Interview mit einem kriminellen Hacker

"Mit einem Botnetz Geld zu verdienen ist einfacher als Zähneputzen"

Nichts einfacher als das

HANSEN: Wie einfach ist es für Sie, eine Website zu kompromittieren?

ADAM: Anfänger suchen einfach nach "inurl:money.php?id=" - dann werden sie schon fündig. Da das aber besonders auf großen Sites nicht immer funktioniert, ist schon etwas mehr Recherche nötig. Ich schaue gerne Finanznachrichten im Fernsehen. Die dort vorgestellten Startups sind schnell erfolgreich, haben aber selten Admins, die wirklich Ahnung von Sicherheit haben. Also sind sie verwundbar. Häufig patchen Sie ihre SQL-Datenbank, haben aber ihr DNS nicht im Griff, was den Schutz vor Cache Poisoning angeht. Ein geräuschloser Einbruch in deren Datenbank ist in weniger als einer Stunde vollzogen.

HANSEN: Wie einfach ist es, ein fremdes Nutzerkonto zu übernehmen - nur mithilfe von Whois-Informationen und anderen frei zugänglichen Datenquellen?

ADAM: Whois war einst unerlässlich zum Informationensammeln. Mittlerweile holen sich alle die Daten über Facebook, Twitter etc. Damit lassen sich beispielsweise Amazon-Konten schnell übernehmen und mit fremden Kreditkarten shoppen gehen. Das erfordert lediglich ein Telefonat mit dem Kundenservice für das Zurücksetzen des Passworts. Auch wenn Amazon nach eigenen Angaben diese Art Identitätsdiebstahl schon vor zwei Jahren unmöglich gemacht hat, sind deren Mitarbeiter doch immer noch sehr vertrauensselig und wollen nicht viele Daten zur Verifizierung haben. Also Amazon, trainiert eure Angestellten!

HANSEN: Welche Art Website übernehmen Sie am liebsten? Welche lassen sich am einfachsten zu Geld machen? Oder greifen Sie ausschließlich nach dem Zufallsprinzip an?

ADAM: Meistens greife ich ins Blaue hinein an. Doch einmal habe ich eine Ausnahme gemacht, weil mir ein Unternehmen keinen Rabatt geben wollte. Daraufhin haben wir alle Kreditkartennummern der Kunden online gestellt. Eine Branche, die ich sehr gerne attackiere, ist die Security-Branche, also beispielsweise Hersteller von Antiviren-Software. Aber auch Klamottenläden während des Sommerschlussverkaufs oder Porno-Seiten machen Spaß. Gerade Klamottenshops sind sehr einfach zu hacken, weil sie erstens nie eine Zwei-Schritt-Authentifizierung fordern und zweitens technisch ziemlich unterbelichtet sind. Die Unternehmen engagieren jemanden, der die Website aufsetzt, kümmern sich aber anschließend selbst um deren Betrieb. Sie verwenden kein HTTPS und sind sehr anfällig für SQL-Injection-Attacken. Als Hacker gibt es nun zwei Möglichkeiten: Kreditkartendaten abziehen und verschwinden oder Website übernehmen und einen iFrame einbinden, der den Drive-by-Download eines Banking-Trojaners initiiert.

Was ich an Porno-Seiten so toll finde, ist, dass deren Betreiber nie prüfen, wo die geschalteten Werbeanzeigen hinführen. Als Angreifer lädst du da einfach nur eine "Anzeige" hinein, die eine gut ausgestattete Frau beim Facebook-Surfen zeigt. Sobald jemand draufklickt, sind wir wieder beim Drive-by-Download. Der besondere Kick: Wer mehr persönliche Daten seines Opfers braucht, verweist mit so einer Anzeige auf eine Seite, wo sich die entsprechenden Facebook-Informationen abfragen lassen. Damit lässt sich anschließend wunderbar weiteres Social Engineering betreiben.