„Die größte Leistung besteht darin, den Widerstand des Feindes ohne einen Kampf zu brechen“ – Sunzi
Viele Internetnutzer sind so leichtgläubig, dass man nur vor Ehrfrucht erstarren kann. Zuletzt wurde ich vor
etwa zwei Wochen gefragt, warum ich nicht bei Facebook wäre. Das wäre doch alles so toll und klicki bunt!
Man könne in jeder Lebenslage sofort Bilder hochladen und teilen, sowie seinen Senf ungefiltert zu jeder Kleinigkeit
dazugeben…
Aber wer kann diese Daten einsehen? Nur Freunde? Wen haben Sie in den Freunden einsortiert? Und dürfen diese
evtl. Inhalte wiederum mit deren Freunden teilen? Woher wissen sie, dass Ihre Informationen nicht zu Dritten gelangen?
Und weiter: wissen Sie, was besagte Dritte damit alles anstellen können?
Ich wette nicht!
Ein Angreifer könnte in etwa nach folgendem Schema vorgehen, um seine Zielperson in die Mangel zu nehmen:
1. Informationsbeschaffung durch Auswertung von:
1.1 – Twitter (Statusmeldungen, Retweets, Favoriten, Follower/ Follows, Bilder+Links, Standorte)
1.2 – Facebook (Statusmeldungen, Likes, Freunde, Bilder, Verwandschaftsgrade, Bilder+Links, Standorte)
1.3 – Google (cross-Nicknamecheck, Homepages auswerten, Forenbeiträge analysieren…)
2. Kontaktanbahnung zur weiteren (direkten) Informationsgewinnung über:
2.1 – Anfreundung via soziale Netzwerke (Verbindung über gleiche Interessen)
2.2 – gezielter Einkauf bei Ebayangeboten der Zielperson (bei Abholung von Waren -> Informationsgewinnung
ggf. sogar flüchtig in der Wohnung der Zielperson….)
2.3 – Hilfe bei Fragen in Foren (bei IT-Fragen kompetent helfen erhöht spätere Reputation bei Aufforderung von
Klick auf externe Links -> Ausspähen von Daten)
3. Verwendung der beschafften Informationen via:
3.1 – Vertrauensstellung nutzen um Zielperson auf preparierte Seiten zu locken
3.2 – Versand von Dateien an Zielperson mit persönlichen Aufforderungen und Themenbezug
(z.B. im Text einer gespooften EMail: „Schau mal was Tante Anni beim Geburtstag von Onkel Kurt passiert ist! Bilderordner im Anhang…“)
Insbesondere auf Punkt 3.1 möchte ich an dieser Stelle näher eingehen.
Ist jemandem bekannt, dass Sie gerne und oft bei z.B. Ebay einkaufen, so könnte ihnen eine Person mit entsprechender
Reputation bzw. Vertrauensstellung auch den einen oder anderen Phishing-Link unterjubeln, der Ihre Logindaten
an den Angreifer überträgt und parallel tatsächlich einen Login auf Ebay vornimmt. Sie bekommen von dem Vorgang
praktisch gar nichts mit und schauen sich lediglich ein empfohlenes Objekt auf Ebay an…
So bietet beispielsweise das Social Engineering Toolkit genau solche Funktionen um gezielt Webseiten zu klonen und die dort eingegebenen Daten an den Angreifer zu übertragen. Mit den erbeuteten Zugangsdaten können weitere Informationen über die Zielperson beschafft werden und ggf. im Namen der Zielperson agiert werden.
In diesen ersten Schritten legt der Angreifer großen Wert darauf verdeckt zu operieren und so präziese Informationen wie möglich zu erhalten. Die Zielperson darf weder erkennen, dass der Angreifer gezielt Informationen beschaffen möchte, noch darf die eigentliche Intention des Angreifers erkennbar sein.
Es braucht Zeit und Ausdauer, sich als Angreifer durch diverse Seiten auf Google & Co. zu wühlen, erhöht aber die Erfolgschancen deutlich. Informationsbeschaffung bedarf einer genauen Planung, Nachforschung und natürlich der Gabe
strategisch aus der Sicht eines Angreifers heraus zu denken.
Open Source Intelligence (OSINT) ist eine Hauptquelle für (indirekte) Informationsbeschaffung. Unten stehendes Diagramm veranschaulicht beispielhaft die Aufbereitung gewonnener Daten zur weiteren strategischen Planung.
Es werden Beziehungen aufgezeigt, die teilweise automatisiert gewonnen wurden (OSINT-Tools).
