Bits statt Bullets

Ein Hacker gewährt Einblick in die Welt des Cybercrime

Die Schäden durch Cyberkriminalität in Deutschland im Jahr 2023 würden sich auf 205 Milliarden Euro belaufen, meldete das Statistikportal statista bereits im September dieses Jahres. Interessiert man sich jedoch dafür, was auf diesem Felde so geschieht, werden konkrete Informationen schon rarer. Gänzlich außen vor bleibt man bei der Frage, wie es in der dunklen Welt zugeht, in der es heißt: Bits statt Bullets. SECURITY INSIGHT wollte es deshalb genauer wissen und machte sich auf die Suche. Das Ergebnis ist gleichsam ernüchternd und erschreckend.

Ich treffe einen Insider, der selbstredend hier nicht seinen Namen abgedruckt sehen will – wir nennen ihn deshalb Florian („… beschütz‘ mein Haus, zünd‘ andre an!“). Sein „Arbeitsplatz“ ist unspektakulär – ein Laptop, einige Schachteln mit Hardware-Utensilien, mehr ist auf den ersten Blick nicht zu entdecken. Er fragt, was ich wissen will, denn im Internet könne man so alles haben was das Herz begehrt. Von Drogen und Waffen bis zu klandestinen Finanzdienstleistungen stehe dort so ziemlich alles auf der Angebotsliste. Ich schlage das Thema CEO-Fraud vor. Diese Betrugsmasche hat in jüngster Zeit so einigen Mittelständlern Millionen an Euro gekostet. Sie läuft im Wesentlichen stets nach einem Schnittmuster ab. Einer Person im Unternehmen, die Zugriff auf die Finanzen hat, wird via E-Mail vorgegaukelt, der Boss habe eine Zahlung angewiesen – Verschwiegenheit und rasche Abwicklung verstünden sich von selbst. Dabei sind die E-Mail-Anweisungen so mit Interna gespickt, dass mögliche Zweifel an der Authentizität gar nicht erst aufkommen sollen. An diesem Beispiel lässt sich vielleicht am besten aufzeigen, wie ein Cyberangriff mit unmittelbaren pekuniären Folgen vonstattengeht.

Es beginnt mit Social Engineering

Wie kommen die Cybergauner an die Informationen, wie an die notwendigen Programme, will ich wissen und welche Rolle spielt hierbei das – inzwischen das etwas aus den Schlagzeilen verschwundene – Darknet? Florian, der sich inzwischen über den Tor-Browser Zutritt eine Verbindung ins Darknet verschafft hat, deutet auf den Bildschirm. Dort ist zu sehen, dass die nun folgenden Suchanfragen über Serverknoten in Finnland, Island und den Niederlanden laufen werden. Diese Serverknoten liegen in Ländern, in denen Daten nicht oder kaum gespeichert werden. Das vor allem ausschlaggebend dafür, dass Spuren im Darknet so schwer zu verfolgen sind. Aber was wir jetzt vorhätten könnte auch im Clear Web durchgezogen werden.

Bei unserem Vorhaben würde er die Achillesfersen im Internet (genauer gesagt die E-Mail) und das Handy des CEO gar nicht direkt angreifen. Das könnte, wenn es Ungereimtheiten gebe, zu schnell ruchbar werden und die Zielperson gewarnt sein. Man müsse sich anschleichen. Seine Schwachstellen lassen mit großer Sicherheit im persönlichen Umfeld finden. Es gebe so viele „hilfreiche“ Plattformen, die für diese Zwecke bestens geeignet sind. Diese reichen von „Facebook“ bis zum Business-Portal „LinkedIn“.

