Die Kunst der Täuschung E-Book

Risikofaktor Mensch

Vom Phone Phreak zum Hacker

Ich werde Social Engineer

Schlussbemerkung

Der menschliche Faktor

Ein klassischer Fall von Täuschung

Im Jahre 1978 schlenderte Rifkin eines Tages hinüber in die Buchungsabteilung der Security Pacific National Bank, zu dem nur befugtes Personal Zutritt hatte. Dort wurden täglich Überweisungen im Werte von mehreren Milliarden Dollar veranlasst.

Er arbeitete für eine externe Firma, die im Auftrag der Bank ein Datensicherungssystem für die Buchungsabteilung entwickelte, falls die Computer dort einmal abstürzen sollten. Das berechtigte ihn, die Transferprozeduren einzusehen, und somit hatte er Einblick, wie die Bank die Durchführung von Überweisungen abwickelte. Er erfuhr, dass Bankangestellte, die zur Anweisung von Buchungen berechtigt waren, jeden Morgen einen streng bewachten neuen Code erhielten, den sie für die Anrufe in der Buchungsabteilung benötigten.

In der Buchungsabteilung sparten sich die Angestellten die Mühe, jeden Tag einen neuen Code auswendig zu lernen: Sie übertrugen den Code auf einen Notizzettel und brachten diesen an einer leicht sichtbaren Stelle an. An diesem speziellen Tag im November hatte Rifkin einen besonderen Grund für seinen Besuch. Er wollte einen Blick auf dieses Papier werfen.

Er notierte sich einige Dinge über Verfahrensweisen in der Buchungsabteilung, offensichtlich um sicherzustellen, dass sich das Datensicherungssystem korrekt in die regulären Systeme einpasst. Nebenbei las er heimlich den Sicherheitscode für den heutigen Tag und merkte ihn sich. Einige Minuten danach verließ er den Raum. Wie er später aussagte, fühlte er sich, als hätte er den Hauptgewinn einer Lotterie bekommen.

Als er den Raum gegen 15 Uhr verließ, marschierte er direkt zu einem Münzfernsprecher im marmornen Foyer des Gebäudes. Er warf eine Münze ein und wählte die Nummer der Buchungsabteilung. Nun wechselte er seine Rolle und verwandelte sich vom Unternehmensberater Stanley Rifkin in den Kollegen namens Mike Hansen aus der Internationalen Abteilung der Bank.

Nach einer Zeugenaussage verlief das Gespräch in etwa wie folgt:

„Hallo”, sagte er zu der jungen Frau am anderen Ende der Leitung, „hier ist Mike Hansen von der Internationalen Abteilung.”

Sie fragte nach der Büronummer. Das war eine übliche Prozedur, und seine Antwort war vorbereitet: „286.”

Die junge Frau fragte nun: „In Ordnung. Wie lautet der Code?”

Rifkin meinte später, dass an diesem Punkt sein von Adrenalin getriebener Herzschlag „ordentlich einen zulegte”. Er erwiderte geschmeidig: „4789.” Dann fuhr er mit den Anweisungen für eine Buchung über „exakt zehn Millionen zweihunderttausend Dollar” an die Irving Trust Company in New York als Gutschrift für die Woschod Handelsbank von Zürich in der Schweiz fort, bei der er schon ein Konto eingerichtet hatte.

„In Ordnung, das habe ich”, sagte die Frau. „Jetzt brauche ich noch die bürointerne Abrechnungsnummer.”

Rifkin brach der Schweiß aus. Mit dieser Frage hatte er nicht gerechnet. Ihm schien bei seinen Nachforschungen etwas durch die Lappen gegangen zu sein. Aber es gelang ihm, in seiner Rolle die Fassung zu bewahren, tat so, als ob alles in Ordnung sei und antwortete, ohne zu zögern: „Oh, das muss ich gerade mal nachprüfen. Ich rufe gleich wieder an.” Erneut tauschte er die Rollen und telefonierte mit einer anderen Abteilung der Bank, wobei er sich diesmal als ein Angestellter aus der Buchungsabteilung ausgab. Er bekam die Abrechungsnummer und rief die junge Frau zurück.

Sie nahm die Nummer entgegen und bedankte sich. (Unter diesen Umständen muss man es als höchst ironisch ansehen, dass sie sich bei Rifkin bedankte.)

Ein paar Tage danach nahm Rifkin ein Flugzeug in die Schweiz, ließ sich das Geld bar auszahlen und übergab für einen Beutel Diamanten mehr als acht Millionen Dollar an eine russische Agentur. Er flog zurück und passierte problemlos mit den Diamanten in einem Geldgürtel den amerikanischen Zoll. Er hatte den größten Banküberfall der Geschichte durchgezogen – und dabei weder eine Waffe und noch nicht mal einen Computer gebraucht. Seltsamerweise brachte ihm diese Eskapade später einen Eintrag im Guiness-Buch der Rekorde in der Kategorie „Größter Computerbetrug”.

