort, den Geburtsnamen der Mutter und den Namen des Vaters. Keith hört aufmerksam zu, als sie ihm ebenfalls Monat und Jahr der Ausgabe von Joes Sozialversicherungsnummer vorliest und bei welchem Bezirksbüro sie ausgestellt wurde.

Als Nächstes fragt er nach der detaillierten Einkommensabfrage DEQY.

„Für welches Jahr?“

„2001.“

May Linn sagt: „Ein Betrag in Höhe von $ 190.286, und die Zahlung kam von Johnson MicroTech.“

„Irgendwelche anderen Einkommen?“

„Nein.“

„Vielen Dank“, sagt er. „Sie waren sehr hilfreich.“

Dann versucht er, mit ihr zu verabreden, dass er erneut anrufen könne, wenn er weitere Daten benötige und keinen Zugriff auf seinen PC habe. Damit setzt er wieder einen Lieblingstrick der Social Engineers ein, stets feste Beziehungen zu etablieren, um sich später wieder an die gleiche Person wenden zu können, damit man sich nicht immer damit herumschlagen muss, jedes Mal ein neues Opfer zu finden.

„Nächste Woche geht nicht“, gibt sie ihm zu verstehen, weil sie da in Kentucky auf der Hochzeit ihrer Schwester sei. Aber sonst würde sie ihm jederzeit behilflich sein.

An diesem Punkt kann man mit Fug und Recht von Game over sprechen. Keith besaß alle Informationen, die er brauchte, und nun musste er nur noch die Banken und Offshore-Konten durchtelefonieren, was jetzt, ausgestattet mit all diesen Informationen, eine deutlich leichtere Aufgabe war.

Ein sauber ausgeführter und wirklich beeindruckender Angriff.

8.2.3   Das SE-Framework auf den SSA-Hack anwenden

Bei dem gerade beschriebenen SSA-Angriff fällt einem wirklich die Kinnlade herunter. Aus diesem Angriff, der das Social Engineering-Framework nutzt, können Sie sehr viel lernen.

Keith begann den Angriff natürlich mit der Informationssammlung. Wahrscheinlich sind Sie es schon müde, das immer wieder von mir zu lesen, aber genug Informationen zu haben, ist wirklich der Kern jedes guten Social Engineer-Angriffs: je mehr, desto besser!

Keith entdeckte zuerst eine wirklich erstaunliche Information im Netz, die verblüffenderweise immer noch unter https://secure.ssa.gov/apps10/poms.nsf/ online ist.

Mit diesem Link kommen Sie auf ein Online-Manual für die Programmabläufe der Social Security Administration (SSA). Darin sind Abkürzungen, Fachjargon und Anweisungen enthalten sowie alles, was SSA-Mitarbeiter den Strafverfolgungsbehörden sagen dürfen. Bewaffnet mit diesen Auskünften wusste Keith, was und wie er fragen durfte und auch, wie er klingen musste, damit er den Eindruck erweckt, zur Firma zu gehören, und sogar, welche Informationen für Argwohn sorgen würden.

Obwohl dieser Link schon sehr viele Informationen bot, beschloss er, seine Datensammlung noch einen Schritt weiterzutreiben und sich unter dem Pretext, aus der Behördenleitung anzurufen, im SSA-Büro vor Ort zu melden. Hier hat er wirklich die Fähigkeit zum Querdenken bewiesen, indem er das lokale Büro nutzt, um die internen Nummern zu bekommen, die er brauchte, um seinen Pretext als interner Mitarbeiter abzurunden.

Keith wechselte mehrere Male seine Pretexte und beherrschte das meisterlich. Er konnte viele der erforderlichen Informationen für die Formulierung seiner Fragen aus dem Online-Handbuch der SSA entnehmen. Dieses Handbuch ist das Paradies für jemanden, der gerade Ideen fürs Elizitieren entwickelt. Bewaffnet mit den richtigen Worten und der korrekten Ausdrucksweise klang er, als würde er dazugehören. Er schuf Rapport und täuschte einen Handlungsrahmen vor, der perfekt zu den Pretexte passte. Der Aufbau von Rapport ist kein Kinderspiel, aber Keith erledigte das gut und auf eine Weise, der man ablesen kann, wie versiert er in dieser Technik ist. Er setzte viele Beeinflussungstaktiken ein, um sicherzugehen, dass sein Ziel sich entspannt und wohl fühlt. Er vermischte beispielsweise kunstvoll das Gefühl der Verpflichtung und den Wunsch, sich erkenntlich zeigen. Als es ihm gelang, May Linn auf seine Seite zu ziehen, indem er die mangelhafte Büroausstattung und die fehlende Unterstützung seiner Vorgesetzten beschrieb, fühlte sie sich verpflichtet, ihm weiterzuhelfen.

Außerdem nutzte er Schlüsselwörter und Formulierungen, mit denen er Empathie vermittelte, aber doch seine Autorität zeigte, etwa „Mein Chef ist nicht glücklich mit mir“. Damit deutet er an, in Schwierigkeiten zu stecken, und auch, dass die SSA-Mitarbeiterin May Linn ihn retten könne. Die Menschen fühlen die moralische Verpflichtung, jenen zu helfen, die es brauchen. Nicht viele können einfach weitergehen, wenn jemand direkt um Hilfe bitte, und auch May Linn nicht. Sie fühlte sich genötigt, nicht nur zu helfen, sondern Keith sogar über ihren persönlichen Zeitplan zu informieren.

Am Ende nutzte Keith eine Reihe wichtiger Skills aus dem Framework, die keine persönliche Anwesenheit oder direkte Interaktion erfordern.

Die Tatsache, dass behördliche Systeme von Menschen geführt werden, macht sie anfällig für die in dieser Story eingesetzten Hacker-Methoden. Dies ist kein Argument für die Einführung von Roboter- oder computerisierten Systemen, die diese Aufgaben ausführen sollen. Es soll nur darauf verwiesen werden, dass viele dieser Systeme derart auf überarbeiteten, unterbezahlten und gestressten Menschen beruhen, dass es keine Herausforderung ist, sie zu manipulieren.

Ehrlich gesagt ist es sehr schwer, diesen Angriff noch irgendwie zu verbessern, weil es keiner ist, den ich je selbst durchführen würde, und Keith hat bereits hervorragende Arbeit geleistet, die Prinzipien des Frameworks anzuwenden.

So viele Menschen sind es gewöhnt, dass man sie schlecht behandelt, ausnutzt und anschreit, dass schon ein kleines bisschen Freundlichkeit dafür sorgt, dass sie sich richtig krummlegen, um jemandem zu helfen. Dieser Angriff, wie er in Mitnicks Die Kunst der Täuschung vorgestellt wird, zeigt, wie angreifbar Systeme wirklich sind, die sich auf Menschen verlassen.

8.3   Hadnagy-Fallstudie 1: Der viel zu selbstsichere CEO

Mein Erlebnis mit diesem besonders von sich eingenommenen CEO ist interessant, weil dieser CEO glaubte, aus zwei Gründen jedem Social Engineering-Versuch widerstehen zu können: Erstens nutzte er in seinem Privatleben kaum Technologien, und zweitens hielt er sich für zu schlau und zu gut geschützt, um auf „dumme Spielchen“ hereinzufallen, wie er das nannte.

Das gehörte zu den Äußerungen gegenüber seinem internen Sicherheitsteam, das im Gegenzug beschloss, mich damit zu beauftragen, ihm als Ziel des Audits besondere Aufmerksamkeit zu schenken. Ihnen war klar, wenn er in diesem Audit schlecht wegkommt, dann wäre es deutlich leichter, seine Zustimmung für die vielen Fixes zu bekommen, die zur Verbesserung der Sicherheit unbedingt implementiert werden mussten.

8.3.1   Das Ziel

Das Ziel war ein amerikanisches Druckereiunternehmen mittlerer Größe. Die Konkurrenz war scharf auf einige seiner proprietären Prozesse und Lieferanten. Die Teams von IT und Sicherheit erkannten bei der Firma eine Reihe von Schwachstellen und überzeugten den CEO, dass ein Audit nötig sei. In einer Telefonkonferenz mit meinem Partner äußerte sich der CEO recht arrogant: Er wisse, dass es „praktisch unmöglich sei, mich zu hacken, weil ich die Geheimnisse mit meinem Leben schütze“. Nicht einmal alle aus seinem Kernteam wüssten alle Details.

Mein Job als SE-Auditor war, die Firma zu infiltrieren, um an einen der Server zu kommen, wo diese proprietäre Information abgelegt war, und sie zu stehlen. Die Schwierigkeit, die auch der CEO am Telefon erwähnt hatte, bestand darin, dass die Passwörter für die Server auf seinem Computer gespeichert waren, auf den niemand ohne seine Erlaubnis zugreifen konnte, noch nicht einmal das Sicherheitsteam.

8.3.2   Die Story

Offenbar führte der Weg hinein über den CEO, was mir eine Herausforderung bot, denn er war vorbereitet und wartete auf den Infiltrationsversuch. Ich begann diesen Auftrag wie immer: erst einmal gründlich Informationen sammeln. Ich recherchierte in Online-Ressourcen und mit Tools wie Maltego über die Firma. Dabei konnte ich eine Menge Erkenntnisse sammeln, z.B. den Standort der Server, IP- und E-Mail-Adressen, Telefonnummern, Postanschriften, Mailserver, Namen und Stellenbezeichnungen von Angestellten usw.

Natürlich dokumentierte ich all diese Informationen, um sie später leicht weiterzuverwenden. Die E-Mail-Struktur war bedeutsam, denn bei der Suche auf der Website sah ich, dass sie wie folgt aufgebaut war: vorname.nachname@firma.com. Ich konnte die E-Mail-Adresse des CEO nicht lokalisieren, aber in vielen Artikeln auf der Site wurde er namentlich mit seinem Berufsbezeichnung genannt – hier wollen wir ihn Charles Jones nennen. Solche Informationen konnte auch ein normaler, uninformierter Angreifer herausfinden.

Anhand des Formats vorname.nachname@firma.com probierte ich, ihm eine Mail zu schreiben. Das funktionierte nicht. Da war ich etwas enttäuscht, weil ich sicher war, dass die Methode mit der E-Mail ein paar leckere Details ergeben würde.

Ich probierte es mit einem Spitznamen für Charles, also chuck.jones@ firma.com. Hurra, das klappte! Ich hatte eine gültige E-Mail-Adresse. Nun musste ich nur verifizieren, dass es die vom CEO war und nicht von einem Kollegen gleichen Namens.

Ich verbrachte einige Zeit mit Google und Maltego, um möglichst viele Infos einzuheimsen. Maltego verfügt über diese großartige Transformationsfunktion, mit der man auf einer Domäne nach allen Dateien suchen kann, die für eine normale Suchmaschine sichtbar sind.

Ich startete eine solche Transformation anhand der Firmendomäne und wurde mit einer erstaunlichen Anzahl von Dateien zum Browsen belohnt. Bei Maltego ist nach der Angabe der Dateinamen in dieser Transformation noch nicht Schluss. Viele Dateien enthalten Metadaten, also Infos über Erstellungs- und Änderungszeiten, Ersteller und andere höchst interessante Details über die Datei. Als ich die Metadaten-Transformation mit Maltego durchführte, zeigte sie mir, dass die Mehrheit der Dateien von einem gewissen „Chuck Jones“ erstellt wurde. Bei den Inhalten der Dateien wurde häufig von ihm als CEO gesprochen.

Das war die nötige Bestätigung, aber beim Durchsehen der Dateiliste war mir etwas ins Auge gefallen: RechnungApril.xls. Bei Lektüre der Datei entdeckte ich, dass es die Rechnung von einer Bank war für einen Geschäftsvorgang, bei dem Chuck involviert war. Ich kannte den Namen der Bank, Datum und Betrag, doch nicht den Vorgang, der zu der Firma gehörte.

