close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Verschiedene Versionen von Proxmox Backup Server sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen.

Diverse Sicherheitsprobleme

Die Entwickler weisen im Forum auf die Schwachstellen hin. Bislang sind dazu keine CVE-Nummern und somit keine Einstufung des Bedrohungsgrads bekannt. Das CERT Bund vom BSI stuft die Gefahr als „hoch“ ein.

Von einer Schwachstelle ist ausschließlich der Proxmox-Versionsstrang 3.x betroffen. Nutzen Angreifer die Lücke erfolgreich aus, können sie Backup-Snapshots manipulieren, sodass eine Wiederherstellung unmöglich wird. Hier schafft die Ausgabe 3.4.1-1 Abhilfe.

Bei der zweiten Schwachstelle kommt es bei einer Konfiguration mit S3 zu Problemen, und Angreifer können unbefugt auf Daten zugreifen. Dagegen ist Proxmox Backup Server 4.0.18-1 gerüstet.

Ob es bereits Attacken gibt, ist zurzeit nicht bekannt. Unklar bleibt auch, woran Admins bereits attackierte Systeme erkennen können.

(des)

close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zusammen mit dem Programm polizeiliche Kriminalprävention (ProPK) eine Checkliste veröffentlicht, die Privatanwendern helfen soll, wenn ihre Zugänge von Kriminellen übernommen wurden.

Die Checkliste liegt als PDF auf der Webseite des BSI vor. Darin warnt die Behörde vor den Auswirkungen: Kriminelle können dann nicht nur in gekaperten Konten hinterlegte Daten wie Anschrift oder Kreditkarteninformationen einsehen und missbrauchen, sondern etwa illegale Waren verkaufen oder Spam versenden. Besonders kritisch seien demnach geknackte E-Mail-Accounts. Das ermöglicht glaubwürdigere Kommunikation mit potenziellen weiteren Opfern, aber oftmals seien die auch hinterlegt, um Passwörter für andere genutzte Dienste zurückzusetzen.

Das BSI gibt Hinweise, wie Betroffene geknackte Konten erkennen können. Bei nicht mehr möglichem Zugriff könnte etwa das Passwort zurückgesetzt worden sein. Oder der Anbieter hat den Zugang wegen verdächtiger Aktivitäten blockiert. Weitere Punkte erklären, wie in diesem Fall am besten vorzugehen ist. Außerdem liefert die Checkliste noch Tipps zum besseren Schutz für Konten. Es findet sich etwa die Aktivierung von Zwei-Faktor-Authentifizierung – an zweiter Stelle nach der Umstellung auf Passkeys.

Umfrageergebnisse „Cybersicherheitsmonitor 2025“

Dass solch eine Handreichung nötig ist, unterstreichen die Ergebnisse des „Cybersicherheitsmonitors 2025“. Dabei handelt es sich um eine „Computer Assisted Web Interviewing (CAWI)“-Umfrage von BSI und ProPK unter 3061 Personen der deutschsprachigen Bevölkerung ab 16 Jahren, die vom 3. bis 7. Februar 2025 durchgeführt wurde. Demnach erlebte fast jede zehnte Person, die im vergangenen Jahr von Cyberkriminalität betroffen war, einen Fremdzugriff auf einen Online-Account (8 Prozent).

Karin Wilhelm, Expertin für Verbraucherschutz beim BSI, sagte dazu: „Ein Ernstfall kann schnell überfordern: Viele Menschen wissen im ersten Moment nicht, wie sie reagieren sollten. Gerade im Falle des E-Mail-Kontos kann schnelles Handeln jedoch weiteren Schaden abwenden. Behalten Cyberkriminelle unbefugten Zugang zu dem Konto, können sie sensible Daten auslesen, E-Mails an hinterlegte Kontakte verschicken oder auch Passwörter und Anmeldeverfahren bei weiteren Benutzerkonten zurücksetzen. Darum ist es so wichtig, sofort aktiv zu werden. Die Checkliste soll Betroffene handlungsfähig machen.“

Das BSI bietet weitere hilfreiche Materialien an. Die Behörde hat etwa im September kostenlose Arbeitsblätter für Lehrkräfte und Eltern veröffentlicht, mit denen Jugendliche über Cyberrisiken aufgeklärt werden können.

(dmk)

Dies ist das Transkript der vierten Folge des neuen Podcasts „Darknet Diaries auf Deutsch“. Im Englischen Original von Jack Rhysider trägt diese Episode den Namen „Human Hacker„.

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert werden.

Die Ursprünge des Social Engineerings

JACK: Bevor es den Begriff „Social Engineer“ überhaupt gab, sprach man einfach von „Trickbetrügern“. Denn bei einer Betrugsmasche geht es darum, das Vertrauen von jemandem zu gewinnen und ihn dann übers Ohr zu hauen. Social Engineers gewinnen das Vertrauen von Leuten, um sie auszutricksen. Ist dasselbe. Einer meiner Lieblings-Trickbetrüger war George C. Parker. Er verdiente seinen Lebensunterhalt damit, Dinge zu verkaufen, die ihm gar nicht gehörten. Er lebte Anfang des 20. Jahrhunderts in New York City. Damals zogen viele Einwanderer in die Stadt, und er wollte ihre Ahnungslosigkeit ausnutzen. 1897 wurde Grant’s Tomb erbaut, die letzte Ruhestätte von Ulysses S. Grant. Es steht mitten in Manhattan und ist ein wirklich beeindruckendes Denkmal. Man kann sogar hineingehen und sich den Sarg ansehen. Eine beliebte Touristenattraktion. Als George C. Parker sah, wie viele Menschen zu Grant’s Tomb strömten, wollte er damit irgendwie Geld verdienen – aber nicht mit dem Verkauf von Popcorn, Hotdogs oder Blumen.

Nein, Georges Idee war es, Grant’s Tomb selbst zu verkaufen, obwohl der ihm gar nicht gehörte. Er machte sich daran, gefälschte Dokumente aufzusetzen, die ihn als Enkel von Ulysses S. Grant auswiesen. Dann mietete er ein Büro, um solchen Geschäften einen seriösen Anstrich zu geben. Und anschließend zog er durch die Stadt, um nach Opfern zu suchen. In New York City sind viele Leute unterwegs, die sich die Schuhe putzen lassen oder eine Zeitung kaufen. Da kommt man leicht mit jedem ins Gespräch. George fand jemanden, der Interesse daran hatte, Grant’s Tomb zu kaufen. Er fälschte einige Dokumente, die ihn als Besitzer auswiesen, und erzählte dem Opfer, es könne mit dem Ort eine Menge Geld verdienen, wenn es einfach Eintritt von den Leuten verlangen würde, die sich den Sarg ansehen wollen.

Also schlossen sie das Geschäft ab. Er verkaufte Grant’s Tomb an jemanden, obwohl der ihm nicht gehörte. In den folgenden Jahrzehnten verkaufte George C. Parker Dutzende weitere Wahrzeichen in New York City. Er verkaufte die Rechte an Theaterstücken und Opern. Einmal verkaufte er den Madison Square Garden, ein anderes Mal das Metropolitan Museum of Art und sogar die Freiheitsstatue. Aber mein Lieblingsstück, das er verkauft hat, war die Brooklyn Bridge selbst. Er erzählte den Leuten, sie könnten ein Mauthäuschen auf der Brooklyn Bridge errichten und mit den ganzen vorbeifahrenden Autos ein Vermögen verdienen. Die Masche war so gut, dass George die Brooklyn Bridge manchmal zweimal pro Woche verkaufte. Die Stadtverwaltung musste oft anrücken und die Opfer davon abhalten, Mauthäuschen auf der Brücke zu errichten. Daher kommt die englische Redewendung: „Wenn du das glaubst, hab ich hier noch eine Brücke zu verkaufen.“

Der Weg von Chris Hadnagy zum „Human Hacker“

JACK: Wollen wir damit anfangen, wer Du bist und was Du machst?

CHRIS: Na klar, ist allerdings ne vielschichtige Frage. Ich bin Chris Hadnagy und in erster Linie CEO oder, witzigerer Titel, Chief Human Hacker von Social Engineer LLC. Ich betreibe aber auch social-engineer.org, eine kostenlose Anlaufstelle für Social Engineers oder Leute, die sich einfach fürs Thema interessieren. Und dann leite ich noch eine gemeinnützige Organisation namens „The Innocent Lives Foundation“.

JACK: Wie bist du zum Social Engineering gekommen?

CHRIS: Ja, das ist lustig. Ich habe in der Branche gearbeitet, hab aber eher Schwachstellenanalysen gemacht. Ich nehme an, viele von uns haben so angefangen, aber sicher bin ich mir da nicht. Damals habe ich mich also mit, ich würde sagen, sehr grundlegender Sicherheit beschäftigt und Schwachstellenanalysen durchgeführt. Dann habe ich einen Pentesting-Kurs belegt, wo ich also gelernt habe, gezielt in IT-Systeme einzudringen, und wurde geradezu süchtig danach. Ich habe mehr Zeit in den Pentesting-Übungsumgebungen verbracht, als es eigentlich gut für mich war, und da hab ich dann einen Server geknackt, den bis dahin noch niemand geknackt hatte, und bekam daraufhin ein Jobangebot von OffSec als deren Ops-Manager.

Während meiner Arbeit da habe ich dann gelernt, was echtes Pentesting ist und wie man’s macht. Gemerkt hab ich dabei, was meine eigentliche Stärke in dem Bereich ist, nämlich der Umgang mit Menschen – mit ihnen zu reden und zu wissen, wie man sie beeinflusst. Dann hab ich angefangen, ein Framework für Social Engineering zu schreiben, immer noch auf der Webseite social-engineer.org zu finden. Als das veröffentlicht wurde, bekam ich dann ein Angebot, mein erstes Buch zu schreiben – das allerdings niemand gelesen hat – und daraus entstand dann meine Firma. Und jetzt, elf Jahre später, sind wir hier.

JACK: Vor über einem Jahrzehnt hat Chris die Webseite social-engineer.org ins Leben gerufen. Dort begann er, ein Framework für Social Engineering zu entwickeln – eine Art Anleitung, wie man dabei vorgeht. Er verfasste einen Ethikkodex, definierte eine Reihe von Begriffen und skizzierte viele der verschiedenen Methoden und Angriffe.

CHRIS: Ich wollte Social Engineering aus wissenschaftlicher, aber auch aus künstlerischer Sicht verstehen. Ich hab mir einfach mein Bücherregal angesehen – das Buch hier habe ich gelesen, weil ich dieses oder jenes Thema verstehen wollte – sagen wir mal ‚Einfluss‘: Robert Cialdinis Buch dazu habe ich gelesen, ja regelrecht studiert, um das Thema „Einflussnahme“ zu verstehen. Ich hab dann die Prinzipien daraus genommen und sie in einer Phishing-E-Mail ausprobiert oder als wir in ein Gebäude eingebrochen sind.Das habe ich dann aufgeschrieben. So habe ich meine Bücher durchforstet und einfach zusammengefasst, welche Fähigkeiten ich verwendet habe, wo und wie ich sie gelernt habe. Ich hab dann so neun oder zehn Monate gebraucht, um das Social-Engineering-Framework zu entwickeln, das heute noch auf der Website zu finden ist. Es wird natürlich immer aktualisiert.