Man müsste sich gegebenenfalls gar nicht selbst die Hände schmutzig machen – wenn man dieses Idiom in diesem Falle überhaupt gebrauchen kann – denn Profis bieten im Darknet dafür ihre Dienste an. So lässt sich auch die Offerte eines Hackers, der sich Vladimir nennt, interpretieren, die mit der Werbezeile „Facebook and Twitter account hacking“ angeboten wird und 500 US-Dollar kosten soll. Der Preis wird gleichzeitig in den Wert von 0,01458 Bitcoin umgerechnet. Denn die Währung im Darknet ist der Bitcoin. Ich will jedoch die Fertigkeiten der Hacker mit eigenen Augen sehen und mitverfolgen können und schenke es mir deshalb, mich in die Bezahlprozedere dieser Grauzone einzufuchsen.

Der erste Schritt zielt aufs Umfeld

Du willst einen Chef attackieren, fragt erläuternd mein „Lehrer“, dann brauchst Du eine E-Mail-Adresse aus dessen Umfeld. Wenn beispielsweise deren Name bekannt ist, lässt sich in den allermeisten Fällen aus dem strukturellen Aufbau der E­-Mail-Adressen des Unternehmens auch die der Zielperson ableiten. Meist liefert das Internet genügend Material.

Jetzt wird Florian konkret. Er ruft via Darknet die Google-Suchmaschine auf. Er macht dies, um wie die Hacker im richtigen Leben, wenig Spuren zu hinterlassen. Die Ergebnisse wären aber im Clear Web (d. h. ohne den Umweg über das Darknet) die gleichen, fügt er hinzu. Bei Google-Videos tippt er „create social engineering pdf“ in die Suchmaske.

Was einmal als sicher galt…

Ein paar Worte zur Vorgehensweise. Dateien im pdf-Format seien ein heute beliebtes Angriffsmittel, erläutert Florian. Sie galten lange Zeit als immun für die Übertragung von Schadsoftware. Das seien sie aber längst nicht mehr. Um Schadsoftware platzieren zu können, müssen allerdings die Sicherheitsmechanismen der pdf-Dateien ausgetrickst werden. Die (vermeintliche) Sicherheit von pdf-Dateien werde mit einem MD5-Hash-Generator erzeugt. Ein MD5-Hash wird allgemein als Fingerabdruck eines Datensatzes beschrieben. Florian versucht es für mich verständlich zu machen: Eine Ware hat im Supermarkt bei einem bestimmten Gewicht immer denselben Preis. Wenn dieses Verhältnis Abweichungen aufweist, fällt dies auf. So ist es auch bei den pdf-Dateien, wenn diese plötzlich vom ursprünglich festgelegten MD5-Hash-Wert abweicht, springen die Antivirenprogramme an. Wie dieses auszutricksen ist, zeigt er mit Videoclip, der den mehr als sperrigen Titel „Malicious Email Social Engineer Attack Using Social Engineers Toolkit (Set)“ trägt.

„Eine banale Anfrage“

Nun kommt er zum Ablaufplan, wie eine Attacke aussehen kann. Da faktisch jedes relevante Unternehmen seine eigene Website besitzt, lässt sich dort auch eine E-Mail-Adresse finden. An diese wird eine denkbar banale Anfrage gerichtet wird. Kommt dann eine x-beliebige Antwort zurück, ist der erste Schritt getan. Im Header der E-Mail (auch Kopfzeile genannt) befindet sich – gewöhnlich nicht sichtbar – die IP-Adresse, salopp gesprochen die Hausnummer des Rechners von wo die E-Mail versandt wurde. Hier im Header liegt auch der „Hash“, der Zahlenwert für die Bits und Bytes der angehängten Datei. Dieser lässt sich jedoch ebenso manipulieren wie in einer anzuhängenden Datei Malware – also ein Schadprogramm – unterbringen.

Dann folgt der nächste Schritt. Mittels eines Port-Scanners wird die IP-Adresse gecheckt. Ziel der Aktion ist es, herauszufinden, ob in dem Unternehmen Fehler gemacht wurden und gewisse Ports offen sind. In der Regel sind Ports für Peripheriegeräte wie Drucker, Scanner o.ä. offen, um die Daten aus diesen Geräten im Rechner zu im- oder exportieren. Ungenutzte offene Ports können von simulierten Datenlieferanten als Einfallstor genutzt werden. Ein gut aufgestelltes Unternehmen, wirft Florian ein, während er zur nächsten Stufe übergeht, macht alle Ports zu, mit Ausnahme jener, die gebraucht werden.