Ich durchsuchte die Website der Bank, doch weil diese Veranstaltung schon ein halbes Jahr her war, stand sie nicht mehr auf der Site. Was tun?

Ich beschloss, jemanden von der Marketingabteilung dieser Bank anzurufen:

„Hallo, hier spricht Tom von [Firmenname]. Ich bin gerade dabei, unsere Bücher zu organisieren, und finde hier eine Rechnung vom April über 3.500 Dollar für ein Sponsorenpaket. Ich sehe den Namen des Vorgangs hier nicht – können Sie mir sagen, wofür diese Rechnung gewesen ist?“

„Sicher, Tom“, sagte sie, und ich hörte es im Hintergrund klicken. „Ah, ich sehe, dass es um die Spendensammlung für die Stiftung Kinderkrebshilfe ging, und Sie gehörten zum Silver Package.“

„Vielen Dank. Wissen Sie, ich bin ganz neu hier und bin dankbar für Ihre Hilfe. Wir reden später noch mal.“

Ich begann langsam, einen möglichen Angriffsvektor zu erkennen, aber musste dafür noch einiges recherchieren, und auch noch ein gut geplantes Telefonat war dazu nötig.

Ich entdeckte im Netz ein paar Artikel über diesen Fundraiser und dass viele Firmen aus der ganzen Gemeinde ihn mit Geld für die Krebsforschung unterstützte. Außerdem fand ich immer mehr über den CEO heraus, je mehr ich mich mit ihm beschäftigte. Ich bekam die Namen seiner Eltern und seiner Schwestern, Fotos seiner Kinder auf Facebook, die Kirchengemeinde, zu der er ging, als er noch in der Nähe seiner Eltern lebte, eine Besprechung seines Lieblingsrestaurants, für welches Sportteam er war, das Favoritenteam seines ältesten Sohnes und wo er aufs College gegangen war, wo seine Kinder zur Schule gehen – die Liste kann ich noch lange fortführen.

Ich wollte herausfinden, warum die Firma dieser Kinderkrebshilfe spendet. Obwohl viele böswillige Social Engineers die Emotionen anderer Menschen ausnutzen und mir klar war, dass auch ich diesen Weg einschlagen könnte, wollte ich wissen, ob er bei dieser Stiftung mitmacht, weil vielleicht einer seiner Söhne Krebs hat. Ich rief den Marketingdirektor der Firma an:

„Hallo, hier spricht Tom von XYZ. Ich habe den Auftrag von der First National Bank hier vor Ort, alle anzurufen, die im April bei der Stiftung der Kinderkrebshilfe mitgemacht haben. Ich wollte Sie fragen, ob Sie ein paar Minuten Zeit haben für ein Feedback?“

„Sicher“, antwortete Sue, die Marketingleiterin.

„Sue, ich sehe hier, dass Sie im April an unserem Silver Package teilgenommen haben. Hatten Sie das Gefühl, das Marketing, das Sie bekommen haben, war den Preis wert, den Sie bezahlt haben?“

„Nun, so etwas machen wir jedes Jahr und dadurch bekommen wir hier eine Menge Medienecho. Tja, ich glaube, ich hätte auch nichts dagegen, wenn auf der Website für das Silver Package noch etwas mehr stehen würde.“

„Okay, vielen Dank, das habe ich mir notiert. Jedes Jahr … genau, ich sehe hier, dass Sie jedes Jahr dabei sind. Da stelle ich mir persönlich die Frage, warum haben Sie genau diesen Fundraiser gewählt, obwohl es so viele gibt?“

„Ich weiß, dass Chuck dieser immer sehr am Herzen lag. Er ist unser CEO, und ich glaube, jemand in seiner Familie hatte auch Krebs.“

„Ach, das tut mir aber leid, das zu hören. Doch wohl hoffentlich keines seiner eigenen Kinder, oder?“

„Nein, ich glaube, es war ein Neffe oder Cousin. Darüber haben wir eigentlich nie gesprochen.“

„Nun, jedenfalls bedanken wir uns sehr für Ihre Spenden und Unterstützung.“

Ich ließ das Gespräch mit ein paar weiteren Fragen langsam ausklingen und beließ es dann dabei. Ich bedankte mich bei ihr, dass sie sich Zeit genommen hatte, und wir legten auf.

Ich hatte die nötige Info bekommen: Es war keines seiner Kinder an Krebs erkrankt. Auch hier war mir klar, dass sich ein böswilliger Social Engineer davon nicht aufhalten lassen würde, aber ich war sehr neugierig. Bewaffnet mit dieser Info war ich bereit, meinen Angriffsvektor zu planen.

Ich wusste, dass der CEO ursprünglich aus New York stammt und sein Lieblingsrestaurant Domingoes hieß. Er fuhr oft mit seinen Kindern zu einem Spiel der Mets, und anschließend kehrten sie bei Domingoes ein.

Er verfasste ein paar Bewertungen dieses Lokals und sprach über seine drei Lieblingsgerichte. Ich wusste, dass seine Eltern immer noch in der Nähe wohnten und er des Öfteren dort zu Besuch war – das hatte er auf Facebook geschrieben.

Ich plante für meinen Angriffsvektor, ein Fundraiser für Krebsforschung zu sein. Der Spendenaufruf sollte in der Gegend erfolgen, in der die drei Bundesstaaten zusammentrafen, und für eine kleine Spende käme der jeweilige Name in eine Tombola. Als Preis sollten zwei Tickets für ein Spiel der Mets und drei Restaurantgutscheine, einer davon für Domingoes, zu gewinnen sein.

Ich könnte behaupten, ich käme auch aus New York, aber sei relativ neu hier, falls er mich nach Sachen fragt, die ich nicht weiß.

Mein Schlussziel wäre, dass er von mir ein PDF akzeptiert, das Schadcode enthält, damit ich eine Reverse Shell bekomme und auf seinen Computer zugreifen kann. Wenn er keine Version von Adobe verwendet, mit der ich den Zugang bekomme, würde ich versuchen, ihn zum Download einer Zip-Datei zu überreden und eine darin enthaltene EXE-Datei auszuführen, in der die Schaddatei eingebettet ist.

Ich trainierte das Telefonat, das ich bei meinem Pretext einsetzen wollte, testete die PDF- und EXE-Dateien und hatte Google Maps mit dem Standort von Domingoes geöffnet, damit ich frei über diese Gegend sprechen konnte. Nachdem ich meinen Computer vorbereitet hatte und auf den Payload von meinem Opfer wartete, war ich bereit zum Telefonieren.

Ich legte das Telefonat auf etwa 16 Uhr, weil ich über die Firmenwebsite erfahren hatte, dass freitags im Büro um halb fünf Feierabend ist. Weil ich bei der ersten Telefonkonferenz für die Absprachen dieses Audits nicht dabei war (mein Partner hatte sich darum gekümmert), erkannte der CEO meine Stimme nicht.

„Hallo, ist Mr. Charles Jones wohl zu sprechen?“

„Sicher, kleinen Moment bitte.“ Die Stimme am anderen Ende klang müde und stellte mich gleich durch.

„Hallo, Chuck am Apparat.“

„Hallo, Mr. Jones, ich bin Tony vom Cancer Research Institute of America. Wir führen gerade einen Spendenaufruf durch, um unsere Forschungen über die Krebsarten zu unterstützen, unter denen Männer, Frauen und Kinder leiden.“

„Bitte, Sie können mich Chuck nennen“, unterbrach er mich.

Das war ein gutes Zeichen, weil er mir keine Ausflüchte bot oder versuchte, das Telefonat mit Hinweis auf zuviel Arbeit abzubrechen. Er übernahm es, das Gespräch auf persönlicherer Ebene fortzuführen. Ich fuhr fort: „Gerne, Chuck, vielen Dank. Wir führen gerade einen Spendenaufruf bei Firmen durch, die vorher schon einmal Spenden für Krebshilfe gegeben haben, und bitten um kleine Spenden im Umfang von 50 bis 150 Dollar. Das Tolle daran ist, dass alle, die uns helfen, an einer Tombola teilnehmen, für die zwei Superpreise in Aussicht stehen. Wenn Sie gewinnen, bekommen Sie zwei Tickets für ein Spiel der Mets in New York und zusätzlich noch ein kostenloses Dinner zu zweit in einem von drei hervorragenden Restaurants. Wir vergeben fünf solcher Pakete.“

„Echt, ein Spiel der Mets?“

„Ich weiß, wenn Sie kein Fan der Mets sind, dann ist dieser Preis für Sie vielleicht gar nicht attraktiv, aber die Restaurants sind klasse.“

„Nein, auf keinen Fall, ich liebe die Mets. Darum habe ich das gesagt. Weil ich das toll finde.“

„Nun, lassen Sie es sich einfach durch den Kopf gehen. Sie unterstützen damit nicht nur eine hervorragende Forschungseinrichtung, sondern kommen auch in ein tolles Spiel, und dann können Sie auch noch bei Morton’s, Basil’s oder Domingoes essen gehen.“

„Domingoes! Wirklich? Ich liebe dieses Restaurant.“

„Na, das passt dann ja genau. Wissen Sie, ich war erst kürzlich dort, zum ersten Mal, und habe dann Chicken Portabella bestellt. Das war wirklich superlecker.“ Das war Nummer drei seiner Lieblingsgerichte.

„Oh, wenn Sie glauben, das sei schon lecker, vergessen Sie’s, Sie müssen unbedingt Fra Diabolo probieren. Das ist wirklich das tollste Gericht auf der Karte. Ich bestelle das jedes Mal.“

„Ich bin am Wochenende wieder dort, und dann probiere ich es auf jeden Fall mal aus. Danke für den Tipp. Hören Sie, ich weiß, es ist schon spät. Hier soll es jetzt auch noch nicht um das Geld gehen, und über das Telefon machen wir das sowieso nicht. Ich kann Ihnen aber das PDF mailen. Sie können es sich anschauen, und wenn Sie Interesse haben, dann mailen Sie mir einfach zusammen mit dem Formular einen Scheck.“

„Na klar, gerne, schicken Sie das einfach her.“

„Okay, nur noch ein paar Fragen. Wie lautet Ihre E-Mail-Adresse?“

„chuck.jones@firma.com.“

„Wenn das gerade geht, öffnen Sie doch bitte mal Ihren PDF-Reader. Klicken Sie auf das Hilfe-Menü und dort auf Info und sagen Sie mir bitte die Versionsnummer.“

„Momentchen mal … ah, das ist 8.04.“

„Großartig. Ich wollte Ihnen nicht eine Version schicken, die Sie gar nicht verwenden können. Eine Sekunde noch ... ich maile das gerade, während wir hier telefonieren ... okay, ist raus.“

„Toll, vielen Dank. Ich hoffe, ich gewinne. Ich bin echt ein Fan von denen.“

„Ich weiß, das Essen ist erste Klasse. Bevor ich Sie nun in Ruhe lasse, hätte ich noch die Bitte, dass Sie nachschauen, ob die Mail schon bei Ihnen ist. Können Sie mir sagen, ob es funktioniert?“

„Sicher, ich melde mich in etwa fünf Minuten ab, aber ich schau vorher nach. Ja, ist da.“ Als ich seinen Doppelklick hörte, schaute ich hinüber zu meinem BackTrack-Computer und sah, wie mein Payload-Collector Meterpreter (siehe Kapitel 7) reagierte. Ich hielt die Luft an (denn dieser Moment wird nie langweilig) und zack! war die Shell da. Meine Meterpreter-Skripte änderten die Eigentümerschaft zu so etwas wie Explorer.exe.