JACK: Ja, Chris hier, der Chief Human Hacker, hat also buchstäblich das Standardwerk über Social Engineering geschrieben; inzwischen sind es sogar drei. Aber 2010 hat er zusätzlich zu dem Framework, an dem er schrieb, auch Newsletter über Social Engineering verfasst und einen Podcast dazu herausgebracht.

CHRIS: Dann haben Firmen angerufen, die das mitbekommen hatten – es war ja das erste Mal, dass das jemand so definiert hat – und die haben dann gefragt, ob wir ihre Firma testen könnten, ja, ob ihr nen Pen-Test bei machen könnten. Oder ob wir sie phishen könnten und dann erklären, wie wir das geschafft haben. Ich sagte: „Na klar, das können wir gerne versuchen.“ Es gab damals noch keine Firmen, die das gemacht haben. Und wir haben uns dann nicht nur gefragt, wie wir das denen berechnen, sondern auch ganz grundsätzlich, wie man daraus ein Geschäft aufbaut. Das haben wir dann alles nach und nach rausgefunden. Und so ist meine Firma entstanden, das war 2010, 2011, mein eigenes Unternehmen, das sich ausschließlich auf Social Engineering konzentriert.

JACK: Ihr wisst, was eine Phishing-E-Mail ist, oder? Eine E-Mail, die euch dazu bringen soll, auf einen Link zu klicken, der euch irgendwie schadet – sei es, dass ihr Malware herunterladet, betrogen werdet oder was auch immer. Wenn Chris einen Anruf bekommt, um eine Phishing-Kampagne gegen ein Unternehmen durchzuführen, bietet er zwei Optionen an.

CHRIS: Es gibt das Security-Awareness-Phishing und dann das Pen-Test-Phishing. Beim Security-Awareness-Phishing, also dem, das Sicherheitsbewusstsein schaffen soll, da geht um den Lerneffekt. Das wird normalerweise unternehmensweit gemacht, also bei allen, egal ob es 1.000 oder 100.000 Leute sind. Das machen wir jeden Monat, und das Ziel ist, die Leute dazu zu bringen, auf einen Link zu klicken, der sie dann auf eine Schulungsseite führt. Da geht es darum, ihnen beizubringen, wie sie Phishing erkennen und richtig melden. Beim Pen-Test-Phishing ist das Ziel ein anderes. Da wollen wir Anmeldedaten stehlen, da wollen wir ein „Implantat“ installieren, um einen Trojaner oder Malware auf den Rechner zu bekommen. Wir haben also das Ziel, das Netzwerk und die Personen für den von uns durchgeführten Pen-Test anzugreifen, zu manipulieren und zu schädigen.

JACK: Nun, ich habe selbst als Sicherheitsingenieur mit, ich weiß nicht, Hunderten von Kunden gearbeitet. Und glaubt mir, keiner von ihnen war daran interessiert, dass ich Phishing-Angriffe auf ihre Mitarbeiter durchführe. Sogar meine eigene Firma, für die ich gearbeitet habe, wollte nicht, dass ich Phishing-Tests an unseren eigenen Mitarbeitern mache. Es ist heute schon selten, dass Firmen versuchen, ihre Mitarbeiter zu phishen, aber 2010 war es extrem selten.

CHRIS: Ich wurde von nem echt großen Finanzinstitut angerufen, die gesagt haben, dass sie intern schon ne Weile Social engineeren und dass sie jetzt unser Framework nutzen. Und die haben dann gefragt, ob wir bereit wären, mit ihnen zusammenzuarbeiten, um ihre Leute zu testen. Das hat mich richtig überrascht, denn ich hab ähnliche Erfahrungen gemacht wie du, da haben wir einen Pen-Test für einen Kunden durchgeführt und dann gefragt, ob wir nicht auch’n paar Phishing-Mails verschicken sollten, und die meinten auch nur: „Nö, interessiert uns nicht.“ Ich hab’s ihnen dann kostenlos angeboten und meinte, wenn’s euch gefällt, können wir ja über ne Bezahlung reden. Dann meinten sie: „Okay, ja, du kannst ein paar schicken.“ Die funktionierten dann immer, und dann sagten sie: „Nee, dafür wollen wir nicht bezahlen; die funktionieren zu gut.“ Ich hab nur gedacht, dass wir’s ja genau deshalb machen sollten.

Es gab überall so eine Blockade, aber dann kam dieses große Finanzinstitut. Und plötzlich sind wir voll dabei, SE-Tests und Phishing und all diese anderen Arbeiten in einem großen, globalen Unternehmen durchzuführen, und das hat sich dann rumgesprochen. Dann kamen andere Firmen die meinten, okay, wenn ihr das bei denen macht, sollten wir das vielleicht auch in Betracht ziehen. Ja und das war der Moment, in dem wir dasaßen und nicht wussten, wie wir die ganzen Sachen eigentlich berechnen sollten. Man konnte ja auf keiner Plattform nachsehen, was ein typischer Social Engineer verdient. Wir haben’s dann einfach nach und nach herausgefunden.

Aber die ersten fünf Jahre waren extrem mühsam. Wir haben Firmen angesprochen, denen aber oft nicht klar war, warum sie überhaupt machen sollten. Da war viel Aufklärungsarbeit nötig. Als die Medien dann aber anfingen darüber zu berichten – über Phishing-Angriffe, Vishing-Angriffe, also betrügerische Telefonanrufe oder über Social-Engineering-Angriffe mit Identitätsdiebstahl, kam immer mehr Aufmerksamkeit. Da hörten dann Firmen, auch die Führungsebenen davon und es wurde ihnen bewusst, dass das alles einfach ein echtes Problem darstellen kann. Dann wurde es einfacher, solche Dienstleistungen zu verkaufen. Heute wissen fast alle Unternehmen, dass sie Social-Engineering-Dienste benötigen. Aber na klar, heute gibt es, anders als früher, für uns auch viel mehr Konkurrenz. Es ist wie in jeder anderen Branche auch: Jetzt können sie sich aussuchen, mit wem sie zusammenarbeiten wollen.

Phishing und Security-Awareness-Training

JACK: Chris wird manchmal beauftragt, allen Mitarbeitern eines Unternehmens Phishing-Mails zu schicken. Das Ziel ist es, die Mitarbeiter für diese Art von Angriffen zu sensibilisieren und zu schulen.

CHRIS: Wir haben drei verschiedene Phishing-Mail-Stufen eingerichtet. Nehmen wir an, das Thema der Phishing-Mail ist bei allen das selbe: Eine Nachricht an die vielen Homeoffice-User, in der es um vermeintliche neue Homeoffice-Richtlinien geht. Eine Phishing-Mail auf der einfachsten Stufe sieht aus, als wäre sie komplett zufällig bei dir gelandet – sie ist nicht personalisiert, nicht im Firmendesign gehalten und hat Rechtschreib- und Grammatikfehler.

Die Stufe-zwei-Mail ist ebenfalls nicht personalisiert, aber fehlerfrei. Die sieht schon etwas realistischer aus. Und die Stufe-drei-Mail sieht aus, als käme sie tatsächlich direkt von deiner Personalabteilung. All diese Phishing-Mails sollen den Mitarbeitern zwei Dinge beibringen: Erstens, können sie die Phishing-Mail erkennen? Wir zeichnen dabei viele Daten auf. Und wurde es ordnungsgemäß gemeldet, wenn es erkannt wurde? Und wenn nicht, sind diese Leute auf die angegebene Landing Page gegangen und haben sie die Informationen gelesen in Bezug auf Sicherheitsbewusstsein – Informationen, die sonst gerne in zehn-, fünfzehn- oder zwanzigminütigen CBTs vermittelt werden.

JACK: CBTs sind computerbasierte Schulungen, also die typischen Security-Awareness-Trainings, die man in einer Firma bekommt.

CHRIS: Die sind nicht so toll. Sie können schon ihren Sinn haben, aber für das, worüber wir hier sprechen, sind sie eigentlich nicht ideal. Man will eigentlich jemandem Informationen geben, die er oder sie in 60 bis 90 Sekunden verarbeiten kann. Es sollte sowas sein wie: „Du hast gerade auf eine Phishing-Mail geklickt. So hättest du sie erkennen können. Bitte melde sie an diese Adresse.“ Ein solches Security-Awareness-Phishing-Programm trägt dazu bei, das haben wir festgestellt, dass die Idee des Phishings in den Köpfen hängenbleibt. Etwa einen Monat lang sind die Mitarbeiter dann viel aufmerksamer für alle Phishing-Mails.

JACK: Diese Art von Training funktioniert erstaunlich gut. Es bleibt wirklich bei den Mitarbeitern hängen, die auf den Link geklickt haben und gephisht wurden. Diese 60 Sekunden, in denen sie erfahren, dass sie auf einen bösartigen Link geklickt haben, sind ein starker Moment. Ihre Online-Wahrnehmung und digitale Hygiene werden sofort auf ein neues Level gehoben.

CHRIS: Wichtig ist ein einheitlicher Ansatz und dass dieser konsequent umgesetzt wird. Es dürfen keine möglicherweise verletzenden Botschaften enthalten sein. Wenn wir z.B. Leute mit Phishing-Mails belästigen, die lauten: „Unter diesem Link finden Sie heraus, wer im Büro mit einer ansteckenden Krankheit diagnostiziert wurde.“, dann könnte das verletzend sein, insbesondere wenn jemand ein Familienmitglied durch die Krankheit verloren hat.

Ein Programm muss also gestuft, konsequent, regelmäßig sein und darf keine moralische Grenze überschreiten. Ein gelungenes Beispiel dafür ist ein Kunde, den wir fünf Jahre lang gephisht haben. Nach drei Jahren konsequenten Phishings hatten sie eine 78-prozentige Reduzierung von tatsächlicher Malware in ihrem Netzwerk, weil die Leute Phishing-Mails erkannten und richtig meldeten, ohne darauf zu klicken.

JACK: Ziemlich beeindruckend, oder? Phishing-Kampagnen als Teil des Security-Awareness-Trainings für alle Mitarbeiter durchzuführen, scheint eine absolut naheliegende Maßnahme zu sein, um die Sicherheit eines Unternehmens zu verbessern. Denn ein Großteil der Malware gelangt in ein Unternehmen, weil Leute auf Phishing-Mails klicken. Es ist verrückt, dass diese Angriffe heute immer noch wirksam sind, obwohl die meisten Leute über Phishing Bescheid wissen und immer wieder ermahnt wurden, nicht auf verdächtige Links zu klicken. Wisst ihr, was ich bei manchen Firmen schon erlebt habe? Wo ich früher gearbeitet habe, gab es einen Bonus für Mitarbeiter, die gesundes Verhalten zeigten. Wenn du nicht geraucht hast, zur Vorsorgeuntersuchung gegangen bist und regelmäßig Sport getrieben hast, wurde das belohnt und du bekamst einen Gesundheitsbonus von 500 Dollar extra pro Jahr.

