Okt 13 2020

Ihr Industrieunternehmen ist mein

Ich erkläre Ihnen jetzt einmal, wie ich Sie hacke. Alle hier vorgestellten Informationen sind keine Anweisung für das Hacken, da es nicht genügend sind. Andererseits lernt jeder (angehende) Hacker allein schon auf der Defcon im Grundlagenseminar, wie das, was ich hier vorstelle, funktioniert. 

Und nun zu Ihnen. Sie haben sicher schon so manches über das Internet gebucht und gekauft; als da wären Urlaube, Flüge oder Konzertkarten. Und sicher haben Sie das auch schon über Ihren Firmen-Account gemacht, ob nun verboten oder nicht. Prima – Prima Angriffspunkte, um Sie zu kapern. 

Ich bin jetzt der pöse, pöse Hacker und habe mir meine Zielperson schon vor einiger Zeit ausgeguckt. Am besten jemand, der eine hohe Position in einem Unternehmen hat. Über diesen Herrn Mayer weiß ich so einiges. Zum Beispiel, dass er Geschäftsführer in einem Industriebetrieb ist, welches browserbasiert seine Industrieanlagen in aller Welt synchronisiert, aber auch, dass er häufig über Firmencomputer Reisen bucht. wie das so bei Geschäftsführern ist, reist er sehr viel. Diese Menschen nutzen in aller Regel immer die gleichen Buchungsseiten, weil sie sie für sicher halten. hähähä. 

Herr Mayer fährt jedes Jahr nach Hannover zur Hannover-Messe. Und er bucht immer über das selbe Portal. also wird er das dieses Jahr auch tun. Ein hervorragendes Ziel für einen Man-in-the-Middle-Angriff (

Ich gehe nun zu TOR. Das ist ein dreifach verschlüsselter Anonymisierungsdienst, der verhindert, dass wenn ich beim Herumstörbern erwischt werde, zurückverfolgt werden kann. so weiß niemand, wer ich bin. Die Sicherheitsbehörden der Welt haben hier zwar auch schon ihre Fingerchen drin. Aber völlig unsicher für Hacker ist er noch nicht. 

Nun gehe ich über meinen Proxi-Server auf meine Website. Dort habe ich eine identische Website der Buchungswebsite erstellt. Das Zertifikat der Originalseite kann man für kleines Geld von Mitarbeitern der Authentifizierungsfirmen unter der Hand kaufen. Denn jeder ist käuflich. Ein Mitarbeiter findet sich bestimmt. Ansonsten gibt es noch den Schwarzmarkt im Dark Net. So, auf der Originalseite habe ich einen Alarm installiert. Wenn sich Herr Mayer nun auf der Originalwebsite anmeldet, schaltet sich meine Fakeseite dazwischen und informiert Herrn Mayers Rechner über dieses Zertifikat, dass meine Fakeseite die Originalseite sei – und der akzeptiert sie. Herr Mayer landet aber auf meiner gefakten Seite, die aus meinem Cache hochgeladen wird. 

Sicher arbeitet diese Seite auch mit TLS. Doch selbst Anfängerhacker können das TLS austricksen. TLS ist der Nachfolger von SSL und wird von Browsern für sichere HTTPS-Verbindungen verwendet. Sicher, soso. Soviel dazu. 

Herr Mayer gibt nun seine Infos auf meiner gefakten Seite ein. Benutzername, Passwort und die ganzen Daten zur Zahlung, wie IBAN, Kreditkartennummern, Sicherheitsschlüssel, vielleicht PIN, TAN und was die so alles wissen wollen. Ach wie mich kleinen Hacker das freut. Da ich einen eigenen Proxy-Server habe, weiß ich nun auch, mit welcher IP sich der Herr Mayer angemeldet hat. Das heißt, ich kenne den Rechner. Er darf den Firmenrechenr nicht nutzen und vermutlich gilt sein Passwort auch noch für viele, viele andere Zugänge, weil die Leute mit Passworten eh recht ungeniert umgehen. 

Herrn Mayers Firma arbeitet vermutlich nicht mit Zwei-Faktor-Authentifizierung sondern nur mit statischen Passwörtern für den Remote-Zugriff. Und auch hier wird er vermutlich das selbe Passwort immer und immer wieder nutzen. Zwar soll man wenigstens so ein Passowrt alle vier Wochen wechseln – doch was solls …

Jetzt brauche ich nnur noch einige Einstellungen und kann mit dem Passwort schon mal ins Backend (in die nicht für die Öffentlichkeit vorgesehenen) Informationen, von Herrn Mayers Industrieunternehmen. Ich kann nun alles sehen und überall in der gesamten IT surfen, wie es Herr Mayer auch tun könnte. Gehaltskonten, Mitarbeiterinfos, firmeninterne Projekte und und und. Und die Firmenkonten. 

Auch kann ich nun SQL-Befehle in das firmensystem einschleusen. SQL (Structured Query Language ist eine Datenbanksprache, die Datenbanken strukturiert und Veränderungen an Datensätzen – Personalisierten oder Steuerungsbefehle – zuläßt. 

Zwischendurch lasse ich die Website der Fakebuchungsseite kurz abstürzen. Ops! Sowas kann ja mal passieren – und ziehe sie zurück, so dass Herr Mayer auf die Originalseite geht und alles noch einmal eingeben muss. Aber das interessiert mich nicht. Ich habe was ich will und noch mehr. Ich kann nicht nur Herrn Mayers Konto abräumen, sondern auch die Firmenkonten —— und vor allem könnte ich mich in die browserbasierte Führung des Industrieunternehmens einklinken. 

Und nein, das ist kein Witz und keine Fakestory. So einfach ist es, bei Ihnen einzudringen. (Für die Profis, die alles besser wissen, ich habe extra eine Reihe von Infos ausgelassen).

Schreibe einen Kommentar

Your email address will not be published.