Social Engineering – Die Tools der Hacker

Mit welchen Tools bereitet ein Social Engineering Hacker seine Angriffe vor? Wie kommt ein Angreifer an solche vermeintlich gut gehüteten Informationen? Ich werde einige beliebte Tools vorstellen und einen Ausblick in die Zukunft des Social Engineering wagen.

Es ist leider einfacher, als man vermuten möchte. Viele wichtige und nützliche Informationen sind öffentlich verfügbar. Was Social Engineering eigentlich ist, habe ich im Artikel „Das älteste Gewerbe der Welt“ beschrieben. Alle Tools, die ich hier vorstelle sind frei verfügbar. Das soll verdeutlichen, dass keine außerordentlichen Ressourcen notwendig sind, um hier erfolgreich zu sein. Wichtig ist zunächst die Informationsbeschaffung. Dafür ist es zunächst unwichtig, welche Art des Angriffs stattfinden soll. Die Beschaffung wichtiger Informationen und das „Verstehen“ des Opfers ist der erste Schritt. Dabei steht an erster Stelle die Homepage des „Opfers“.

Homepage der Opfer

Auf der Homepage, insbesondere in den Pressemitteilungen und News, findet ein Angreifer bereits wichtige Hinweise und Informationen. Ein aktuelles Beispiel aus 2015 zeigt dies eindrucksvoll: Die Firma Mattel (Spielzeughersteller) hatte auf der Webseite den neuen CEO vorgestellt. Das war zum Zeitpunkt des Angriffs gerade mal einen Monat her. Ein Angreifer gab sich als CEO aus und brachte einen Mitarbeiter der Finanzbuchhaltung dazu, für eine Firmenübernahme 3 Mio. US$ nach China zu überweisen. Diese „CEO Fraud“ genannte Masche ist sehr erfolgreich. Das FBI geht von bis zu 2,3 Mrd. US$ Verlust bis April 2015 aus. Auch im deutschsprachigen Raum sind mehrere Fälle bekannt. So wurde der Automobilzulieferer Leoni um 40 Mio. € und der österreichische Luftfahrtkonzern FACC gar um 50 Mio. € betrogen.

Weitere für Angreifer hilfreiche Informationen, auf der Homepage von Unternehmen, sind aber auch:

  • Namen und Funktion von Angestellten oder Geschäftsführern
  • Organigramme
  • Informationen zur Struktur des Unternehmens (Gesellschaftsform, Tochterunternehmungen, Geschichte des Unternehmens, etc.)
  • Soziales Engagement, Publikationen, Projekte, Entwicklungs- oder Forschungsarbeiten
  • Kooperationen (mit anderen Unternehmen, Behörden, Bildungseinrichtungen, etc.)
  • Dienstleistungen für Mitarbeiter (Kantine, Freizeit)

All diese Informationen sind recht schnell und einfach zu erhalten. Sie bieten einem Außenstehenden tiefgehenden Einblick. Allein die verwendete Sprache auf der Homepage lässt schon Rückschlüsse auf die Kultur des Unternehmens zu (streng geführt und starr, jung und offen, etc.).

Öffentliche Datenbanken und Soziale Netzwerke

Die Informationen über Unternehmen und Personen, die dort arbeiten, im Internet sind schier unglaublich. Zum Einen gibt es öffentliche Datenbanken:

  • Whois
  • DNS
  • Google
  • etc.

Zum Anderen können  auch geschlossene Datenbanken wertvolle Informationen liefern:

  • Xing
  • LinkedIn
  • Facebook
  • Twitter
  • etc.

Die Informationen aus diesen Quellen manuell zusammenzutragen ist außerordentlich aufwendig. Aber mit dem richtigen Tool geht das in Minuten. Eines der Tools, welches hierbei unterstützen kann, ist Maltego. Dieses Werkszeug durchsucht diese öffentlichen Datenbanken und versucht die ermittelten Informationen übersichtlich darzustellen.

Werden auf der Webseite E-Mail-Adressen oder Namen gefunden, so kann man die Suche weiter ausdehnen. In der professionellen Variante versucht das Tool dann zusätzlich diese Kontakte in Sozialen Netzwerken zu finden. In einem weiteren Schritt kann dann geprüft werden, ob E-Mail-Adressen dieser Personen zur Anmeldung bei einem dritten Dienst (bspw. Dropbox, LinkedIn, Ashley Madison, etc.) verwendet wurden. Ist dem so, wird geprüft, ob diese Zugangsdaten in einem Hack geleakt wurden. Der Vorteil für den Angreifer: Die Wahrscheinlichkeit, dass ein Anwender für den Login bei Dropbox das gleiche Passwort wie für die Anmeldung am Unternehmensnetzwerk verwendet, ist sehr hoch!

Auf diesem Weg ist es oft sehr einfach möglich an gültige Anmeldeinformationen für Unternehmen zu gelangen. Sie sollten aus diesem Grund niemals für verschiedene Dienste das gleiche Passwort verwenden. Und schon gar nicht sollten Sie sich mit Ihrer geschäftlichen E-Mail-Adresse bei öffentlichen Diensten anmelden!

Soziale Netzwerke sind eine wahre Inspiration für Social Engineers

Hat man bis hierhin als Social Engineer noch keinen Erfolg, so ist es vielversprechend in Sozialen Netzwerken nach weiteren Informationen zu suchen. Auf Xing veröffentlichen beispielsweise viele Angestellte Details zu ihrer Tätigkeit und der am Arbeitsplatz eingesetzten Software. Auf Facebook kann man ermitteln, welche Hobbies und privaten Interessen die Mitarbeiter einer Organisation haben. Oft kann man auch herausfinden, ob Schlüsselpersonen (siehe CEO Fraud oben) gerade im Ausland sind.

