Die Kunst des Human Hacking

CHRISTOPHER HADNAGY
Social Engineering – Deutsche Ausgabe
Vorwort
Sicherheit ist ein Spiel, das man von zwei Seiten aus spielen kann: Von
innen suchen wir nach dem Gefühl von Behaglichkeit und Gewissheit. Von
außen suchen Diebe, Hacker und Vandalen nach Lücken. Wir halten unser
Zuhause meist für sicher, bis die Tür eines Tages ins Schloss fällt und wir
uns selbst ausgesperrt haben. Plötzlich verändert sich unsere Perspektive,
und schnell finden sich Schwachstellen.
Um Sicherheit umfassend und vollständig zu verstehen, muss man unbedingt selbst einmal über den Zaun steigen: Man sollte sich gewissermaßen
absichtlich selbst aussperren und versuchen, auf andere Weise hereinzukommen. Das Problem ist, dass wir meistens durch unser eigenes Selbstvertrauen oder das Vertrauen auf schwere Schlösser, starke Türen, ein
Highend-Sicherheitssystem und Wachhunde blind sind für potenzielle Probleme, weil wir glauben, all das reiche aus, um sich die meisten Leute vom
Leibe zu halten.
Ich bin nicht wie die meisten Leute. In den letzten zehn Jahren habe ich
mehr Trickbetrügereien und Schwindeleien durchgezogen als irgendwer
sonst in der Menschheitsgeschichte. Ich habe Casinos ausgehebelt, Sportereignisse getürkt, Auktionen ausgenommen, Leuten ihre herzallerliebsten
Besitztümer abgeschwindelt und bin einfach direkt durch scheinbar unüberwindliche Sicherheitsvorkehrungen spaziert.
Ich habe mein Geld damit verdient, dass ich die Tricks und Methoden von
Dieben, Lügnern, Betrügern und Gaunern in einer beliebten TV-Show
namens The Real Hustle vorgestellt habe. Wäre ich ein echter Krimineller,
wäre ich nun wahrscheinlich reich, berühmt oder tot – wahrscheinlich
sogar alles drei. Ich habe mein ganzes Wissen und all meine Kraft dahinein
gesteckt, alle Formen der Täuschung zu erforschen, um die Öffentlichkeit
darüber zu informieren, wie verletzlich sie eigentlich ist.
Jede Woche habe ich gemeinsam mit Alexis Conran echte Menschen mit
echten Tricks betrogen. Sie hatten keine Ahnung, dass sie abgezockt werden. Mit versteckten Kameras haben wir die Zuschauer teilhaben lassen
11
© des Titels »Die Kunst des Human Hacking« (ISBN 978-3-8266-9167-6) 2011 by Verlagsgruppe Hüthig Jehle
Rehm GmbH, Heidelberg. Nähere Informationen unter: http://www.mitp.de/9167
Vorwort
und gezeigt, was möglich ist, damit sie die Betrugsmasche auch bei sich
erkennen können.
Diese ungewöhnliche Karriere hat dazu geführt, dass ich auf einzigartige
Weise verstehe, wie Kriminelle denken. Ich wurde zum Schaf im Wolfspelz.
Ich habe erfahren, dass es ganz egal ist, wie unmöglich etwas wirkt, weil es
immer einen schlauen, unerwarteten Weg gibt, um das Problem zu lösen.
Ich bot beispielsweise an zu zeigen, wie leicht man nicht nur eine Handtasche klauen kann, sondern der Besitzerin auch die PIN für ihre Geldautomatenkarte oder Kreditkarte abluchst. Die BBC glaubte mir nicht, dass das
möglich sei. Als wir diesen Vorschlag für einen Beitrag bei The Real Hustle
präsentierten, stufte die BBC-Kommission ihn als »unglaubwürdig« ein
und reichte ihn an uns zurück. Wir wussten sehr wohl, dass das möglich ist,
denn über diese Masche wurde bereits in verschiedenen Versionen berichtet: Diebesopfer wurden bei verschiedenen Trickbetrügereien in ganz England dazu überredet, ihre PINs preiszugeben. Wir nahmen Elemente
verschiedener Betrugsmaschen, um genau zu illustrieren, wie jemand so
hereingelegt werden kann, dass er einem anderen den kompletten Zugang
zu seinem Bankkonto ermöglicht.