Stanley Rifkin hat die Kunst der Täuschung eingesetzt – die Fertigkeiten und Techniken, die man heute Social Engineering nennt. Dafür brauchte er bloß eine durchdachte Planung und gute Redegewandtheit.

Und darum geht es in diesem Buch – um die Techniken des Social Engineering (darin bin ich Ihr ergebener Diener) und wie Sie sich und Ihre Firma davor schützen können.

Worin liegt die Bedrohung?

In einem Gutachten über Computerverbrechen aus dem Jahre 2001 berichtete das Computer Security Institute, dass 85 % der an der Untersuchung beteiligten Unternehmen in den vergangenen 12 Monaten Verletzungen der Computersicherheit aufgedeckt haben. Diese Zahl ist erstaunlich: Nur 15 von 100 beteiligten Organisationen teilten mit, dass es im vergangenen Jahr keine Sicherheitsverletzungen gegeben hat. Ähnlich verblüffend war die Zahl der Organisationen, die nach eigenen Berichten aufgrund von Sicherheitslücken bei Computern finanzielle Verluste erlitten: 64 %. Mehr als die Hälfte wurden also finanziell geschädigt. In einem einzigen Jahr!

Meine eigenen Erfahrungen führen mich zu der Annahme, dass die Zahlen bei solchen Berichten in gewisser Weise aufgebläht sind. Ich habe kein großes Vertrauen in die Art und Weise, wie man diese Untersuchungen durchführt. Das heißt nicht, dass man die Nachteile vernachlässigen kann – die Schäden sind weitreichend! Wer nicht auf Sicherheitsprobleme ausgerichtet plant, hat ein Versagen gleich mit eingebaut.

Die kommerziellen Sicherheitsprodukte, die bei den meisten Unternehmen eingesetzt werden, sollen hauptsächlich Schutz gegen Amateur-Hacker wie die gemeinhin als Skript Kiddies bekannten Jugendlichen bieten. Tatsächlich sind diese Möchtegern-Hacker mit ihrer selbst heruntergeladenen Software kaum mehr als nur ärgerlich. Größere Verluste – und hier liegt die wahre Bedrohung – muss man von erfahrenen Angreifern mit klar definierten Zielen befürchten, die aus Geldgier handeln. Diese Personen konzentrieren sich auf jeweils ein Ziel, wogegen die Amateure versuchen, so viele Systeme wie möglich zu infiltrieren. Die Amateure bei den Computer-Eindringlingen stellen einfach auf Quantität ab, aber die Profis zielen auf qualitativ wertvolle Daten.

Sicherheitsprogramme für Unternehmen benötigen Technologien wie Authentifizierungssysteme (zur Identitätsprüfung), Zugangskontrollen (für die Verwaltung von Zugangsberechtigungen für Daten und Computersysteme) und Frühwarnsysteme gegen Computer-Einbrecher (die elektronische Entsprechung zur Alarmanlage). Dennoch geben Unternehmen heute immer noch mehr Geld für Kaffeemaschinen aus als für Maßnahmen zum Schutz der Firma gegen Sicherheitsangriffe.

Genau wie ein Ganove einer Versuchung nicht widerstehen kann, reizt es den Hacker immens, einen Weg um die Abschirmungen durch Hochsicherheitstechnologien herum zu finden. Und meistens beginnen sie damit, den Hebel bei den Anwendern dieser Technologien anzusetzen.

Es gibt eine populäre Redewendung, dass nur ein abgeschalteter Computer ein sicherer Computer sei. Clever, aber verkehrt: Der Schwindler überredet einfach jemanden, ins Büro zu gehen und diesen PC einzuschalten. Wenn Ihr Gegner Ihre Daten herauskriegen will, kommt er auch ans Ziel, gewöhnlich auf verschiedenen Wegen. Das ist nur eine Frage von Zeit, Geduld, Hartnäckigkeit und Ausstrahlung. Und hier kommt die Kunst der Täuschung ins Spiel.

Um Sicherheitsmaßnahmen auszutricksen, muss ein Angreifer, Eindringling oder Social Engineer einen Weg finden, einen vertrauensvollen User so zu täuschen, dass er Informationen weitergibt, oder die arglose Zielperson derart zu überlisten, dass sie den Zugang freigibt. Wenn vertrauensvolle Angestellte so getäuscht, beeinflusst oder manipuliert werden, dass sie sensible Daten weitergeben oder Handlungen ausführen, die einem Eindringling ein Schlupfloch bieten, kann keine Technologie der Welt Ihre Organisation schützen. Manchmal kann ein Dechiffrierer den Klartext einer kodierten Botschaft entschlüsseln, wenn er über eine Schwachstelle des Codes die Verschlüsselungs-technologie umgehen kann, und genau so täuschen Social Engineers bei Ihren Angestellten falsche Tatsachen vor, um den Sicherheitstechnologien auszuweichen.

