Heute will ich euch zeigen wie leicht es funktioniert sich eine
Falsche Identität überzustreifen und sich damit Daten in Social Networks
beschaffen kann.
Das soll keine Anleitung werden, sondern eher aufzeigen warum man Facebook und co. nicht ohne Weiteres trauen sollte.
Die neue Identität
Zuerst benötigen wir einen Namen für unsere fiktive Person.
Man
sollte nichts zu außergewöhnliches wählen, sondern eher einen Namen der
öfter vertreten ist. Listen mit der Namenshäufigkeiten können aus dem
Internet (Google) bezogen werden.
Meine Wahl fällt auf "Lukas Müller".
Lukas ist in der häufigste Vornahme in Österreich und Müller der
häufigste Nachname. Dieser Name ist nur zu Demonstrationszwecken, in
Wirklichkeit muss man sich etwas mehr bemühen um einen passenden Namen
zu finden.
Da Namen im Internet allerdings nicht viel wert sind, legt man am besten eine neue E-Mail Adresse dazu an.
Dazu
benutzt man am besten eine Wegwerf-E-Mail-Adresse¹ um sich damit bei
einem Freemail-Provider anzumelden. Dazu brauche man jedoch auch noch
andere Daten: Geburtsdatum, Wohnort und ein Passwort das den falschen
Account schützt.
Geburtsdatum und Wohnort sind so auszuwählen,
dass die Person reell erscheint. z.B.: Wenn man vor hat einen Beruf
anzugeben, wäre es nicht sinnvoll wenn man laut Geburtsdatum erst 14
Jahre alt ist. ;)
Bis jetzt haben wir:
Name, Geburtsdatum, E-Mail und Wohnort.
Nun
lege ich mir mit der neuen Identität ein Facebookprofil an. Dabei ist
darauf zu achten, dass das Profil seriös erscheint und mit dem "Ziel"
des Angriffs in Verbindung steht. Arbeitsplatz bei einer großen
Partnerfirma oder eines Kunden sind ein guter Anfang, allerdings muss
beachtet werden, dass das Ziel die Daten jederzeit nachprüfen kann,
falls ein Verdacht besteht.
Natürlich darf auch das Foto nicht fehlen, da sonst ein gewisses
Misstrauen entsteht. Wer es komplett richtig machen will, sucht sich
mehrere Fotos derselben Person. Möglichst aus dem Ausland.
Ein paar Alibi-Posts können auch nicht schaden. Z.B.: Meine Kollegen haben mich nun doch überredet mich hier anzumelden.
In den ersten paar Wochen sollte man sich ein paar Freunde
zulegen. Einfach wild Einladungen verschicken, denn Personen mit einer
gesunden Anzahl an Freunden wirken sympathischer.
Man kann auch noch ein zweites, weibliches, Fake-Profil
erstellen, welches man heiraten kann. Ein paar Fotos von Kindern
hochgeladen und schon ist man der nette Familien-Mensch.
Nachdem man sich einige Zeit mit der falschen Identität im Netz
gezeigt hat und das Profil schon benutzt aussieht (Keine leere Seite),
kann man sich schön langsam daran machen Informationen zu besorgen.
Einfach einem Mitarbeiter der Zielfirma eine Anfrage schicken. Am besten
mit ein paar netten Worten wie: Hallo, ich bin von der Firma <Firma1>, ich wusste gar nicht das du auch hier angemeldet bist.
Sobald
die Verbindung hergestellt ist, ist es zwingend notwendig, alles zu
notieren damit man sich nicht wo hineinredet wo man evtl. nicht mehr
heraus kann oder wo die gefälschte Identität auffliegt.
Nochmal: Alles notieren,
auch unwichtige Kleinigkeiten. Weil genau diese Kleinigkeiten über
Erfolg und Scheitern entscheiden können. Und je mehr Informationen man
hat, umso besser!
So sammeln sich nach und nach soziale Kontakte an, mit denen man
seine "Beziehung" vertiefen kann. Ein gemeinsames Hobby oder die selbe
Lieblingsband brechen sicher das Eis.
Wenn diese Verbindung aufgebaut ist und das Vertrauen groß genug
ist, kann man beginnen während den Gesprächen kleiner Informationshappen
herauszufischen. z.B.: Wie war noch mal die Durchwahl von Herrn <Kollege>?
Oder:
Unsere aktuelle IT-Firma wird von Monat zu Monat schlechter, bei welcher Firma seid Ihr? Ist diese zu empfehlen?
So kann man an etliche Informationen kommen, die man sonst
telefonisch oder persönlich erfragen müsste, was aber das Risiko birgt,
das die Stimme unruhig wird oder das man gesehen wird.
Praktiziert man dies lang genug und notiert sich jede noch
so kleine Information, so kann man damit eine sehr wirksame und genau
abgestimmte Social Engineering Attacke planen und ausführen. Alles was
benötigt wird ist Zeit, etwas Menschenkenntnis und eine große Portion
Fantasie bzw. Einfallsreichtum.
Ich hoffe ich konnte euch diese Technik der Identitätsfälschung etwas näher bringen.
Das Fake-Profil wurde natürlich nach der Erstellung wieder gelöscht.
¹) Eine Wegwerf-E-Mail-Adresse ist eine Adresse die nach
einer bestimmten Zeit verfällt. Somit braucht man sich keine Sorgen
machen das man mit dieser Adresse in Verbindung gebracht wird.
