Hacken für jedermann: Ein Praxis-Bericht
Weihnachten waren dieses Jahr zum Vergessen. Zumindest, was das Wetter betrifft. Keine Sonne, kein Schnee - nur Dauerregen. Wer will es mir da verdenken, wenn ich mir ein paar ruhige Tage vor meiner Workstation gönnte?
Das miese Wetter hatte somit auch seine Sonnenseite. Und ich hatte endlich wieder Zeit, um zur Abwechslung einen echten Hackangriff zu starten. Als Ziel suchte ich mir was einfaches aus, einen Hotmail-Account. Nicht von irgendjemandem, sondern von einem guten Freund. Schliesslich ist Weihnachten, und der soll seine Bescherung haben.
Aber im Ernst: Ich wollte herausfinden, wie weit ich mich mit öffentlich zugänglichen Informationen und Tools vorhacken kann, die auf einschlägigen Hacker-Seiten und Foren frei herumliegen und für deren Anwendung kein tiefes technisches Know-how verlangt wird. Um es vorwegzunehmen: Ich kam sehr weit. Innerhalb eines halben Tages verschaffe ich mir vollen Zugriff auf den Hotmail-Account meines Freundes.
Bevor ich überhaupt irgendwelche Hackertools applizierte, versuchte ich zuallererst das Passwort zu erraten. Da ich ziemlich viel über die Zielperson wusste, versuchte ich es mit diesem Trick, der allerdings fehl schlug. Mein Freund hatte kein 08/15-Passwort gewählt wie der Name seiner Freundin, Geburtstagsdatum, Name der Katze etc. (Das ist der Klassiker unter den Benutzersünden - leider immer noch weit verbreitet.)
Gefälschte Login-Seite als Schlüssel
Ich musste mir also etwas besseres einfallen lassen. Ich schickte ihm ein E-Mail - anonymisiert selbstverständlich, damit der Angriff möglichst realistisch daherkam. Das Mail war mit einem HTML-Attachement versehen, in das ich einen Link eingebaut hatte. Ich habe ein Thema gewählt, wovon ich ausgehen konnte, dass es ihn interessierte. In Wirklichkeit handelte es sich beim HTML-Attachement nicht nur um einen Link auf eine Webseite, sondern um eine nachgebaute Login-Seite von Hotmail. Diese erscheint jedes Mal, wenn man in ein so genanntes Time-out fällt, das immer dann auftritt, wenn man sich in den Account einwählt und danach nichts mehr tut. Nach einiger Zeit Inaktivität muss man sich aus Sicherheitsgründen neu authentifizieren. Schliesslich könnte man in der Zwischenzeit den Rechner verlassen haben. Genau dieses Sicherheitsfeature lässt sich vorzüglich ausnützen.
Der Benutzer tappt dabei in eine Falle, ohne dass er es merkt. Das Unheil beginnt, wenn er auf das Attachement klickt. Das macht er allerdings nur, wenn der Hacker ein Thema wählt, welches das Opfer anspricht. In dieser Phase spielt somit auch so genanntes Social Engineering eine Rolle, denn man muss rausfinden, für was sich die Zielperson interessiert. Sonst besteht die Gefahr, dass die Person das Mail einfach löscht. Einmal auf das Attachement geklickt, erscheint eine offensichtlich normale Time-out Seite, die den Benutzer auffordert, sich neu zu authentifizieren mit Angabe von Username und Passwort. Aufmerksame Benutzer werden spätestens jetzt skeptisch, da sie trotz aktivem Datenverkehr urplötzlich in ein Time-Out fallen. Die allermeisten Benutzer bemerken dies aber nicht. Sie geben frischfröhlich das Passwort ein. Sobald sie dies gemacht haben, erscheint auch ganz normal die gewünschte Webseite, die sie erwartet haben. Was sie aber nicht bemerken, ist, dass dasselbe Passwort im Hintergrund über einen externen Formular-Mailer an den Angreifer verschickt wird. Dieser kann sich nach Erhalt in den Account einwählen und sogar das verschickte Mail löschen, um sämtliche Spuren zu verwischen. Dem User wird nichts auffallen.