Original-URL des Artikels: http://www.golem.de/news/2012-die-verschwindetricks-der-social-engineers-1212-96455.html    Veröffentlicht: 26.12.2012 09:25

2012

Die Verschwindetricks der Social Engineers

Per Social Engineering ist es Betrügern 2012 gelungen, die gesamte digitale Identität eines Wired-Journalisten verschwinden zu lassen. Im Real Life ließen sie sogar eine ganze Brücke mitgehen.

Jenseits von Phishing-Attacken, als Nacktfotos getarnter Malware im E-Mail-Postfach oder sprachlich unbeholfenen Aufforderungen, bei lukrativen Finanztransaktionen in Nigeria behilflich zu sein, gibt es Betrugsmaschen, auf die selbst Polizei und IT-Experten hereinfallen: Hacks auf Onlinekonten, Identitätsklau, Industriespionage, Diebstahl mit digitalen Unterschriften oder mit gefälschten Dokumenten. Die Social-Engineering-Expertin und Sicherheitsprüferin Sharon Conheady hat auf der Deepsec 2012 die spektakulärsten Scams 2012 präsentiert.

Gesamtes digitales Leben gelöscht

Das komplette digitale Leben des Wired-Journalisten Matt Honan wurde von Angreifern gelöscht. Sie verschafften sich durch Social Engineering genügend Informationen, um sich bei einem Anruf beim Apple-Support als Honan zu authentifizieren und forderten ein neues Passwort für Honans Me.com-Account an. Damit ausgestattet, konnten sie gleich auch Honans Apple-ID ändern. Zuvor hatten sie noch die Bestätigungs-E-Mail in den Papierkorb verschoben. Kurz darauf setzten sie sein Gmail-Passwort und die Zugangsdaten zu seinem Konto bei Google zurück.

Kleinlaut musste Honan zugeben, dass es ein Fehler gewesen war, sämtliche E-Mail-Konten mit dem gleichen Namen zu versehen und sie auch mit verschiedenen Konten zu verknüpfen. Backups hatte er nicht. Hätte er seinen Google-Account mit zweifacher Authentifizierung abgesichert, wären die Hacker nicht weitergekommen, schreibt er in einem ausführlichen Bericht. Er kritisierte aber auch Apple, das mit nur wenigen Informationen das Zurücksetzen eines Passworts erlaubt.

Ziel der Scammer war das Twitter-Konto

Auch das Passwort für Honans Twitter-Account forderten die Hacker an und verbreiteten darüber rassistische Tweets. Über den iCloud-Account setzten sie iPhone, iPad und Macbook zurück und löschten schließlich auch sein Google-Konto. E-Mails, Familienfotos, alles sei weg, beklagt Honan. Die Angreifer hatten es zwar nur auf sein Twitter-Konto abgesehen, löschten aber alles andere, damit Honan ihn nicht wieder zurückbekommen würde.

Letztendlich benötigt Apple nur die Rechnungsadresse und die letzten vier Zahlen der Kreditkarte, um einen Zugang zurückzusetzen, wie das Unternehmen auf Anfrage von Wired bestätigte. Wie die Betrüger daran gekommen waren, erfuhr Honan später von ihnen selbst. Sie tauschten sich über Honans neuen Twitter-Account aus.

Erst Amazon-, dann Google- und Apple-Konten

Honans Rechnungsadresse erfuhren die Hacker durch einen einfachen Whois-Lookup seiner privaten Domäne. Genauso gut hätten sie aber öffentliche Verzeichnisse im Internet durchforsten können, schreibt Honan. Den wiederkehrenden Namen "mhonan" in seinen diversen E-Mail-Adressen erfuhren sie über seinen Twitter-Account.

Die benötigten Ziffern seiner Kreditkartennummer holten sich die Hacker bei Amazon. Dort hatte Honan ebenfalls ein Konto. Zunächst riefen die Betrüger beim Support an und gaben die Rechnungsadresse, die E-Mail-Adresse und den Namen an. Nach erfolgreicher Authentifizierung verlangten sie, dem Konto eine zweite Kreditkartennummer hinzuzufügen, und gaben eine - natürlich gefälschte - Nummer durch.

Später riefen sie nochmals dort an, gaben an, keinen Zugang zum Konto mehr zu haben und gaben wieder Rechnungsadresse, Name, E-Mail-Adresse und die neue Kreditkartennummer an. Daraufhin konnten sie dem Konto eine zweite E-Mail-Adresse hinzufügen, an die dann ein neues Passwort versendet wurde. Damit ausgestattet, loggten sie sich ein und erfuhren die Ziffern, die sie für die Authentifizierung bei Apple benötigten.

Es war nicht persönlich gemeint

Sie hätten es nicht auf ihn persönlich abgesehen, schrieb ihm einer der Betrüger später. Sie hätten nur sein Twitter-Konto kapern wollen. Es hätte schlimmer kommen können, schrieb der zerknirschte Journalist, denn er habe zahlreiche einflussreiche Namen in seiner Kontaktliste, die ebenfalls hätten angegriffen werden können. Er trauere aber um die unwiederbringlich gelöschten Fotos seiner Familie, vor allem seiner kleinen Tochter, die er seit ihrer Geburt gesammelt hatte. Auch sein Ruf als IT-Journalist habe gelitten.