Aber einige Unternehmen gehen noch einen Schritt weiter und belohnen Mitarbeiter, die eine gute Sicherheitshygiene an den Tag legen. Wenn du zum Beispiel jeden Monat mit Phishing-Mails getestet wirst und bestehst, die Zwei-Faktor-Authentifizierung korrekt implementiert hast, einen Passwort-Manager verwendest und ein Jahr lang virenfrei bleibst, könntest du auch einen digitalen Gesundheitsbonus bekommen. Denn einige Unternehmen können wirklich Geld sparen, indem sie ihre Mitarbeiter dazu anspornen, wachsamer und sicherer zu sein, was zu weniger Infektionen im gesamten Unternehmen führt, weil der allgemeine Sicherheitsgewinn die Kosten überwiegt. Aber genug vom Security-Awareness-Training. Ich will eine Geschichte hören, in der Chris einen Penetrationstest bei einem Kunden durchführen musste.

Penetrationstests und reale Einsätze

CHRIS: Ich hatte gerade Ryan eingestellt. Er ist heute mein Betriebsleiter, wir haben gerade erst angefangen zusammenzuarbeiten; das war buchstäblich einer unserer ersten gemeinsamen Jobs, vor ein paar Jahren. Wir wurden beauftragt, in ein paar Banken auf Jamaika einzubrechen. Das war interessant, weil es mein erster Einbruch in Banken in einem anderen Land war. Wir wussten nicht, was uns da erwarten würde, zum Beispiel, ob die Leute bewaffnet sein würden, wenn wir ankamen oder wie feindselig sie auch reagieren könnten.

JACK: Ihre Aufgabe war es, mitten am Tag in die Bank zu gelangen. Es ging darum zu sehen, ob sie an der Sicherheit vorbeikommen und in die inneren Bereiche der Bank gelangen konnten, denn diese Bank war normalerweise kein Ort, an dem Kunden ein- und ausgehen. Zwei Ausländer, die einfach von der Straße hereinkommen, ohne dort etwas zu suchen zu haben, sollten nicht in dieses Gebäude gelangen können. Die Sicherheit sollte sie an der Eingangstür aufhalten, aber wenn sie reinkämen, sollten die Türen zu allen sicheren Bereichen im Gebäude verschlossen sein.

CHRIS: Eine unserer Aufgaben war es, einen USB-Stick in irgendwelche Computer zu stecken und das Netzwerk zu hacken. Wir hatten dafür verschiedene Software und Malware auf den USB-Sticks, und sollten zeigen, dass wir dazu in der Lage gewesen wären – wir durften nichts wirklich stehlen oder in sensible Bereiche der Bank eindringen. Aber wenn wir Zugang zum Netzwerk bekämen, wollten sie, dass wir beweisen, dass wir zerstörerisch hätten wirken können. Sie wollten, dass wir auch Software und Tools dabei hatten, die das Ganze aufzeichnen, damit wir ihnen richtig zeigen konnten, was wir da taten.

JACK: Zusätzlich sollten sie alle Sicherheitsprobleme melden, die sie auf dem Weg fanden. Das Ziel ist gesetzt; Zeit, sich an die Arbeit zu machen.

CHRIS: Wir hatten allerhand OSINT-Recherchen durchgeführt und dabei herausgefunden, dass die Bank gerade von einem amerikanischen Unternehmen überprüft wurde.

JACK: Okay, OSINT steht für Open-Source Intelligence, also das Sammeln von Informationen aus öffentlichen Quellen. Dabei sucht man in öffentlichen Online-Bereichen nach privaten Informationen über ein Unternehmen. Chris hat nicht gesagt, wie er es gemacht hat, aber so würde ich anfangen. Zuerst geht man zum LinkedIn-Profil des Unternehmens. Dort sind normalerweise eine Reihe von Mitarbeitern aufgeführt, die für dieses Unternehmen arbeiten. Von dort aus sieht man vielleicht Mitarbeiter, die direkt auf LinkedIn Dinge posten wie: „Ugh, schon wieder Audit-Zeit. Kaum zu fassen.“ Aber wenn keine solche Hinweise auftauchen, kann man noch einen Schritt weiter gehen. Man nimmt die Namen der Mitarbeiter von LinkedIn und versucht, ihre Facebook-Profile zu finden, um zu sehen, was sie dort posten, und schaut sich das alles an.

Wenn dort nichts zu finden ist, geht man noch einen Schritt weiter; man versucht, mit diesem Namen ihr Reddit-Profil oder ihren Stack-Overflow-Namen oder einen Twitter-Namen oder etwas anderes zu finden, um dann diese Beiträge zu durchforsten. Man hangelt sich immer weiter vor und findet schließlich jemanden, der irgendwo etwas postet, was er nicht posten sollte. In diesem Fall fand Chris Leute, die Informationen über eine Netzwerk-Sicherheitsüberprüfung posteten, die von einer amerikanischen Firma bei dieser jamaikanischen Bank durchgeführt wurde. Genauer gesagt war es ein PCI-Audit, was für Payment Card Industry steht. Im Grunde muss jedes Unternehmen, das Kreditkarten abwickeln will, ein jährliches PCI-Audit bestehen. Da Chris und Ryan beide aus den USA kommen und die Besonderheiten von PCI kennen, wäre das eine perfekte Tarnung oder ein perfekter Vorwand. Sie wollten sich als PCI-Prüfer ausgeben, um Zugang zum Gebäude zu erhalten.

CHRIS: Wir haben Visitenkarten und Hemden mit dem Namen dieser Firma drucken lassen, ein paar Klemmbretter mitgenommen und sind dann in Jamaika angekommen. Am ersten Tag sind wir zum Standort gefahren, um uns dort umzusehen. Es ist ein ziemlich großes Gebäude, drei oder vier Stockwerke hoch, riesig und quadratisch. Der gesamte Parkplatz ist von einem Zaun umgeben, an dem Stacheldraht angebracht ist. Wenn man auf den Parkplatz fährt, steht dort ein Wachmann und am Rand ist da ein Wachhäuschen mit zwei Wachleuten drin.

JACK: Sie fahren zum Wachposten, bereit, sich irgendwie hineinzulügen.

CHRIS: Da es tagsüber war, gingen da Kunden ein und aus. Wir wurden am Tor kurz gestoppt, haben dann aber einfach gesagt, dass wir Bankgeschäfte zu erledigen haben, und sie ließen uns direkt und ohne Probleme rein.

JACK: Als sie den Parkplatz betreten, sehen sie ein paar Typen auf Dirtbikes vorbeiflitzen. Sie waren nicht nur auf Dirtbikes, sondern als sie vorbeifuhren, sahen Chris und Ryan, dass an der Seite der Dirtbikes abgesägte Schrotflinten montiert waren.

CHRIS: Das war die Security, das Banksicherheitspersonal. In den USA ist das normalerweise ein Wachmann, der vielleicht eine Waffe am Gürtel hat, der aber am Schreibtisch sitzt oder vorne. Die Typen aber waren auf Dirtbikes unterwegs und fuhren über den Parkplatz. Als wir das sahen, dachten wir nur: „Was!?“ Als wir vorfuhren, ich erinner mich, sahen wir uns an und hatten beide den gleichen Gedanken: „Ziehen wir das jetzt wirklich durch?“ Ryan meinte dann auch: „Ey, das habe ich so nicht unterschrieben.“ Ich meinte: „Ja, aber der ganze weite Weg von Amerika nach Jamaika. Wär schon schade, wenn wir’s nichtmal versuchen würden.“

Er meinte, „Ey, die heizen hier auf Dirtbikes rum und tragen Schrotflinten“, ich meinte, jaja, kommt schon’n bisschen strange rüber, aber im Grunde … ist auch nur ne Waffe. In den USA brechen wir auch in bewaffnete Einrichtungen ein, da riskieren wir auch, erschossen zu werden. Ja, okay, die fahren da nicht auf Dirtbikes aufm Parkplatz rum, aber trotzdem, ob man nun von einer Schrotflinte, einem Gewehr oder einer Halbautomatischen getroffen zu werden, macht eigentlich keinen Unterschied; alles ätzend… wir machen halt solche Jobs. Insgesamt war das keine wirklich gute Argumentation, aber Ryan machte mit, wir wollten es also tun. Rückblickend würde ich aber sagen, dass das ein wirklich beängstigender Moment war.

JACK: Sie atmeten tief durch, fuhren durch den Parkplatz und parkten. Die Dirtbikes flitzten vorbei und sorgten für ein ganz neues Stresslevel, mit dem sie nicht gerechnet hatten. Sie stiegen aus dem Van und machten sich bereit. Sie zogen ein Hemd mit dem Namen der Firma an, die das Audit durchführte. Sie hatten ihre gefälschten Visitenkarten bereit und natürlich mein Favorit…

CHRIS: Das Klemmbrett, und das ist hohl, darin sind USB-Sticks und andere Werkzeuge, die wir brauchen könnten; Dietriche, eine Kamera, mit der wir Dinge filmen konnten. Lauter Sachen, die wir unsichtbar dabei haben, wenn wir da reingehen.

JACK: Sie sehen sich dieses Gebäude an.

CHRIS: Das Gebäude ist aus verspiegeltem Glas, man kann also beim Herangehen nicht durch die Fenster sehen.

JACK: Sie hatten sich ein paar Informationen darüber besorgt, was sich in diesem Gebäude befindet, bevor sie reinkamen, also wussten sie, wie es drinnen aussieht, bevor sie überhaupt reingehen.

CHRIS: Wenn man die Vordertüren öffnet, ist da direkt ein Schreibtisch, an dem Wachleute sitzen und daneben ein Metalldetektor. Man muss also direkt an den Wachleuten vorbei, um zur Treppe zu gelangen. Es ist der einzige Zugang zum Gebäude. Man kann zwar auch zur Rückseite gehen, wo ein paar Laderampen und andere Bereiche sind, aber die Vordertür und an den Wachleuten vorbei, das war der einzige Zugang, um zum Rest der Bank zu gelangen.

JACK: Sie gehen auf das Gebäude zu.

CHRIS: Als wir näher kamen, meinte ich zu Ryan: „Ich nehm einfach mein Handy und tue so, als ob ich ein Gespräch führe. Wenn wir drinnen sind, sage ich dann sowas wie ‚Mhh, alles klar, wir kommen jetzt hoch; warte einfach, wir beenden die Prüfung in einer Minute‘, und wir gehen einfach an der Security vorbei, als ob wir hierher gehören.“ „Und du meinst das klappt?“ meinte Ryan und ich: „Werden wir ja sehen.“ Ich öffne die Vordertür, gehe rein, nehme mein Handy, halte es mir ans Ohr. Ich sage: „Ja, ja, Jack, wir sind vorne. Wir kommen jetzt hoch.“ Wir gehen dabei direkt an der Security vorbei – – – und sie halten uns nichtmal an, sie zucken nicht mal mit der Wimper. Man hat da natürlich keine Zeit, innezuhalten und sich zu wundern. Aber als wir die Treppe erreichen, denken wir beide: „Was zum Teufel? Das war viel zu einfach.“

Oben angekommen bemerken wir, dass wir auch hier keine Zeit haben, anzuhalten oder durchzuatmen oder überhaupt herauszufinden, wohin wir gehen sollen. Ich biege einfach um die Ecke und da sehe ich einen Raum und ein Schild auf dem steht „ATM Testing Center“. Geldautomaten also. Eine Frau geht direkt vor uns in den Raum hinein. Ich entscheide mich einfach ihr hinterherzugehen. Ryan folgt mir. Wir betreten also hinter ihr den Raum, aber dann dreht sie sich um, sie wirkt einigermaßen erschrocken und schaut mich nur an, so als wollte sie sagen: „Was machen Sie hier?“ Ich sag dann: „Ah, wir sind hier, um die Prüfung für PCI durchzuführen. Wir sind aber auch bald fertig.“ Sie dann: „Oh, okay.“ Dann dreht sie sich einfach um und lässt uns in den Raum.