Vertrauensmissbrauch

Uns ist diese Bedrohung nicht bewusst, insbesondere nicht in der westlichen Welt. Vor allem in den Vereinigten Staaten sind wir nicht darauf trainiert, argwöhnisch miteinander umzugehen. Wir haben gelernt, dass wir „unseren Nächsten lieben” und einander vertrauensvoll begegnen sollen. Denken Sie daran, wie schwierig es für Organisationen des Nachbarschaftsschutzes ist, die Leute dazu zu bringen, ihre Häuser und Autos abzuschließen. Diese Art von Schwachstelle ist offensichtlich, und sie wird trotzdem von vielen ignoriert, die es vorziehen, in einer Traumwelt zu leben – bis sie auf die Nase fallen.

Wir wissen, dass nicht alle Menschen aufrichtig und ehrlich sind, aber nur allzu oft leben wir so, als ob alle es wären. Diese liebenswürdige Unschuld ist der Grundstoff des amerikanischen Lebens, und es ist sehr schmerzhaft, dies aufzugeben. Als Nation haben wir in unsere Vorstellung von Freiheit eingebaut, dass die Orte am lebenswertesten sind, an denen man am wenigsten Schloss und Riegel braucht.

Die meisten Leute gehen von der Annahme aus, dass sie von anderen nicht getäuscht werden, und gründen dies auf den Glauben, dass die Wahrscheinlichkeit einer Täuschung recht gering sei. Der Angreifer wiederum berücksichtigt dieses weitverbreitete Wunschdenken und lässt seine Bitte so ver-nünftig erscheinen, dass sie völlig unverdächtig wirkt, während er gleichzeitig das Vertrauen des Opfers missbraucht.

Ganz deutlich wurde diese Arglosigkeit, die Teil unseres nationalen Charakters ist, als Computer zum ersten Mal miteinander verbunden wurden. Erinnern Sie sich daran, dass der Vorläufer des Internet – das ARPAnet (das Advanced Research Projects Agency Network des Verteidigungsministeriums) – für die Verteilung von Informationen zwischen Regierungs-, Forschungs- und Bildungseinrichtungen konzipiert war. Man hatte sich gleichzeitig mit der Informationsfreiheit den technischen Fortschritt zum Ziel gesetzt. Darum haben viele Bildungseinrichtungen seinerzeit bei den frühen Computersystemen wenig oder gar nicht auf Sicherheit geachtet. Jemand wie der besonders freigeistige berühmte Software-Entwickler Richard Stallman weigerte sich sogar, sein Konto mit einem Passwort zu schützen.

Als dann das Internet für eCommerce eingesetzt wurde, wandelten sich die Gefahren einer schwachen Sicherheit in unserer verdrahteten Welt dramatisch. Der Ausbau der Technologie wird aber nicht das Problem lösen, das der Mensch für die Sicherheit darstellt.

Schauen wir uns nur die heutigen Flughäfen an. Zwar sind Sicherheitsmaßnahmen allgegenwärtig, aber trotzdem alarmieren uns Medienberichte über Reisende, die Sicherheitsvorkehrungen umgehen konnten und potenzielle Waffen an Kontrollpunkten vorbeischmuggelten. Wie kann das sein in einer Zeit, in der sich alle unsere Flughäfen in einem derartigen Alarmzustand befinden? Sind die Metalldetektoren kaputt? Nein. Das Problem liegt nicht bei den Maschinen. Das Problem ist der menschliche Faktor: das Personal an den Maschinen. Die Flughafenbehörden können die Nationalgarde aufstellen und Metalldetektoren und Systeme zur Erkennung von Gesichtern installieren, aber deutlich hilfreicher wäre die Ausbildung des Sicherheitspersonals an vorderster Front, wie man Reisende korrekt überprüft.

Das gleiche Problem findet sich in den Regierungs- und Bildungseinrichtungen und Unternehmen auf der ganzen Welt. Trotz der Anstrengungen aller Sicherheitsprofis bleiben Informationen nicht gut genug geschützt. Bis nicht das schwächste Glied in der Sicherheitskette – der Mensch – gestärkt worden ist, bleiben Daten für Angreifer mit den Fähigkeiten eines Social Engineers leicht zu pflücken.

Mehr als jemals zuvor müssen wir unser Wunschdenken ablegen und uns der Techniken gewahr werden, die diejenigen anwenden, die die Vertraulichkeit, Integrität und Verfügbarkeit unserer Computer und Netzwerke angreifen wollen. Wir haben eingesehen, dass wir im Straßenverkehr defensiv fahren sollten, und nun ist es an der Zeit, die Praxis eines defensiven Umgangs mit Computern zu akzeptieren und zu erlernen.

