2018-10-10 6 Minuten

Behind the Hack: meine Demo vom HR Inside Summit 2018

Am 10.10.2018 hatte ich die Ehre, vor Entscheidungsträgern aus der HR-Branche einen Vortrag halten zu dürfen.

Die Folien finden Sie hier auf Slideshare.

Hier ein kurzer Recap des Inhaltes:

Zusammenfassung

Die Herausforderungen in der IT-Sicherheit werden wir wohl kaum mit einer technischen Weiterbildung der Mitarbeiter erreichen – zu menschlich sind die Fehler, die uns unterlaufen. Deshalb sehe ich hier einen wichtigen Angriffspunkt bei der HR-Abteilung in den Unternehmen.

Zwar müssen eventuelle Angriffe natürlich auch technisch abgewehrt werden, davon kriegt der/die MitarbeiterIn im Normalfall aber wenig mit. Wo der/die Mitarbeiterin dann jedoch im Mittelpunkt steht ist:

wenn er oder sie selbst angegriffen wird.

Dann liegt es aber nicht an technischen, sondern eher sozialen und kognitiven Faktoren, ob der Angriff als solcher erkannt wird, und wie viel Schaden entsteht.

Zur Demonstration dieser Punkte habe ich mir ein Szenario überlegt:

Das Szenario

Im Vorfeld des HR-Inside Summit werde ich, Martin Haunschmid, selbst zum Opfer eines Spear-phishing-Angriffs.

“Phishing” bezeichnet einen Angriff, bei dem beispielsweise durch Fake-Loginseiten die Zugangsdaten zu einer Plattform ergaunert werden. Dies passiert oft automatisiert.

Die E-Mails von Banken, bei denen man nicht einmal ein Konto hat, zählen hier dazu.

“Spear-phishing” dagegen bezeichnet ein zielgenau getargetetes Phishing. In diesem Fall gibt es eines oder wenige Opfer, und die Situation wird auf das jeweilige Opfer maßgeschneidert.

Wie fast jeder Hack, beginnt auch dieser mit der Phase der Recherche.

Recherche

Zuerst wir als Angreifer uns den Blog des Opfers an (auf dem Sie sich auch gerade befinden). Hier finden wir sofort ein About me, das einen Einblick in den Charakter des Opfers zulässt:

Phase 1: Informationsfindung

Das Opfer scheint sehr auf Effizienz wert zu legen. Ein Fakt, den wir später noch verwenden können.

Weiters findet man im Footer des Blogs sofort die Kontaktdaten, die wir in weiterer Folge verwenden werden, um das Opfer zu kontaktieren:

Dieser Hack spielt im Vorfeld des HR Inside Summit, weswegen wir auf der Startseite herausfinden, dass Herr Haunschmid einen Vortrag halten wird:

Das trifft sich hervorragend: das ist ein super Vorwand, um mit dem Opfer in Kontakt zu treten. Im Vorfeld eines Events werden hier natürlich diverse Dokumente und E-Mails hin- und hergeschickt. Unser Angriff kann sich hier gut einfügen.

Dafür brauchen wir jedoch noch die Information einer anderen Partei – eine Partei, die für Herrn Haunschmid möglichst glaubwürdig ist, und die sehr wahrscheinlich sowieso bereits in Kontakt mit dem Opfer ist.

Als Angreifer entscheiden wir uns für: die Organisatoren des HR Inside Summit. Auch hier findet man öffentlich:

  • Das Team
  • Die Kontaktdaten

Frau Jeglitsch soll hier die “Absenderin” des Angriffs sein, denn sie ist für das Programm und die Speaker des Events verantwortlich.

Die Story

Ein Spear-phishing-Angriff steht und fällt in diesem Fall mit der Geschichte, die erzählt wird.

Menschen durchleben in ihrem Kopf laufend eine Geschichte, in der sie selbst der Held sind. Als Angreifer wollen wir uns nahtlos in diese Geschichte einfügen – es soll kein Moment des Zweifels beim Opfer aufkommen, dass irgendetwas nicht stimmt.

Wir entscheiden uns für folgenden Ablauf:

  • Frau Jeglitsch benötigt Daten von Herrn Haunschmid, um den Vortrag und das Event möglichst reibungslos zu gestalten
  • Diese Daten werden durch ein (Fake-) Google Formular eingegeben. Herr Haunschmid ist sehr auf Effizienz fokussiert, und wird sich hier vielleicht sogar freuen, dass die Abwicklung mit modernen Tools und ohne große Bürokratie erledigt werden kann.
  • Wir schreiben eine E-Mail, die von Frau Jeglitsch kommen könnte und Herrn Haunschmid bittet, das Formular auszufüllen. Dieses E-Mail enthält einen Link, der zu einem Fake-Google-Login führt
  • Herr Haunschmid loggt sich mit seinen Logindaten im Fake-Google-Login ein
  • …und wird auf das Google Formular weitergeleitet.