Schadsoftware im pdf-Gewande

Eine präparierte pdf-Datei wird dann wieder auf die Reise geschickt, im Gewande beispielsweise einer Stellenbewerbung. Um geeignete Ziele oder Opfer zu finden kann man, wie Florian zu erzählen weiß, sehr gut Google nutzen. Zwar lassen sich mit der meistgebrauchten Suchmaschine keine Hackerangriffe ausführen, aber „wertvolle“ Hilfestellungen erhalten. Die Google Hacking Database (GHDB) ist dabei das Tor zum Geheimnis. Eine Google-Dork-Abfrage (abgekürzt ein Dork) ist eine spezielle Suchabfrage, die gewisse Parameter nutzt, um Informationen aus einer Webseite herauszufiltern, die anders nicht verfügbar wären. Die einstmals von Google gutgemeinte Unterstützung zum entdecken von Schwachstellen hat sich längst ins Gegenteil verkehrt.

Denn, wenn Google mittels des sogenannten Webcrawling die Seiten für seine Suchmaschine indexiert, stößt es auch auf Teile von Webseiten, die für gewöhnliche Nutzer im Netz unsichtbar bleiben. Google-Dorks und Google-Hacks enthüllen einige dieser verborgenen Daten und Schwachstellen, sodass Informationen von Organisationen, Unternehmen und Website-Betreibern angezeigt werden können, die eigentlich nicht für die Allgemeinheit bestimmt sind.

Das Google-Dorking ist ein passiver Angriff, mit dem sich Nutzernamen und Passwörter, E-Mail-Adressen, geheime Dokumente, private Finanzdaten (Personally Identifiable Financial Information, PIFI) und Sicherheitslücken auf Webseiten herausfinden lassen. Diese Daten können für alle möglichen Arten von Angriffen wie Cyber-Terrorismus, Industriespionage, Identitätsdiebstahl und Cyber-Stalking genutzt werden.

Welcher Art diese Angriffe im und aus dem Netz sein können, wird immer wieder deutlich, wenn mittels Ransomware von Cyber-Erpressern ganze Systeme lahmgelegt werden und Lösegeld gefordert wird. Wer einen derartigen Angriff als Auftragsarbeit vergeben will, findet im Darknet schnell Dienstleister und Preise: 900 US-Dollar für das Lahmlegen eines Servers, pro Monat.

Einzelne Personen im Visier

Wer es auf den CEO eines Unternehmens abgesehen hat, doziert Florian, lässt den erstmal in Ruhe. Er sucht in den sozialen Medien und anderswo, mit wem diese Person auffallend häufig Kontakt hat. Besonders würden sich die Hacker darüber freuen – bemerkt Florian mit diabolischem Lächeln – wenn der Boss Privates wie Geschäftliches über ein Handy abwickelt. Ist man schließlich im Bekanntenkreis fündig geworden, hat man den Ausgangspunkt für den Angriff.

Zuerst werde diese vertraute Person infiltriert, denn auf Nachrichten von dessen Adresse kommen wird die Zielperson eher reagieren, als auf einen Unbekannten. Also wird der Vertraute näher unter die Lupe genommen. Worin bestehen die Gemeinsamkeiten mit der Zielperson, sei es der Sport, Hobbies oder die Kinder. Günstig ist es, wie Florian meint, wenn man eine E-Mail-Adresse der Vertrauensperson in Erfahrung bringen kann. Für die erstellt man dann eine Fake-E-Mail. Dazu gibt es Programme wie emkei.cz. Hier kann man nicht nur die E-Mail-Adresse einer Person oder Institution klonen, sondern auch veranlassen, dass mögliche Antworten ebenfalls beim Fake-Absender landen. Über diese vertrauenswürdig daherkommenden E-Mails ist es dann relativ einfach eine Schadsoftware auf dem Rechner oder im System der Zielperson platzieren.

