Sicherheitsberater Adam Pointon wurde beauftragt, einen Penetrationstest bei einem relativ kleinen und ziemlich unbekannten Unternehmen mit hoch vertraulichen Geschäftsdaten durchzuführen. Die Unternehmensleitung schrieb vor, dass das Audit eine physische und Social Engineering-Komponente beinhalten solle. Aufgrund der Größe des Unternehmens beschloss Pointon, dass ein Passwort-Reset zu riskant wäre – alle Mitarbeiter kannten sich untereinander. So ging er auf einen anderen Plan über. Er würde einem Mitarbeiter einen angepassten Trojaner zuschicken, den er in C++ geschrieben hatte und der ihm Zugriff auf das Unternehmens-LAN geben würde. Bei dessen Ausführung würde dieser eine Verbindung zu einem von Pointons Systemen aufbauen.
„Aufgrund der Prüfung der automatischen Telefonanlage, die außerhalb der Geschäftszeiten ausgeführt wurde, konnte ich die Namen von Mitarbeitern in Schlüsselpositionen im Unternehmen herausfinden, einschließlich des vollständigen Namens und der Telefonnummer des Kommunikationsmanagers. Ich erhielt außerdem uneingeschränkten Schreib-/Lesezugriff auf seine Voice-Mail – das ist aber eine Sache für sich“, sagt Pointon.
„Am nächsten Tag rief ich dort an und bat darum, mit dem Kommunikationsmanager verbunden zu werden. Ohne seinen Namen zu erwähnen, wurde ich durchgestellt.“
Das Folgende ist eine Niederschrift des von Pointon geführten Telefonats. Er nutzt sein Vorwissen über den Nachnamen des Kommunikationsmanagers (Schmidt) um ihm bei seinem Social Engineering-Versuch zu helfen. Die Namen der Mitarbeiter und der Unternehmen wurden geändert.
Kommunikationsmanager [KM]: Guten Tag, wer spricht da bitte?
Adam Pointon [AP]: Hallo, Herr Smith, hier ist Matt Myers von der Telesecurity AG. Ich rufe Sie an, um Ihnen zu sagen, dass wir hinter dem Gebäude High Street 28 ein neues Glasfaserkabel installieren, und ich brauche in dieser Angelegenheit Ihre Hilfe.
KM: [Unterbricht] Sie machen was? Sie installieren ein Glasfaserkabel und brauchen meine Hilfe?
AP: Ja. Wir erweitern unsere Glasfaser-Teilnehmerleitung um einen neuen Abschnitt, was erfordert, dass wir Zugang zur Rückseite Ihrer Räumlichkeiten bekommen. Ich muss wissen, ob jemand am Samstag von 9 bis 16 Uhr da sein wird, der uns Zugang verschaffen kann.
KM: Einen Moment bitte. Wo genau wird dieses Glasfaserkabel gelegt?
AP: An der Rückseite des Gebäudes High Street 28. Dort ist ein Schacht der Telesecurity AG, über den zurzeit die Leitungen in Ihr Gebäude laufen. Wir müssen diesen Schacht öffnen und ein paar Kabel durchziehen.
KM: Tja, ich bin mir nicht sicher, ob jemand am Wochenende hier sein wird. Können wir uns dann auch an diese neue Glasfaserleitung anschließen lassen? Wir haben Ihre Firma schon oft gefragt, ob für uns eine schnellere Verbindung möglich ist, aber bisher hat uns nie jemand Bescheid gegeben.
AP: Ihre Anfrage muss wohl berücksichtigt worden sein, denn in dem Dokument, das ich hier habe, wird Ihr Unternehmen als eventueller Nutzer dieses Dienstes erwähnt.
KM: Was denn für ein Dokument?
AP: Ich kann es Ihnen zuschicken, wenn Sie wollen.
KM: OK, schicken Sie es her. Ich werde mit meinen Kollegen sprechen und sehen, ob irgendjemand am Wochenende hier sein wird.
AP: Gut. Bitte beachten Sie eines: Das Dokument ist ein geschütztes Telesecurity-Dokument im selbstextrahierenden .EXE-Format. Absender ist meine E-Mail-Adresse matt.myers@telesecurity.com.
KM: OK, schicken Sie’s her [ungeduldig]!
AP: Geben Sie mir fünf Minuten.
KM: In Ordnung. Wiederhören.
Der Wunsch des Opfers nach einem schnelleren Internetanschluss für das Gebäude ist der wesentliche Auslöser für die Unachtsamkeit, erklärt Pointon. Hilfreich ist außerdem, dass bei dem TK-Unternehmen Telesecurity eine kostenlose E-Mail-Adresse eingerichtet werden konnte: Würde das Opfer Pointon eine Antwort schicken, hätte er diese sogar erhalten, was nicht möglich gewesen wäre, hätte er eine gefälschte E-Mail mit einer fiktiven Adresse geschickt.
Der E-Mail-Anhang wurde innerhalb von zwei Minuten ausgeführt, nachdem Pointon die Nachricht abgeschickt hatte.
Neueste Kommentare
Noch keine Kommentare zu Vorsicht Hacker: So dringen Hochstapler ins System ein
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.