Montag, 25. Juni 2012
Sonntag, 24. Juni 2012
Nokia N900 - PwnPhone (Erster Eindruck)
Das ist keine Beschreibung wie man PwnPhone installiert, die Anleitung
findet man auf der Herstellerseite (http://pwnieexpress.com/), sondern ein kleines Review zum Nokia N900 mit installierter PwnPhone-Software.
Ich habe am Freitag mein N900 erhalten und es gleich mal mit Flasher in den Ursprungszustand zurückversetzt.
Die Pwnphone Installation ist recht einfach, mit minimalten Linux Kenntnissen, ist man schon gut dabei.
Das erste was auffällt ist die langwierige Installation. Das Kopieren der Daten dauert über eine Stunde! Doch das ist es Wert.
Sind die Daten erst mal kopiert und PwnPhone installiert, sollte man gleich mal das Keyboardlayout anpassen (Einstellungen => Tastatur und Schrift => Hardwarelayout), da man sonst (gerade am Anfang) immer auf die falschen Tasten drückt.
Bevor ich weiter erzähle, hier noch ein guter Tipp:
Macht nichts wo ihr euch nicht sicher seid. Das System ist sehr empfindlich. So wie bei jedem Debian-System könnt Ihr euer OS sehr leicht im laufenden Betrieb zerstören, darum sollten auch nur erfahrene Nutzer sich an Änderungen in Filesystem & Co wagen!
Anfangs ist die Oberfläche des PwnPhone sehr unübersichtilich, da der Homescreen mit Icons total zugepflastert ist. Was aber mit der Zeit nicht mehr so stört, da man dann schon weiß, welches Icon was macht.
Von der Auswahl der Programme bin ich sehr zufrieden, neben Aircrack-ng und Kismet, sind auch Programme wie Wifite (Fast vollautomatisches cracken von WLAN Passwörtern), Metasploit und SET installiert.
XTerminal ist bereits bei Maemo selbst vorinstalliert, rootsh (Rootzugriff) wird bei der Installation von PwnPhone mitinstalliert. So kann man, dank der vollwertigen qwertz-Tastatur, sehr einfach Shell-Scripts erstellen. Ruby und Python sind auf dem PwnPhone auch bereits vorhanden. Sogar gcc ist vorinstalliert und wartet darauf kleine Exploits zu kompilieren.
Alles in Allem finde ich, es ist ein sehr gelungenes Gerät und auch von der Software her spitze. Die einzigen Nachteile sind die Geschwindigkeit (Die Hardware ist leider schon etwas älter) und die Akkulaufzeit, aber das liegt wahrscheinlich daran, dass das Gerät gebraucht ist und der Akku schon schwächelt.
Für alle PenTester die sich das PwnPhone/N900 zulegen möchten, es ist auf jedenfall ein gutes System für den Einstieg.
Wenn es sich ergibt, hole ich mir ein neueres Gerät mit MeeGo antesten, vielleicht gebe ich dann mein N900 ab, doch bis dahin wird es meine erste Wahl bleiben.
Ich habe am Freitag mein N900 erhalten und es gleich mal mit Flasher in den Ursprungszustand zurückversetzt.
Die Pwnphone Installation ist recht einfach, mit minimalten Linux Kenntnissen, ist man schon gut dabei.
Das erste was auffällt ist die langwierige Installation. Das Kopieren der Daten dauert über eine Stunde! Doch das ist es Wert.
Sind die Daten erst mal kopiert und PwnPhone installiert, sollte man gleich mal das Keyboardlayout anpassen (Einstellungen => Tastatur und Schrift => Hardwarelayout), da man sonst (gerade am Anfang) immer auf die falschen Tasten drückt.
Bevor ich weiter erzähle, hier noch ein guter Tipp:
Macht nichts wo ihr euch nicht sicher seid. Das System ist sehr empfindlich. So wie bei jedem Debian-System könnt Ihr euer OS sehr leicht im laufenden Betrieb zerstören, darum sollten auch nur erfahrene Nutzer sich an Änderungen in Filesystem & Co wagen!
Anfangs ist die Oberfläche des PwnPhone sehr unübersichtilich, da der Homescreen mit Icons total zugepflastert ist. Was aber mit der Zeit nicht mehr so stört, da man dann schon weiß, welches Icon was macht.
Von der Auswahl der Programme bin ich sehr zufrieden, neben Aircrack-ng und Kismet, sind auch Programme wie Wifite (Fast vollautomatisches cracken von WLAN Passwörtern), Metasploit und SET installiert.
XTerminal ist bereits bei Maemo selbst vorinstalliert, rootsh (Rootzugriff) wird bei der Installation von PwnPhone mitinstalliert. So kann man, dank der vollwertigen qwertz-Tastatur, sehr einfach Shell-Scripts erstellen. Ruby und Python sind auf dem PwnPhone auch bereits vorhanden. Sogar gcc ist vorinstalliert und wartet darauf kleine Exploits zu kompilieren.
Alles in Allem finde ich, es ist ein sehr gelungenes Gerät und auch von der Software her spitze. Die einzigen Nachteile sind die Geschwindigkeit (Die Hardware ist leider schon etwas älter) und die Akkulaufzeit, aber das liegt wahrscheinlich daran, dass das Gerät gebraucht ist und der Akku schon schwächelt.
Für alle PenTester die sich das PwnPhone/N900 zulegen möchten, es ist auf jedenfall ein gutes System für den Einstieg.
Wenn es sich ergibt, hole ich mir ein neueres Gerät mit MeeGo antesten, vielleicht gebe ich dann mein N900 ab, doch bis dahin wird es meine erste Wahl bleiben.
Abonnieren
Posts (Atom)