Das Handy im Visier

Kann man sich denn auch in den SMS-Verkehr der Zielperson einhacken? Aber sicher doch, sprudelt es aus dem Mund des gewieften Hackers. Florian tippt bei Google „ebay sim card cloner“ ein. Aus einer ganzen Reihe von Produktfotos zeigt er auf einen „Sim Card Reader/writer“, der keine fünf Euro kosten soll. Versand inklusive. Mit diesem kleinen Gerät, das über USB mit dem Rechner verbunden wird kann man Simkarten-Rohlinge mit jeder beliebigen Handy-Nummer versehen. Diese Blanco-Simkarten lassen sich dann ebenfalls mühelos bei ebay finden. Importe aus Fernost. Kostenpunkt: Um die acht Euro. Die Handhabung der ganzen Technik, bei Beachtung einiger Besonderheiten, ist sogar für mittelmäßig begabte Computernutzer zu bewerkstelligen. Die geklonte Simkarte ist dann so etwas wie der Sesam-öffne-Dich. Anrufe an die Zielperson könn(t)en ebenso abgefangen wie SMS-Nachrichten empfangen werden. SMS können manipuliert und dann an den eigentlichen Adressaten weitergeleitet werden. Mehr noch: Alles was auf dem Original-Handy gespeichert ist, ist dann für den Angreifer ebenfalls sichtbar. Wer über Google-Pay seine Abrechnungen abwickelt, liefert dann auch gleich die Kreditkartendaten beim Hacker ab. Noch gläsern geht fast nicht mehr, meint Florian mit leicht triumphierendem Unterton.

Aber Florians Werkzeugkasten ist noch lange nicht leer. Um eine Person noch mehr zu durchleuchten seien EXIF-Daten sehr hilfreich. EXIF steht für Exchangeable Image File. Neuland für mich. Das Ganze hat seinen Ausgang in dem, heute bei jeder passenden wie unpassenden Situation als Fotoapparat genutzten Handy. Mit dem Klick auf den Auslöser werden mit dem Bild zugleich eine Vielzahl von Daten gespeichert, die später von Unbefugten allzu leicht missbraucht werden können.

Zum Beispiel wird ein solches Bild zum Transportmedium für die GPS-Daten des Aufnahmeortes. Das unbedenklich wirkende Portrait, aufgenommen bei der Gartenparty des Chefs, lässt, ins Internet hochgeladen jedes Hackerherz höherschlagen. Ihm kann über die GPS-Koordinaten problemlos die Anschrift von dessen ansonsten recht geheim gehaltenen Tuskulums entlockt werden. Für einen Social-Engineering-Angriff bestes Material. Mehr noch, mit Snarfing kann man (wenn man sich im Umkreis von rund 300 Metern ein ruhiges Plätzchen sucht) im WLAN der Zielperson tummeln und „reiche Ernte“ einfahren.

Aber auch der Handy-Typ des Gastes liefert wertvolle Informationen. Nämlich wenn über dieses Mobiltelefon ein Großangriff auf den CEO gestartet werden soll. Denn bei genauer Kenntnis des Betriebssystems lässt die Schadsoftware noch genauer programmieren.

Wie kann man sich nun vor solchen Angriffen schützen, will ich von Florian wissen. „Das erste und oberste Gebot ist: Jedes blauäugige Vertrauen in die digitale Sicherheit abzulegen.“ Der Internet-Exhibitionismus vieler Leute ist eine Goldgrube für Hacker. Deshalb müsse Misstrauen zum ständigen Begleiter werden. Und dem engeren Umfeld müsse dies ebenfalls eingeschärft werden; und das nicht nur einmal im Jahr.  Vor allem der zügellose Internet-Exhibitionismus eröffnet eine wahre Fundgrube für Cyber-Kriminelle. Maximale Sicherheit sei eben immer mit Umständlichkeit und persönlichen Einschränkungen verbunden.