Viele erfolgreiche Hacks beginnen mit einem ahnungslosen Social-Media-Beitrag.
Es ist üblich, dass Menschen Fotos und Videos aus ihrem Alltag in ihren Social-Media-Profilen veröffentlichen, doch solche benutzergenerierten Inhalte können große Sicherheitsrisiken mit sich bringen. Soziale Medien eignen sich hervorragend, um Informationen über Menschen zu sammeln. So sammeln und nutzen Hacker genau diese Informationen.
Das Sammeln von Informationen ist der erste Schritt zum Hacken
Bevor Hacker ein System angreifen, sammeln sie zunächst Informationen. Manchmal kann dieser Vorgang Minuten, Stunden, Monate oder Jahre dauern. Dieser Zeitraum variiert je nach Kapazität des Zielsystems, der Anzahl der Mitarbeiter, der Größe des Angriffs und den Abwehrmaßnahmen. Ziel ist es, alle Schwachstellen des Zielsystems zu identifizieren und eine Angriffsstrategie zu erstellen.
Stellen Sie sich zum Beispiel eine Person vor, deren Instagram-Benutzername lautet Opferbenutzer hat eine Firmen-E-Mail mit der Erweiterung
example.com, und sie haben ein Flugticket für eine Geschäftsreise ins Ausland gekauft. Es stellte sich heraus, dass der Opferbenutzer darüber sehr aufgeregt ist und beschließt, ein Foto hochzuladen, um die Aufregung mit Followern und Freunden auf Instagram zu teilen. Auf diesem Foto, das der Opferbenutzer hochgeladen hat, ist ein bestimmter Teil des Flugtickets zu sehen. Oh oh. Dies sind sehr nützliche Informationen für einen Hacker.Obwohl auf dem vom Opferbenutzer geteilten Foto nicht das gesamte Flugticket zu sehen ist, kann der Hacker erkennen, zu welchem Unternehmen dieses Ticket gehört, da das Ticket jedes Unternehmens unterschiedlich ist. Anschließend liest der Hacker die Beschreibung unter dem Foto. Wenn der Opferbenutzer das Flugdatum und die Flugzeit mitteilt, wird die Arbeit des Hackers einfacher. Aber selbst wenn diese Informationen nicht öffentlich zugänglich sind, kann der Hacker sich als Kunde ausgeben, die offizielle Website des Flugzeugherstellers betreten und die Flugpläne prüfen. Dies bedeutet, dass Hacker den Tag und die Uhrzeit des Fluges des Opferbenutzers vorhersagen können.
An diesem Punkt beginnt der Hacker, über Angriffsmethoden nachzudenken, während der Opferbenutzer weiterhin denkt, dass er einen harmlosen Beitrag verfasst.
Mit Hilfe von Google beginnt der Hacker, die Tickets der vom Opferbenutzer ermittelten Fluggesellschaft zu durchsuchen. Dann ist der erste Schritt, den der Hacker unternehmen wird Google-Dork machen.
Mit Google Dorking können Sie auf einer bestimmten Website nach bestimmten Dateierweiterungen suchen. In diesem Fall durchsucht der Hacker PDF-Dateien der Fluggesellschaft des Opferbenutzers. Der Hacker lädt diese PDF-Datei herunter und manipuliert sie, um seinen Bedürfnissen gerecht zu werden.
Einige Hacker täuschen und betrügen Zielbenutzer durch einen Prozess, der als Social Engineering bekannt ist. In dieser Phase erstellt der Hacker eine realistische E-Mail-Adresse und den zugehörigen Textkörper. Anschließend können sie eine modifizierte PDF-Datei anhängen, die Malware enthält. Wenn der Opferbenutzer diese E-Mail öffnet, hat der Hacker sein Ziel erreicht.
Wenn der Hacker die Flugzeit und den Tag des Opfers kennt, ist die gefälschte E-Mail natürlich viel realistischer, aber in den meisten Fällen ist dies möglicherweise nicht einmal notwendig. Wenn es auf der Website des Flugunternehmens ein Mitgliedschaftssystem gibt, kann der Hacker Mitglied werden und eine E-Mail vom Flugunternehmen erhalten. Dies wird dem Hacker beim Lernen helfen das E-Mail-HTML-Layout und -Stil von der Fluggesellschaft genutzt.
Nach der Vorbereitung der gefälschten E-Mail muss der Hacker nun eine E-Mail-Adresse mit einer Domain der Fluggesellschaft erhalten, was jedoch nahezu unmöglich ist. Aus diesem Grund erstellt der Hacker eine gefälschte E-Mail-Adresse eines Flugunternehmens. Sie setzen möglicherweise eine andere E-Mail-Adresse vor ein normales E-Mail-Konto, um es zu maskieren. Wenn der Zielbenutzer nicht auf diese Adresse klickt, wird die tatsächliche E-Mail-Adresse dahinter nicht angezeigt. Es ist ein einfacher Trick, auf den man hereinfallen kann.
Nachdem der Hacker eine gefälschte E-Mail-Adresse vorbereitet hat, bleibt nur noch ein Schritt: Finden Sie die E-Mail-Adresse des Opferbenutzers heraus. Hierzu kann der Hacker auf die Option „Passwort vergessen“ zurückgreifen.
Nach der Option „Passwort vergessen“ kann der Hacker den E-Mail-Domänennamen des Zielbenutzers ermitteln. In diesem Beispiel hat der Opferbenutzer eine Domäne namens example.com und scheint eine E-Mail-Adresse wie zu haben v******[email protected]. Natürlich kann der Hacker sofort verstehen, dass der mit markierte Teil ist * ist der Benutzername des Opferbenutzers. Wenn es nicht so einfach wäre, hätte der Hacker mit Google doking suchen können, ob es andere E-Mail-Adressen mit der Domain example.com gibt. Jetzt hat der Hacker jedoch die E-Mail-Adresse des Opfers.
Wie die Dinge aus der Perspektive des Opfers aussehen
Der Opferbenutzer erhält eine dringende E-Mail, und diese E-Mail ist so überzeugend, dass der Opferbenutzer in diese Falle tappt. Schließlich enthält diese E-Mail das Flugticket, Fluginformationen und wichtige Flugrichtlinien. Außerdem sieht die E-Mail-Adresse wie die E-Mail-Adresse des Flugunternehmens aus. Alles scheint echt zu sein.
Darüber hinaus nimmt der Opferbenutzer diese E-Mail ernst, da er diesen Flug im Rahmen einer Geschäftsreise antreten wird. Am Ende der E-Mail befindet sich ein Link wie „Dokumente, die Sie ausfüllen müssen, um Ihre Flugverfahren abzuschließen“. Sobald der Opferbenutzer auf diesen Link klickt, bekommt der Hacker, was er sucht.
Was sagt uns diese Geschichte?
Die meisten von uns unterscheiden sich nicht vom Opfer, und es ist wichtig, sich dessen bewusst zu sein. Der Fehler, den der Opferbenutzer in diesem Beispielszenario gemacht hat, bestand darin, Ticketinformationen, bei denen es sich um persönliche und private Informationen handelt, öffentlich weiterzugeben. Und hier ist die Sache: Das war eine wahre Geschichte. Denken Sie also zweimal darüber nach, bevor Sie Informationen preisgeben, die sich auf Ihr Geschäfts- oder Privatleben beziehen.