Die Gefährdung durch einen Einbruch in Ihre Privatsphäre, Ihre Gedanken oder das Informationssystem Ihrer Firma mag solange irreal erscheinen, bis er tatsächlich stattfindet. Um eine derart kostspielige Dosis Realität zu vermeiden, sollte jedem die Bedeutung klar werden, warum wir wachsam und ausgebildet sein müssen, um aggressiv unser Informationskapital, unsere persön-lichen Daten und die kritischen Infrastrukturen unseres Landes schützen zu können. Und diese Vorsichtsmaßnahmen müssen wir heute treffen!

Terror und Täuschung

Über dieses Buch

Der versteckte Wert der Informationen

CreditChex

„Guten Tag. Sie sind verbunden mit der National Bank, Kim am Apparat. Möchten Sie heute ein Konto einrichten?”

„Hallo Kim, ich habe da eine Frage. Wird bei Ihnen CreditChex eingesetzt?”

„Ja, sicher.”

„Wenn Sie bei CreditChex anrufen, wie nennen Sie die Nummer, die Sie dort angeben – bezeichnet man das als ‚Händlerkennung’?”

Pause. Sie prüft die Frage und überlegt, worum es hier überhaupt geht und ob sie eine Antwort geben solle.

Ohne zu zögern, fährt der Anrufer fort: „Ich arbeite nämlich an einem Buch, in dem es um Privatdetektive geht.”

„Ah ja”, sagt sie, nun mit neuem Zutrauen in der Stimme, denn es freut sie, einem Schriftsteller behilflich zu sein.

„Also heißt das ‚Händlerkennung’, richtig?”

„Genau.”

„Okay, großartig. Ich möchte nämlich im Buch den richtigen Ausdruck benutzen. Vielen Dank, Sie waren eine große Hilfe. Auf Wiederhören, Kim.”

„National Bank, Abteilung für Kontoeröffnung, Chris am Apparat.”

„Hallo Chris, hier spricht Alex”, sagt der Anrufer. „Ich bin vom Kundendienst bei CreditChex. Wir machen gerade eine Untersuchung, um unsere Dienste zu verbessern. Haben Sie ein paar Minuten Zeit für mich?”

Das hat sie natürlich, und der Anrufer fährt fort:

„Dann wollen wir mal anfangen – wie sind Ihre Öffnungszeiten?” Sie beantwortet diese Frage und alle weiteren.

„Wie viele Angestellten in Ihrer Filiale nutzen unseren Service?”

„Wie oft rufen Sie wegen einer Anfrage an?”

„Welche unserer 0800-Nummern haben wir für Sie zugewiesen?”

„Sind unsere Vertreter stets höflich und zuvorkommend gewesen?”

„Wie schnell sind unsere Bearbeitungszeiten?”

„Wie lange sind Sie schon in der Bank beschäftigt?”

„Welche Händlerkennung verwenden Sie zur Zeit?”

„Ist es jemals vorgekommen, dass Sie bei den Daten, die wir Ihnen zur Verfügung stellen, etwas Unkorrektes entdeckt haben?”

„Haben Sie vielleicht Vorschläge, wie wir unseren Service für Sie verbessern könnten?”

Und:

„Wären Sie bereit, regelmäßige Fragebögen auszufüllen, wenn wir sie an Ihre Zweigstelle senden?”

Sie willigt ein, man plaudert noch ein bisschen, dann legt der Anrufer auf, und Chris geht wieder an ihre Arbeit.

„CreditChex, Henry McKinsey am Apparat. Was kann ich für Sie tun?”

Der Anrufer sagt, er sei von der National Bank. Er gibt die korrekte Händlerkennung an und nennt dann den Namen und die Sozialversicherungsnummer der Person, über die er Informationen haben möchte. Henry fragt nach dem Geburtsdatum, und der Anrufer gibt auch das an.

Nach kurzer Zeit liest Henry die Anzeige auf seinem Bildschirm vor:

„1998 hat Wells Fargo einmal einen NSF über 2.066 Dollar gemeldet.” NSF – nonsufficient funds – ist der übliche Banker-Begriff für ungedeckte Schecks.

„Gab es danach irgendwelche weiteren Aktivitäten?”

„Nein, nichts mehr.”

„Hat es andere Nachfragen gegeben?”

„Schaun wir mal. Oh ja, zwei, beide vom letzten Monat. Third United Credit Union of Chicago.” Beim nächsten Namen kam er ins Trudeln und musste ihn buchstabieren: Schenectady Mutual Investments. „Das ist in New York State”, fügte er hinzu.