Chuck sagte dann: „Hm, ich bekomme hier bloß einen leeren Bildschirm. Da passiert gar nichts.“

„Wirklich? Das ist aber komisch. Ich check das hier grade mal.“ Was ich dann wirklich überprüft habe? Ob ich auf sein Laufwerk zugreifen und eine Reverse Shell hochladen konnte, die auch nach einem Neustart läuft, falls er den Rechner herunterfährt. Ich sagte: „Ach, das tut mir aber leid, ich weiß auch nicht, was da gerade passiert ist. Haben Sie noch eine Minute Zeit oder müssen Sie los?“

„Tja, ich muss mal eben den Kaffeebecher hier auskippen. Ich lege mal grad den Hörer beiseite und bin dann gleich wieder dran.“

„Hervorragend, vielen Dank.“ Mehr als diese eine Minute brauchte ich nicht, um dafür zu sorgen, dass ich stets und ständig unbegrenzten Zugang zu seinem Rechner bekam. Er kehrte wieder zurück.

„So, da bin ich wieder.“

„Tja, Chuck, das ist mir jetzt sehr peinlich, aber ich habe keine Ahnung, was da passiert ist. Ich will Sie nun nicht länger aufhalten. Wie wäre es also, wenn ich noch mal ein neues PDF mache und es Ihnen dann maile? Ich kann mich dann ja am Montag wieder melden.“

„Okay, kein Problem. Schönes Wochenende wünsche ich Ihnen.“

„Danke, gleichfalls. Ihnen auch, Chuck!“

Wir verabschiedeten uns, und zu meiner Verwunderung und großer Freude blieb sein Computer eingeschaltet und aktiv. Ja, er bewahrte tatsächlich alles auf einem sicheren Laufwerk auf, zu dem nur er Zugang hatte, aber alles in Word-Dokumenten. Ich lud also sofort diese Word-Dokumente herunter, bekam außerdem innerhalb weniger Stunden den Zugang zu den Servern und druckte alle internen Prozesse aus, die er eigentlich schützen wollte.

Wir hatten dann am Montagmorgen tatsächlich wieder Kontakt, doch Chuck begegnete nicht Tony, dem Fundraiser, sondern seinen Sicherheitsberatern, die Ausdrucke all seiner „Geheimnisse“, seiner Passwörter und Aufzeichnungen der Telefonate mit ihm und seinem Personal mitgebracht hatten.

Das erste Meeting nach einem erfolgreichen Angriff wird immer dominiert vom anfänglichen Schock des Kunden und allen möglichen Behauptungen, wir hätten unfaire Praktiken eingesetzt und persönliche Schwächen ausgenutzt. Wenn wir dann erklären, dass Bösewichte mit genau den gleichen Taktiken arbeiten, verwandelt sich der Ärger in Angst, und diese Angst wird dann zu Verständnis.

8.3.3   Das SE-Framework beim Hack mit dem zu selbstsicheren CEO

So wie in den vorigen Beispielen ist es sehr lehrreich und vorteilhaft, den Fall durch die Brille des SE-Frameworks zu untersuchen und festzustellen, was gut war und was noch verbesserungswürdig ist.

Wie immer steht am Anfang eine fundierte Recherche, und diese Story ist ein gutes Beispiel dafür. Durch die Sammlung aus vielerlei Quellen wie Internet, Maltego oder per Telefon usw. wird dieser Angriff erst richtig erfolgreich. Mit unzureichenden Infos wäre er kläglich gescheitert.

Korrekte und vielfältige Informationen sorgen für den Unterschied, auch solche Infos, die ich gar nicht gebraucht habe, wie z.B. seine Kirche und die Namen von Eltern und Geschwistern. Es war praktisch, so etwas für den Fall der Fälle in der Hinterhand zu haben, aber was sich als unschätzbar wertvoll herausgestellt hat, war die Namenskonvention bei den E-Mails und die Dateien auf den Servern, die ich über Maltego herausgefunden hatte. So bekam ich bei dieser Firma einen Fuß in die Tür.

Außerdem ist ganz wichtig, diese gefundenen Daten (wie in Kapitel 2 besprochen) in BasKet oder Dradis zu katalogisieren und einsatzbereit zu halten. Ansonsten hätten Sie bloß eine Textdatei mit einem Wust Infos, der schwer nutzbar ist. Die Organisation der Infos ist genauso wichtig wie deren Sammeln und Verwendung.

Es gehört nicht zu den tollen Seiten des Jobs, wie ein Bösewicht zu denken, also sich zu überlegen, wie man die Schwächen und Wünsche seiner Ziele ausnutzt, aber wenn ein professioneller Auditor seine Kunden schützen will, zeigt er ihnen potenzielle Angriffstellen. Je mehr Informationen Sie finden, desto einfacher werden Schwachstellen entdeckt. Sie beginnen, Wege zu erkennen, die zum Erfolg führen.

Zum Erfolg eines Angriffs tragen außerdem noch realistische Pretexte und Themen bei, die maximale Wirkung versprechen. Man muss Power-Fragen und Schlüsselwörter entwickeln, um sie so einzusetzen, dass die Zielperson darauf anspringt. Weil ich so viele Infos gesammelt hatte, konnte ich gute Fragen und einen Rahmen entwickeln, zu dem Schlüsselwörter und NLP-Power-Wörter gehören. Diese setzte ich dann in meinen Beeinflussungstaktiken ein, von denen ich ziemlich sicher war, dass sie funktionieren.

Mein Pretext musste oft gewechselt werden: die Anrufe bei den Lieferanten der Firma bis zu den Telefonaten mit internen Mitarbeitern. Ich musste jeden Pretext ausführlich planen, mir die jeweilige Rolle aneignen und erfolgreich durchlaufen. Dafür brauchte ich natürlich ziemlich viel Planungszeit, damit auch jeder Pretext passend klang, angemessen fließend umgesetzt werden konnte und sinnvoll war.

Übung macht den Meister. Bevor der Angriff gestartet wurde, übten mein Partner und ich alles intensiv. Ich musste sicher sein, dass das PDF funktionierte und dass der Vektor sinnvoll war. Ich brauchte auch ausreichende Kenntnisse, damit ich für die Zielperson, mit der ich jeweils sprach, glaubwürdig war.

Die Bedeutung und Wichtigkeit des Übens kann nicht unterschätzt werden. Durch Übung bekam ich heraus, welche Taktiken funktionieren würden und welche nicht. Außerdem wurde ich so sicher, dass ich mich an den Plan halten konnte und dem Fluss der Ereignisse folgen konnte, auch wenn dieser Fluss in eine Richtung lief, die ich eigentlich nicht geplant hatte.

Im Rückblick entdeckte ich ein paar kleine Verbesserungsmöglichkeiten, die diesen Angriff effizienter gemacht hätten. Zum einen ist es immer ein Risiko, sich allein auf ein PDF mit Schadcode zu verlassen. Ich hätte eine kleine Website einrichten, die die echte Website der Krebsforschungsstiftung nachahmt, und das PDF dort einstellen sollen. Sowohl die Website als auch das PDF hätten Schadcode enthalten können. So hätte ich meine Chancen verdoppelt und einen Plan B gehabt, auf den ich hätte zurückgreifen können.

Ich war noch ein weiteres großes Risiko eingegangen: dass der CEO seinen Computer eingeschaltet lässt, wenn er im Büro Feierabend macht. Falls nicht, hätte ich bis Montag warten müssen, um den Zugriff zu bekommen. Um ihn am Computer zu halten, hätte ich ihm ein „echtes PDF“ schicken sollen, das er lesen konnte, während das erste mit dem Schadcode seinen Rechner kompromittiert hatte. So hätte er ausreichend lang an seinem Computer gearbeitet, dass ich den Exploit gut hätte ausnutzen können.

Dieser Audit dauerte etwa eine Woche. Diese Zeit brauchte ich für meine Ermittlungen und um Informationen zu sammeln und zu organisieren. Außerdem für die Übung und dann die Durchführung. Nur eine Woche Arbeit, und die Geheimnisse seines Unternehmens wären an seine Konkurrenz oder den höchsten Bieter gefallen. Lesen Sie die Geschichte noch ein paar Mal und versuchen Sie, die subtilen Methoden zu verstehen und die Art und Weise, wie die Gespräche verliefen. Es ist schwierig, hier bei der schriftlichen Form die Stimme, den Ton und das Tempo der Gespräche nachzuvollziehen, aber stellen Sie sich einfach vor, Sie seien selbst in diesem Gespräch: Wie hätten Sie es abgewickelt?

8.4   Hadnagy-Fallstudie 2: Skandal im Vergnügungspark

Der „Skandal im Vergnügungspark“ war für mich interessant, weil ich bei dem Test auch vor Ort war. Ich setzte viele der in diesem Buch aufgeführten Social Engineering-Skills ein und prüfte sie bei diesem Fall gründlich.

Außerdem war diese Story wegen der Art des Business und wegen des Potenzials für einen erfolgreichen Trickbetrug interessant. Im Erfolgsfall bekam man als Social Engineer mehrere Tausend Kreditkartennummern in die Hand.

8.4.1   Das Ziel

Das Ziel war ein Vergnügungspark. Hier hatte man Sorge, dass eines der Ticketsysteme kompromittiert werden könnte. Dort, wo die Kunden eincheckten, war jeder Computer mit den Servern verbunden, auf denen sich Kundeninformationen und finanzielle Unterlagen befanden. Die Parkleitung wollte wissen, ob es einem Angreifer mit heimtückischen Methoden gelänge, einen Angestellten zu Handlungen zu bewegen, die zu einer Kompromittierung führen.

Das Ziel bestand nicht darin, einem Mitarbeiter Schwierigkeiten zu bereiten, sondern man wollte überprüfen, welche Schäden aus einem kompromittierten Eincheckcomputer resultieren. Außerdem sollten die Computer nicht durch Hacking, sondern rein durch Social Engineering kompromittiert werden.

Wäre eine solche Kompromittierung möglich, welche Konsequenzen zöge das nach sich? Welche Daten könnte man bekommen und welche Server kompromittieren? Man wollte nicht tief einsteigen, sondern nur herausfinden, ob die erste Stufe funktionieren kann, also eine Kompromittierung durch Social Engineering.

Um herauszufinden, ob ein solcher SE-Angriff möglich ist, musste ich die Abläufe und Methoden fürs Einchecken der Kunden dieses Parks verstehen und was die Mitarbeiter an ihren Terminals machen würden und was nicht – oder wichtiger noch: was sie machen konnten und was nicht.

8.4.2   Die Story

Wie bereits erwähnt, war das Ziel dieses speziellen Jobs nicht wirklich komplex: Ich musste nur herausbekommen, ob die Person hinter dem Schalter zulassen würde, dass ein „Kunde“ einen Angestellten dazu bringt, etwas offensichtlich Unerlaubtes zu tun. Bevor ich überhaupt darüber nachdenken konnte, was das sein mochte, musste ich ihr Geschäft durchschaut haben.

Ich ging auf die Website des Parks und nutzte Maltego sowie Google, um Artikel und andere Informationen über die Organisation zu recherchieren. Außerdem ermittelte ich vor Ort. Dann ging ich zum Park und durchlief den Vorgang, am Schalter ein Ticket zu erwerben. Während dieses Vorgangs verwickelte ich die Angestellte dort in ein kleines Gespräch und beobachtete die Anordnung, die Computerknoten und andere Aspekte des „Bürobereichs“.