JACK: Sie haben es geschafft. Sie sehen sich in diesem Raum um. Es scheint der Ort zu sein, an dem sie Geldautomaten reparieren, große Maschinen, die vielleicht Bargeld enthalten oder auch nicht, aber sie sind alle in Einzelteilen im Raum verteilt.

CHRIS: Ryan klettert dann buchstäblich rein in diese riesigen Geldautomaten, macht Fotos von all den ganzen Platinen und Teilen. Da war ein Mann an einem Computer, der einen Geldautomaten testet, ich bin dann zu ihm und frage ihn, ob er mir erklären könne, was er da tut. Und er führt mich durch das Prozedere, wie sie ihre Geldautomaten programmieren und zeigt mir die Software. Er gibt mir im Grunde eine kostenlose Schulung über Geldautomaten, und ich filme das Ganze heimlich.Wir waren etwa dreißig Minuten in dem Raum, bis wir dann irgendwann dachten, dass es Zeit wäre zu gehen, weil es sonst vielleicht wirklich komisch aussähe, dass wir hier so tatenlos rumhängen und mit den Leuten reden. Wir meinten dann, dass wir hier fertig sind und gingen raus.

JACK: Denkt daran, sie sind in Jamaika, also fallen sie hier auf. Aber sie hatten einen Trick.

CHRIS: Wir sind die einzigen beiden weißen Männer in dem Gebäude. Kulturell auf jeden Fall ne interessante Situation, wir fielen wirklich auf. Deshalb haben wir uns dafür entschieden, so zu tun, als würde wir für diese US-amerikanische Wirtschaftsprüfungsfirma arbeiten. So machte es Sinn, dass wir da waren, dass wir also nicht so taten, als wären wir Einheimische, wodurch sie hätten skeptisch werden können. So sagten wir, dass wir gerade erst aus den USA eingeflogen sind, um die Prüfung abzuschließen.“

JACK: Sie wandern mit einem Klemmbrett in der Hand durch die Gänge und suchen nach etwas anderem Interessantem.

CHRIS: Da ist ein langer Flur, und am Ende des Flurs sind da zwei Glastüren, durch die wir sehen, dass da ein Callcenter ist; ich kann all die Männer und Frauen an Telefonen und mit Headsets sitzen sehen, an Reihen von Computern. Direkt neben der Tür ist ein Chip-Lesegerät, wir gehen also davon aus, dass die Tür verschlossen ist. Wir können ja auch nicht einfach daran zerren. Ich gehe dann sehr langsam auf die Tür zu, in der Hoffnung, dass jemand rein- oder rausgeht, damit ich dann die Tür aufhalten oder mit dem Fuß abfangen kann, um also ohne Schlüssel da reinzukommen. Das kann man natürlich alles überhaupt nicht planen.

Als ich mich langsam der Tür nähere, kommt eine Frau heraus, ich sage dann: „Lassen Sie mich Ihnen die Tür aufhalten.“ Ich ziehe an der Tür, sie entriegelt sie, und ich halte sie für sie auf. Sie bedankt sich sehr freundlich, und Ryan und ich gehen ins Testzentrum.

JACK: Sie gelangen in diesen großen Büroraum. Reihen über Reihen von Schreibtischen und Kabinen sind hier, viele Leute überall mit Headsets, die mit Kunden am Telefon sprechen.

CHRIS: Wir versuchen da, nen ruhigen und freien Platz zu finden. Wir gehen also langsam die Gänge auf und ab, dann sehe ich einen Computer, der an ist, auf dem ein Sperrbildschirm zu erkennen ist. Eine Frau sitzt direkt daneben an ihrem Computer, und ich sprech sie einfach an: „Entschuldigung, ich bräuchte Sie mal, damit Sie an diesem Computer bitte Ihr Passwort eingeben.“ Sie schaut auf; hält inne, schaut mich und sagt: „Was, wieso, was meinen Sie?“ Ich sag dann: „Ich brauche Sie bitte, um sich an diesem Computer hier anzumelden.“ Sie sagt: „Aber ich benutze doch den hier.“ Ich dann: „Ja, ich weiß, aber ich brauche Sie, um sich auch an diesem Computer anzumelden.“ Dann sagt sie: „Okay.“ Sie steht auf, und als sie ihr Passwort eingibt, filme ich sie mit meinem Handy, ich halte es dafür über die Tastatur.

JACK: Sieht sie, wie du das machst?

CHRIS: Nein, sieht sie nicht, ich halte mein Handy auf der Rückseite von dem Klemmbrett. Ich schaue auch so ganz demonstrativ weg, so dass ich ihr das Gefühl gebe, dass ihr auf gar keinen Fall dabei zusehe, wie sie ihr Passwort eingibt. Aber ich nehm’s halt währenddessen mit meinem Handy auf. Ich rufe zu Ryan rüber. Er setzt sich, holt einen der USB-Sticks heraus und beginnt, das Netzwerk von dort aus zu hacken.

Während er das macht, drehe ich mich einfach um und bemerke, dass da ein Typ an einem Schreibtisch direkt hinter uns sitzt, etwa zwei Meter entfernt, und dass der aufsteht, um, wie ich annehme, auf die Toilette zu gehen. Als er weggeht, lässt er seinen Computer ungesperrt da, er lässt seinen Ausweis auf dem Schreibtisch, er lässt alles da. Ich geh dann hin zu seinem Computer, setz mich und klick mich durch Bankbildschirme und Anwendungen, dann mache ich ein Foto von seinem Ausweis, um den vielleicht später kopieren zu können.

Dann kommt Ryan rüber und fängt an, diesen Computer zu hacken. Wir sind jetzt auf beiden Maschinen und denken uns, okay, wir waren im ATM-Testzentrum, wir haben das Netzwerk gehackt, wir haben zwei verschiedene Maschinen laufen – es ist Zeit, den Rückzug anzutreten.

JACK: Ryan und Chris fangen an, zusammenzupacken und ihre Flucht von dort zu planen.

CHRIS: Während wir darüber nachdenken, wie wir hier rauskommen, kommt eine Frau rüber und fragt: „Was machen Sie hier?“ Ich sage sagen: „Ach so, wir schließen die PCI-Prüfungen ab, also testen nur die Geschwindigkeiten auf diesen Computern.“ Sie sagt: „Okay“, und geht weg. Ich denk mir: „Mann, das war viel zu einfach.“ Tja, und, zwei Minuten später, kommt sie zurück, bei ihr ein Manager , und der fragt dann, wer unser Ansprechpartner hier ist. Ich antworte ihm: „Ach, wissen Sie, eigentlich haben wir gar keinen Ansprechpartner.“ Sie sagt: „Jeder, der in die Bank darf, hat einen Ansprechpartner. Wie sind Sie hier reingekommen?“ Ich sage: „Wir arbeiten ja mit der amerikanischen Audit-Firma zusammen.“ Ich nenne den Namen und sie sagt: „Ja, die kenne ich. Die sind schon den letzten Monat hier.“ Ich sage: „Genau, und wir schließen nur das Audit zur Rechnergeschwindigkeit und anderen Dingen ab, mir wurde nur gesagt, ich soll den Test machen.“ „Ich kann Ihnen meinen amerikanischen Kontakt geben.“ sage ich, sie: „Nein, ich brauche Ihren lokalen.“ Und dann sagt sie: „Kommen Sie mit mir mit.“

JACK: Sie beginnt, Chris und Ryan zum Sicherheitsschalter am Eingang des Gebäudes zu eskortieren. Chris ist schon einen Schritt voraus. Er hat darüber nachgedacht, was er tun würde, wenn er erwischt wird, denn es ist nie vorbei, wenn man erwischt wird. Diese Mission hat sich einfach geändert, um zu sehen, ob man der Gefangennahme entkommen kann. Chris‘ Plan war ziemlich brillant. In ihrem Van auf dem Parkplatz dieses Gebäudes sitzt ein dritter Mann, den sie mitgebracht haben.

CHRIS: Ein Einheimischer aus Jamaika, der für eine Pen-Test-Firma arbeitet, deren Kunde die Bank war. Die, die uns beauftragt hatten, dahin zu kommen und den Social-Engineering-Teil zu machen. Ich meinte vorher zu ihm: „Also, du sitzt einfach im Van und bist unser lokaler Banker-Typ, und du benutzt diesen Namen, und wenn sie anrufen, meldest du dich als dieser, okay?“

JACK: Ziemlich clever. Jemand mit einem lokalen Akzent, der vorgeben kann, für sie zu bürgen, könnte ein ziemlich überzeugender, gefälschter Joker sein, um nicht im Gefängnis zu landen.

CHRIS: Sie bringt uns zur Security und sagt: „Überprüfen Sie diese Leute“, und dann geht sie. Ich sage dem Sicherheitsmann: „Möchten Sie vielleicht mit meinem Kontakt hier in der Bank sprechen?“ Er sagt: „Ja.“ Also rufe ich an.

JACK: Chris benutzt sein eigenes Handy, um seinen Kumpel anzurufen, der nur im Van auf dem Parkplatz ist, um sich als jemand auszugeben, der in dieser Firma arbeitet.

CHRIS: Ich sag also zu ihm: „Hey, ich brauche dich kurz, um mit dem Kollegen von der Security zu sprechen.“ Und der fragt ihn dann: „Kennen Sie diese beiden Leute?“ Er nennt die falschen Namen von den gefälschten Visitenkarten. Und unser Mann dann: „Oh ja, ja, na klar, die arbeiten für die Prüfungsfirma.“ Securitymann: „Ja, das steht auf ihrer Karte.“ Unser Mann dann: „Ja, sie sollen da einen Geschwindigkeits- und Internetverbindungstest durchführen.“ Security: „Ja, das haben sie gemacht.“ und dann sagt er: „Okay, das klingt alles in Ordnung.“ Unser Mann dann: „Ja super, dann lassen Sie sie bitte einfach ihre Arbeit fortsetzen.“ Der Securitymann dann zu uns, „Okay, Sie sind verifiziert.“ Ich meinte, „Okay, gut, wir machen aber erstmal ne Pause und kommen dann später wieder.“, ob das möglich gewesen wäre oder ob eine Rückkehr ins Gebäude uns vielleicht ne Verhaftung eingebracht hätte, war unklar.

Bei Jobs in den Staaten wurde ich schon oft verhaftet. Da wieder rauszukommen ist relativ einfach. Ich wusste aber nicht, wie es sein würde, in Jamaika verhaftet zu werden, also haben wir beschlossen, das Gebäude zu verlassen. Außerdem hatten wir ja das Netzwerk und die Geldautomaten-Sachen gehackt, also dachten wir, ja, eigentlich sind wir hier so gut wie durch. Wir verließen dann das Gebäude und gingen zu unserem nächsten Standort.