Alle drei Anrufe wurden von der gleichen Person durchgeführt: einem Privatdetektiv, den wir hier Oscar Grace nennen wollen. Grace hatte einen neuen Klienten – einer seiner ersten. Bis vor kurzem war er noch ein Cop gewesen, und er fand, dass bei seiner neuen Arbeit ihm einiges ganz leicht von der Hand ging, aber anderes seine Ressourcen und seine Erfindungsgabe richtig herausforderte. Diese Sache hier fiel in die letztere Kategorie.

Die abgebrühten Privatschnüffler aus den Romanen – die Sam Spades und Philip Marlowes – haben nächtelang in Autos herumgesessen, um jemandem beim Seitensprung zu erwischen. Im wahren Leben arbeiten Privatdetektive genauso. Wenn sie für Eheleute herumschnüffeln, die sich bekriegen, wird darüber wenig berichtet, aber es ist trotzdem wichtig – diese Methode hat viel mehr mit dem Geschick eines Social Engineers zu tun hat als damit, bei einer nächtlichen Überwachung gegen Langeweile zu kämpfen.

Die neue Klientin von Grace war eine Dame, die so aussah, als habe sie ganz schön viel Geld für Kleidung und Schmuck zur Verfügung. Sie kam eines Tages in sein Büro und setzte sich in den Ledersessel, der einzige, auf dem kein Papier gestapelt war. Sie stellte ihre große Handtasche mit dem Gucci-Logo ihm zugekehrt auf den Tisch und teilte ihm mit, sie plane, ihrem Mann zu sagen, sie wolle die Scheidung, aber sie gab zu, dass da „noch ein ganz kleines Problem” sei.

Es sah so aus, als sei ihr Ehegatte schon einen Schritt weiter. Er hatte sich das Ersparte auszahlen lassen und ebenfalls eine noch größere Summe aus dem Börsendepot genommen. Sie wollte wissen, wo er ihr gemeinsames Vermögen nun untergebracht hat, aber ihr Scheidungsanwalt war ihr dabei keine große Hilfe. Grace vermutete, dass der Anwalt einer der hochgekommenen Rechtsanwälte aus der schnieken Vorstadt sei, der sich bei so einem Dreck wie der Suche nach verstecktem Geld nicht die Finger schmutzig machen wollte.

Was konnte Grace für sie tun?

Er versicherte ihr, die Sache sei ein Kinderspiel, setzte das Honorar plus Spesen fest und nahm gleich einen Scheck als Anzahlung.

Dann machte er sich an die Arbeit. Wie nimmt man eine Sache in Angriff, die einem vorher noch nicht untergekommen ist und bei der man keine rechte Vorstellung davon hat, wie man die Wege des Geldes herausfinden soll? Man tastet sich Schritt für Schritt voran. Und hier ist aus zuverlässigen Quellen die Geschichte von Grace.

•••

Ich kannte CreditChex und wusste, wie die Banken diese Dienste nutzen – meine Ex-Frau war bei einer Bank beschäftigt. Aber der betriebsinterne Jargon und die Verfahrensweisen waren mir nicht vertraut, und es wäre reine Zeitverschwendung, meine Ex danach zu fragen.

Schritt eins: Sich erst mal die Begrifflichkeiten aneignen und herausfinden, wie man die Anfrage so stellt, dass es sich anhört, als wüsste ich, wovon ich rede. Als ich bei der Bank anrief, war die junge Dame – Kim – erst einmal misstrauisch, als ich sie fragte, wie sie sich bei einem Anruf bei CreditChex ausweise. Sie zögerte und wusste nicht, ob sie es mir sagen solle. Hat mich das aus dem Tritt gebracht? Kein Stück. Im Gegenteil, ihr Zögern hat mir ein wichtiges Zeichen gegeben: es war ein Hinweis, dass ich einen für sie glaubwürdigen Grund angeben muss. Als ich ihr vorschwindelte, ich recherchiere für ein Buch, hat das ihr Misstrauen beschwichtigt. Behaupte einfach, du seiest Schriftsteller oder Drehbuchautor, und alle Türen stehen dir offen.

Bei ihr konnte ich auch noch andere nützliche Dinge erfahren – z.B. welche Informationen CreditChex benötigt, um die Person, wegen der man anruft, zu identifizieren, oder nach welchen Daten man überhaupt fragen kann, und dann das ganz große Ding: wie Kims Händlerkennung lautete. Ich war schon drauf und dran, diese Frage zu stellen, aber bei ihrem Zögern ging meine Alarmglocke an. Die Story von der Buch-Recherche hat sie geschluckt, aber sie war noch nicht völlig überzeugt. Wenn sie gleich von Anfang an bereitwilliger gewesen wäre, hätte ich sie nach noch mehr Details über ihre Arbeitsabläufe gefragt.

