(Social Networks) Moderne Identitätsfälschung und Datenspionage

Heute will ich euch zeigen wie leicht es funktioniert sich eine Falsche Identität überzustreifen und sich damit Daten in Social Networks beschaffen kann.

Das soll keine Anleitung werden, sondern eher aufzeigen warum man Facebook und co. nicht ohne Weiteres trauen sollte.


Die neue Identität

Zuerst benötigen wir einen Namen für unsere fiktive Person.
Man sollte nichts zu außergewöhnliches wählen, sondern eher einen Namen der öfter vertreten ist. Listen mit der Namenshäufigkeiten können aus dem Internet (Google) bezogen werden.

Meine Wahl fällt auf "Lukas Müller". Lukas ist in der häufigste Vornahme in Österreich und Müller der häufigste Nachname. Dieser Name ist nur zu Demonstrationszwecken, in Wirklichkeit muss man sich etwas mehr bemühen um einen passenden Namen zu finden.

Da Namen im Internet allerdings nicht viel wert sind, legt man am besten eine neue E-Mail Adresse dazu an.
Dazu benutzt man am besten eine Wegwerf-E-Mail-Adresse¹ um sich damit bei einem Freemail-Provider anzumelden. Dazu brauche man jedoch auch noch andere Daten: Geburtsdatum, Wohnort und ein Passwort das den falschen Account schützt.
Geburtsdatum und Wohnort sind so auszuwählen, dass die Person reell erscheint. z.B.: Wenn man vor hat einen Beruf anzugeben, wäre es nicht sinnvoll wenn man laut Geburtsdatum erst 14 Jahre alt ist. ;)

Bis jetzt haben wir:
Name, Geburtsdatum, E-Mail und Wohnort.

Nun lege ich mir mit der neuen Identität ein Facebookprofil an. Dabei ist darauf zu achten, dass das Profil seriös erscheint und mit dem "Ziel" des Angriffs in Verbindung steht. Arbeitsplatz bei einer großen Partnerfirma oder eines Kunden sind ein guter Anfang, allerdings muss beachtet werden, dass das Ziel die Daten jederzeit nachprüfen kann, falls ein Verdacht besteht.


Natürlich darf auch das Foto nicht fehlen, da sonst ein gewisses Misstrauen entsteht. Wer es komplett richtig machen will, sucht sich mehrere Fotos derselben Person. Möglichst aus dem Ausland.


Ein paar Alibi-Posts können auch nicht schaden. Z.B.: Meine Kollegen haben mich nun doch überredet mich hier anzumelden.


In den ersten paar Wochen sollte man sich ein paar Freunde zulegen. Einfach wild Einladungen verschicken, denn Personen mit einer gesunden Anzahl an Freunden wirken sympathischer.


Man kann auch noch ein zweites, weibliches, Fake-Profil erstellen, welches man heiraten kann. Ein paar Fotos von Kindern hochgeladen und schon ist man der nette Familien-Mensch.


Nachdem man sich einige Zeit mit der falschen Identität im Netz gezeigt hat und das Profil schon benutzt aussieht (Keine leere Seite), kann man sich schön langsam daran machen Informationen zu besorgen. Einfach einem Mitarbeiter der Zielfirma eine Anfrage schicken. Am besten mit ein paar netten Worten wie: Hallo, ich bin von der Firma <Firma1>, ich wusste gar nicht das du auch hier angemeldet bist.

Sobald die Verbindung hergestellt ist, ist es zwingend notwendig, alles zu notieren damit man sich nicht wo hineinredet wo man evtl. nicht mehr heraus kann oder wo die gefälschte Identität auffliegt.
Nochmal: Alles notieren, auch unwichtige Kleinigkeiten. Weil genau diese Kleinigkeiten über Erfolg und Scheitern entscheiden können. Und je mehr Informationen man hat, umso besser!



So sammeln sich nach und nach soziale Kontakte an, mit denen man seine "Beziehung" vertiefen kann. Ein gemeinsames Hobby oder die selbe Lieblingsband brechen sicher das Eis.


Wenn diese Verbindung aufgebaut ist und das Vertrauen groß genug ist, kann man beginnen während den Gesprächen kleiner Informationshappen herauszufischen. z.B.: Wie war noch mal die Durchwahl von Herrn <Kollege>? 
Oder:
Unsere aktuelle IT-Firma wird von Monat zu Monat schlechter, bei welcher Firma seid Ihr? Ist diese zu empfehlen?


So kann man an etliche Informationen kommen, die man sonst telefonisch oder persönlich erfragen müsste, was aber das Risiko birgt, das die Stimme unruhig wird oder das man gesehen wird.



Praktiziert man dies lang genug und notiert sich jede noch so kleine Information, so kann man damit eine sehr wirksame und genau abgestimmte Social Engineering Attacke planen und ausführen. Alles was benötigt wird ist Zeit, etwas Menschenkenntnis und eine große Portion Fantasie bzw. Einfallsreichtum.


Ich hoffe ich konnte euch diese Technik der Identitätsfälschung etwas näher bringen.


Das Fake-Profil wurde natürlich nach der Erstellung wieder gelöscht.


¹) Eine Wegwerf-E-Mail-Adresse ist eine Adresse die nach einer bestimmten Zeit verfällt. Somit braucht man sich keine Sorgen machen das man mit dieser Adresse in Verbindung gebracht wird.