Dem Hacker habe sein Tun später leidgetan, schreibt Honan. Nicht er, sondern sein Kumpel habe Honans Daten gelöscht, teilte der Angreifer mit. Auf die Frage Honans, warum er den Hack eigentlich durchgeführt habe, antwortete er lapidar, er wolle auf die Schwachstelle hinweisen. Die Hackerethik besagt allerdings, dass öffentliche Daten genutzt und private Daten geschützt werden müssen.

Falscher Paul Allen verschafft sich Kontozugang

Stars oder Millionäre sind natürlich ein beliebtes Angriffsziel für Scammer, da über sie viel bekannt ist und das Hacken eine medienwirksame Aktion bedeutet - oder einfach, weil sie viel Geld haben.

Nicht besonders geschickt hat sich ein unerlaubt abwesender US-Soldat in den USA angestellt, der sich zunächst erfolgreich als der Millionär und Microsoft-Mitbegründer Paul Allen ausgab. Er rief bei Allens Bank an und erklärte, dass er seine Bankkarte daheim verlegt hätte. Er wolle die Karte zwar nicht als verloren melden, hätte aber gerne sobald wie möglich eine zweite. Der Citibank-Mitarbeiter war offensichtlich so hilfsbereit, dass er eine zusätzliche Adresse aufnahm, an die er die zweite Karte per Express rausschickte. Der US-Soldat gab auch gleich seine Telefonnummer an.

Viel Erfolg hatte der Soldat aber nicht. Ihm gelang zwar zunächst eine Überweisung in Höhe von etwa 600 US-Dollar mit der neuen Karte, eine zweite Überweisung in Höhe von 15.000 US-Dollar sowie Einkäufe in einem Computerspielgeschäft fielen aber der Betrugsabteilung in der Bank auf. Der Soldat wurde verhaftet und angeklagt. Wie der Betrüger den Bankmitarbeiter dazu überredete, die zweite Karte auszustellen, bleibt ein Geheimnis. Die Bank gab dazu keinen Kommentar ab.

Mit öffentlicher Unterschrift zu Millionen

Gleich mehrere Anläufe benötigten Scammer aus Hongkong, um etwa 2 Millionen US-Dollar zu erbeuten. Das Geld ergaunerten sie von Wells Fargo, das ein gemeinsames Treuhandkonto des US-Bezirks Merced und der Catholic Healthcare West verwaltet. Das Geld auf dem Treuhandkonto ist für das Medical Center in Merced im US-Bundesstaat Kalifornien gedacht.

Die Betrüger forderten zunächst einen Geldbetrag von 440.000 US-Dollar per Fax an. Ihre Anforderungen legitimierten sie mit der Unterschrift des Präsidenten der Stiftung. Diese hatten sie ausgerechnet von der Webseite der Stiftung selbst. Dort waren mehrere Dokumente verfügbar, die die Unterschrift enthielten.

Das Konto, auf das Wells Fargo das Geld überweisen sollte, gab es aber nicht. Möglicherweise wollten die Betrüger zunächst prüfen, ob ihr Scam überhaupt funktioniert. Wells Fargo kontaktierte den anonymen Betrüger, um die Kontonummer zu verifizieren. Auch eine zweite Überweisung klappte jedoch nicht. Erst Monate und mehrere Anfragen später schaffte es das Geldinstitut, etwa 1 Million US-Dollar auf ein tatsächlich vorhandenes Konto in Hongkong zu überweisen. Nach einer weiteren Anfrage transferierte Wells Fargo ein weiteres Mal etwa 1,1 Millionen US-Dollar. Erst, als Betrüger abermals 2,3 Millionen US-Dollar anforderten, schöpfte das Geldinstitut Verdacht. Es erstattete das fälschlich überwiesene Geld an die Stiftung zurück und Anzeige gegen unbekannt.

Der Klassiker: Industriespionage

Industriespionage gehört mit zu den ältesten und erfolgreichsten Maschen des Social Engineerings. Als legitim betrachtete Mitarbeiter können sich Zugang zu den geheimsten Labors verschaffen und Konkurrenten ausspionieren. Jüngst will die britische Staubsaugerfirma Dyson einen Spion von Bosch bei sich entdeckt haben, der dort Geschäftsgeheimnisse gesammelt und an die deutsche Firma Bosch weitergeben haben soll. Der Mitarbeiter, dessen Identität noch unbekannt ist, soll zwei Jahre lang in Dysons Entwicklungsabteilung für elektrische Motoren gearbeitet haben.

Die Abteilung ist laut Dyson in einem Gebäudetrakt mit höchster Sicherheit untergebracht, der Zugang nur per Fingerabdruckerkennung möglich. Bosch weist die Vorwürfe zurück. Der ehemalige Mitarbeiter habe bei Bosch in der Abteilung für Gartengeräte gearbeitet. Dyson hat gegen Bosch Klage vor einem britischen Gericht eingereicht.

Schon früher wurden deutsche Firmen beschuldigt, bei britischen Unternehmen abgekupfert zu haben. Im späten 19. Jahrhundert hatte Großbritannien einen derart großen Vorsprung bei Qualitätsprodukten vor dem Nachzügler auf dem Kontinent, dass reihenweise deutsche Facharbeiter zum "Anlernen" auf die Insel geschickt wurden. Damit die immer noch minderwertigen und fast identischen deutschen Produkte von den britischen Originalen zu unterscheiden waren, setzte Großbritannien damals die Bezeichnung "Made in Germany" durch.

...und eine ganze Brücke

Einer der Basistricks bei Social Engineering sind gefälschte Dokumente. Mit diesen konnten Diebe in der Nähe von Slavkov in Tschechien einen ganzen Fußgängerübergang abbauen und die darunterliegenden Bahngleise gleich mit. Die Metalldiebe rückten dafür sogar mit einem Kran an. Als die örtliche Polizei nach dem Rechten sehen wollte, präsentierten die Diebe offensichtlich gut gefälschte Genehmigungspapiere. Sie seien mit dem Abriss beauftragt worden, um Platz für einen neuen Fahrradweg zu machen.

Erst nachdem die Brücke verschwunden war, überprüften Mitarbeiter der örtlichen Bahnstation den vermeintlichen Auftrag. Angaben über die Höhe des Verlusts reichen von mehreren Tausend Euro an Materialkosten bis hin zu mehreren Millionen Euro für den Wiederaufbau der entwendeten Brücke. Die Gleisstrecke war aber laut Bahn bereits stillgelegt.

Metallabbau hat in der Gegend um Slavkov Tradition: Bereits im 2. Jahrtausend vor Christus wurde dort Zinn abgebaut, die Region war bis ins 16. Jahrhundert für das Metall berühmt. Es wurde beispielsweise von der Familie Fugger aus Augsburg gehandelt.

Betrug ist nicht Hacken

Auch wenn sich einige Diebe wie im Fall des IT-Journalisten Honan selbst gerne Hacker nennen, verstoßen sie gegen die allgemein anerkannte Ethik, dass persönliche Daten geschützt werden müssen. Betrug durch Social Engineering hat nichts mit Hacking zu tun und kann auch furchtbare Konsequenzen für die Opfer haben. Das zeigt auch der tragische Fall der britischen Krankenschwester.

Sie war auf einen Trickanruf von zwei Radiomoderatoren hereingefallen, die sich als Queen Elisabeth II und Prince Charles ausgaben und Informationen über den Gesundheitszustand der schwangeren Herzogin Kate erbaten. Obwohl sie lediglich den Anruf durchgestellt hatte, beging die Krankenschwester Selbstmord, nachdem der Sender die so erschlichenen Informationen veröffentlicht hatte. Dem Sender wurden schwere Vorwürfe gemacht, weil er das Opfer nicht aufgeklärt und den Telefonscherz ohne dessen Erlaubnis veröffentlicht hatte.

Conheady hat viel Verständnis für die Opfer von Social Engineering, auch für ihre eigenen. Denn ihre Aufgabe ist es, mit Social-Engineering-Tricks in Unternehmen einzudringen und so Sicherheitslücken aufzudecken. Mitarbeiter, die auf Conheadys Tricks hereinfallen, werden meist aufgeklärt, aber nicht gescholten. Sie könne ihren Job ohne Mitgefühl oder Empathie für ihre potenziellen Opfer gar nicht machen, sagt sie. Sie müsse sich ja in diese Personen hineinversetzen können, um Wege zu finden, sie zu überlisten.

Nicht nur für die Opfer, auch für die Scammer selbst kann Betrug durch Social Engineering schwere Folgen haben. Das zeigt ein Fall in den USA. Dort wurde der selbsternannte Paparazzi-Hacker zu zehn Jahren Haft verurteilt. Er hatte prominente Opfer wie Scarlett Johansson jahrelang ausspioniert, deren private Daten veröffentlicht und damit geprahlt.  (jt)


Verwandte Artikel:
Betrug: Mutti hackt die Noten gut   
(20.07.2012 12:06, http://www.golem.de/news/betrug-mutti-hackt-die-noten-gut-1207-93332.html)
Nigeria-Scam: Das Märchen vom reichen Prinzen - absichtlich unglaubwürdig   
(21.06.2012 13:13, http://www.golem.de/news/microsoft-analyse-warum-betrueger-absichtlich-aus-nigeria-schreiben-1206-92660.html)
Wikidata: Eine Datenquelle für alle Sprachversionen von Wikipedia   
(31.03.2012 13:16, http://www.golem.de/news/wikidata-eine-datenquelle-fuer-alle-sprachversionen-von-wikipedia-1203-90888.html)
Sicherheit: Facebook ersetzt die Mülltonne   
(23.11.2011 11:26, http://www.golem.de/1111/87907.html)
VMware ESXi 5: Übernahme des Hypervisors über ein Gastsystem   
(30.11.2012 12:09, http://www.golem.de/news/vmware-esxi-5-uebernahme-des-hypervisors-ueber-ein-gastsystem-1211-96059.html)

© 2014 by Golem.de