JACK: Alle Ziele im ersten Gebäude wurden erreicht; rein und raus, kein Problem, kinderleicht, zumindest für jemanden, der so geschickt ist wie Chris und Ryan. Zeit, zum zweiten Bankgebäude überzugehen. Das nächste ist jedoch der Standort ihres NOC. Das ist das Network Operations Center, der Raum, in dem eine Reihe von Netzwerktechnikern und -ingenieuren aktiv nach Netzwerksicherheitsvorfällen im Netzwerk der Bank suchen, um sie zu beheben. Nun, Chris und Ryan werden gleich zwei große Netzwerksicherheitsvorfälle sein, wenn sie ins NOC gelangen. Das sollte also ein interessantes Duell werden.

CHRIS: Innerhalb des Bankgeländes, das von außen übrigens genauso aussah wie das andere, mit Stacheldrahtzaun und dem ganzen Drum und Dran, gab es ein kleineres Gebäude, das von einem weiteren Stacheldrahtzaun umgeben war, und das war das NOC, das Network Operations Center. Wir klingeln, der Securitymann kommt raus und fragt uns, wie wir heißen. Ich erzähl ihm, was wir vorhaben, er schaut auf seine Liste und sagt: „Sie stehen nicht auf der Liste. Ich muss anrufen und eine Genehmigung einholen.“ Ich sag: „Oh Mann, wenn Sie können – schauen Sie, wir sind zwei US-Amerikaner und die Hitze hier einfach nicht gewohnt. Können wir vielleicht reinkommen und im klimatisierten Raum warten, während Sie die Anrufe tätigen und uns verifizieren?“ Er dachte ein paar Sekunden darüber nach und sagte dann: „Ja, okay.“ Er drückt den Knopf, entriegelt das Tor, und wir gehen rein. Ich denke, das ist es; während er in seinem Büro telefoniert, werden wir das ganze NOC hacken, und dann sind wir weg.

Er lässt uns also vorne rein, und setzt uns praktischerweise an zwei Computer, und ich denke mir, Ryan, sobald er geht, ist es soweit. „Okay, ihr wartet hier. Ich muss in mein Büro.“, meinte er. Wir: „Alles klar, kein Problem, wir rühren uns nicht. So schön hier bei der Klimaanlage sitzen. Ey, echt danke, dass Sie so cool sind.“ Er steht auf, geht um die Ecke und ruft dann aber irgendjemandem etwas zu. Ich konnte nicht verstehen, was es war. Aber ne Sekunde später, kommt ein Typ, das war ungelogen der größte Mann, den ich je in meinem Leben gesehen habe. Ich bin ja selbst keine kleine Person, aber der Kerl ließ mich wie einen Miniaturmenschen aussehen. Ich schätz, er war 2,10 Meter groß und noch dazu war so breit wie eine Tür. Er trug ne Schutzweste, in der in verschiedenen Abständen Messer steckten. Er hatte einen riesigen Schlagstock an seiner einen Hüfte. An der anderen hatte er ne abgesägte Schrotflinte, und dann war da noch eine Handfeuerwaffe am Gürtel auf der anderen Seite.

Der kommt also zu uns und stellt sich mit verschränkten Armen in den Türrahmen. Ich hatte mich gerade vorgebeugt, um den Computer zu berühren, er sah das und er machte nur „Mm-mm“. Genau so. Ich sagte: „Nein, nein, ich mache gar nichts, Mann. Gar nichts.“ Ryan beugt sich zu mir rüber und meinte: „Ich versuch’s nicht.“ Ich sage: „Nein, nein versuch’s nicht.“

JACK: Wir sind auf die LinkedIn-Website und haben nach Mitarbeitern der Bank gesucht. Wir haben da welche gefunden, die ihre Telefonnummern angegeben hatten. Wir wollten diejenigen anrufen, die in Positionen waren, von denen wir dachten, sie könnten unsere potenziellen Ansprechpartner sein, wenn wir tatsächlich Prüfer gewesen wären. Also die Verantwortlichen für die Sicherheit oder für IT. Wir haben sie also angerufen und ein paar seltsame Fragen gestellt, nichts über Prüfungen oder so. Einfach nur sowas wie: „Oh, hallo, ist da Joe?“ Die antworten dann: „Äh nein, hier ist nicht Joe“. Wir wollten nur ihre Stimmen hören, weil wir hofften, dass, wenn einer von ihnen unserem jamaikanischen Kontakt ähnlich klang, wenn sie also etwas älter waren und ne raue Stimme hatten, dann könnten wir unseren Mann die Rolle des Verantwortlichen etwa für die IT-Sicherheit spielen lassen, der uns dann per Telefon eine gefälschte Legitimation geben kann.

CHRIS: Wir gingen zu LinkedIn und haben die Mitarbeiter dieser Bank herausgesucht. Dann haben wir diejenigen gefunden, die ihre Telefonnummern angegeben hatten, und angefangen, Leute anzurufen, die in Positionen waren, von denen wir dachten, sie könnten unsere Ansprechpartner sein, wenn wir legitime Prüfer wären. Also den CISO oder den CIO anrufen. Wir wollten sie anrufen, ihnen ein paar seltsame Fragen stellen und nichts über Audits. Einfach so: „Oh, hallo, ist da Joe?“ Sie würden sagen: „Nein, hier ist nicht Joe“, um ihre Stimme zu hören, und wir hofften, dass, wenn einer von ihnen unserem jamaikanischen Kontakt sehr ähnlich klang, also wenn sie älter waren oder eine raue Stimme hatten oder was auch immer, wenn sie ähnlich klangen, dann könnten wir diesen Kerl die Rolle des CISO spielen lassen und uns dann diese gefälschte Erlaubnis geben lassen.

JACK: Ihr versteht das, oder? Sie versuchten, jemanden innerhalb der Firma zu finden, der so klang wie ihr dritter Mann im Van, damit er am Telefon so tun konnte, als sei er diese Person. Einer der Leute, die sie versuchten anzurufen, war der Chief Information Officer. Aber als sie den CIO anriefen, kamen sie nie durch.

CHRIS: Die Sekretärin sagte: „Nein, er ist leider nicht da heute. Er ist auf einer Geschäftsreise, auf eine andere Insel geflogen.“ Ich fragte dann einfach, wann er denn wohl zurück sei und sie meinte, nicht vor heute Nachmittag. Okay, super, meinte ich, wir rufen dann wieder an.

JACK: Nun, er nahm diese kleine Information, die er früher am Tag gelernt hatte, und sitzt im Gebäude mit dem NOC, und dieser riesige bewaffnete Wachmann starrt ihn an. Er wartet darauf, dass der andere Wachmann zurückkommt.

CHRIS: Als der Mann zurückkam, sagte er: „Also, ich kann Sie nicht verifizieren. Niemand weiß, wer Sie sind. Das macht mir ein bisschen Sorgen.“ Ich meinte dann: „Ah!, wissen Sie, der Typ, der unser Ansprechpartner sein sollte, ich habe gehört, er ist heute nicht auf der Insel. Er ist irgendwo auf Geschäftsreise.“ Und er meinte: „Ja, das wurde mir auch so gesagt.“

Und das war das Einzige, was uns gerettet hat, weil ich was wusste, was er gerade am Telefon erfahren hatte. Ich meinte dann: „Okay, ich versteh das, er ist nunmal unser Kontakt. Wissen Sie was, ich hab ne Idee: Er soll doch in ein paar Stunden zurück sein, also gehen wir jetzt einfach zu dem anderen Standort, wo wir noch einen Termin haben, erledigen da unsere Arbeit und in ein paar Stunden, wenn unser Anpsrechpartner zurück ist, kommen wir dann wieder. Er meinte: „Okay, alles klar.“

Wir haben uns verdammt noch mal von da verzogen und sind gegangen und nie wiedergekommen. Wir hatten natürlich keine anderen Standorte; wir wollten da einfach nur raus, bevor King Kong uns in kleine Stücke zerlegt. Wir haben da also gar nichts gemacht, nichts gehackt, wir haben’s nicht geschafft. Der Typ hätte uns beide ohne nachzudenken in zwei Hälften brechen können.

JACK: Ein Fehlschlag ist in diesem Fall sogar gut. Es bedeutet, dass ihre Sicherheit besser war als die von Chris, und Chris ist ein Profi. An diesem Punkt schreiben Chris und Ryan einen vollständigen Bericht und haben ein Treffen mit dem Kunden, um alles durchzugehen.

CHRIS: Ja, das mag ich an der Arbeit mit solchen Kunden, sie waren echt zufrieden mit uns, nicht wütend oder sowas. Die fanden die Geschichten von beiden Standorten super und wie weit wir gegangen sind; sie fanden’s aber auch gut, dass wir nicht versucht haben, jetzt jemanden zu schädigen oder so und dass wir alle Regeln befolgt haben. Aber am besten fanden sie, dass gezeigt haben haben, wo ihre Schwachstellen lagen. Sie haben gefragt, was uns besser hätte aufhalten können, und ich nannte ein paar Punkte, wo das ohne Probleme hätte geschehen können.

JACK: Ich bin neugierig auf diese Punkte.

CHRIS: Na klar. Der erste Punkt war – als wir das erste Gebäude mit Telefon in der Hand betraten, da hat der Sicherheitsmann uns nicht aufgehalten, was er aber hätte tun sollen. Er hätte sagen sollen: „Hey, Moment mal, bevor Sie nach oben wollen, sagen sie erstmal, wen Sie da eigentlich treffen wollen“Ich hätte denselben falschen Namen genannt, und er hätte gesagt: „Den seh ich hier nicht auf der Liste. Lassen Sie mich oben anrufen und sehen, ob Jack da ist“, und wenn er dann rausgefunden hätte, dass es keinen Jack gibt, wäre ich aufgehalten worden. Der zweite Punkt war, als ich mit Ryan das ATM-Center betrat und die Dame sich umdrehte und sagte: „Hey, was machen Sie hier?“ Ich sagte: „PCI-Prüfung.“ Sie hätte sagen sollen: „Ich habe Sie nicht für diesen Raum autorisiert. Dies ist ein privater Raum.“ Er verfügte über ein eigenes Sicherheitssystem. Sie hätte unten die Sicherheitskräfte anrufen und fragen können: „Hey, sollen hier eigentlich Prüfer im ATM-Center sein?“ Das hätte sie dazu veranlasst, nachzuschauen, und ich hätte dort aufgehalten werden können.

JACK: Ja, oder sie hätte einfach die Tür schließen und sagen können…

CHRIS: Ja, „Sie dürfen hier nicht rein.“ Das dritte Mal wo man uns hätte aufhalten können war im Callcenter. Als ich zu der Frau meinte: „Geben Sie hier Ihr Passwort ein.“ hätte sie sagen sollen: „Ich glaube nicht, dass ich das darf; lassen Sie mich meinen Manager holen“, oder einfach die Eingabe ihres Passworts verweigern. Das hat sie nicht getan. Das vierte Mal war, als wir zu dem Computer gingen, den der Typ nicht gesperrt hatte. Er hätte uns aufhalten können, indem er seinen Computer sperrt, bevor er auf die Toilette ging. Und das fünfte Mal war zurück bei den Sicherheitsleuten, als wir den falschen Jack anriefen und sagten: „Hey, ja, hier, sprechen Sie mit unserem Kontakt hier.“ Er glaubte das und wollte uns wieder reinlassen. Es hätte uns aufhalten können, wenn er gesagt hätte: „Ich nehme Ihr Telefon nicht entgegen. Ich möchte diesen Mann direkt über die mir bekannte Durchwahlnummer anrufen.“ Er nahm aber mein Telefon und sprach mit ihm als vermeintlicher Bankkontakt. Er hätte also einfach direkt die Durchwahlnummer anrufen sollen, anstatt mir zu vertrauen. Die fünf Punkte jedenfalls fanden sie sehr schlüssig. Ich gab den Ratschlag, bei der nächsten Schulung diese Punkte auf interessante und clevere Art näherzubringen, dann werden wir nächstes Mal nicht einbrechen können.