Als Beweis unserer Behauptung bereiteten wir in einem Café diesen Betrug
vor. Das Café befand sich oben in einer Einkaufspassage in der Londoner
Oxford Street. Es war relativ ruhig, als ich mich, wie ein Geschäftsmann mit
Anzug bekleidet, an einen leeren Tisch setzte. Ich legte meine Aktenmappe
auf den Tisch und wartete auf ein passendes Opfer. Nach kurzer Zeit
erschien eine Dame mit einer Freundin und nahm am Nebentisch Platz. Sie
stellte ihre Tasche auf den Stuhl neben sich. Wie es wahrscheinlich ihre
Gewohnheit war, zog sie den Stuhl dicht zu sich heran und hielt die ganze
Zeit die Hand auf der Tasche.
Ich musste die ganze Tasche stehlen, aber weil sie dauernd ihre Hand darauf hielt und ihre Freundin direkt gegenüber saß, schien das doch nicht
ganz so einfach zu werden. Aber nach wenigen Minuten stand ihre Freundin auf und ging zur Toilette. Die Zielperson war alleine, also gab ich Alex
und Jess das Signal.
Die beiden gaben vor, ein Pärchen zu sein, und baten die Zielperson, ob sie
ein Foto von ihnen machen würde. Sie war gleich ganz hilfsbereit und hob
die Hand von ihrer Tasche, um die Kamera entgegenzunehmen, und
knipste das »junge Glück«. Während sie abgelenkt war, langte ich beiläufig
hinüber, nahm ihre Tasche und verstaute sie ruhig in meiner Aktentasche.
Meinem Opfer sollte der leere Stuhl auffallen, wenn Alex und Jess das Café
12
© des Titels »Die Kunst des Human Hacking« (ISBN 978-3-8266-9167-6) 2011 by Verlagsgruppe Hüthig Jehle
Rehm GmbH, Heidelberg. Nähere Informationen unter: http://www.mitp.de/9167
Vorwort
verließen. Als Alex außer Sicht war, machte er sich schnell in Richtung
Parkgarage auf den Weg.
Die Dame merkte schnell, dass ihre Tasche verschwunden war. Sie geriet
sofort in Panik. Sie sprang auf und schaute sich verzweifelt um. Genau darauf hatten wir gewartet, und so fragte ich sie, ob sie Hilfe bräuchte.
Sie bombardierte mich gleich mit Fragen, ob ich etwas gesehen hätte. Das
verneinte ich, aber ich konnte sie dazu bringen, sich hinzusetzen und darüber nachzudenken, was in der Tasche war. Ein Handy. Make-up, etwas Bargeld. Und ihre Kreditkarten. Bingo!
Ich fragte sie, bei welcher Bank sie sei, und sagte ihr, dass ich für diese Bank
arbeitete. Was für ein Glück! Ich versicherte ihr, dass alles gut gehen würde,
aber dass sie nun ihre Kreditkarte sofort sperren müsse. Ich rief die Nummer vom »Kundendienst« an und reichte ihr mein Handy, aber in Wirklichkeit nahm Alex das Gespräch entgegen. Sie hing nun am Haken, und jetzt
musste sich Alex darum kümmern, die Angel einzuholen.
Alex saß im Transporter unten in der Parkgarage. Vom CD-Player kamen
Bürogeräusche, die wir aus dem Internet heruntergeladen hatten. Alex
sorgte dafür, dass sich die Zielperson wieder abregte, und hielt sie hin. Er
versicherte ihr, dass die Karte ganz einfach gesperrt werden könne, aber sie
müsse ihre Identität bestätigen. Dazu sollte sie ihre PIN auf der Tastatur des
Handys eingeben, über das dieser Anruf gerade getätigt wird.
Also meine Tastatur und mein Handy!
Den Rest können Sie sich sicherlich denken: Nachdem wir ihre PIN hatten,
überließ ich sie ihrer Freundin und machte mich auf den Weg zum Ausgang. Wenn wir echte Diebe gewesen wären, dann hätten wir nun über den
Geldautomaten auf ihr Konto zugreifen können und auch auf die Geldkarte
und ihre Einkäufe per PIN. Zu ihrem Glück war es nur eine Fernsehshow,
und dementsprechend glücklich und erleichtert war sie, als ich zurückkam,
um ihr die Handtasche zu übergeben und ihr zu sagen, dass dieser Betrug
nur vorgetäuscht war. Sie bedankte sich sogar dafür, dass ich ihr die Tasche
zurückgab. Darauf entgegnete ich: »Bedanken Sie sich nicht bei mir,
immerhin habe ich Sie beklaut.«
Egal wie sicher ein System ist, es findet sich immer ein Einbruchsweg. Oft
sind die menschlichen Elemente des Systems am einfachsten zu manipulieren und zu täuschen. Wenn man für Unruhe oder gar Panik sorgt, indem
man jemanden beeinflusst oder Manipulationstaktiken ausübt, und in die-
13
© des Titels »Die Kunst des Human Hacking« (ISBN 978-3-8266-9167-6) 2011 by Verlagsgruppe Hüthig Jehle
Rehm GmbH, Heidelberg. Nähere Informationen unter: http://www.mitp.de/9167
Vorwort
sem Zusammenhang Gefühle der Sicherheit und des Vertrauens erweckt,
kann man ein Opfer beruhigen und aufnahmefähig stimmen.