Durch diesen Bereich bekam ich dann erste Ideen. Während des Gesprächs erwähnte ich, dass ich aus einer kleinen Stadt mit einem großen Namen käme. Als sie mich fragte, welche das sei, und ich antwortete, bekam ich die altbekannte Reaktion:

„Wo um Himmels willen liegt das denn?“

„Haben Sie hier Internetzugang?“

„Ja, habe ich.“

„Oh, das werden Sie ganz toll finden. Gehen Sie doch mal auf maps.google.com und tippen den Zip-Code 11111 ein. Dann stellen Sie auf Satellitenansicht. Schauen Sie mal, wie klein diese Stadt ist.“

„Ach du meine Güte, das ist echt winzig. Ich glaube, ich habe von diesem Ort noch nie gehört.“

In dieser kurzen Zeit bekam ich Folgendes heraus:

       Wie der Arbeitsbereich gestaltet ist, in dem die Kassiererin sitzt

       Wie die Angestellten die Kunden einchecken

       Dass die Computer Internetzugang haben

Ich ging wieder auf die Website des Parks und begann vor dem Hintergrund dieser neuen Erkenntnisse eine neue Surfsession. Ich brauchte einen Weg in deren Computersysteme. Ich hatte mir einen passenden Pretext zugelegt: Ich war ein Vater, der mit seiner Familie an diesem Tag den Park besuchen wollte.

Meine Story lautete, dass meine Familie und ich eigentlich noch keine weiteren Pläne gehabt hatten, aber als wir ins Hotel kamen und im Internet suchten, was man so machen könne, sahen wir die Rabattaktion des Parks. Als wir in die Lobby gingen und Tickets für diesen Park haben wollten, war der Preis plötzlich wesentlich höher als das, was wir im Internet gesehen hatten.

Als wir diesen Preis noch einmal überprüft hatten, entdeckten wir, dass das nur für eine Buchung übers Internet galt. Wir bezahlten und merkten dann, dass die Tickets ausgedruckt werden mussten, damit man sie einscannen kann. Ich versuchte, das im Hotel ausdrucken zu lassen, aber der Drucker war kaputt. Ich hatte nun bereits bezahlt und machte mir Sorgen, dass die Tickets verfallen. Also wandelte ich sie in ein PDF um und mailte sie mir selbst. Hört sich doch nach einer vernünftigen Story an, oder?

Ein weiterer Schritt war noch nötig, bevor ich meinen heimtückischen Plan ausführen konnte. Ich musste ein kurzes Telefonat führen:

„Hallo, ist da das Hauptbüro des Vergnügungsparks XYZ?“

„Ja, hier sind Sie richtig. Wie kann ich Ihnen helfen?“

Um meine Frage zu stellen, brauchte ich unbedingt eine interne Person und musste darauf achten, dass ich die richtige Antwort bekam. Nachdem ich die Einkaufsabteilung verlangt hatte, wurde ich an die richtige Person weitergeleitet. Ich sagte: „Hi, mein Name ist Paul, und ich rufe von SecuriSoft an. Wir verschenken gerade kostenlose Demoversionen einer neuen Software, um PDFs zu lesen und auch zum Erstellen von PDFs. Ich möchte Ihnen gerne den URL für den kostenlosen Download mailen, ist das okay?“

„Tja, ich bin nicht sicher, ob bei uns dafür Interesse besteht, aber Sie können mir die Infos mailen.“

„Okay, das ist super. Darf ich fragen, welche Version von Adobe Sie aktuell nutzen?“

„Ich glaube, wir arbeiten immer noch mit Version 8.“

„In Ordnung. Ich schicke Ihnen dann heute unser Paket mit den Vergleichsinformationen.“

Bewaffnet mit dieser Versionsinformation brauchte ich nur noch ein heimtückisches PDF mit einer Reverse Shell erstellen (damit bekomme ich Zugriff auf deren Computer, sobald das PDF geöffnet wird), es in Ticket.pdf umbenennen und mir selbst zu mailen.

Am nächsten Tag spannte ich meine Familie für eine kleine Social Engineering-Aktion ein. Während sie im Hintergrund blieben, wandte ich mich an die Frau hinter der Kasse und begann ein freundliches Gespräch.

„Hallo, na, wie geht es Ihnen … Tina?“, sagte ich mit Blick auf ihr Namensschild.

„Läuft prima so. Womit darf ich Ihnen helfen?“ antwortete sie mit einem freundlichen, für Kunden reservierten Lächeln.

„Hören Sie, wir sind gerade mit der Familie auf einer kleinen Tour und sind im Hilton vor Ort abgestiegen“, sagte ich und zeigte ein paar Schritte weiter auf meine wunderbare Familie. „Meine Tochter hat die Werbung für Ihren Park gesehen und darum gebettelt, dass wir hierhin fahren. Den Wunsch wollten wir ihr gerne erfüllen. Auf der Website fanden wir ein tolles Angebot für Eintrittskarten ...“

„Ah ja, das ist unsere Rabattaktion im Internet – sehr beliebt gerade. Darf ich Ihre Tickets sehen?“

„Ja, das ist genau der Punkt, wo ich Ihre Hilfe brauche, damit ich hier nicht wie der Loser-Dad des Jahres dastehe.“ Auf mein nervöses Lachen antwortete sie mit dem freundlichsten Lächeln. Ich erklärte: „Tina, ich sah dieses Angebot, und meine Frau und ich beschlossen, dass wir diese 15 % nutzen wollen. Dann kauften wir die Tickets am Hotelcomputer. Doch nach dem Bezahlen konnte ich nichts ausdrucken, weil da im Hotel der Drucker kaputt ist. Aber ich konnte es als PDF abspeichern und mir zumailen.

Ich weiß, das ist vielleicht eine komische Bitte, aber könnten Sie bitte in mein E-Mail-Konto gehen und es für mich ausdrucken?“ Dieses Konto hatte ich entsprechend vorbereitet: Es war voller Mails mit Betreffzeilen wie „Bilder von den Kindern“, „Geburtstag bei Oma“ usw.

Ich konnte sehen, wie sie mit sich rang, und war unsicher, ob ihr Schweigen vorteilhaft für mich war oder ob ich ihr ein wenig auf die Sprünge helfen sollte. Ich sagte: „Ich weiß, das ist ein ganz komisches Anliegen, aber mein kleines Mädchen ist schon total aufgeregt und möchte unbedingt in Ihren Park, und ich fände es ganz furchtbar, wenn ich Nein zu ihr sagen müsste.“ Ich deutete wieder zu meiner Tochter hinüber, die ihre Aufgabe wundervoll erfüllte, gleichzeitig süß und ungeduldig auszusehen.

„Okay, wie komme ich in das Konto rein?“

„Gehen Sie bitte auf gmail.com, loggen Sie sich mit Paul1234@gmail.com ein. Das Passwort ist B-E-S-M-A-R-T.“ (Klar, so ein Passwort ist schon irgendwie fies, aber eine kleine Warnung in letzter Minute hat noch nie geschadet. Doch es fand keine Beachtung.)

Wenige Augenblicke später doppelklickte Tina auf mein PDF und sah einen leeren Bildschirm. „Was ist das denn jetzt … habe ich das PDF irgendwie falsch erstellt? Tja, dann bin ich jetzt definitiv der Loser-Dad des Jahres.“

„Wissen Sie was? Das tut mir jetzt so leid für Sie. Ich möchte Ihnen gerne vorschlagen, nur die Tickets für Erwachsene zu bezahlen, und Ihre Tochter darf kostenlos rein, okay?“

„Ach, das ist ja super großzügig von Ihnen.“ Mit einem Lächeln schob ich die 50 Dollar über die Theke, dankte ihr für die große Hilfe und bat sie, sich aus meinem E-Mail-Konto auszuloggen. So verabschiedeten wir uns dann voneinander, ich mit meiner beglückten Tochter und der Park mit seiner Kompromittierung.

Wenige Augenblicke später simste mein Partner, er sei „drin“ und sammele Daten für den Bericht. Nach ein paar entspannten Stunden verließen wir den Park, und ich machte mich an die Arbeit, um den Bericht für das Meeting am Montag zusammenzustellen.

8.4.3   Das SE-Framework auf den Park-Hack anwenden

Dieser Fallstudie lässt sich u.a. entnehmen, dass eine Erfassung von Informationen nicht immer hauptsächlich webbasiert erfolgen muss, sondern auch persönlich vorgenommen werden kann. Die reizvollste Information bekam ich hier beim Besuch vor Ort. Zu den wichtigen Komponenten der Ermittlungsphase gehörte herauszufinden, welche Computersysteme eingesetzt werden, die Zielpersonen daraufhin zu prüfen, wie sie auf bestimmte Fragen reagieren, und wie das Kartensystem funktioniert.

Die wahre Erkenntnis aus diesem Hack lautet, dass ein guter Pretext mehr ist als nur eine Story, mehr als nur ein Kostüm und ein vorgetäuschter Akzent. Einen guten Pretext können Sie regelrecht „ausleben“ – ohne große Mühe.

In diesem Szenario ging es mir leicht von der Hand, als Vater zu sprechen, zu handeln und mich zu verhalten, weil ich einer bin. Meine Sorge mit dem „Loser-Dad“ war nicht erfunden, sondern echt und wirkte deswegen real. Das kommt authentisch bei der Zielperson an und macht all das Gesagte noch glaubwürdiger.

Natürlich war es sehr hilfreich, ein niedliches Kind aus der Ferne sehnsüchtig zum Ticketschalter schauen zu lassen, und das Gleiche gilt für die Sache mit dem kaputten Drucker im Hotel. Kapitel 2 beschäftigt sich damit, aber manchmal hängen Social Engineers der Ansicht an, dass es generell bei Pretexting oder Social Engineering eigentlich darum geht, ein guter Lügner zu sein. Das halte ich für nicht zutreffend.

In einem professionellen Sinn gehört es zum Pretexting, eine Realität zu schaffen, die die Emotionen und Aktionen der Zielperson manipuliert, damit sie einen von Ihnen gewünschten Pfad einschlägt. Man lässt sich selten von einer schlichten Lüge motivieren. Ein Social Engineer muss im Pretext für den Auftrag zu der Person werden, und genau darum ist es eine solch gute Idee, wenn man sich für einen Pretext entscheidet, den man leicht und einfach befolgen und darin handeln kann.

Der Pretext „kostenlos präsentierte PDF-Software“ besaß eine Menge Raum für Fehler. Der Pretext war solide, aber eine knappe Ablehnung hätte bedeutet, es erst nach ein paar Tagen wieder neu versuchen zu können. Es war auch ein „Glückstreffer“, dass in der Firma die gleiche Version von Adobe verwendet wird, und dass die Kassiererin, mit der ich zu tun hatte, ihre Version des Adobe Readers nicht auf die neueste Ausgabe aktualisiert hatte – denn so wären im Endeffekt meine Exploit-Versuche zum Scheitern verurteilt gewesen.

Mit der menschlichen Faulheit zu rechnen, ist normalerweise ein Risiko, das ich nicht gerne eingehe, aber in diesem Fall hat es sich ausgezahlt. Manchmal fährt man am besten damit, wenn das, worum man bittet, bereits ausgemachte Sache ist. Mit dieser inneren Haltung vermittelt man ein Gefühl des Selbstbewusstseins, und das kommt bei der Zielperson an, als wäre es legitim, was Sie sagen.

Wenn Sie solche Formulierungen wie „Ich brauche wirklich Ihre Hilfe“ verwenden, ist das ein sehr wirkungsvolles Instrument (siehe Kapitel 5). Die Menschen wollen einander wirklich helfen – vor allem, wenn sie darum gebeten werden.

Wenn sie gefragt werden, geben sich auch völlig fremde Menschen wirklich Mühe, um einem weiterzuhelfen – und öffnen sogar wie in diesem Fall eine unbekannte Datei in einem fremden E-Mail-Konto. Die Bitte, einem „armen Dad“ dabei zu helfen, mit seinem süßen Töchterlein in den Park zu kommen, führte zu einem kompromittierten System.