Der Angriff selbst.

Hierzu habe ich ein Video zusammengeschnitten, das den Angriff Schritt für Schritt zeigt. Diese Schritte werden unter dem Video kurz erläutert.

Schritt 1

Zuerst wird ein Webserver, sowie ein Mailserver gestartet. Diese werden dafür verwendet,

  • die Phishing-Seite anzuzeigen und
  • die Fake-E-Mail zu verschicken.

In dieser Demo läuft dies alles auf dem Angreifer-Rechner. Würde man real so einen Angriff planen, wären natürlich weitere Anonymisierungs-Maßnahmen nötig.

Schritt 2

Hier wird zuerst der Quellcode der E-Mail durchgescrollt. Diese wurde im Vorfeld – relativ einfach – wie folgt erstellt:

  • Die Signatur von Frau Jeglitsch in ein E-Mail Programm kopieren
  • Die Phishing-E-Mail formulieren
  • Diese an uns selbst senden
  • Den Quellcode in eine Datei kopieren, die wir ab 00:38 im Video dann versenden.

Schritt 3

Das Fake-Formular schickt die eingegebenen Daten an den Webserver der Angreifer, der diese Inhalte alle protokolliert. So erhalten wir dann eine Log-Datei, in der alle Opfer-Logindaten enthalten sind.

Hier wird nur die Anzeige dieses Logs gestartet.

Schritt 4

Hier empfängt das Opfer die E-Mail. Sie kommt von der originalen Adresse von Frau Jeglitsch, und ist nicht im Spam gelandet. Aus Angreifersicht bis jetzt ein voller Erfolg.

Schritt 5

Die Phishing-Seite

Herr Haunschmid klickt auf den Link und kommt auf unsere Phishing-Seite. Betrachtet man diese genau, fallen sofort ein paar Schwachstellen auf:

  • Die Webseite hat kein HTTPS
  • Es gibt kleine Unterschiede zum originalen Google-Login (das Passwort-Feld befindet sich bei Google auf einer zweiten Seite, nicht direkt im Loginfenster)

Diese Seite wurde in 2 Stunden gebastelt und dient der Demonstration. Aus diesem Grund habe ich davon abgesehen, mir tatsächlich eine Domain zu kaufen, HTTPS zu installieren oder mehr Aufwand in das Design zu stecken.

Dies sind aber alles Punkte, die mit sehr wenig Aufwand erledigt sind.

Weiterleitung auf das Formular

Wie bereits im Kapitel Story beschrieben, würde Herr Haunschmid sofort einen Angriff bemerken, bekäme er nicht das, was in der Mail versprochen war. Aus diesem Grund wird auf ein wirklich existentes Google Formular weitergeleitet.

Alles damit die Story im Gehirn des Opfers Sinn macht und und als “Alltag” abgespeichert wird.

Passwort und E-Mail im Log

Auf Angreiferseite sehen wir, dass die Zugangsdaten von Herrn Haunschmid nun im Logfile zu sehen sind.

Die Folgen

Da wir als Angreifer jetzt den Google-Account von Herrn Haunschmid besitzen, könnten wir damit

  • jegliche Passwörter von Accounts zurücksetzen, die mit der E-Mail registriert wurden
  • Den Kalender einsehen
  • Den Account für weiteren Schabernack verwenden

Das Nächste Mal sollte Herr Haunschmid wohl ein wenig besser aufpassen.

Fazit

Vielen Dank für Ihre Teilnahme an meinem Vortrag, ich hoffe Sie konnten einiges an Schock, und vielleicht sogar ein paar Inputs und Inspirationen mit nach Hause nehmen.

Sollten Sie Interesse an meinem Angebot an Workshops, Beratung oder technischen Fähigkeiten haben, können Sie mich gerne unter contact@martinhaunschmid.com oder auf LinkedIn kontaktieren.

Ich höre mir Ihr Anliegen gerne an, und lasse Ihnen ein kleines Portfolio zukommen.

Die Folien zu meinem Vortrag finden Sie auf Slideshare.

Von Hackern, Wordpress, SEO & Co

  • Wo kommt mein Spam her?
  • Wie leicht ist es, eine Wordpress Seite zu hacken?
  • Wie Umzugsfirmen ihre Gaunereien mit SEO umsetzen

...wöchentlich in deiner Inbox! 🚀

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.