Mitternachtshacking

Ich sterbe gleich vor lachen … das ist die schönste Form, Passwörter zu sammeln, die ich je gesehen habe … aber dazu gleich mehr.

Social Engineering ist bekanntlich die beste und erfolgreichste Hacking Technik die es gibt und jemals geben wird. Und wenn man so zu sensiblen Daten und Passwörtern kommt, umso besser. In der Theorie unterscheidet man drei verschiedene Begriffe:

1. Computer-based Social Engineering: Das sind alle Betrugsversuche, die Computertechnik beinhalten. Angefangen von der E-Mail vom BKA mit dem wichtigen Attachment (die unser ach so kompetenter bayrischer Innenminister Beckstein beinahe angeklickt hätte, weil er dachte es handelt sich um eine dienstliche Mail. Seine Frau hat ihn davor bewahrt, die gäbe vermutlich auch einen kompetenteren Innenminister ab) über die gängigen Phishing-Webseiten bis hin zu allen möglichen Tricks im Internet.
2. Human-based Social Engineering: Also alle Betrugsversuche, die keinen Computer benötigen. Angefangen von den Cold Call Techniken am Telefon zum Wechsel des Anbieters über die Tricks in die Disko zu kommen bis hin zum genialen Diamantendiebstahl neulich in Antwerpen.
3. Reverse Social Engineering: Die beste Technik überhaupt. Da muss ich nicht etwa den Benutzer dazu bringen, mit etwas zu geben sondern der Benutzer kommt mit einem Problem bereits zu mir und benötigt eine Lösung.

Computer-based Social Engineering ist dabei in der Regel das einfachste, man erstellt eine clever gestaltete E-Mail oder Webseite und schon ist man dabei.

So wie diese hier von Mark Burnett auf xato.net. Die Idee ist so trivial wie einfach: Ein Eingabefeld und dazu der Text:

Online Password Checker – How Common is Your Password? Just enter your password in the text box and click on the […] button.

Köstlich. Den muss ich gleich mal ausprobieren. Am besten mit unserem Root-Passwort. Da wollte ich schon lange mal wissen, wie gut das ist. Und kluger Weise schreibt er dann auch sofort dazu: „no this isn’t a way to collect your passwords“. Ich bin echt beeindruckt.

Gut, bei Mark ist das vermutlich kein Phishing-Versuch, die Suche geht wirklich zu Google. Ok, Google speichert das Passwort dann die nächsten 24 Monate. Aber die Datenkrake weiß ja sowieso schon alles, oder?