Nach der Kompromittierung stand die Software, mit der alle Kreditkarteninformationen der Gäste gespeichert werden, einem Angreifer sperrangelweit offen. Dass man ohne große Mühe diese Daten abgreifen kann, hätte dem Vergnügungspark massenhaft Verluste, Klagen und Peinlichkeiten beschert.

8.5   Fallstudie Top Secret 1: Mission not impossible

Gelegentlich bekommen mein Kollege und ich mit einer Situation zu tun oder hören eine Story, die wir liebend gerne auf der Leinwand sehen würden, aber aus Sicherheitsgründen dürfen wir nicht darüber schreiben oder gar sprechen. Aus diesen Gründen darf ich nicht verraten, wer in der nun folgenden Geschichte mitgespielt hat oder was entwendet wurde. Nur so viel: Sie stammt von einem Social Engineer namens „Tim“.

Tims Ziel war, einen Server zu infiltrieren, auf dem Informationen abgelegt waren, die in den falschen Händen verheerende Auswirkungen haben konnten. Die daran beteiligte Firma aus der Oberklasse hatte sehr viel zu verlieren. Als Tim den Vertrag bekam, sich die Informationen dieser Firma zu besorgen, wusste er, dass er alle Register zu ziehen hatte. Dieser Job würde seine Fähigkeiten als Social Engineer bis an die Grenzen ausreizen.

8.5.1   Das Ziel

Das Ziel ist eine Organisation der Oberklasse mit gewissen Firmengeheimnissen, die niemals in die Hände der Konkurrenz fallen durften. Diese Geheimnisse mussten auf Servern bewacht werden, die keinen Zugang von außen hatten und nur vom internen Netzwerk erreichbar waren.

Tim bekam den Auftrag, die Sicherheit der Firma gegen einen „Bösewicht“ zu testen, der in der Lage sein sollte, die Systeme zu infiltrieren und mit dem Firmenkapital herauszuspazieren. Tim traf sich mit einem Vertreter der Firma außerhalb des Firmengeländes, um den Vertrag zu unterschreiben, der per Telefon und E-Mail ausgehandelt worden war.

8.5.2   Die Story

Vor Tim stand nun eine Riesenherausforderung. Die erste Phase war – wie bei jedem Social Engineering-Auftrag – natürlich Informationserfassung. Er wusste nicht, welche Informationen er brauchte, und trug darum einfach alles zusammen: das Namensschema der E-Mails, offene Anfragen für Offerten, alle Namen von Mitarbeitern, die er finden konnte, plus alle Social Media Sites, zu denen sie gehörten, von ihnen verfasste oder veröffentlichte Papiere, Clubs, denen sie angehören, sowie Serviceprovider, mit denen sie arbeiteten.

Er wollte auch einen Dumpster Dive machen, aber als er sich dort umschaute, bemerkte er, dass der Bereich, wo die Müllentsorgung stattfand, sehr gut gesichert war. Viele Müllcontainer standen sogar in kleinen, eingemauerten Bereichen, also konnte er auch die Logos auf den Containern nicht erkennen, ohne aufs Gelände zu kommen. Nachdem er die Abteilung ausgemacht hatte, die sich um die Müllentsorgung kümmerte, beschloss er, einen sorgfältig geplanten Anruf bei der Firma durchzuführen:

„Hallo, hier ist Paul von TMZ Müllentsorgung. Wir sind eine neue Firma für Wertstoffentsorgung in dieser Gegend und haben bereits für einige der großen Firmen hier gearbeitet. Ich gehöre zum Verkaufsteam, das für Ihre Region zuständig ist. Darf ich Ihnen mal ein Angebot über unsere Dienste schicken?“

„Tja, eigentlich sind wir mit unserem momentanen Versorger sehr zufrieden, aber Sie können ja mal was schicken.“

„Das ist großartig. Darf ich Ihnen kurz ein paar Fragen stellen?“

„Sicher.“

„Wie viele Müllcontainer haben Sie?“, fragte Tim. Nachdem er außerdem noch abgefragt hatte, ob es Sondercontainer für Papier oder elektronische Geräte wie USB-Sticks oder Festplatten gab, ging es dann ans Eingemachte.

„An welchem Tag wird der Müll normalerweise abgefahren?“

„Das läuft bei uns zweimal pro Woche: Gruppe 1 ist am Mittwoch und Gruppe 2 dann am Donnerstag.“

„Vielen Dank. Ich bereite dann das Angebot vor und maile es Ihnen bis morgen Nachmittag. Welche E-Mail soll ich dafür nehmen?“

„Schicken Sie mir das persönlich, und zwar unter christie.smith@company.com.“

An diesem Punkt entspann sich dann noch ein kleiner Plausch, und hast du nicht gesehen, waren beide schon an dem Punkt, lachend ein paar Nettigkeiten auszutauschen.

„Also vielen Dank noch mal. Hey, bevor wir nun auflegen, darf ich Sie wohl noch fragen, mit wem Sie aktuell zusammenarbeiten? Ich würde gerne ein vergleichendes Angebot erstellen.“

„Tja, wissen Sie ... “, Christie zögerte, fügte dann aber hinzu: „Okay, bei uns wird das von Wasters Management gemacht.“

„Vielen Dank, Christie. Ich werde dafür sorgen, dass Sie mit dem Angebot überaus zufrieden sein werden. Wir hören voneinander!“

Bewaffnet mit dieser Information ging Tim auf die Website des aktuellen Müllentsorgers und kopierte dessen Logo in eine JPG-Datei. Dann suchte er sich online eine Hemdendruckerei und bekam nach 72 Stunden ein Hemd mit dem Logo zugestellt. Weil er wusste, dass der Müll mittwochs und donnerstags abgeholt wird, wollte er am Dienstagabend hingehen.

Dann rief er erneut die Sicherheitsabteilung an:

„Hallo, hier spricht John von Wasters Management, Ihrem Müllentsorger. Ich wurde von Christie Smiths Büro angerufen und habe erfahren, dass einer der Container beschädigt ist. Weil ja am Mittwoch die Wertstoffe abgefahren werden, wollte ich eben morgen Abend rüberkommen und das noch mal prüfen. Wenn einer der Container kaputt ist, kann der LKW gleich einen neuen mitbringen. Ist das okay, wenn ich Dienstag am späten Nachmittag komme?“

„Sicher, ich schau mal grad nach … okay, Joe hat morgen Dienst. Wenn Sie mit dem Auto kommen, schauen Sie gerade beim Pförtner rein. Dann bekommen Sie von ihm die Kennkarte.“

„Danke.“

Am nächsten Tag trug Tim das Poloshirt mit „seinem“ Firmenlogo und hatte ein Klemmbrett unterm Arm. Der Pretext war genial, weil er Daten und interne Namen kannte. Er wirkte wie ein Firmenmitarbeiter und ging direkt zum Pförtnerhäuschen.

„Hi Joe, ich bin John von Wasters. Ich habe gestern schon angerufen.“

Der Wachmann unterbrach ihn gleich: „Ja, genau, ich sehe Ihren Namen hier auf der Liste.“ Er reichte ihm eine Kennkarte und einen Lageplan, um ihm den Standort der Container zu zeigen. „Soll grad einer von uns mitkommen?“

„Nö, kein Problem, ich finde mich schon zurecht.“

Joe drückte auf den Schrankenöffner, und Tim fuhr durch bis zu den Containern.

Bewaffnet mit einem perfekten Pretext und einer Kennkarte konnte er sich beim Müll nun Zeit lassen. Er wusste, dass in Gruppe 2 der Non-Food-Müll war, also begann er mit seiner Suche hier.

Nach kurzer Zeit lud er ein paar Festplatten, USB-Sticks, DVDs und einige Taschen voller Papiermüll in seinen Kofferraum. Nach etwa einer Stunde fuhr er wieder hinaus, bedankte sich beim Sicherheitspersonal und versicherte ihnen, dass alles in Ordnung sei. Als er wieder im Büro war, wühlte er sich durch den Müll und wurde mit so vielen reizvollen und wichtigen Details belohnt, wie er es sich in seinen wildesten Träumen nicht hätte vorstellen können.

Wenn Firmen ihre Festplatten und USB-Medien entsorgen, zerstören sie meist alles vollständig. Sie löschen alle Daten und schicken die Hardware dann an spezielle Entsorgungseinheiten. Doch gelegentlich werfen Angestellte, die den Umgang mit Wertstoffen und Müll nicht durchdenken, einfach USB-Sticks weg, die sie für kaputt halten, oder eine Festplatte, die nicht mehr länger bootet. Leider ist ihnen nicht klar, dass es viele Programme gibt, die Daten abgreifen können, sogar von nicht-startfähigen Laufwerken und Medien. Auch wenn die Medien formatiert wurden, können die Daten in vielen Situationen immer noch wieder hergestellt werden.

In einer der Taschen waren Inhalte, die wirkten, als stammten sie aus einem Büro. Als er die Tasche leerte, fielen ihm einige Papiere auf, die nicht durch den Schredder gejagt worden waren. Er las alles durch und fand einen Vertrag mit dem Angebot eines IT-Dienstleisters. Der Job sollte in ein paar Tagen anfangen, aber es sah so aus, als hätte dieser Ausdruck einen „Kaffeeschaden“ bekommen und sei deswegen weggeworfen worden.

Das allein wäre schon ein großartiger Fund, aber er musste noch viel mehr durchsuchen. Die DVDs waren leer oder unlesbar, aber überraschenderweise fand er Dateien auf den USB-Sticks. Aus diesen Informationen konnte er Namen und Durchwahlnummern des Finanzvorstands sowie auch die anderer Funktionsträger entnehmen.

Er hatte also immens wertvolle Informationen erfassen können, aber ich will mich hier darauf konzentrieren, was er als Nächstes tat. Am nächsten Morgen schnappte er sich den Vertrag für die IT-Dienstleistung, und weil er wusste, welche Art von Arbeiten durchgeführt werden sollten, rief er die im Vertrag genannte Kontaktperson in der Mittagszeit an und betete inständig, dass sie zu Tisch war.

„Hallo, ist wohl Sebastian zu sprechen?“

„Nein, der ist essen gegangen. Kann ich Ihnen weiterhelfen?“

„Hier spricht Paul von XYZ Tech. Ich wollte nur gerade bestätigen, dass unser Team kommen wird, um morgen Abend mit dem Projekt zu starten.“

„In Ordnung. Denken Sie nur bitte daran, dass wir keine Dienstunterbrechungen haben dürfen. Seien Sie also bitte nicht vor 17.30 hier.“

„Das geht klar, ist notiert. Wir sehen uns dann morgen.“

Am nächsten Tag wusste Tim, dass er nicht gemeinsam mit dem restlichen „Team“ eintreffen durfte. Doch mit richtigem Timing würde er nicht von der IT-Firma oder der Zielperson erwischt werden. Er saß auf dem dunklen Parkplatz und sah zu, wie die Mitarbeiter der IT-Firma eintrafen. Nach etwa einer halben Stunde ging er zur Eingangstür und erklärte, er käme gerade von seinem Wagen, weil er einige Papiere habe besorgen müssen. Ihm wurde geöffnet, und nun hatte er freien Zugang zu den Büros.

Er musste nun mit seinen Ermittlungen fortfahren und schätzte es so ein, dass er sich der IT-Firma am besten als interner Mitarbeiter nähern sollte. Er ging herum, bis er jemanden sprechen hörte, und fand einen der Leute, den er anhand seines Hemds als einen vom IT-Team identifizieren konnte.

Bewaffnet mit den Namen aus dem oberen Management, die er von den Dateien aus dem USB-Stick hatte und von seinem Ansprechpartner beim Aushandeln des Kontrakts begann er: „Hallo zusammen. Ich bin Paul und arbeite für Mr. Shivaz [der Finanzvorstand]. Hat Ihnen jemand den Produktionsserver prdo23 erklärt?“ Tim kannte den Servernamen aus seinen Ermittlungen und wusste, dass er diesen Server anzugreifen hatte.