Von Kammerjägern und Vishern

JACK: Ein paar Jahre später waren Chris und Ryan wieder in den Vereinigten Staaten. Sie bekamen einen Auftrag, in ein Gebäude einzubrechen und Fernzugriff auf das Netzwerk im Inneren zu erlangen. Der Mann, der Chris und Ryan beauftragt hatte, den Einbruch zu versuchen, war der Leiter der Gebäude-Sicherheit. Der Sicherheitschef genehmigte dies, was das Ganze legal machte, und Chris hatte sich diesen Genehmigungsbrief ausgedruckt und in seine Tasche gesteckt, denn wenn alles schiefgeht, haben sie es immerhin schwarz auf weiß, dass der Sicherheitschef sie bezahlt hat, um diese Einrichtung zu testen. Also tüfteln Sie an einer Methode, um das Sicherheitsteam zu überlisten.

Sie wollen sich als Kammerjäger ausgeben, was ihnen Zugang zum Gebäude verschaffen könnte, und von dort aus könnten sie versuchen, einen USB-Stick in einen der Computer zu schmuggeln. Sie haben eine Uniform, Sprühflaschen, Kisten und mehr, um so auszusehen, als ob sie tatsächlich zur Schädlingsbekämpfung kommen würde. Sie beschließen, am Abend davor hinzugehen, um den Ort auszukundschaften. Es ist ein großes Bürogebäude; viele Glasfenster und sogar eine Glastür vorne. Sie gehen dort also nachts vorbei. Es ist keine Security da. Sie ziehen an den Türen, aber die sind verschlossen. Also beschließen sie, einen alten Trick zu versuchen.

CHRIS: Ja, es gab zwei Glastüren, die in den Ort führten, und dazwischen war ein Spalt, der breit genug war, um einen USB-Stick durchzuschieben.

JACK: Ihre Theorie ist, dass, wenn sie einen ihrer bösartigen USB-Sticks durch den Spalt der Tür ins Gebäude schieben, jemand, der ihn am nächsten Tag findet, neugierig genug sein könnte, um zu sehen, was darauf ist, und ihn in einen Computer steckt, was man übrigens niemals tun sollte. USB-Sticks können eine Menge übler Malware enthalten, die man vermeiden möchte. In diesem Fall wäre es so, dass wenn ein Benutzer eine der Dateien auf diesem USB-Laufwerk öffnet, das eine umgekehrte Verbindung zu Chris‘ Server herstellen würde, was ihm Fernzugriff auf den Computer ermöglichen würde, in den der Benutzer den USB-Stick gesteckt hat. Sie schoben diesen USB-Stick durch den Spalt der Tür.

CHRIS: Es gab zwei dieser Türen, die erste wäre super gewesen, wir haben die andere genommen – keine gute Idee, denn diese zweite Tür benutzt niemand, aber das wussten wir nicht. Unseren USB-Stick hat jemand am nächsten Morgen gefunden und dann gemeldet, dass der da an dieser Tür lag, die nie je jemand benutzt. Das hat dann den Sicherheitsdienst veranlasst, sich die Videoaufzeichnungen der vergangenen Nacht anzusehen. Sie haben dann Ryan und mich vor dem Gebäude gesehen, wie wir den Stick durch die Tür schoben. Aber das wussten wir zu dem Zeitpunkt ja nicht.

Am nächsten Tag fuhren wir da hin, ich bin rückwärts mit dem SUV in eine Parklücke rein. Und ich hatte mich gerade umgedreht, um sicherzustellen, dass ich nichts touchierte, da hörte ich, wie sich die Tür öffnete. Ich dachte, Ryan steigt aus, aber als ich mich wieder umdrehte, sah ich da einen Polizisten, der Ryan herausgerissen hatte – ein Securitymann, ein bewaffneter, der Ryan vom Vordersitz gerissen hatte, er knallte ihn auf die Motorhaube legte ihm dann Handschellen an.

Okay, Ryan weiß wie das jetzt eigentlich läuft, dann flieht zur Not wenigstens einer, damit er später zurückkommen und dann wieder einbrechen kann. Damit muss man dann klarkommen. Ich lege also den Vorwärtsgang ein, damit ich fliehen kann, und der Polizist schaut mich an und schüttelt den Kopf, als wollte er sagen: „Lass mich nicht allein, Mann.“ Ich sagte nur: „Bis dann, Trottel.“ Ich will gerade den Fuß von der Bremse nehmen, da springt eine Frau mit gezogener Waffe vor das Auto und sagt: „Steig aus dem Auto aus.“ Ich sage: „Ah jaja, steck die Waffe weg. Alles in Ordnung.“ Ich schalte auf Parken und sie sagt: „Steig aus dem Auto aus.“ Ich sage: „Ich steige nicht aus dem Auto aus, bevor Sie die Waffe wegstecken.“ Ich will, dass Sie die Waffe weglegen. Sie sagt: „Ich leg die Waffe nicht weg.“ Wir schreien uns gegenseitig an und schließlich steige ich aus dem Auto. Sie war klein, höchstens 1,60 m, ich bin 1,90 m groß. Aber sie hat mich so hart auf die Motorhaube geschleudert, dass meine Mütze und meine Sonnenbrille runterfielen und über die Motorhaube flogen.

Bevor mein Gesicht auf der Motorhaube aufschlug, hatte sie mir schon Handschellen angelegt. Das war so beeindruckend, dass ich sagte: „Wow, das war das schnellste Handschellenanlegen, das ich je erlebt habe.“ Das kam mir einfach so über die Lippen. Sie meinte daraufhin, dass ich Dreckskerl wohl ständig mit Handschellen gefesselt werde, woraufhin ich versucht habe, sie zu beruhigen: „Okay, ich sehe, dass Sie sehr wütend sind, aber ich weiß eigentlich nicht warum. Wir sind ja nur hierher gefahren, um eine Schädlingsbekämpfung durchzuführen.“ Sie meinte: „ähäh, Sie führen keine Schädlingsbekämpfung durch, Dreckskerl.“ Dann hebt sie mich hoch und stellt mich auf die Beine.

Ich meinte dann, dass es echt sehr heiß ist – es war Sommer und in wirklich einer sehr heißen Gegend – können wir uns vielleicht in den Schatten setzen? Sie brachte uns in den Schatten. Ryan und ich knien nun da, wie bei einer Hinrichtung, auf dem Boden. Wir sind auf den Knien, beide mit Handschellen hinter dem Rücken gefesselt. Sie fragt: „Was macht ihr hier?“ Ryan flüstert mir zu: „Gib ihr den Brief.“ Ich flüstere zurück: „Nein, nein, wir kommen hier raus.” Ich also: „Wir sind hier, um Schädlinge zu bekämpfen.“ Sie erwidert: „Nein, deshalb seid ihr nicht hier.” Ich entgegne: Doch, doch, schauen Sie in den Kofferraum, dann sehen Sie’s“ Wir hatten Sprühgeräte zur Schädlingsbekämpfung dabei und gefälschte Chemikalienkartons, alles mögliche. Irgendwann hat sie in den Kofferraum geschaut, meinte aber, dass sie uns nicht glaubt.

Ich meinte: „Ich weiß nicht, warum Sie mir nicht glauben, ich hab einen Arbeitsauftrag. Mein Klemmbrett liegt im Auto, wenn Sie ihn sehen wollen.“ Sie sagt: „Ich gehe nirgendwo hin, Dreckskerl. Was macht ihr hier?“ Ich sage: „Ich hab’s Ihnen doch gesagt, ich weiß gar nicht, wie ich Ihnen das noch anders erklären soll.“ Ryan meinte, „Alter, der Brief.“ Die Polizisten werden wütend. Ich sage: „Nein, wir brauchen den Brief nicht.“

Dann kommt der Wachmann rüber und fragt: „Warum waren Sie gestern Abend um 23 Uhr hier?“ Shit, denke ich. In meinem Kopf rattert es und ich sage dann: „Wir wurden unter anderem beauftragt, gegen Skorpione zu sprühen, und die kommen tagsüber nicht raus. Diese Skorpionart kommt nur nachts heraus, also sind wir nachts gekommen, um die Gegend zu überprüfen und sicherzustellen, dass wir nachts sprühen können.“ Er sagt: „Wir haben euch auf dem Video gesehen. Es gab keine Sprühgeräte, ihr seid um das Gebäude rum und habt euch ganz genau unsere Türen angesehen.“ „Wir haben uns doch nur umgesehen.”, meinte ich und schlug vor, dass dass wir jetzt gerne mit unserer Sprüharbeit beginnen würden. Er fragt dann: „Ey, was macht ihr hier eigentlich wirklich?“ Ich nur: „Ey, das ist echt die Wahrheit.“ Ryan sagt: „Gib ihm den Brief, verdammt.“ Ich: „Nein, Mann, wir schaffen das.“ Und ich hab wirklich das Gefühl, dass wir hier rauskommen können. Dann aber fragt der Wachmann: „Was ist mit den USB-Sticks, die ihr fallen gelassen habt?“ Da denk ich, okay, shit, jetzt ist es vorbei.“

Ich sage: „Okay, alles klar, pass auf, in diesem Klemmbrett hier ist ein Brief, der alles erklärt.“ Er nur: „Ich nehm dein Klemmbrett nicht, dass könnte irgendein Gerät sein.“ Ich sage: „Nein, nein, nimm bitte einfach den Brief.“ Die Dame geht rüber, nimmt den Brief, öffnet ihn und sieht den Namen des Ansprechpartners, den sie auch persönlich kennt, und sie nur so, oh, diese mother***, ich kann’s nicht glauben. Ich sage: Ja, ja, Sie haben vollkommen recht, jetzt könntet ihr uns bitte die Handschellen abnehmen. Wir sind ja Freunde. Sie sagt: Nee, machen wir nicht, Abschaum. Ich sage: Ey, komm, wir sind kein Abschaum mehr, ihr wisst doch jetzt, dass wir auf eurer Seite sind. Sie nur: Nein. Wir knieten tatsächlich noch etwa zehn Minuten auf dem Boden und warteten darauf, dass unser Kontaktmann rauskam. Als er dann endlich kam, meinte er, dass er im Gebüsch stand und alles gefilmt hat. Echt jetzt…?, meinten wir. Er war ganz begeistert und meinte, dass die Leute hier das richtig gut gemacht hätten. Jaja, das stimmt, sagte ich, aber du hättest uns echt früher retten können. Woraufhin er meinte: „Nein, nein das war alles ganz fantastisch so.“

JACK: Der Name auf dem Brief war tatsächlich der des Chefs des Sicherheitsmanns. Nachdem sie ihn angerufen hatten und er sagte: „Ja, das ist alles ein Test“, beruhigte sich die Situation, und die Sicherheitsleute fingen schließlich an, über die ganze Situation zu lachen und fragten Chris und Ryan, was ihre Jobs als Pen-Tester sind. Alle wurden freundlicher.

