32 DSD 1 | 2024 IT-SICHERHEIT spielsweise deren Name bekannt ist, lässt sich in den allermeisten Fällen aus dem strukturellen Aufbau der E-Mail-Adressen des Unternehmens auch die der Zielperson ableiten. Meist liefert das Internet genügend Material. Jetzt wird Florian konkret. Er ruft via Darknet die Google-Suchmaschine auf. Er macht dies, um wie die Hacker im richtigen Leben wenig Spuren zu hinterlassen. Die Ergebnisse wären aber im Clear Web (d. h. ohne den Umweg über das Darknet) die gleichen, fügt er hinzu. Bei Google-Videos tippt er „create social engineering pdf“ in die Suchmaske. Was einmal als sicher galt … Ein paar Worte zur Vorgehensweise. Dateien im PDF-Format seien ein heute beliebtes Angriffsmittel, erläutert Florian. Sie galten lange Zeit als immun für die Übertragung von Schadsoftware. Das seien sie aber längst nicht mehr. Um Schadsoftware platzieren zu können, müssen allerdings die Sicherheitsmechanismen der PDF-Dateien aus getrickst werden. Die (vermeintliche) Sicherheit von PDF-Dateien werde mit einem MD5-Hash-Generator erzeugt. Ein MD5-Hash wird allgemein als Fingerabdruck eines Datensatzes beschrieben. Florian versucht, es für mich verständlich zu machen: Eine Ware hat im Supermarkt bei einem bestimmten Gewicht immer denselben Preis. Wenn dieses Verhältnis Abweichungen aufweist, fällt dies auf. So ist es auch bei den PDF-Dateien, wenn diese plötzlich vom ursprünglich festgelegten MD5-Hash-Wert abweichen, springen die Antivirenprogramme an. Wie dieses auszutricksen ist, zeigt er mit einem Videoclip, der den mehr als sperrigen Titel „Malicious Email Social Engineer Attack Using Social Engineers Toolkit (Set)“ trägt. „Eine banale Anfrage“ Nun kommt er zum Ablaufplan, wie eine Attacke aussehen kann. Da faktisch jedes relevante Unternehmen seine eigene Website besitzt, lässt sich dort auch eine E-MailAdresse finden. An diese wird eine denkbar banale Anfrage gerichtet. Kommt dann eine x-beliebige Antwort zurück, ist der erste Schritt getan. Im Header der E-Mail (auch Kopfzeile genannt) befindet sich – gewöhnlich nicht sichtbar – die IP-Adresse, salopp gesprochen die Hausnummer des Rechners, von wo die E-Mail versandt wurde. Hier im Header liegt auch der „Hash“, der Zahlenwert für die Bits und Bytes der angehängten Datei. Dieser lässt sich jedoch ebenso manipulieren wie in einer anzuhängenden Datei Malware – also ein Schadprogramm – unterbringen. Dann folgt der nächste Schritt. Mittels eines Port-Scanners wird die IP-Adresse gecheckt. Ziel der Aktion ist es, herauszufinden, ob in dem Unternehmen Fehler gemacht wurden und gewisse Ports offen sind. In der Regel sind Ports für Peripheriegeräte wie Drucker, Scanner o. Ä. offen, um die Daten aus diesen Geräten im Rechner zu im- oder exportieren. Ungenutzte offene Ports können von simulierten Datenlieferanten als Einfallstor genutzt werden. Ein gut aufgestelltes Unternehmen, wirft Florian ein, während er zur nächsten Stufe übergeht, macht alle Ports zu, mit Ausnahme jener, die gebraucht werden. Schadsoftware im PDF-Gewande Eine präparierte PDF-Datei wird dann wieder auf die Reise geschickt, im Gewande beispielsweise einer Stellenbewerbung. Um geeignete Ziele oder Opfer zu finden, kann man, wie Florian zu erzählen weiß, sehr gut Google nutzen. Zwar lassen sich mit der meistgebrauchten Suchmaschine keine Hackerangriffe ausführen, aber „wertvolle“ Hilfestellungen erhalten. Die Google Hacking Database (GHDB) ist dabei das Tor zum Geheimnis. Eine Google-Dork-Abfrage (abgekürzt ein Dork) ist eine spezielle Suchabfrage, die gewisse Parameter nutzt, um Informationen aus einer Website herauszufiltern, die anders nicht verfügbar wären. Die einstmals von Google gutgemeinte Unterstützung zum Entdecken von Schwachstellen hat sich längst ins Gegenteil verkehrt. Denn, wenn Google mittels des sogenannten Webcrawling die Seiten für seine Suchmaschine indexiert, stößt es auch auf Teile von Websites, die für gewöhnliche Nutzer im Netz unsichtbar bleiben. Google-Dorks und Google-Hacks enthüllen einige dieser verborgenen Daten und Schwachstellen, sodass Informationen von Organisationen, Unternehmen und Website-Betreibern angezeigt werden können, die eigentlich nicht für die Allgemeinheit bestimmt sind. Das Google-Dorking ist ein passiver Angriff, mit dem sich Nutzernamen und Passwörter, E-Mail-Adressen, geheime Dokumente, private Finanzdaten (Personally Identifiable Financial Information, PIFI) und Sicherheitslücken auf Websites herausfinden lassen. Diese Daten können für alle möglichen Arten von Angriffen wie Cyberterrorismus, Industriespionage, Identitätsdiebstahl und Cyberstalking genutzt werden. Welcher Art diese Angriffe im und aus dem Netz sein können, wird immer wieder deutlich, wenn mittels Ransomware von Cybererpressern ganze Systeme lahmgelegt werden und Lösegeld gefordert wird. Wer einen derartigen Angriff als Auftragsarbeit vergeben will, findet im Darknet schnell Dienstleister und Preise: 900 US-Dollar für das Lahmlegen eines Servers, pro Monat. Bild: #179689060/stock.adobe.com
RkJQdWJsaXNoZXIy Mjc4MQ==