„Ja, wir wissen, dass der Server bei dieser Arbeit auszugrenzen ist. Der CFO hat uns die Verschlüsselung erklärt und dass wir auf keinen Fall an dem Server rumspielen sollen. Also keine Sorge.“

Nach ein paar Minuten Plauderns hatte Tim ein paar wertvolle Informationen bekommen:

       Das IT-Team darf den Server nicht anrühren.

       Der Server ist komplett verschlüsselt.

       Den Technikern gegenüber hatte der interne IT-Kollege damit angegeben, dass die Zielfirma mit einem Keyfile auf einem USB-Stick arbeite, den nur die Admins bei sich tragen dürfen.

Tim wusste, dass dieser letzte Punkt seine Aufgabe erschweren würde, und weil die Admins nicht im Haus waren, kam er nicht an den Server heran. Außerdem war dieser Server physisch sehr gut gesichert und wahrscheinlich zu gut gehärtet, um das Risiko einzugehen. Doch er wusste, dass die Admins auf diesen Server zugreifen konnte, und war nun der Ansicht, diesen Weg einschlagen zu können.

Er besuchte das erste Büro des Admins, aber es war verschlossen. Dann prüfte er das zweite Büro und das dritte. Die dritte Tür war angelehnt, aber nicht ins Schloss gefallen, und konnte mit leichtem Druck geöffnet werden. Er war drin.

Er schloss die Jalousien und arbeitete ohne Licht. So hatte er das Gefühl, vor potenzieller Entdeckung weniger gefährdet zu sein. In seinem Social Engineer-Kit trug er verschiedene Tools und Kleidung mit sich. Eines der Tools, die er bei solchen Aufträgen stets bei sich führte, war ein USB-Stick mit einer bootfähigen Linux-Distribution wie BackTrack. In der BackTrack-Installation gibt es eine Version von Virtual Box, einer kostenlosen, virtuellen Open Source-Maschine.

Er lud über einen USB-Port an der Rückseite den Computer des Admins in BackTrack. Als er in BackTrack war, baute er eine Verbindung zu seinen eigenen Servern per SSH auf, richtete einen Listener ein und stellte eine Verbindung anhand einer Reverse Shell her, die er vom Rechner des Admins startete. Dann startete er in BackTrack einen Keysniffer (protokolliert alle Tastatureingaben auf dem Computer) und stellte ihn so ein, dass die Log-Datei über die SSH-Verbindung auf seinen Computer verschoben wurde.

Dann machte er etwas wirklich Fieses: Er öffnete Virtual Box und erstellte eine virtuelle Windows-Maschine. Dazu nutzte er die lokale Festplatte als physisches Medium, von dem gebootet wird, und lud die virtuelle Maschine. Das Userprofil und Betriebssystem des Admins wurden automatisch geladen. Beim Login-Bildschirm lud er die virtuelle Maschine im Vollbildmodus, versteckte alle Werkzeugleisten und stellte den vorhandenen Hotkey zum Beenden der virtuellen Maschine auf eine lächerlich lange Tastenkombination ein. Das verhinderte, dass ein User diese Kombination irrtümlicherweise auslöst und bemerkt, dass er gehackt wurde.

Ein Risiko, jeden Moment erwischt zu werden, bestand immer noch, wenn er diese virtuelle Maschine auf diese Weise per USB-Stick auf der entfernten lokalen Festplatte einsetzte. Doch wenn es funktionierte, dann bekäme er jede Tastatureingabe des Admins sowie eine Shell auf dem Computer des armen Kerls – dann hätte Tim Zugriff auf alles. Obwohl sich die Shell auf der virtuellen Maschine befand, könnte er alle Tasteneingaben protokollieren und dann mit dem abgefangenen Benutzernamen und Passwort auf den Rechner seines Opfers zugreifen.

Tim erledigte noch einiges anderes im Büro, z.B. richtete er eine Verbindung auf einen anderen Rechner ein, durch die er einen Fernzugriff auf das Netzwerk bekam. Außerdem installierte er ein fernsteuerbares Abhörgerät, das mit einer Handy-Sim-Karte arbeitete. Das konnte er von jedem Telefon der Welt anrufen und im Umkreis von sechs Metern Gespräche mithören.

Nach ein paar Stunden verließ Tim die Zielfirma und kehrte zurück in sein Büro. Er war gespannt zu sehen, ob alles funktionierte, aber er hatte noch einige weitere Ideen, die er ausprobieren wollte.

Früh am nächsten Morgen schaute er nach, ob seine Remote-Verbindungen immer noch standen. Dann wählte er die Nummer seines Abhörgeräts und belauschte, wie die Leute morgens zur Arbeit kamen. Die Spannung stieg, als er darauf wartete, ob die ersten Computer-Logs eintrudelten, in denen Benutzername und Passwort des Admins stehen müssten.

Etwa eine Stunde später sah Tim, wie die ersten Protokolle eintrafen. Er wusste, dass er keinesfalls etwas machen durfte, was die Verbindung kompromittiert, also wartete er einfach ab. Gegen 12:15 brachen die Logs ab, wahrscheinlich weil der Admin zu Tisch war. Er prüfte schnell die Reverse Shell und begann, einen Tunnel vom Rechner des Admins über den Server zu seinem PC aufzubauen. Dafür nahm er dann das Passwort des Admins für den Server.

Als der Tunnel eingerichtet war, beeilte er sich, so viel wie möglich zu kopieren, bis es 13 Uhr war. Zu diesem Zeitpunkt, fiel ihm auf, kamen keine Logs. Also rief er das Abhörgerät an und bekam gerade mit, wie jemand fragte: „Hast du eine Ahnung, wie lange dieses Meeting dauern soll?“

Weil er davon ausging, dass der Admin in diesem Meeting saß, probierte er einen weiteren, größeren Transfer. Nach etwa einer halben Stunde bemerkte er Aktivitäten. Also unterbrach er die Datensammlung und beschloss zu warten. Er wollte den Admin nicht alarmieren, dass etwas Komisches abläuft, weil durch diesen großen Transfer die Verbindung in die Knie ging. Er begann, alles zu durchsuchen, was er vom Server bekommen hatte, und wusste gleich, was für einen Volltreffer er gelandet hatte.

Doch sein Job war noch nicht erledigt. An diesem Abend führte er noch einen großen Transfer durch und nahm so viel mit, wie er kriegen konnte. Dann ging er wieder ins Büro der Firma und verschaffte sich wie zuvor den Zugang per Social Engineering. Als er im Büro war, ging er zum Büro des Admins, das diesmal abgeschlossen war. Er nutzte ein Shove Knife (siehe Kapitel 7), um hineinzugelangen.

In den Räumen des Admin schaltete er die virtuelle Maschine aus, startete den Rechner neu, nachdem er den USB-Stick entfernt hatte, und verließ das Büro so, wie er es vorgefunden hatte. Er nahm auch sein Abhörgerät mit und achtete darauf, seine Spuren zu verwischen.

Er verließ das Gebäude, ging in sein Büro und stellte seine Funde zusammen. Als das Meeting für die Berichterstattung stattfand, kam er mit einem Stapel Ausdrucken herein und hatte auch eine ganze Festplatte voll mit allem, was er kopieren konnte. Das reichte, dass allen im Raum die Kinnlade herunterfiel.

8.5.3   Das SE-Framework auf Top Secret 1 anwenden

Diese Geschichte lehrt uns eine ganze Menge. Sie zeigt uns das Beispiel eines perfekten Social Engineer und lässt sich in Übung, Vorbereitung und natürlich auch Informationssammlung zusammenfassen. Bei seinen vielen Fertigkeiten können wir uns gut vorstellen, wie er alles trainiert hat: von der Nutzung des Shove Knife über das Tunneln bis zu effektivem Pretexting und Informationssammlung.

Ich kann die Bedeutung und Wichtigkeit der Informationssammlung gar nicht oft genug wiederholen. Ich weiß, das habe ich Ihnen schon tausendmal vorgebetet, aber dieser ganze Coup wäre in die Binsen gegangen, wenn sich Tim nicht die passenden Infos besorgt hätte.

Er war erfolgreich, weil er sich durch Telefonate und Besuche vor Ort und die richtige Hardware gut vorbereitet hatte. In der Analyse dieses Hacks sehen Sie einige der fundamentalen Prinzipien von Social Engineering im Einsatz.

Tim war ein meisterlicher Informationssammler und nutzte die Ressourcen im Netz, um alle möglichen Goldnuggets herauszusieben. Er hat seinen Gesprächspartnern am Telefon hervorragend Infos entlockt und im persönlichen Kontakt auch ausgezeichnete Fähigkeiten zum Überreden und Überzeugen bewiesen. Mit diesen Techniken konnte er Daten erfassen, die von einem unerfahrenen Hacker wahrscheinlich übersehen worden wären.

Seine Grundlage schuf er sich durch diese angehäuften Infos um darauf Pretexte und Fragen zu entwickeln.

Der Dumpster Dive wurde mit chirurgischer Präzision geplant. Bestand die Chance, auch ohne Hemd mit Logo und seine Verabredung aufs Gelände zu kommen? Gewiss, doch um wie vieles machtvoller war die Art, wie er dies gemacht hat? Niemals wurde angezweifelt, was er machte, und er sorgte dafür, dass alle, mit denen er zu tun hatte, mit ihren Angelegenheiten weitermachen konnten und kein zweites Mal darüber nachzudenken brauchten. Der Pretext ist dann perfekt, wenn jemand mit Ihnen zu tun hat und bei dieser Person keine irgendwie gearteten Alarmsignale angehen. Tim gelang das, und er konnte sich dadurch so frei bewegen, als sei er einer der ihren.

Der beste Teil der Story beginnt, nachdem er ins Gebäude gekommen war. Da gab es ein derart großes Fehlerpotenzial, und er hätte sehr oft erwischt werden können. Sicher, er hätte auch hineinspazieren, die Daten vom Server saugen und wieder verschwinden können, und dann hätte ihn wahrscheinlich auch keiner aufgehalten, aber auf seine Art erfuhr die Firma nie, wie sie ihre Geheimnisse verloren hat, und merkte gar nicht, dass sie kompromittiert wurde.

Tim ging ein sehr großes Risiko ein, als er auf dem Computer des Admin eine virtuelle Maschine zurückließ. Dieses Manöver insbesondere hätte auf viele verschiedene Weisen misslingen können. Wenn der Computer abgestürzt oder von jemandem neu gestartet worden wäre oder wenn der Admin aus Versehen diese verrückte Tastenkombination gedrückt hätte, wäre dies das Ende des Hacks gewesen, und die Firma wäre alarmiert worden, dass es eine Kompromittierung gegeben hat.

Ich hätte vielleicht eine andere, weniger riskante Route eingeschlagen, bei der ich mit meiner eigenen EXE-Datei (die von keiner Antivirensoftware oder in den Start-Scripts des Computers erkannt worden wäre) einen umgekehrten Tunnel von seinem Computer auf meine Server erstellt hätte – ich hätte also weniger hoch gepokert, aber Tims Methode war als Social Engineering-Hack wirklich sehr sexy.

Wahrscheinlich kann man mehr als nur eine Lektion aus diesem speziellen Hack mitnehmen, aber auch der alte Hacker-Spruch „Traue keinem“ trifft auch hier zu. Wenn jemand anruft und meint, Christie hätte eine Müllcontainerinspektion erlaubt, und Sie haben weder von ihr oder noch durch ein Memo davon erfahren, dann rufen Sie sie an und haken nach. Schalten Sie Ihre Computer nachts ab und sorgen Sie auf jeden Fall dafür, dass wichtige Rechner nicht ohne Passwort per USB-Stick bootbar sind.