Spear Fishing

Ein nächster Schritt im Social Engineering ist dann, mit den so gewonnenen Informationen einen gezielten Angriff vorzubereiten. Dazu sind verschiedene Techniken vielversprechend. Sehr gut funktioniert das Versenden von E-Mails mit schadhaftem Anhang. Idealerweise sind diese E-Mails zielgerichtet an eine Einzelperson. Dann spricht man von Spear Fishing. Beispiele sind:

  • Bewerbung auf eine ausgeschriebene offene Stelle
  • E-Mail an Einzelpersonen ohne geschäftlichen Bezug (Der Mitarbeiter in der Buchhaltung, welcher sich in einem Verein engagiert oder die Kollegin, welche auf Facebook Interesse an einer kulturellen Veranstaltung bekundet hat, …)
  • Aufforderung zur Abgabe eines Angebots an den Vertriebsmitarbeiter
  • E-Mail an den Einkäufer, der Ausschreibungsunterlagen erwartet
  • Anfrage an die Pressestelle mit Bezug zu einer aktuellen Pressemeldung

Erfolgreiche und medienwirksame Spear Fishing Attacken waren beispielsweise im Angriff auf den Bundestag zu beobachten.

Waterholing

Waren die bisherigen Bemühungen Schadsoftware einzuschleusen nicht erfolgreich, so gibt es den Weg des Waterholing. Allerdings ist dies im Bereich des Penetrationtesting eher nicht relevant, da die Systeme Dritter angegriffen werden.

Ein Angreifer erkennt beispielsweise, dass das Unternehmen eine Kantine hat, diese aber durch ein Cateringunternehmen betrieben wird. Somit ist es also wahrscheinlich, dass der Speiseplan auch durch das Cateringunternehmen auf deren Webseite gehostet wird. Es könnte auch zutreffen, dass es keine Kantine gibt und die Belegschaft deshalb gerne den Italiener oder Griechen an der nächsten Straßenecke aufsucht. Auch hier sehen die Kolleginnen und Kollegen gerne vorher nach, was heute auf der Tageskarte steht.

Als Angreifer nutzt man das und versucht die Webseite des Kantinenbetreibers oder des Restaurants um die Ecke mit Schadsoftware zu infizieren. Denn diese Webseiten sind oft wesentlich schlechter abgesichert, als die Webseiten von Unternehmen.

Ein weiterer interessanter Ansatz, welchen ich auch zum Waterholing zähle, ist die Nutzung von Google Analytics. Grundsätzlich ist die Idee dahinter folgende:

  • man erstellt eine schadhafte Webseite
  • man verursacht Traffic auf der Webseite des Opfers (ausgehend von der schadhaften Webseite)
  • Diese schadhafte Webseite steigt im Ranking der Google Analytics
  • Die Betreiber der Webseite (meist die Marketing Abteilung) interessiert sich dafür, wer da eine erfolgreiche und vielgenutzte Verlinkung gesetzt hat und schaut nach…
  • Infektion der Marketing Abteilung!

Dieser Angriff hört sich aufwendig an. Aber keine Sorge: Im SE Toolkit gibt es bereits alle Funktionen fertig eingebaut.

USB Sticks und Co.

Wenn alle vorherigen Angriffsformen nicht erfolgreich waren, so gibt es einen weiteren vielversprechenden Weg. USB Sticks in Unternehmen einzuschleusen ist einfacher als man annehmen sollte. Zwar wissen die Mitarbeiter in der Regel, dass sie fremde USB Sticks nie ungeprüft verwenden sollten, man kann sie häufig dennoch dazu verleiten:

  • USB Sticks auf dem Mitarbeiterparkplatz (ggf. mit manueller Beschriftung „Personalplanung 2017“ oder ähnliches)
  • Versand als Werbegeschenk
  • Versand als „Gadget“ (USB-Gadget ala Wackelblume, E-Zigarette, Powerbank etc.)

Dieser Angriff ist natürlich etwas teurer, da man in „Hardware“ investieren muss. Jedoch gilt auch hier: Ist das Ziel lukrativ genug, so sollten ein paar Euro kein Hindernis sein.

Und die Zukunft des Social Engineering?

Die Wege des Social Engineering in Zukunft sind vielfältig und der Kreativität sind keine Grenzen gesetzt. Vieles hängt auch davon ab, in welche Richtung sich unsere Kommunikation verändert. Auch persönliche Ansprache und das Wissen um kulturelle Gepflogenheiten werden immer eine Rolle spielen.

Das perfekte Imitieren von Sprache in „Real Time“ ist dabei eine interessante Entwicklung. Ich gebe zu – im ersten Moment habe auch ich an „Mission Impossible“ gedacht. In Filmen dieser Art gibt es technische Gerätschaften, die eine Stimme quasi „on the fly“ verändern. Aber das gibt es schließlich nur in Hollywood! Oder?

Nicht ganz richtig. Adobe hat im November 2016 auf seiner Entwicklerkonferenz ein neues Tool namens VoCo vorgestellt. Dieses Tool hat genau das zum Zweck: perfekte Imitation einer Stimme! Quasi so etwas wie Photoshop für Sprache. Aktuell befindet sich das Tool noch in der Entwicklung. Aber mit der Zeit wird dies sicher reifen und eine mächtige Waffe für Social Engineers sein.

 

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *