Montag, 25. Juni 2012

(Social Networks) Moderne Identitätsfälschung und Datenspionage

Heute will ich euch zeigen wie leicht es funktioniert sich eine Falsche Identität überzustreifen und sich damit Daten in Social Networks beschaffen kann.

Das soll keine Anleitung werden, sondern eher aufzeigen warum man Facebook und co. nicht ohne Weiteres trauen sollte.


Die neue Identität

Zuerst benötigen wir einen Namen für unsere fiktive Person.
Man sollte nichts zu außergewöhnliches wählen, sondern eher einen Namen der öfter vertreten ist. Listen mit der Namenshäufigkeiten können aus dem Internet (Google) bezogen werden.

Meine Wahl fällt auf "Lukas Müller". Lukas ist in der häufigste Vornahme in Österreich und Müller der häufigste Nachname. Dieser Name ist nur zu Demonstrationszwecken, in Wirklichkeit muss man sich etwas mehr bemühen um einen passenden Namen zu finden.

Da Namen im Internet allerdings nicht viel wert sind, legt man am besten eine neue E-Mail Adresse dazu an.
Dazu benutzt man am besten eine Wegwerf-E-Mail-Adresse¹ um sich damit bei einem Freemail-Provider anzumelden. Dazu brauche man jedoch auch noch andere Daten: Geburtsdatum, Wohnort und ein Passwort das den falschen Account schützt.
Geburtsdatum und Wohnort sind so auszuwählen, dass die Person reell erscheint. z.B.: Wenn man vor hat einen Beruf anzugeben, wäre es nicht sinnvoll wenn man laut Geburtsdatum erst 14 Jahre alt ist. ;)

Bis jetzt haben wir:
Name, Geburtsdatum, E-Mail und Wohnort.

Nun lege ich mir mit der neuen Identität ein Facebookprofil an. Dabei ist darauf zu achten, dass das Profil seriös erscheint und mit dem "Ziel" des Angriffs in Verbindung steht. Arbeitsplatz bei einer großen Partnerfirma oder eines Kunden sind ein guter Anfang, allerdings muss beachtet werden, dass das Ziel die Daten jederzeit nachprüfen kann, falls ein Verdacht besteht.


Natürlich darf auch das Foto nicht fehlen, da sonst ein gewisses Misstrauen entsteht. Wer es komplett richtig machen will, sucht sich mehrere Fotos derselben Person. Möglichst aus dem Ausland.


Ein paar Alibi-Posts können auch nicht schaden. Z.B.: Meine Kollegen haben mich nun doch überredet mich hier anzumelden.


In den ersten paar Wochen sollte man sich ein paar Freunde zulegen. Einfach wild Einladungen verschicken, denn Personen mit einer gesunden Anzahl an Freunden wirken sympathischer.


Man kann auch noch ein zweites, weibliches, Fake-Profil erstellen, welches man heiraten kann. Ein paar Fotos von Kindern hochgeladen und schon ist man der nette Familien-Mensch.


Nachdem man sich einige Zeit mit der falschen Identität im Netz gezeigt hat und das Profil schon benutzt aussieht (Keine leere Seite), kann man sich schön langsam daran machen Informationen zu besorgen. Einfach einem Mitarbeiter der Zielfirma eine Anfrage schicken. Am besten mit ein paar netten Worten wie: Hallo, ich bin von der Firma <Firma1>, ich wusste gar nicht das du auch hier angemeldet bist.

Sobald die Verbindung hergestellt ist, ist es zwingend notwendig, alles zu notieren damit man sich nicht wo hineinredet wo man evtl. nicht mehr heraus kann oder wo die gefälschte Identität auffliegt.
Nochmal: Alles notieren, auch unwichtige Kleinigkeiten. Weil genau diese Kleinigkeiten über Erfolg und Scheitern entscheiden können. Und je mehr Informationen man hat, umso besser!



So sammeln sich nach und nach soziale Kontakte an, mit denen man seine "Beziehung" vertiefen kann. Ein gemeinsames Hobby oder die selbe Lieblingsband brechen sicher das Eis.


Wenn diese Verbindung aufgebaut ist und das Vertrauen groß genug ist, kann man beginnen während den Gesprächen kleiner Informationshappen herauszufischen. z.B.: Wie war noch mal die Durchwahl von Herrn <Kollege>? 
Oder:
Unsere aktuelle IT-Firma wird von Monat zu Monat schlechter, bei welcher Firma seid Ihr? Ist diese zu empfehlen?


So kann man an etliche Informationen kommen, die man sonst telefonisch oder persönlich erfragen müsste, was aber das Risiko birgt, das die Stimme unruhig wird oder das man gesehen wird.



Praktiziert man dies lang genug und notiert sich jede noch so kleine Information, so kann man damit eine sehr wirksame und genau abgestimmte Social Engineering Attacke planen und ausführen. Alles was benötigt wird ist Zeit, etwas Menschenkenntnis und eine große Portion Fantasie bzw. Einfallsreichtum.


Ich hoffe ich konnte euch diese Technik der Identitätsfälschung etwas näher bringen.


Das Fake-Profil wurde natürlich nach der Erstellung wieder gelöscht.


¹) Eine Wegwerf-E-Mail-Adresse ist eine Adresse die nach einer bestimmten Zeit verfällt. Somit braucht man sich keine Sorgen machen das man mit dieser Adresse in Verbindung gebracht wird.

Sonntag, 24. Juni 2012

Nokia N900 - PwnPhone (Erster Eindruck)

Das ist keine Beschreibung wie man PwnPhone installiert, die Anleitung findet man auf der Herstellerseite (http://pwnieexpress.com/), sondern ein kleines Review zum Nokia N900 mit installierter PwnPhone-Software.


Ich habe am Freitag mein N900 erhalten und es gleich mal mit Flasher in den Ursprungszustand zurückversetzt.

Die Pwnphone Installation ist recht einfach, mit minimalten Linux Kenntnissen, ist man schon gut dabei.

Das erste was auffällt ist die langwierige Installation. Das Kopieren der Daten dauert über eine Stunde! Doch das ist es Wert.
Sind die Daten erst mal kopiert und PwnPhone installiert, sollte man gleich mal das Keyboardlayout anpassen (Einstellungen => Tastatur und Schrift => Hardwarelayout), da man sonst (gerade am Anfang) immer auf die falschen Tasten drückt.

Bevor ich weiter erzähle, hier noch ein guter Tipp:
Macht nichts wo ihr euch nicht sicher seid. Das System ist sehr empfindlich. So wie bei jedem Debian-System könnt Ihr euer OS sehr leicht im laufenden Betrieb zerstören, darum sollten auch nur erfahrene Nutzer sich an Änderungen in Filesystem & Co wagen!

Anfangs ist die Oberfläche des PwnPhone sehr unübersichtilich, da der Homescreen mit Icons total zugepflastert ist. Was aber mit der Zeit nicht mehr so stört, da man dann schon weiß, welches Icon was macht.

Von der Auswahl der Programme bin ich sehr zufrieden, neben Aircrack-ng und Kismet, sind auch Programme wie Wifite (Fast vollautomatisches cracken von WLAN Passwörtern), Metasploit und SET installiert.

XTerminal ist bereits bei Maemo selbst vorinstalliert, rootsh (Rootzugriff) wird bei der Installation von PwnPhone mitinstalliert. So kann man, dank der vollwertigen qwertz-Tastatur, sehr einfach Shell-Scripts erstellen. Ruby und Python sind auf dem PwnPhone auch bereits vorhanden. Sogar gcc ist vorinstalliert und wartet darauf kleine Exploits zu kompilieren.

Alles in Allem finde ich, es ist ein sehr gelungenes Gerät und auch von der Software her spitze. Die einzigen Nachteile sind die Geschwindigkeit (Die Hardware ist leider schon etwas älter) und die Akkulaufzeit, aber das liegt wahrscheinlich daran, dass das Gerät gebraucht ist und der Akku schon schwächelt.

Für alle PenTester die sich das PwnPhone/N900 zulegen möchten, es ist auf jedenfall ein gutes System für den Einstieg.

Wenn es sich ergibt, hole ich mir ein neueres Gerät mit MeeGo antesten, vielleicht gebe ich dann mein N900 ab, doch bis dahin wird es meine erste Wahl bleiben.