Die hier vorgestellte Szene ist ein extremes Beispiel, zeigt aber, dass mit ein
wenig Kreativität scheinbar unmögliche Betrugsmaschen abgezogen werden können.
Der erste Schritt zur Verbesserung der eigenen Sicherheit besteht einfach
darin einzuräumen, dass ein System verletzbar ist und kompromittiert werden kann. Wenn Sie hingegen glauben, es sei unmöglich, in Ihre Schutzvorkehrungen eine Bresche zu schlagen, dann ist das so, als würden Sie sich
im vollen Lauf eine Binde über die Augen legen. Social Engineering liefert
Ihnen unschätzbare Erkenntnisse hinsichtlich der Methoden, in scheinbar
sichere Systeme einzubrechen, und stellt die Bedrohungen vor, die für die
größte Angriffsfläche, den Menschen, existieren. Dieses Buch ist keine
Anleitung für Hacker, denn die wissen schon, wie man einbricht, und lassen sich täglich neue Zugangswege einfallen. Stattdessen ermöglicht Chris
Hadnagy allen innerhalb der Absperrung, sich die andere, die dunkle Seite
anzuschauen, denn er deckt Denkweisen und Methoden der bösartigsten
Hacker, Trickbetrüger und Social Engineers der Welt auf.
Denken Sie daran: Wer Mauern errichtet, denkt anders als jemand, der sie
von oben, unten oder der Seite umgehen oder sie direkt durchbrechen will.
So sage ich meinem Publikum gerne: »Wenn Sie glauben, man könne Sie
nicht hereinlegen, sind Sie genau die Person, die ich gerne treffen würde.«
Paul Wilson
Oktober 2010
Vorwort und Danksagungen
Vor ein paar Jahren saß ich mit meinem Freund und Mentor Mati Aharoni
zusammen, um den Start von www.social-engineer.org zu beschließen.
Unsere Ideen dazu breiteten sich immer mehr aus, bis sie zu einer hervorragenden, von einigen wirklich brillanten Menschen unterstützten Website
wurde. Nicht lange danach kamen wir auf die Idee, unsere jahrelangen Forschungen und Erfahrungen auch in einem Buch umzusetzen. Als ich dieses
Vorhaben anging, wurde mir eine überwältigende Unterstützung zuteil. In
diesem Zusammenhang möchte ich mich bei einigen ganz besonders
bedanken, die dieses Buch zu dem gemacht haben, was es heute ist.
14
© des Titels »Die Kunst des Human Hacking« (ISBN 978-3-8266-9167-6) 2011 by Verlagsgruppe Hüthig Jehle
Rehm GmbH, Heidelberg. Nähere Informationen unter: http://www.mitp.de/9167
Vorwort und Danksagungen
Ich war schon in ganz jungen Jahren sehr daran interessiert, wie Menschen
sich manipulieren lassen. Nicht auf böse Weise, aber ich fand es interessant,
wie oft ich in der Lage war, mir Dinge zu beschaffen oder in irgendwie
unglaubliche Situationen zu kommen. Einmal war ich mit einem guten
Freund und Geschäftskollegen bei einer technischen Konferenz im Javits
Center in New York City. Ein großes Unternehmen hatte FAO Schwarz für
eine private Feierlichkeit gemietet. Natürlich kam man nur mit persönlicher
Einladung dort hinein, und wir beide waren einfach ganz kleine Fische in
diesem großen Teich: Die Party war für die CEOs und das obere Management von Firmen wie HP, Microsoft u.ä. Mein Freund meinte zu mir: »Das
wäre doch echt cool, wenn wir bei dieser Party reinkönnten.«
Ich gab einfach zurück: »Warum sollten wir da nicht reinkommen?« In diesem Moment ging es mir durch den Kopf: »Ich weiß, dass wir da hineinkommen können, wenn wir nur auf richtige Art und Weise fragen.« Also
wandte ich mich an die Damen, die sich um den Einlass und die Gästeliste
kümmerten, und sprach einige Minuten mit ihnen. Während ich mit ihnen
redete, kam Linus Torvalds vorbei, der Schöpfer des Linux-Kernels. An
einem der Messestände von Microsoft hatte ich mir ein Plüschspielzeug
mitgenommen. Ich drehte mich zu Linus um und sagte scherzhaft: »Hey,
willst du nicht mein Microsoft-Plüschtier signieren?«
Er musste darüber mächtig lachen, und als er sich seine Tickets abholte,
antwortete er: »Gute Arbeit, junger Mann. Wir sehen uns dann bei der
Party.«
Ich drehte mich zu den Damen um, die für die Ticketausgabe zuständig
waren, und bekam zwei Eintrittskarten zu dieser exklusiven Party bei FAO
Schwarz.