CHRIS: Ich hab sie die ganze Zeit mit Fragen gelöchert, um Infos zu bekommen. Ihr habt das wirklich gut gemacht, meinte ich. Wir hätten später kommen sollen, aber ihr seid wahrscheinlich rund um die Uhr hier, oder? Sie antworteten: „Nein, nein, nein. Nach 19 Uhr gibt’s hier keine Sicherheitsvorkehrungen.“ Ich so: „Oh, ja, dann hätten wir diesen Zeitpunkt wählen sollen. Das ist schade.“ Im weiteren Gespräch habe ich dann ihre Dienstpläne herausgefunden.Am selben Abend sind wir dann gegen 21 Uhr zurückgekommen, kurz, nachdem sie gegangen sind, und sind in das Gebäude und in ihr Büro eingebrochen. Wir haben ihre Ausweise und einige ihrer Sachen gestohlen, um in andere Gebäude zu gelangen. Anschließend habe ich die ganze Schädlingsbekämpfungsausrüstung auf ihre Schreibtische gelegt, zusammen mit einer großen Dankeskarte und einigen Smiley-Herzen. Als sie am nächsten Tag kamen, wussten sie, dass wir alle Kameras ausgeschaltet und ihre Sachen gestohlen hatten. Sie fanden dann unsere Schädlingsbekämpfungsgeräte auf ihrem Schreibtisch. Ein kleiner, humorvoller Schlagabtausch.

JACK: Okay, zur nächsten Geschichte: Das ist ein seltener Fund, und ich habe schon eine ganze Weile nach so etwas gesucht, also war ich wirklich aufgeregt, als Chris sagte, er kann das übernehmen. Die Geschichte beginnt damit, dass Chris eine Phishing-Kampagne gegen ein Unternehmen durchführt, mit dem Ziel, das Sicherheitsbewusstsein des Unternehmens zu erhöhen.

CHRIS: Bei diesem Test haben wir mit einer Phishing-E-Mail begonnen, die an 1.000 Personen verschickt wurde. Man konnte angeblich brandneue iPhones gewinnen. Um sich für die Verlosung zu registrieren, musste man lediglich eine Website aufrufen und dort die Zugangsdaten für den eigenen Computer eingeben. Es handelte sich um eine von dem Unternehmen gesponserte Verlosung, sodass man eine Website aufrief, die wie die Website des Unternehmens aussah, wo man dann also die Daten eingab und dann an der Verlosung der iPhones teilnahm.

JACK: So viele Leute in dieser Firma wollten ein kostenloses iPhone, und die E-Mail sah aus, als wäre sie von der Firma selbst gesponsert, also dachten die Mitarbeiter: „Na klar, lass mich für dieses Ding registrieren.“ Allein durch diese E-Mail brachte Chris 750 Leute dazu, auf den Link zu klicken, auf seine Website zu gehen und ihren Benutzernamen und ihr Passwort für die Arbeit einzugeben. Es ist verrückt. An diesem Punkt könnte man jedem dieser Leute eine E-Mail schicken, in der erklärt wird, dass die Verlosung nur ein Test war und sie durchgefallen sind. Das könnte das Ende des Sicherheitstrainings sein. Aber neben der Sensibilisierung hatte Chris ein sekundäres Ziel, nämlich Fernzugriff auf das interne Netzwerk zu erlangen. Er schmiedet einen Plan.

CHRIS: Wir hatten ihren Benutzernamen und ihr Passwort, aber unsere eigentliche Aufgabe bestand darin, Remote-Zugriff auf ihr Netzwerk zu erhalten. Wir wollten dann jede dieser Personen anrufen und ihnen mitteilen, dass der Link, auf den sie gerade geklickt hatten, ein Phishing-Link war, und dass wir jetzt, da sie ihr Passwort daraufhin ändern mussten, nur sicherstellen wollten, dass keine Malware auf dem Computer zurückbleibt, die durch das Anklicken dieses Phishing-Links verursacht worden war. Um ihr System jetzt zu säubern, hätten wir für sie ein PC-Reinigungsprogramm erstellt, das ihre Rechner von jeglicher Malware befreien würde. Natürlich handelte es sich dabei nicht um ein PC-Reinigungsprogramm, sondern um einen Meterpreter-Reverse-Shell, ein Werkzeug, das uns Zugriff auf ihre Rechner verschaffte.

JACK: Das Ziel war es, etwa 25 Leute anzurufen, die auf den Link geklickt hatten, und sie irgendwie davon zu überzeugen, Malware auszuführen. Das ist Vishing, also Voice-Phishing, aber wie ich bereits sagte, ist es dasselbe, was Betrüger seit hundert Jahren tun. Chris verwandelte sich in Paul und tat so, als wäre er vom technischen Support. Er schickt einem der Leute, die auf den Phishing-Link geklickt hatten, eine E-Mail und sagt ihm: „Hey, schau mal, das war eine Phishing-E-Mail. Du hast darauf geklickt. Das hättest du nicht tun sollen; ändere sofort dein Passwort.“ Dann ruft Chris, oder jetzt Paul, den Mitarbeiter an. Hier ist der eigentliche Vishing-Anruf, der stattgefunden hat. Ich übernehme hierfür mal den Part des Mitarbeiters

CHRIS: Hier ist Paul vom technischen Support. Wie geht’s so?

MITARBEITER: Gut.

CHRIS: Wir haben gesehen, dass Sie das Formular für das iPhone ausgefüllt haben, das iPhone…

MITARBEITER: Ja, ja.

CHRIS: Sie haben sich eingeloggt und Ihr Passwort geändert?

MITARBEITER: Ja, habe ich.

CHRIS: Okay, ausgezeichnet. Ich wollte Ihnen nur sagen, das war wirklich gut. Genau so hätte man es handhaben sollen.

MITARBEITER: Okay, ja. Sobald wir es bemerkt haben, haben sich zwei von uns sofort darum gekümmert.

CHRIS: Okay, es gab also noch einen anderen Mann in Ihrem Team, der – auch?

MITARBEITER: Ja, ich glaube, es war JR [ZENSIERT].

CHRIS: JR? Okay. Ich notiere mir nur, dass ich später mit ihm sprechen werde. Okay, lassen Sie uns gerade mal noch eine Sachen checken: Sind Sie gerade im VPN? Sie sind an Ihrem Arbeitsrechner?

MITARBEITER: Ja.

CHRIS: Okay, ich gebe Ihnen eine interne Adresse. Es ist eine FTP-Seite, die wir für die [ZENSIERT]-Mitarbeiter eingerichtet haben. Sie können dorthin gehen; Sie werden sehen, dass es dort eine Datei gibt, die Sie herunterladen können, und die wird einfach alle restlichen Spuren von dieser Website beseitigen, die wir – die wir für das Audit verwendet haben.

MITARBEITER: Okay.

CHRIS: Also, wenn Sie an Ihrem Rechner sind, öffnen Sie einfach einen Browser und ich gebe Ihnen die Adresse.

MITARBEITER: Sie meinen, so als ob ich eine E-Mail senden würde? Ich bin nicht so…

CHRIS: Nun, Internet Explorer? Den können Sie öffnen.

MITARBEITER: Okay, ja, ich habe das – okay.

CHRIS: Dann oben in der Adresszeile, geben Sie ftp ein…

MITARBEITER: Ftp?

CHRIS: Ja, F wie Fritz, T wie Theodor und dann P wie Paula, und dann ein Doppelpunkt. Dann zwei Schrägstriche, und das sind die Schrägstriche bei Ihrem Fragezeichen, dieselbe Taste wie Ihr Fragezeichen.

MITARBEITER: Verstanden; ftp. Okay.

CHRIS: Dann ist das Wort update- und der Strich ist wie das Minuszeichen.

MITARBEITER: Verstanden.

CHRIS: [ZENSIERT].com.

MITARBEITER: Okay.

CHRIS: Wenn Sie das schließen, sollte sich ein Fenster öffnen – es sollte „index sub“ anzeigen und eine Datei haben. Es gibt eine Datei namens [ZENSIERT] PC Checker.

MITARBEITER: Okay, ja, nein, die ist hier. Okay, Doppelklick darauf?

CHRIS: Ja, klicken Sie darauf.

MITARBEITER: Okay.

CHRIS: Es sollte heruntergeladen werden oder Sie fragen, ob Sie es Ausführen oder Speichern möchten. Klicken Sie auf Ausführen.

MITARBEITER: Okay.

CHRIS: Wenn alles gut geht, sollten Sie keine Warnungen erhalten. Wenn Sie ein Restproblem von dieser Seite haben, erhalten Sie eine Nachricht, aber wenn nichts passiert, ist alles sauber und gut und wir sind fertig.

MITARBEITER: Okay, ich habe gerade eine zweite Meldung bekommen. Da stand: „Der Herausgeber konnte nicht verifiziert werden. Sind Sie sicher, dass Sie diese Software ausführen möchten?“

CHRIS: Ja, klicken Sie auf OK.

MITARBEITER: Nochmals ausführen? Okay, jetzt bin ich wieder auf dem ursprünglichen Bildschirm.

CHRIS: Okay, das ist gut. Wenn Sie keine Fehlermeldung erhalten haben, sind Sie startklar. Sie sind sauber.

MITARBEITER: Okay, nun, danke für die Hilfe.

CHRIS: Kein Problem. Wir sprechen uns später.

MITARBEITER: Ja, tut mir leid, dass ich darauf geklickt habe.

CHRIS: Ist schon okay, danke, dass Sie danach darüber nachgedacht haben.

MITARBEITER: Okay, Mann. Alles klar, danke.

CHRIS: Tschüss.

JACK: Und einfach so hat Chris Fernzugriff auf den Computer dieses Mannes erlangt. Er kann jetzt alles damit machen, was er will; eine Webcam öffnen, das Mikrofon einschalten, Tastenanschläge aufzeichnen, Dateien übertragen, den Desktop screenshotten oder sich zu einem anderen Computer tiefer im Inneren bewegen. Das ist faszinierend, also lasst es mich für euch aufschlüsseln. Das Unternehmen hatte modernste Netzwerkausrüstung, eine Firewall, um alle schlechten Verbindungen zu blockieren, die ins Gebäude kommen oder aus dem Gebäude gehen, ein Intrusion-Detection-System, um den ein- und ausgehenden Verkehr zu inspizieren und alles zu blockieren, was bösartig aussieht. Die Mitarbeiter haben auch alle Antivirensoftware auf ihren PCs, um zu verhindern, dass schlechte Software ausgeführt wird. Aber natürlich hört keine ihrer Sicherheitsvorkehrungen auf Phishing-Anrufe.