Sicher, diese zusätzlichen Sicherheitsvorkehrungen bedeuten mehr Arbeit und längere Ladezeiten. Ob sich das lohnt, hängt davon ab, was für Daten auf diesem Rechner liegen. In diesem Fall waren die Daten so brisant, dass sie die Firma ruinieren konnten, also wäre auch ein extremer Schutz angemessen. Obwohl die Firma im Bereich der Server wirklich hervorragende Vorkehrungen getroffen hat wie z.B. Festplattenverschlüsselung, Kameras, biometrische Schlösser usw., hat sie sich aber nicht um die Sicherung der Computer gekümmert, über die Zugang auf die wichtigsten Daten möglich ist, und das führte zum Untergang der Firma.

8.6   Fallstudie Top Secret 2: Pentester als Social Engineer

Um die Ecke denken zu können und das auch noch blitzschnell, ist das täglich Brot für einen Social Engineer. Also kommt es selten vor, dass man sich als Profi hier in einer Situation befindet, wo man völlig verblüfft ist. Was passiert, wenn ein Pentester aufgefordert wird, ohne vorherige Warnung die Rolle eines Social Engineer zu übernehmen?

Der nächste Bericht zeigt ausführlich, was in einer solchen Situation geschehen kann. Es ist ein gutes Beispiel, wie nützlich es ist, wenn man seine Skills als Social Engineer so gut trainiert hat, dass man sie ohne Vorwarnung abrufen kann.

8.6.1   Das Ziel

„John“ wurde von einem seiner großen Kunden für einen standardmäßigen Netzwerkpenetrationstest herangezogen. Es war ein recht trockener Pentest, weil es nicht zum Audit-Auftrag gehörte, mit Social Engineering oder vor Ort zu arbeiten. Doch ihm machte es Spaß, die Schwachstellen der Netzwerke seines Kunden zu testen.

In diesem speziellen Pentest geschah eigentlich nichts wirklich Spannendes. Er führte seine normalen Routineabläufe wie Scannen und Daten protokollieren durch, testete bestimmte Ports und Dienste, die von seinem Gefühl her den Weg hinein ermöglichten.

Gegen Ende des Tages startete er mit Metasploit einen Scan, der einen offenen VNC-Server aufdeckte. Mit einem solchen Server steuert man andere Rechner im Netzwerk. Das ist ein schöner Fund, weil das Netzwerk insgesamt gesperrt war, sodass diese Art des einfachen Zugangs ganz besonders willkommen war.

John dokumentierte gerade seine Entdeckung mit der offenen VNC-Session, als sich im Hintergrund plötzlich die Maus über den Bildschirm bewegte. Da schrillten bei ihm alle Alarmglocken, denn bei diesem Kunden und zu dieser Uhrzeit sollte kein User angemeldet sein und das System zu legitimen Zwecken nutzen.

Was war da los? Ihm fiel auf, dass diese Person, anstatt sich wie ein Admin oder normaler User zu verhalten, sich scheinbar mit dem System nicht sonderlich gut auskannte. Ihm kam der Verdacht, dass sich ein unerwünschter Eindringling im Netzwerk herumtrieb. Er wollte den Eindringling nicht abschrecken, sondern erfahren, ob es sich um einen Admin oder einen anderen Hacker handelte, der nur gerade im gleichen System unterwegs war.

Schnell wechselte das Ziel: Er kümmerte sich nicht mehr um die Firma seines Kunden, die ihn mit einem Pentest beauftragt hatte, sondern um einen schurkischen Hacker, der sich in der Organisation herumtrieb.

8.6.2   Die Story

John beschloss schnell, diesen Hacker mit Methoden des Social Engineering zu bearbeiten, damit er so viele Informationen wie möglich bekam, um seinen Kunden schützen zu können. Er hatte nicht genug Zeit, jeden Schritt gut zu durchdenken und ordentlich zu planen. Geschweige denn, dass ihm Zeit für eine passende Informationssammlung blieb.

Er ging ein großes Risiko ein und öffnete den Editor. Schnell entwickelte er als Pretext, ein „n00b“-Hacker zu sein, also ein Newbie oder Neuling, ein unerfahrener Anfänger, und dass er diesen Rechner nun offen vorgefunden hatte und ihn hackte – genau wie dieser andere Kerl. Er war in der Lage, ein paar Screenshots dieser Konversation zu machen. Schauen Sie sich mal an, wie der Pentester als Social Engineer den Hacker manipuliert hat – siehe Abbildung 8.1. John startet die Konversation, und in jeder zweiten Zeile schreibt der Hacker.

f0801.jpg 

Abb. 8.1: Ein echter Screenshot des Events

Es folgt das wörtliche Transkript, wie sich die Konversation entwickelte. Es ist lang und mit allen Tippfehlern und Jargon des Originals, aber das Transkript zeigt genau, was bei diesem Hack ablief. John beginnt.

   

wasn los?

hehe, schau mich nur um.

yup, ich auch. schon was guts geefunden?

biste auchn „hacker“? ovj such grad nach offnen VNC-servern

ovj=ich

ich hab was einfaches gesucht. das hier war einfach. ;) haste noch was in diesem netzwerk gesehn? ich hab blos dies gefunden.

hab bisher noch nix interessantes gefudnen, das meiste ist echt gut gesichert. ja rein kam man gut aber ich will admin privs haben ... :D

Ja von hier wär das einfach. brauchste dieprivs nur upgraden. würd gern ma wissen, was noch so hier is. wasn das fürne tabelle die immer auf is?

keine ahnung, war schon da als ich mich eingeloggt hatte. hab mich noch nicht umgesehen. hab diesen kasten vor ca 2 std gefunden. Was ist mit dir?

hab den schon ne woche. komm da immer wieder ma vorbei. Hab nix weiter damit gemacht. kein bock. Was warn deine testdatei von rapidshare? Ich hab da grad strings gedumpt, kann aber nix erkennen.

Cool. na das is bloss ne testdatei von mir selbst. Hab nur versucht ob ich einen server (mit trojaner) kriegen kann. ging aber nich durch die firewall.

lol. Hatte das gleiche prob. Hab ne metasplit shell gemacht aber no-go. darum bin ich hier bei diesem kasten geblieben. Kommste ausn staaten? oder ausland? ich kenne n paar in dänemark.

ich komm aus norwegen, hehe, hab verwandte in dänemark

biste auch bei boards drin? ich war ma in paar drin aber die gibs nicht merh.

ich bin meist so in programmierer boards, aber sonst nich so viel. machste hacken schon länger oder was? wie alt biste eigentlich? ich bin 22.

ich mach das schon so etwa n jahr oder so, nur aus spaß. Geh noch zur schule. 16. hab einfach bock, mal was zu machen. warste mal in evilzone?

Nö, noch nich. ich mach das auch meist nur aus fun, kuck was ich so hinkrieg, teste meine skills. den vnc finder hab ich übrings selbst geschrieben. hab schon ne menge server gefunden, aber das hier ist der erste der echt n bisschen bock macht.

geil! womit haste den geschrieben? kann ich den dl? haste n nick?

Den hab ich mit ner sprache namens PureBasic geschrieben. ist aber noch nich fertig, den nutz ich nur selbst. aber vielleicht geb ich das doch mal weiter. Ich kann den Code ja mal hochladen und dann kannst du das kompiliern. aber dafür musste dir nochn PureBasic compiler aufner warez site besorgen :P

Das ist cool. kannste ja auf die pastebin site von irc packen. Da kannste anonym posten purebasic hab ich noch nicht gemacht. Nur python und perl.

Ich kuck da grad mal, ich such die pastebin site und lad das hoch, warte mal grad ich meld mich gleich.

ok cool! hast dun nick? ich bin jack_rooby

nick für was? Ich chatte nich viel auf irc oder so aber ich geb dir ne email da kannste hinschreiben.

ok cool. handle mein ich für irc und boardz und so. aber email is auch ok.

yup,im programmier board schreib ich meinen ganzen namen undso. Wär nich so schlau, den jetzt zu sagen. meine email ist intruder@hotmail.com

schick mir mal ne mail oder auch so ne message. kann dich dann auf msn adden vielleicht.

ich mail dir was. ist toll, wenn man einen hat, der ahnugn von programmiern für son kram hat, wenn ich mal festhäng oder was tolles finde.

grins yup wir könnten ein team machen :-P

cool. sag bescheid wenn du das mit pastebin feddich hast.

http://pastebin.ca/1273205

btw...  das ist grad mal „alpha“. GUI ist noch nicht fertig. Aber mitn paar variablen kannste das konfiguriern.

Cool. test ich. mal sehen, was ich damit machen kann. danke fürs weitergeben. Wenn ich was cooles mach, soll ich dir das dann mailen?

Ja,mach ma. Lass das proggie mal n paar stunden laufen, dann findste ne menge server. hab sogar mal versucht code einzubauen mit dem man server ohne security findet und auch mal welchen, dann kannste nach bugs suchen bei servern, bei denen kannste dann einloggen auch wenn es ein passwort gibt. Diese server stehen dann im resultat als „unsicher“ (im tab „found“). Manchmal klappt das nicht und dann werden welche als unsicher gemeldet die das gar icht sind, aber nicht viele, ist nur damit man die testen kann.

voll fett! Ich hab hier auchn paar vnc server gesehen, aber die wollten alle n passwort. kann man mit deinem tool dann da auch rein?

Nur ein paar haben den bug mit dem du reinkommst, aber du musst den speziellen client dafür nehmen, findeste hier mehr drüber:

http://intruderurl.co.uk/video/

Lad die zip runter.

Olol, k, soI wrry.

Sorry. Ok ich lad mir das runter und kuck mal. ok cool. Haste die backdoor von rapidshare auch geschrieben? oder woher haste das?

Ich versuch meine tools meist selbst zu schreiben, so lern ich was. Also ja, ich hab das selbst geschrieben. War aber noch nicht fertig. Wollte bloß mal kuckn ob ich einen server starten kann hab aber noch nix damit gemacht. grins.

Ah ja. Hab dann keinen bock mehr gehabt und aufgehört, aber wollte dann doch noch mal wieder hin und ein paar andere ausprobiern. ich glaub da muss auch noch mehr son kram sein, aber blöd ich hab kein botnet was ich nehmne kann. da war einer, Zoot54 oder so, der wollte mir eins verkaufen, ein paar haben auch für den gebürgt, aber dem hab ich echt nicht getraut. Ich kann auch keine eigenen tools schreiben kenn bloß perl und python das klappt ja bei den meisten windows hosts wie dem hier. hab also dann metasploit genommen, aber da komm ich nicht durch die firewall. Hast du noch was mit dem hier vor? irgentwas cooles was du machen willst? oder ab zum nächsten?

Btw, perl und python sind  gut so zum starten. ich hab damit selbst noch nix gemacht, aber wenn du schon n paar sprachen kennst, geth das einfach mit neuen lernen :P solltest echt ma PureBasic ausprobiern, das ist echt kinderleicht. ein botnet wär echt cool grins hab schon mal dran gedacht selbst eins zu machen. ist aber nicht so einfach das rumzubringen, zumindest nicht auf vista. nö, den server hier kann ich noch nicht aufgeben, ich will da noch was ausprobieren, muss doch möglich sein mehr privs zu kriegen. ;D

is cool. du kannst den server haben, ich hab den schon ne zeit, hab keine ahnung was ich dann machen will. sag ma bescheid, wenn du bock hast, was so läuft bei dir. kann ich vielelicht noch was draus lernen. das wär cool biste bei myspace oder facebook oder so? oder mailste nur?

mailen reicht jetzt hier wenn ich dich besser kenn kann ich dich bei fb adden, myspace hab ich niht. okay, ich sag dann bescheid :)

cool das wär klasse. haste ne shell oder haste hier die gleiche gui? Ist das bloß son multiconnction vnc?

Ja, ich hab grad ThightVNC genommen oder so und so eingestellt, dass andere user nicht gekickt werden. bin echt kein shell fan grins :S

Cool. wenn ich mal ne shell hab verbock ich dauernd was und dann kapp ich aus versehn die verbindung

Gut mich hast du nicht gekappt :D noch was als ich dich vorhin gemerkt hab das du da bist dachte ich „fuck der admin is hier“ grins

Nö hab nach der zeitzone gekuckt. die sitzen mitten in den usa also da ist tiefe nacht bei denen

geenau hab ich auch gemacht. Hab sogar mal den speed vonner verbindung gecheckt grins. komisch upload geht bei denen schneller als dl ... Aber goil fürn DoD vielleicht mal.

DoS mein ich.

komisch echt. hab mich schon gefragt, was fürne verbindung das ist. soll von co. kommen. fand ich lustig den namen .. kriegst du auch mal andere systeme hier? Hab maln warez server gesehen. ist aber schon lange her und der ist auch weg jetzt.

hab noch keine anderen systeme gefunden. aber ich hätt echt bock auf all die anderen kästen im netzwerk zu gehen die die da haben … echt massig viel, ist glaube ich sone art uni. heut hab ich da mal „hello world“ geprintet grins.

haha war das fürn drucker oder screen? die leute würden echt ausflippen wenn die sehen wie die maus über monitor fetzt, mitten am tag und da mit dieser komischen tabelle ...

haha würden die wohl echt aber was für pappnasen lassen einen VNC server ohne passwort laufen? Ich hab das aufn par von den druckern gepritnet ich hoff dass das einer gesehen hat.

haha stimmt echt ich glaub ein paar … aber die können das doch nicht ohne admin privs laufen haben oder? Also kann das nicht bloß son DAU sein der das gemacht hat, das müsste doch einer mit admin sein oder sonst müssten unsere backdoors da laufen aber die funzen ja nicht. Oder meinste da hat einer die config geändert?

hmm tja hast wohl recht. war wohln admin oder sone lachnummer …

lebst du eigentlich davon? ich hör dauernd dass man da echt kohle mit machen kann. ich hab mal gedacht wenn man das mal ne zeit macht und echt gut wird damit dann kriegt man da auchn job. Machst du das denn?

ich hab geld mit programmieren gemacht aber nie mit hacking oder so security sachen. wär aber echt ne gute idee. Die leute löhnen, wenn sie ihre sicherheit testen wollen und wenn wir gut genug werden könnten wir da echt ne menge mit verdienen.

ja, hoff ich auch. hab mal son buch über ethische hacker gekauft. ich glaub, da waren ein paar gute proggis drinne. keine ahnung, wie alt man sein muss, um den test zu machen, aber wenn ich das mal echt machen will, dann wär das für diese arbeit n guter anfang. und da gibt’s auche in paar gute tools wie Metasploit. kuck dir das mal an, lohnt sich echt.

okay, danke, geh ich mal hin :) werd übrigens grad echt müde, grins kann hier nicht die ganze zeit in diesem mist notepad chatten, hehe Also cu man, war cool dich zu treffen, hat spaß gemacht.

yup, hatte echt schiss als ich den rapid share auf dem screen sah. war cool dich zu treffen. Ich mail dir dann und sag ob das proggi funzt. echt spannend das mal ausprobieren und mal sehen was passiert. pass auf dich auf und halt dich von bösen leuten fern!

grins du auch alter bis denne! :) war echt interessant, ich glaub ich speicher das mal grad ab … just a sec, so lol …

so das wars sorry

Bis denne

Bye

Bei diesem Chat wird deutlich, wie schnell sich John einen Pretext zurechtlegen und in eine andere Haut schlüpfen musste. Das ist keine einfache Aufgabe, weil dazu normalerweise eine Menge Planung gehört, aber um seinen Kunden zu schützen und herauszufinden, wer dieser Eindringling ist, musste er vorspielen, welche Rolle dieser „Hacker“ ihm auch immer zuweisen würde.

Am Ende bekam John schließlich dessen Foto, E-Mail und Kontaktinfos. Er berichtete seinem Kunden von diesem bösartigen Hacker, und das Problem wurde behoben, damit man sich nicht weiter frei in den Systemen bewegen konnte.

Dieser Top-Secret-Fall zeigt, wie viel das Social Engineering bewirken kann, wenn man es professionell einsetzt, um seine Kunden abzusichern.

8.6.3   Das SE-Framework auf Top Secret 2 anwenden

Was ich an dem Bericht über diesen Fall interessant fand: wie die Firma für den Hacker gar kein wirkliches Ziel war. Er suchte im Internet einfach nur nach den sogenannten „tiefhängenden Früchten“, und genau das hat er auch gefunden. Offene Rechner mit komplettem Zugang sind gefährlich, und dieser Bericht zeigt genau, wie viel Schaden hätte angerichtet werden können, wenn der Pentester nicht gerade im richtigen Moment anwesend gewesen wäre.

Natürlich gibt es hier auch noch eine Menge zum Thema Social Engineering zu lernen. John geriet in dieses Projekt nicht gerade unter der Prämisse, wie er sein Geschick als Social Engineer anwenden könnte. Es war vielmehr einfach nur ein Pentest. Manchmal werden Sie aufgefordert, Ihre Skills nutzen, ohne es vorher planen zu können.

Wodurch war John in der Lage, so etwas umzusetzen, ohne vorher nach Hause zu gehen und alles erst einmal zu üben? Wahrscheinlich gehören diese Fähigkeiten und Fertigkeiten für John zum täglich Brot oder er hat sie zumindest so oft ausgeübt, dass er flexibel damit umgehen kann.

Die Hauptlektion in dieser Fallstudie ist wohl, dass Übung den Meister macht. Realistischerweise hätte John den Hacker auch konfrontieren können, um ihm zu sagen, er sei der Admin, hier werde alles protokolliert und sein Hackerleben sei nun beendet. Alle möglichen Drohungen hätten hin und her geschickt werden können, und er hätte als Haupttaktik auch mit Angst arbeiten können.

Höchstwahrscheinlich wäre der Hacker dann geflohen und später zurückgekommen, um zu versuchen, das System zu formatieren oder noch weitere Schäden zu verursachen, nur um seine Spuren zu verwischen. Stattdessen hat John sehr schnell überlegt und konnte eine Menge nützlicher Informationen seinem Ziel aus den Rippen leiern. John setzte später die E-Mail-Adresse und den Namen seines Ziels ein sowie eine Maltego-Session und bekam ein sehr klares Bild der Aktivitäten dieser Person.

Eine weitere, nicht unwichtige Lektion aus dieser Story ist, wie man geschmeidig ist. Damit meine ich zu lernen, im Fluss zu bleiben. Als John damit anfing, vom Hacker „Informationen zu sammeln“, hatte er noch keine Ahnung, ob er es mit einem Hacker oder einem Admin zu tun bekam. Johns Eingangssatz „wie gehts?“ hätte der Hacker auf vielerlei Weise beantworten können. Ohne die genaue Antwort zu kennen, hatte John kaum Zeit, sich wirklich vorzubereiten. Er musste im passenden Jargon reden und so reagieren, wie sich ein Hacker seiner Meinung nach verhalten würde.

John ging sogar noch einen Schritt weiter. Weil ihm gleich klar war, dass er sich am besten an sein Gegenüber „anschmiegt“, nahm John den Pretext eines „n00b“ an, also eines unerfahrenen Hackers, der kaum Bescheid wusste und interessiert war, dass ihm ein wunderbarer und intelligenter echter Hacker ein paar tolle Sachen zeigte. Indem er sich in das Ego des Hackers einfühlte, brachte John ihn dazu, über alles Mögliche aus dem Nähkästchen zu plaudern und sogar seine Kontaktinfos und ein Foto zu mailen.

8.7   Warum Fallstudien so wichtig sind

Diese Fallstudien sind nur ein paar der vielen, die es gibt, und beileibe nicht die erschreckendsten. Täglich werden Regierungen, Atomkraftwerke, milliardenschwere Unternehmen, Energieversorgungsnetze und sogar ganze Länder Opfer von böswilligen Social Engineering-Angriffen, und dabei zählen wir noch gar nicht die persönlichen Storys über Trickbetrügereien, Identitätsdiebstahl und Raub, die in jeder Minute passieren.

So traurig es ist, all diese Geschichten zu lesen, ist es doch eine der besten Lernmöglichkeiten, sich diese Fallstudien genau vorzunehmen. Experten aus allen möglichen Bereichen arbeiten mit dieser Methodik. Psychologen und Ärzte untersuchen stundenlang Aufzeichnungen und Interviews, um die Mikroexpressionen zu studieren, die der Mensch bei bestimmten Emotionen verwendet.

Experten der Überredungskunst prüfen, analysieren und studieren Berichte von positiver und negativer Beeinflussung. Das hilft ihnen zu erkennen, welche subtilen Bereiche sich auf andere Menschen auswirken, und zu erfahren, wie man daraus lernen und das nutzen kann, um ihre Kunden zu schützen.

In der Ausbildung von Polizisten werden täglich Fallstudien eingesetzt, um zu erfahren, wie Kriminelle denken und handeln. Ebenso analysieren und sezieren polizeiliche Ermittler jeden Aspekt einer böswilligen Person, z.B. was sie isst, wie sie mit anderen interagiert, worüber sie nachdenkt und was sie reagieren lässt. All diese Informationen helfen dabei, den Geist des Kriminellen wirklich zu verstehen.

Mit den gleichen Methoden zielen professionelle Profiler auf die „Bösewichte“ und schnappen sie. In gleicher Weise lernen auch professionelle Social Engineers eine Menge, wenn sie nicht nur eigene Fallstudien studieren, sondern auch Fälle aus ihrer eigenen Praxis und Medienberichte über solche Vorkommnisse. Durch die genaue Untersuchung von Fallstudien kann ein Social Engineer die wahren Schwächen der menschlichen Psyche genau erkennen und warum die Taktiken des Social Engineering-Frameworks so einfach und leicht funktionieren. Darum habe ich so intensiv und hart daran gearbeitet, dass das Framework auf www.social-engineer.org aktualisierte Geschichten aus dem Internet enthält sowie Fallstudien, damit Sie Ihre Skills erweitern.

Am Ende haben all diese Exploits funktioniert, weil Menschen so gestrickt sind, dass sie vertrauen wollen, dass sie mitfühlend und empathisch sind und den Wunsch verspüren, anderen helfen zu wollen. Diese Qualitäten sollten wir uns nicht abgewöhnen, weil wir auch täglich mit unseren Mitmenschen zu tun haben. Doch zur gleichen Zeit sind es genau diese Qualitäten, die oft genug von arglistigen Social Engineers ausgenutzt werden. Vielleicht wirkt es so, als würde ich befürworten, dass man sein Leben als abgehärtete, emotionslose Kreatur führt und herumläuft wie ein Roboter. Obwohl Sie sich damit definitiv vor den meisten Social Engineering-Versuchen schützen könnten, wäre es kein lebenswertes Dasein mehr. Was ich aber fördern möchte: achtsam sein, gut geschult sein, vorbereitet sein.

8.8   Zusammenfassung

Sicherheit durch Schulung ist das Mantra dieses Buches. Nur wenn Ihnen die existierenden Gefahren bewusst sind, nur wenn Sie wissen, wie der Kriminelle denkt, und wenn Sie bereit sind, sich diesem Bösen zu stellen und es zu akzeptieren, können Sie sich selbst wirklich schützen. Darum wird es im letzten Kapitel dieses Buches darum gehen, wie man die Angriffe von Social Engineers verhindern oder lindern kann.