Erst später in meinem Leben begann ich, solche Geschichten zu analysieren, nachdem jemand das mal als den »Hadnagy-Effekt« bezeichnet hatte.
So lustig wie das hier auch klingt, ich begann bald zu erkennen, dass vieles
von dem, was mir widerfuhr, nichts mit Glück oder Fügung zu tun hatte,
sondern vielmehr damit, dass ich wusste, wo ich im richtigen Moment zu
sein hatte.
Das bedeutete aber nicht, dass dafür keine harte Arbeit und eine Menge
Hilfe unterwegs nötig waren. Meine wunderbare Frau ist die Muse meines
Lebens. Seit fast zwei Jahrzehnten hast Du mich bei all meinen Ideen und
Bestrebungen unterstützt. Du bist meine beste Freundin, meine Vertraute
und meine tragende Säule. Ohne Dich wäre ich nicht dort, wo ich heute bin.
Außerdem hast Du mir zwei der schönsten Kinder auf diesem Planeten
15
© des Titels »Die Kunst des Human Hacking« (ISBN 978-3-8266-9167-6) 2011 by Verlagsgruppe Hüthig Jehle
Rehm GmbH, Heidelberg. Nähere Informationen unter: http://www.mitp.de/9167
Vorwort
geschenkt. Unser Sohn und unsere Tochter sind die Motivation für mich, all
das hier zu tun. Wenn irgendetwas von dem, was ich mache, diese Welt für
sie etwas sicherer machen oder sie lehren kann, wie sie sich selbst besser
sichern können, dann hat sich alles gelohnt.
Meinem Sohn und meiner Tochter: Ich kann gar nicht genug ausdrücken,
wie dankbar ich bin für eure Unterstützung, eure Liebe und euren Ansporn.
Meine Hoffnung ist, dass mein Sohn und meine kleine Prinzessin sich
nicht mit den bösen und schlechten Menschen in dieser Welt abgeben müssen, doch mir ist klar, wie unwahrscheinlich das ist. Mögen diese Informationen euch beide ein wenig sicherer bewahren.
Paul (alias rAWjAW) – danke für all deine Hilfe bei der Website. Die Tausende Stunden, die du als »Wiki-Master« zugebracht hast, haben sich
gelohnt, und nun haben wir eine wunderbare Ressource, die die Welt nutzen kann. Ich weiß, ich sage es nicht oft genug, aber: »Du bist gefeuert!« In
Kombination mit den wunderschönen Kreationen von Tom alias DigIp wird
die Website zu einem regelrechten Kunstwerk.
Carol als meine Lektorin bei Wiley hat sich richtig geschunden, um alles
Nötige zu organisieren und es in eine solche Form zu bringen, dass man
damit wie mit einem Zeitplan arbeiten kann. Sie hat Erstaunliches bewirkt,
indem sie ein hervorragendes Team zusammengestellt und diese Idee realisiert hat. Vielen, vielen Dank!
Brian, ich stehe zu dem, was ich gesagt habe: Ich werde dich vermissen,
wenn das hier vorbei ist. Als ich in den vergangenen Monaten mit dir arbeitete, habe ich mich immer mehr auf unsere Treffen gefreut, bei denen wir
das Material bearbeiteten und du dein Wissen eingebracht hast. Deine ehrliche und direkte Beratung und Ratschläge haben dieses Buch deutlich verbessert.
Mein Dank geht ebenfalls an Jim alias Elwood. Ohne dich wäre eine Menge
von dem, was auf social-engineer.org und in diesem Buch … ach, was in den
vergangenen Jahren in meinem Leben passiert ist, keine Realität geworden.
Danke, dass du dafür gesorgt hast, dass ich bescheiden bleibe, und mich in
Schach gehalten hast. Dass du mich andauernd der Realität ausgesetzt hast,
half mir, in den verschiedenen Rollen, die ich spielen musste, konzentriert
und ausgewogen zu bleiben. Vielen Dank.