Abbildung: Beispielfall Max Miller. Information beschafft über OSINT-Tools und manuelle Recherchen:
Von unserer Zielperson „Max Miller“ wissen wir am Anfang nur den Namen und haben eine EMailadresse gefunden. Zudem haben wir ein auf die Person lautendes Facebookprofil gefunden. Nun wertet unser Tool anhand unterschiedlicher öffentlich zugänglicher Quellen aus, wo die Zielperson mit diesen Daten Spuren im Internet hinterlassen hat. Max Emailadresse wird über Google mit einer Datingseite und seiner Firmenwebsite in Verbindung gebracht. Eine genauere Recherche auf der Datingseite zeigt, dass Max mit einer anderen Person im Datingnetzwerk kommuniziert hat (Kommentare auf deren Profilseite -> Kristin Flopp).
Da Max auf Facebook Freunde sammelt wie andere Menschen Muscheln am Strand, fällt es uns leicht mit ihm über einen Fakeaccount auf Facebook schnell befreundet zu sein. Um seine Aufmerksamkeit und sein Vertrauen über die Zeit zu gewinnen kommentieren wir wohlwollend seine für uns freigegebenen Beiträge, Bilder etc. Über die Zeit gewinnen wir nicht nur aus privaten Facebooknachrichten Informationen, sondern schaffen es u.U sogar in den engeren Freundeskreis. Mit noch mehr Berechtigungen, um gepostete Inhalte von Max einzusehen. Der Beziehungsstatus von Max auf Facebook zeigt uns, dass er mit Franzi Miller verheiratet ist. Was Franzi wohl zu Max Bekanntschaft auf der Datingseite (Kristin Flopp) sagen würde?
Wir lernen aufgrund der Einträge auf Facebook eine Menge über Max. Z.B., dass er gern mit Dingen angibt, die er bei EBay gekauft hat. So, wie sein nagelneu erstandenes Smartphone Samsung Galaxy S3, für das es einen schönen Exploit gibt, mit dem wir sein Gerät (wann immer wir wollen) zurücksetzen können. Dazu muss Max nur einem unserer Links auf seinem Handy folgen…
Die planlose Verknüpfung sozialer Netzwerke von Max führt uns zu seinem Twitteraccount mit dem Accountnamen „Virenschreiber“. Die Tweets von Max werten wir natürlich ebenfalls aus, folgen ihm auf Twitter und stellen fest, dass er gelegentlich sogar seinen Standort in den Tweets mit sendet. Am 12.12.2012 ist Max in Berlin. Das ist komisch, da er doch auf Facebook geschrieben hat, dass er für 3 Tage nach Dortmund muss, um von seiner Arbeit aus bei einem Kunden einen Auftrag abzuwickeln?! Ist es nur ein kurioser Zufall, dass unsere Recherchen ergeben haben, dass Kristin Flopp ebenfalls in Berlin wohnt?!
Jetzt, wo wir wissen, dass Max sich offenbar in Berlin vergnügt wird es Zeit die Remotelöschung auf seinem Smartphone zu forcieren…
Ob das wohl seinen Stressfaktor in die Höhe treibt? Zeitgleich nehmen wir seine Homepage unter heftiges Denial of Service-Feuer, damit auch bei ihm im Büro Alarmstufe Rot ausgerufen wird. Ob die Mitarbeiter von Max wohl versuchen werden ihn zu erreichen? ;) Unter der IP die zum Mailserver von Max gehört loggen wir uns außerdem kurzerhand via Telnet auf Port 25 ein und nutzen den schlecht konfigurierten Server (Open Relay), um in seinem Namen noch eine EMail an seine „Noch-Frau“ zu senden, in der wir ihr schreiben, dass es „aus“ ist.
Zugegeben, das Szenario ist konstruriert und böse, aber es ist nicht unmöglich. Nein, es ist sogar sehr wahrscheinlich, dass über längere Zeit observierte Personen früher oder später in die eine oder andere Falle tappen werden. Ein geschulter Angreifer mit entsprechend hoher Motivation kann durchaus mehr als nur Kollateralschaden anrichten!
Um auf das eingangs erwähnte Social Engineering Toolkit zurück zu kommen: mit einer sorgfältigen Zielanalyse und den richtigen Softskills muss die Zielperson am Ende nur noch zum passenden Exploit gelockt werden (Website die unseren Code ausführt).
Doch dazu im nächsten Blogbeitrag mehr….
Be careful who you open up to. Only a few people actually care, the rest just want information to infiltrate and benefit.
SDCybercom 