Der Sicherheitsberater Daniel Lewkovitz wurde mit der Durchführung eines Social Engineering-Audits eines großen Unternehmens beauftragt.
„Das Ziel der Übung war, im Rahmen eines umfassenden Sicherheitsaudits Fernzugriff auf das Netzwerk zu erlangen und auf bestimmte Dateien zuzugreifen. Ursprünglich war geplant, systematisch (mit einem ‚War Dialer‘) Telefonnummern durchzuprobieren, um Einwahlserver zu finden. Es wurde davon ausgegangen, dass IT-Mitarbeiter und Führungskräfte diesen Zugang haben. Die ersteren waren anhand von Pagern, T-Shirts und ähnlicher Ausrüstung einfach zu erkennen“, erklärt Lewkovitz.
„Es stellte sich heraus, dass das Unternehmen allen Mitarbeitern erlaubte, sich über die Unternehmens-Webseite einzuloggen. Daher hätten es die Angaben von jedem Beliebigen getan. Nachdem das Passwort zurückgesetzt war, wurde der Zugriff auf alle möglichen vertraulichen Unternehmensdaten gewährt.“
Zunächst beschaffte sich Lewkovitz den Namen eines Mitarbeiters und rief unter dessen Namen den Support des Unternehmens an. Der Supportmitarbeiter teilte ihm vergnügt mit, er würde zur Durchführung eines Passwort-Resets seine Mitarbeiternummer und Login-ID benötigen. Lewkovitz legte einfach den Hörer auf und machte sich daran, diese Informationen zu beschaffen.
Der Login-Name war einfach zu besorgen, und Mitarbeiternummern standen offen auf Mitarbeiterausweisen, die den Mitarbeitern um den Hals hingen. Lewkovitz schlenderte einfach während der Mittagszeit in ein von Mitarbeitern des Unternehmens frequentiertes Lokal und notierte sich ein paar Namen von den Ausweisen.
Das Folgende ist eine direkte Niederschrift des Telefonats, das stattfand, nachdem sich Lewkovitz die erforderlichen Informationen besorgt hatte (die Namen wurden geändert):
Supportmitarbeiter [SM]: Support-Center, guten Morgen!
Daniel Lewkovitz [DL]: Eigentlich ist es doch eher schon ‚Guten Tag‘?
SM: Huch, Verzeihung! Guten Tag [lacht]! Was kann ich für Sie tun?
DL: [Lacht] Hier ist John Smith. Mein Computer sagt, dass ich mich nicht einloggen kann.
SM: Ähm . . . Wenn Sie sagen, dass Sie sich nicht einloggen können, was für eine Nachricht erscheint da genau?
DL: Tut mir Leid, das weiß ich nicht mehr genau. Es war, nachdem ich mein Passwort eingegeben hatte.
SM: Oh, okay. Fängt die Nachricht an mit „Das Passwort ist falsch, bitte geben Sie…“?
DL: [unterbricht] Ja, das war’s. Ich hab das ein paar Mal bekommen und jetzt komm‘ ich überhaupt nicht mehr rein!
SM: Ich verstehe. Windows XP sperrt Sie aus, wenn Sie das Passwort mehr als zweimal falsch eingeben. Ich kann es zurücksetzen, wenn Sie das möchten.
DL: Danke! Dieses Mal tipp‘ ich es richtig ein.
SM: Eigentlich müssen wir Ihnen ein neues Passwort geben.
DL: Das ist okay, dieses Mal schreib ich es mir auf [lachend].
SM: [lachend] Mir sind hier schon viele Leute begegnet, denen das passiert ist. Entschuldigung, wie war Ihr Name noch mal?
DL: John Smith.
SM: Danke. Ich brauche auch die Nummer Ihres Mitarbeiterausweises.
DL: Kein Problem, das ist die 2231.
SM: Danke. Ihr Passwort wurde in „Dienstag“ umgeändert. Sie müssen es nach Ihrem ersten Einloggen ändern, und außerdem dauert es ungefähr zwei Minuten, bis es in Lotus und im Intranet aktualisiert ist. Kann ich sonst noch etwas für Sie tun?
DL: Nein, danke, das war’s. Sie waren mir eine große Hilfe. Nochmals vielen Dank.
SM: Gerne. Tschüss!
Lewkovitz analysiert das Gespräch wie folgt:
Man sieht, dass der Supportmitarbeiter freiwillig Angaben über das Betriebssystem des Unternehmens macht, die bei einem Angriff nützlich sein könnten. Außerdem nennt er unaufgefordert Einzelheiten der Verfahrensweise für Passwörter, die bei Crack-Versuchen hilfreich sein könnten, und zwar, dass die Passwörter auf den jeweiligen Tag der Woche gesetzt und sich Mitarbeiter ihre Passwörter aufschreiben.
Außerdem stellt er eine Alternativfrage, die allein aufgrund der in der Frage enthaltenen Informationen mit „ja“ oder „nein“ beantwortet werden konnte, zum Beispiel „Benutzen Sie Windows?“ anstelle von „Welches Betriebssystem benutzen Sie?“
Die entgegenkommende Art des Telefonats nimmt dem Zielobjekt die Befangenheit: Er bemüht sich, hilfsbereit, höflich und freundlich zu sein, obwohl dies gegen ihn verwendet wurde. Sicherheit muss vor Position oder Ego Vorrang haben. Man kann höflich sein und trotzdem auf Wahrung der Sicherheit achten.
Mitarbeiterausweise müssten als vertrauliches Material betrachtet werden, da sie zur Rücksetzung von Passwörtern verwendet werden können. Stattdessen sind die auf ihnen enthaltenen Informationen einfach zu beschaffen, wenn die Mitarbeiter sie in aller Öffentlichkeit zeigen. Das betreffende Unternehmen hat seitdem seinen Mitarbeitern erlaubt, ihre eigenen privaten Fragen zu benennen, zum Beispiel die Lieblingspuppe ihres Kindes, anstatt das Geburtsdatum oder die Mitarbeiterausweisnummer vorzuschreiben. Es gibt viele Unternehmen, die noch immer einfach zu beschaffende Informationen als Privatkennung verwenden. Das Geburtsdatum einer Person lässt sich gewöhnlich einfach ermitteln, etwa per Social Engineering bei der Meldebehörde.
Neueste Kommentare
Noch keine Kommentare zu Vorsicht Hacker: So dringen Hochstapler ins System ein
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.