Liz, vor ungefähr zwölf Jahren hast du mir gesagt, ich solle ein Buch schreiben. Ich bin sicher, dass du etwas anderes im Sinn hattest, doch hier ist es
16
© des Titels »Die Kunst des Human Hacking« (ISBN 978-3-8266-9167-6) 2011 by Verlagsgruppe Hüthig Jehle
Rehm GmbH, Heidelberg. Nähere Informationen unter: http://www.mitp.de/9167
Vorwort und Danksagungen
nun. Du hast mir durch einige ziemlich dunkle Zeiten geholfen. Dafür bin
ich dir dankbar und ich liebe dich.
Mati, mein Mentor und mein achoti, wo wäre ich bloß ohne dich? Mati, du
bist wirklich mein Mentor und Bruder. Ich danke dir aus tiefstem Herzen,
dass du das Vertrauen in mich gesetzt hast, dass ich dieses Buch schreiben
und www.social-engineer.org starten kann und dass beides gut wird.
Auch habe ich all deine Ratschläge und Richtungshinweise in diesem Buch
umgesetzt – all das macht aus mir mehr, als ich jemals für möglich gehalten
hätte.
Deine Unterstützung des BackTrack-Teams gemeinsam mit dem Team von
www.offensive-security.com übertraf alles, was ich je hätte erwarten
mögen. Danke, dass du mir dabei geholfen hast, alles auszubalancieren und
Prioritäten zu setzen. Mein achoti, ein ganz besonderer Dank gebührt dir,
dass du die Stimme der Vernunft und das Licht am Ende einiger besonders
frustrierender Tage warst. Ich danke dir mit all meiner Liebe.
Alle hier erwähnten Personen haben in irgendeiner Weise zu diesem Buch
beigetragen. Mit ihrer Hilfe, Unterstützung und Liebe wurde dieses Buch
zu einem Werk, bei dem ich stolz bin, dass mein Name darauf steht. Allen
anderen, die mich bei der Site, dem Channel und unseren Recherchen
unterstützt haben, danke ich ebenfalls.
Wenn ihr dieses Buch lest, hoffe ich, dass es für euch auch so wirksam ist,
wie es für mich wirkungsvoll war, es zu schreiben.
Albert Einstein hat einmal gesagt: »Information ist nicht Wissen.« Welch
mächtiger Gedanke! Wenn Sie dieses Buch einfach nur lesen, wird das Wissen daraus bei Ihnen nicht irgendwie implantiert. Wenden Sie vielmehr die
Prinzipien an, praktizieren Sie, was auf diesen Seiten gelehrt wird, und
machen Sie die Information zu einem Teil Ihres Alltags. Wenn Sie das
machen, werden Sie sehen, wie sich dieses Wissen auswirkt.
Christopher Hadnagy
Oktober 2010
Meiner wunderschönen Frau und meiner wunderbaren Familie –
ohne euch wäre dies hier nicht möglich gewesen! Mati, es gibt keine
Worte, die jene Dankbarkeit beschreiben können für das, was du für
mich getan hast.
17
© des Titels »Die Kunst des Human Hacking« (ISBN 978-3-8266-9167-6) 2011 by Verlagsgruppe Hüthig Jehle
Rehm GmbH, Heidelberg. Nähere Informationen unter: http://www.mitp.de/9167
Vorwort
Über den Autor
Christopher Hadnagy ist der Hauptentwickler von www.social-engineer.org, dem weltweit ersten Framework für Social Engineering. In seinen über 14 Jahren Aktivitäten in den Bereichen Sicherheit und IT war er
Partner des Teams von www.backtrack-linux.org und hat mit den verschiedensten Sicherheitsprojekten gearbeitet. Außerdem ist er Ausbilder
und leitender Social Engineer für das Pentest-Team von Offensive Security.
Über den Fachlektor
Jim O’Gorman ist professioneller Pen-Tester und Social Engineering-Gutachter mit über 14 Jahren Berufserfahrung. Er war für kleine ISPs tätig und
auch für Unternehmen aus den Fortune 100. Jim ist Co-Trainer des Seminars »Advanced Windows Exploitation« von Offensive Security, eines der
schwierigsten Seminare für Exploit-Development überhaupt. Als Gründungsmitglied von www.social-engineer.org ist Jim eine Autorität bei der
Schulung der Allgemeinheit über die Bedrohung durch Social Engineering.
18
© des Titels »Die Kunst des Human Hacking« (ISBN 978-3-8266-9167-6) 2011 by Verlagsgruppe Hüthig Jehle
Rehm GmbH, Heidelberg. Nähere Informationen unter: http://www.mitp.de/9167