Auf jeden Fall muss man sich aus dem Bauch heraus entscheiden und immer genau zuhören, was die Zielperson sagt und wie sie es sagt. Diese Lady hörte sich so clever an, dass ihr Alarm losgehen würde, wenn ich zu viele ungewöhnliche Fragen stelle. Und obwohl sie keine Ahnung hatte, wer ich war oder von welchem Apparat aus ich anrief, darf man es in diesem Geschäft nicht riskieren, dass die Leute sich gegenseitig vor einem Anrufer warnen, der Infos über die Firma haben will. Denn auf keinen Fall wollte ich verbrannte Erde hinterlassen – vielleicht muss ich ein anderes Mal wieder das gleiche Büro anrufen.

Ich achte stets auf kleine Signale, die mir deutlich machen, wie kooperativ eine Person ist. Die Skala reicht von „Sie scheinen ein sehr netter Mensch zu sein, und ich glaube alles, was Sie sagen” bis hin zu „Ruft die Polizei, dieser Typ führt Böses im Schilde”.

Bei Kim hatte ich den Eindruck, sie sei gerade auf der Grenze, und darum habe ich jemanden aus einer anderen Abteilung angerufen. Bei meinem zweiten Anruf hat der Trick mit der Umfrage wie ein Zauberspruch gewirkt. Bei dieser Taktik stelle ich die wichtigen Fragen einfach mitten unter den unwichtigen, die keine Konsequenzen nach sich ziehen, sondern mir den Eindruck von Glaubwürdigkeit verschaffen. Bevor ich mich an die Frage mit der Händlerkennung bei CreditChex wagte, habe ich Kim noch in letzter Minute getestet, indem ich ihr die persönliche Frage stellte, wie lange sie schon bei der Bank beschäftigt sei.

Eine persönliche Frage ist wie eine Tellermine – einige Leute gehen einfach drüber weg und kriegen nichts mit. Bei anderen fliegt sie in die Luft, und die Schotten gehen runter. Wenn ich also eine persönliche Frage stelle und sie antwortet, wobei sich der Klang ihrer Stimme nicht ändert, dann heißt das, diese Anfrage macht sie nicht skeptisch. Ich kann auf Nummer sicher gehen und einfach die gewünschte Frage stellen, ohne ihren Argwohn zu wecken, und höchstwahrscheinlich kriege ich von ihr die gewünschte Antwort.

Da ist noch eine Sache, die jeder gute Schnüffler weiß: Hör niemals mit dem Gespräch auf, gleich nachdem du die Schlüsselinformation bekommen hast. Noch zwei, drei Fragen, ein kleiner Plausch, und dann ist es in Ordnung, sich zu verabschieden. Wenn sich das Opfer später überhaupt noch an Details aus dem Gespräch erinnern kann, waren es wahrscheinlich die letzten paar Fragen, und den Rest hat es dann vergessen.

So hat Chris mir also die Händlerkennung und die Telefonnummer gegeben, bei der sie für Nachfragen anruft. Ich wäre noch zufriedener gewesen, wenn ich herausgekriegt hätte, wie viel Infos man überhaupt von CreditChex bekommen kann. Aber ich wollte den Bogen nicht überspannen.

Nun war es, als ob ich einen Freifahrtschein bei CreditChex hatte. Ich konnte jederzeit anrufen und Dinge nachfragen. Ich brauchte noch nicht einmal für diesen Service bezahlen. Wie sich herausstellte, teilte mir der Vertreter von CreditChex bereitwillig die Infos mit, die ich haben wollte: zwei Stellen, bei denen der Ehemann meiner Klientin kürzlich eine Kontoeröffnung beantragt hatte. Und wo war nun das Vermögen, nach dem seine Ex-Frau in spe suchte? Natürlich bei den Banken, die mir der Kollege bei CreditChex aus der Liste vorlas.

Alle diese Winkelzüge basieren auf einer fundamentalen Taktik des Social Engineerings: Wie komme ich an Informationen, die ein Firmenangestellter irrtümlich für ungefährlich hält?

Die erste Bankangestellte hat die Terminologie bestätigt, wie man die bei CreditChex verwendete Identifikationsnummer nennt: die Händlerkennung. Der zweite Angestellte gab die Telefonnummer heraus, über die man CreditChex erreichen kann, und darüber hinaus das allerwichtigste Stück Information: die Händlerkennung der Bank. Alle diese Daten erschienen den Angestellten harmlos und unschädlich. Die Bankangestellte hat ja geglaubt, sie spreche mit jemandem von CreditChex – was sollte so schlimm dabei sein, diese Nummer herauszugeben?