Das umgeht alles. Das ist ein Problem. Dann brachte Chris den Mitarbeiter dazu, diese ausführbare Software herunterzuladen. Sie luden sie herunter und führten sie aus. Es gab eine Warnung; sind Sie sicher, dass Sie so etwas ausführen wollen? Aber der Computer hat die Ausführung nicht blockiert. Sobald das Programm ausgeführt wurde, startete es eine umgekehrte Verbindung zu Chris‘ Computer. Für alle Sicherheitsgeräte im Netzwerk sah dies einfach wie eine normale Webanfrage an Chris‘ Server aus, und von dort aus konnte Chris diese Verbindung zurück in den PC des Mitarbeiters nutzen und eindringen. Dies ist auch einfach einzurichten, mit einem Werkzeug namens Metasploit. Dies ist nur eine Reverse-Shell, die auf dem PC des Opfers platziert wird. Antivirus stoppt es auch nicht.

CHRIS: Nein, weil es nicht als Virus angesehen wurde.

JACK: Es nutzt die eingebauten Fernsteuerungsfunktionen von Windows selbst aus. Selbst ein vollständig aktualisierter Computer hat die Fähigkeit, Fernzugriffsbefehle auszuführen, und das ist alles, was dies tat. Wenn man jemanden innerhalb des Unternehmens dazu bringt, dieses Programm auszuführen, ist das alles, was es braucht, um alles zu umgehen, was einen aufhalten soll. Ziemlich beängstigend.

CHRIS: Die Leute sagen ja oft, wenn wir über dieses Thema sprechen, „Darauf würde ich nie reinfallen.“ Der Mann, den wir da eben gehört haben, klingt wie’n ganz normaler Typ, wie einer, mit dem zusammenarbeitet. Er ist nicht dumm, und er wirft das Thema Sicherheit bestimmt nicht einfach über Bord. Aber ihr habt’s ja gehört: „Oh Gott, ich kann nicht glauben, dass ich auf diesen Phishing-Link geklickt habe. Danke für die Hilfe.“ Ich mag diesen Satz nicht, „Es gibt keinen Patch für menschliche Dummheit“. Bei uns sagt den niemand, weil er bedeutet, dass jeder, der auf sowas hereinfällt, dumm ist, aber ich glaub ganz sicher nicht, dass das wahr ist. Der Mann war nicht dumm. Ich glaube, wenn die Leute den Anruf hören, können sie sich ihn hineinversetzen und sein Handeln verstehen.

Es hätte ja auch so passieren können. Es gibt sicher einige Maßnahmen, die Unternehmen ergreifen können, um solche Vorfälle zu verhindern. Das Ganze eben ist vor ein paar Jahren geschehen; heute müssten wir wahrscheinlich etwas ausgefeiltere Maßnahmen mit Meterpreter ergreifen. Vielleicht hätte ein Paketinspektionssystem das verhindern können. Wir haben es einfach in eine normale EXE-Datei eingebettet, über einen verschlüsselten Tunnel, und es enthielt keine Malware, keine Trojaner und keine Viren. Wir wollten auf den Rechner gelangen und ihn dann ausnutzen, sobald wir darauf waren. Es war buchstäblich so, als würde man einen SSH-Server auf dem Rechner öffnen. Das war’s. Es wurde lediglich eine umgekehrte Verbindung hergestellt.

Lehren, Bücher und persönliche Erfahrungen

JACK: Nun, viele meiner Zuhörer fragen mich ständig, wie man Social Engineering üben kann. Also habe ich Chris gefragt.

CHRIS: Das ist eine Frage, die mir in meinen Kursen ständig gestellt wird, denn man kann ja nicht einfach losziehen und aus Spaß in Gebäude einbrechen oder Leute phishen. Ich sage dann immer: Bei SE geht es im Grunde genommen nur darum, zu lernen, wie man mit Menschen kommuniziert und zwar auf einer Ebene, die sie mögen, und wie man diese Person dann dazu bringt, sich einem zu öffnen. Das kann man auch tun, ohne Pen-Tester zu sein. Man könnte das auch mit einem Lieferanten oder wenn man das nächste Mal in ein Café geht ausprobieren.

Man kann sich mit einem völlig Fremden unterhalten und von diesem Fremden Informationen erhalten – ohne jede böse Absicht. Wie lautet der vollständige Name? Wo wohnt er? Welchen Beruf übt er aus? Wie viele Kinder hat er? Ist er verheiratet? Was hat er beruflich gemacht? Wo ist er zur Schule gegangen? All diese Fragen sind wichtig, um eine Person zu verstehen, die Sie – wenn Sie ein Pen-Tester sind – in einem normalen Gespräch erfahren können. Je wohler Sie sich dabei fühlen, einfach mit einem zufälligen Menschen zu sprechen, desto leichter wird es Ihnen fallen, Social Engineering zu betreiben, um damit auch Ihren Lebensunterhalt zu verdienen.

JACK: Wenn ihr mehr über Social Engineering wissen wollt, schaut euch Chris‘ Buch „Social Engineering: The Science of Human Hacking“ an. Achtet darauf, dass ihr die aktualisierte zweite Auflage bekommt. Das ist ein großartiges Buch, das alle Konzepte aufschlüsselt, wie man ein großartiger Social Engineer wird.

CHRIS: Das ist wahrscheinlich mein Lieblingsbuch, das ich geschrieben habe. Ich habe vier geschrieben, und bei diesem fühlt es sich an, als wären es elf Jahre meiner Erfahrung und die Wissenschaft dahinter. Anders als die erste Ausgabe, die sehr neu und nicht sehr gut geschrieben war, fühlt sich diese an, als wäre sie wirklich gut gemacht. Wie Cialdinis Buch „Influence“, das ist ein erstaunliches Buch. Joe Navarros Buch „What Every Body is Saying“ ist einfach ein phänomenales Buch. Ekmans Buch „Emotions Revealed“, alles über nonverbale Kommunikation, ist wirklich ein großartiges Buch.

Amy Cuddys Buch „Presence“ darüber, wie man sich in eine Rolle versetzt; ich könnte einfach Bücher über Bücher aufzählen, die ich gelesen habe, die für mein Leben wesentlich sind, die vielleicht nicht über Social Engineering handeln, aber über einen Aspekt der Kommunikation und des Social Engineering. Robin Dreekes Buch über die „Top 10 Ways to Build Rapport with Anyone Fast“. Diese Bücher sind entscheidend, um sie zu verstehen, wenn man ein Social Engineer sein will.

JACK: Natürlich werde ich Links zu all diesen Büchern und mehr in den Shownotes haben. Neben seiner Tätigkeit als Chief Human Hacker für seine Firma und dem Schreiben von Büchern darüber hat Chris noch so viel mehr erreicht. Er ist derjenige, der das Social Engineering Village auf der Defcon ins Leben gerufen hat, das beliebteste Village auf der Defcon. Es gibt dort einige großartige Vorträge, aber auch einen Wettbewerb, bei dem die Teilnehmer live auf der Bühne vor Publikum jemanden am Telefon social engineeren müssen. Es ist fantastisch anzusehen und neue Tricks zu lernen.

Darüber hinaus hat Chris eine gemeinnützige Organisation namens „The Innocent Lives Foundation“ gegründet, bei der Menschen OSINT- und Hacking-Fähigkeiten nutzen, um den Behörden zu helfen, Kinderpornografie-Täter oder Menschenhändler zu finden und zu fassen. Vielen Dank, dass du Deine Geschichte geteilt hast. Ich schließe mit dieser letzten Frage: Wurdest du jemals gephisht?

CHRIS: Ha, ja! Ich liebe die Frage. Die Leute in der Branche wollen ja manchmal nicht über sowas sprechen, wenn sie selbst gehackt wurden oder so. Aber ja, ich wurde knallhart gephisht. Wahrscheinlich ein paar Mal, aber einmal bin ich komplett darauf reingefallen. Ich bin Amazon-Junkie, ich kaufe alles, was ich kann, bei Amazon. Ich hab mich mal auf die Defcon vorbereitet und dafür so zehn, zwanzig Sachen für den Kinderwettbewerb in Vegas bei Amazon bestellt. Während ich also schon mal meinen Bürokram für die Defcon zusammenpacke, bekomme ich eine E-Mail, die genau wie eine Amazon-Bestell-E-Mail aussieht, in der stand, dass eine meiner letzten Bestellungen aufgrund einer abgelehnten Kreditkarte nicht versendet wird.

Alles, was ich meinen Kunden immer sage, ist, klickt niemals auf diese Links in der E-Mail. Öffnet euren Browser, geht zu amazon, loggt euch in euer Konto ein, und dort wird euch genau gesagt, was das Problem ist. Aber ohne kritisch nachzudenken, gestresst von der Defcon, meine Sachen packend, diese E-Mail sehend, dachte ich: „Oh Gott, wie kann meine Kreditkarte abgelehnt werden? Die wird nie abgelehnt.“ Ich habe auf den Link geklickt. Der Browser öffnet sich, ich gehe auf eine Seite, die aussieht wie die Amazon-Anmeldeseite. Sie sieht identisch aus, aber ich bin einer von denen, die ihren Benutzernamen gespeichert haben, aber nicht ihr Passwort. Ich fange an, mein Passwort einzugeben, und als ich auf den Senden-Button klicken will, kurz bevor ich klicke, merke ich, dass mein Benutzername nicht da steht. Ich bin verwundert, Mein Benutzername ist immer da. Dann schaue ich auf die URL-Leiste und da stand „irgendwas.ru“. Oh Gott, dachte ich, ich habe gerade auf einen Phishing-Link geklickt und bin buchstäblich auf eine russische Website hereingefallen.

Ich hab’s meinem Team erzählt und meinte noch, dass ich das nie jemandem anders erzählen werde, weil es so peinlich ist. Eine Person meinte dann aber, ganz im Gegenteil, erzähl davon. Das kann so vielen Menschen helfen, weil du ja der Typ bist, über Phishing schreibt. Du musst die Geschichte erzählen, wie du selbst gephisht wurdest. Ja, guter Punkt, dachte ich mir. Ich erzähle jetzt davon, und ich wäre ohne Zweifel darauf hereingefallen, wenn ich nicht auf diese URL-Leiste geschaut hätte, dann hätte ich auf Senden geklickt und ihnen meine Anmeldeinformationen gegeben. Das Einzige, was mich erwischt hat, war der eine Fehler, dass mein Benutzername nicht in diesem Feld war.

Als ich mir später die E-Mail genauer angesehen habe, war es eine Bestellung für einen George Foreman Grill und ein paar Lee-Aufklebenägel. Keine Artikel, die ich jemals bestellen würde. Wenn ich nur die blöde E-Mail gelesen hätte, hätte ich es merken können. Genauso wenn ich auf die URL-Leiste geschaut hätte oder meinen Browser geöffnet und die Adresse selbst eingegeben hätte. Es gibt ungefähr fünf Wege, wie ich diesen Phishing-Versuch hätte erkennen können, und ich habe sie alle ignoriert, bloß weil ich im Stress war und mein kritisches Denken ausgesetzt hat. Ja, ja, ich wurde gephisht, Mann. Ich bin darauf hereingefallen.

JACK: Ein großes Dankeschön an Christopher Hadnagy, den Human Hacker, dass er hier war. Ihr könnt mehr über ihn erfahren, indem ihr social-engineer.org besucht oder seinen Podcast hört, der einfach „The Social Engineer Podcast“ heißt.

(igr)