Warum sollte ein Hacker gegen eine starke IT-Schutzmauer anrennen, wenn er an anderer Stelle viel schneller Erfolg hat? Stattdessen kann er öffentlich zugängliche Informationen sammeln, sich eine falsche Identität zulegen und zum Beispiel Firmenmitarbeiter aushorchen. Wie schnell das geht, demonstrierte Marco Di Filippo in der Rolle des „Bad Guy“ ziemlich eindrucksvoll mit einem Live hacking.
In unserer Blog-Reihe zur Nürnberg Web Week stellen wir Ihnen einige der Themen vor, die in den über 100 Events der Web Week die digitale Szene beschäftigen.
Der Sicherheitsexperte und Ethical Hacker zeigt uns ein paar der vielen Spielarten des sogenannten Social Engineering: Über ein Bewerberportal kann man als Bewerbung getarnt Trojaner in ein Unternehmen einschleusen. Auch mit einem USB-Stick, der man einer schriftlichen Bewerbung beilegt oder den man einfach irgendwo liegen lässt.
Oder mal schauen, was alles im Netz über eine Firma zu finden ist und welche Domains sie hat. Lauten die E-Mail-Adressen genauso? Wie sieht die Adressen-Syntax aus? Interessant, wie viele Menschen bei Facebook angegeben haben, dass sie bei dieser Firma arbeiten. Mit einer ganzen E-Mail-Adresse weiß man dann schon 50% mancher Logins. Ob sie auch bei Xing oder einem Cloud-Dienst registriert sind? Das lässt sich schnell rausfinden, wenn man so tut, als wolle man einen neuen Account anlegen und dafür ihre E-Mail-Adresse verwendet. Im Anmeldefenster erscheint dann „schon vergeben“.
Von einem Türöffner zum nächsten
Und diese Info ist wieder ein neuer Türöffner, wenn man diesem Menschen eine Phishing-Mail mit Link auf eine Schadsoftware schicken will. Bei Marco Di Filippo geht es ratzfatz, bis er sich eine vertrauensvoll klingende E-Mail-Adresse erstellt hat. Jetzt sieht es für das Opfer so aus, als würde es von seinem Cloud-Dienst-Anbieter eine Mail mit Link auf ein Sicherheitsupdate bekommen. Klickt er auf den Link, hat er den Trojaner auf seinem PC, der z.B. die Tasteneingaben mitschreibt. So lassen sich auch Passwörter abgreifen.
Also: Bleiben Sie misstrauisch, geben Sie im Netz nicht zu viel von sich preis, klicken Sie nicht auf jeden Mail-Link, machen Sie es den Hackern schwer!
In unserem Leitfaden Social Engineering gibt es mehr Infos, wie man sich vor Social Engineering schützen kann.