Damit war der Grundstein für den dritten Anruf gelegt. Grace besaß alles, was er brauchte, um bei CreditChex anzurufen und als Vertreter einer der Banken – der National Bank – durchzugehen, für die CreditChex tätig ist, und einfach nach den gewünschten Informationen zu fragen.

Wie ein geschickter Taschendieb, der hinter Ihrem Geld her ist, geht Grace beim Stehlen von Informationen vor, indem er sich gut in Menschen einfühlt. Ihm war die Taktik vertraut, die Schlüsselfragen unter lauter unwichtigen Dingen zu verstecken. Er wusste, dass bei dem zweiten Angestellten eine persönliche Frage als Test auf seine Kooperationsbereitschaft eingesetzt werden konnte, bevor er ganz unschuldig nach der Händlerkennung fragte.

Gegen den Fehler der ersten Angestellten, den Sprachgebrauch für die Identifikationsnummer von CreditChex herauszugeben, kann man sich praktisch nicht schützen. Diese Information ist in der Welt der Banken derart weit verbreitet, dass sie unwichtig erscheint – ein Paradebeispiel an Harmlosigkeit. Aber die zweite Angestellte – Chris – hätte nicht so bereitwillig die Fragen beantworten sollen, ohne definitiv überprüft zu haben, ob der Anrufer tatsächlich die Person ist, für die er sich ausgab. Sie hätte wenigstens nach dem Namen und der Nummer des Anrufers fragen und zurückrufen sollen. Bei späteren Nachfragen hätte sie eine Notiz besessen, unter welcher Nummer der Anrufer erreichbar gewesen ist. Im Falle eines Rückrufs wäre es für den Angreifer ungleich schwerer gewesen, sich als jemand von CreditChex auszugeben.

Noch besser wäre ein Anruf bei CreditChex gewesen – unter Verwendung einer Nummer aus der Telefonliste der Bank, jedoch nicht mit einer, die vom Anrufer angegeben wird. So hätte festgestellt werden können, ob die Person wirklich dort beschäftigt ist und ob dieses Unternehmen tatsächlich eine Kundenbefragung durchführt. Berücksichtigt man die realen Gegebenheiten und den Zeitdruck, unter dem die meisten Menschen heutzutage arbeiten müssen, verlangt diese Art von Bestätigungsanruf viel ab, außer ein Angestellter argwöhnt, es sei gerade ein Angriff im Schwange.

Kopfjagd auf Ingenieure

Die Angreiferin nennt sich Didi Sands und ruft im Firmenbüro des Handyservice-Anbieters an. Die Unterhaltung verläuft teilweise wie folgt:

Sekretärin:Schönen guten Tag. Sie sprechen mit Marie, was kann ich für Sie tun?

Didi: Können Sie mich mit der Logistikabteilung verbinden?

S:Ich weiß nicht genau, ob wir so etwas haben. Ich schaue mal in meiner Liste nach. Wer spricht, bitte?

D: Mein Name ist Didi.

S: Befinden Sie sich im Gebäude, oder ... ?

D: Nein, ich rufe von außerhalb an.

S: Und wie heißen Sie weiter?

D:Didi Sands. Ich hatte die Durchwahl zur Logistikabteilung, aber ich habe sie vergessen.

S: Einen Augenblick, bitte.

Um einen möglichen Verdacht zu zerstreuen, stellt Didi an diesem Punkt eine beiläufige Frage, um ein wenig Konversation zu treiben und deutlich zu machen, dass sie von „innerhalb” der Firma stammt und mit den örtlichen Gegebenheiten vertraut ist.

D:In welchem Gebäude befinden Sie sich – im Hauptgebäude oder in Lakeview?

S: Im Hauptgebäude. (Pause). Die Durchwahl ist 805 555 6469.

Für den Fall, dass der Anruf bei der Logistikabteilung nicht das Gewünschte ergeben sollte, sorgt Didi für einen Plan B und sagt, sie wolle ebenfalls mit der Immobilienabteilung sprechen. Auch diese Nummer bekommt sie von der Sekretärin. Als Didi darum bittet, gleich mit der Logistikabteilung verbunden zu werden, versucht die Sekretärin es, aber der Anschluss ist besetzt.

An diesem Punkt fragt Didi nach einer dritten Nummer, der Verbindung zur Debitoren-Abteilung, die sich in einer Filiale in Austin, Texas, befindet. Die Sekretärin bittet sie, einen Moment zu warten, und legt den Anruf in eine Warteschleife. Ruft sie jetzt beim Sicherheitsdienst an und berichtet, sie habe einen verdächtigen Anruf erhalten und glaube, da wäre etwas nicht ganz astrein? Keineswegs, und Didi macht sich kein bisschen Sorgen. Sie ist nur eine kleine Belästigung, aber für die Sekretärin ist das alles einfach Teil ihres Alltags. Nach etwa einer Minute ist die Sekretärin wieder am Apparat, schaut nach der Nummer für die Debitoren-Abteilung und stellt Didi durch.

Peggy: Debitoren-Abteilung, Peggy am Apparat.

Didi: Hallo Peggy, hier ist Didi aus Thousand Oaks.

P: Hallo Didi.

D: Na, wie läuft’s denn so?

P: Alles prima.

Didi benutzt nun einen in der Geschäftswelt gebräuchlichen Ausdruck, der den Zuordnungscode der Ausgaben in einer Bilanz einer bestimmten Organisation oder Arbeitsgruppe bezeichnet.

D: Ausgezeichnet. Ich habe da eine Frage: Wie finde ich die Kostenstelle für eine bestimmte Abteilung heraus?

P: Da müssen Sie den Budget-Analysten dieser Abteilung herausfinden.

D: Wissen Sie zufällig, wer der Budget-Analyst für Thousand Oaks ist – also für die Zentrale? Ich muss hier ein Formular ausfüllen, und ich kenne die richtige Kostenstelle nicht.

P: Ich weiß bloß, wenn einer die richtige Kostenstelle braucht, dann ruft er den Budget-Analyst an.

D: Haben Sie für Ihre Abteilung dort in Texas auch eine Kostenstelle?

P: Ja, wir haben hier unsere eigene Kostenstelle, aber eine vollständige Liste bekommen wir auch nicht.

D: Wie viele Stellen hat diese Kostenstelle? Wie heißt das zum Beispiel bei Ihnen?

P: Nun, ähmm, gehören Sie zu 9WC oder SAT?

Didi hatte keine Ahnung, auf welche Abteilungen oder Gruppen sich das bezog, aber das kümmerte sie nicht. Sie antwortete:

D: 9WC.

P: Dann sind das normalerweise vier Stellen. Von wo kommen Sie noch mal, bitte?

D: Zentrale, Thousand Oaks.

P: Ah, hier ist eine für Thousand Oaks. Sie lautet 1A5N, und N wie in Nancy.

Weil sie sich lange genug mit einer hilfsbereiten Person beschäftigt hat, findet Didi die gewünschte Kostenstelle heraus – und hier haben wir eines der Informationhäppchen, bei denen niemand glaubt, sie seien schützenswert, weil sie für keinen Außenstehenden irgendeinen Wert zu haben scheinen.

Didis nächster Schritt ist nun, die Nummer der Kostenstelle zu etwas wirklich Wertvollem auszubauen, indem sie wie ein Poker-Chip eingesetzt wird.

Sie beginnt, indem sie bei der Immobilienabteilung anruft und vorgibt, sich verwählt zu haben. Sie setzt ein mit einem „Entschuldigen Sie vielmals, dass ich Sie belästige, aber ...” und behauptet dann, sie sei eine Kollegin, die ihr Telefonverzeichnis der Firma verloren habe, und wen sie denn anrufen müsse, wenn sie ein neues bestellen wolle. Der Mann am anderen Ende sagt, die gedruckte Ausgabe wäre nicht mehr aktuell, weil man auf das Verzeichnis auf der Intranet-Seite der Firma zugreifen könne.

Didi sagt, sie bevorzuge einen Ausdruck davon, und der Mann sagt, sie solle sich an die Abteilung für Öffentlichkeitsarbeit wenden, und dann sucht er unaufgefordert die Nummer heraus und gibt sie ihr – vielleicht, um die Lady, die sich so sexy anhört, noch ein bisschen länger in der Leitung zu haben.

In der Öffentlichkeitsabteilung hat sie einen Mann namens Bart am Apparat. Didi sagt, sie käme von Thousand Oaks, und sie hätten einen neuen Berater, der eine Ausgabe des Firmenverzeichnisses benötige. Sie merkt an, dass eine gedruckte Ausgabe für den Berater praktischer wäre, auch wenn sie nicht topaktuell sei. Bart erwidert, sie möge bitte ein Anforderungsformular ausfüllen und ihm zusenden.

Didi bedauert, ihr seien die Formulare ausgegangen und hier sei Hochbetrieb und ob Bart nicht so nett sein und für sie das Formular ausfüllen könne? Mit ein wenig zuviel Enthusiasmus willigt er ein, und Didi teilt die Details mit. Als Lieferadresse gibt sie eine bei Social Engineers als „Mail Drop” bekannte Einrichtung an, in diesem Fall ein Unternehmen, das Briefkästen vermietet, bei dem ihre Firma Postfächer für Gelegenheiten wie diese eingerichtet hat.

Nun erweist sich das frühere Klinkenputzen als nützlich: Die Kosten für das Verzeichnis und den Versand müssen berechnet werden. Kein Problem – Didi gibt die Kostenstelle von Thousand Oaks an:

„1A5N, und N wie in Nancy.”