Social Engineering – Apple’s Kundenservice leicht auszutricksen?

Mat Honan, Senior-Reporter bei Gizmodo ist etwas sehr blödes widerfahren. Am 4. August hat ein Hacker zuerst Zugriff seinen iCloud Account verschafft und daraufhin das Passwort geändert. Als nächstes war sein Google Konto dran. Daraufhin wurden sein Macbook Air, sein iPhone und sein iPad aus der Ferne gewiped. Anschließend hat sich der Hacker über den Twitter-Account Zugriff zum Account @Gizmodo verschafft. Das alles in 15 Minuten. Wäre Hacken eine olympische Disziplin, wäre der “Bösewicht” vorne mit dabei.

Nun stellt man sich die Frage, wie ein Hacker an so viele Informationen kommen und einem Technik-Blogger so zusetzen kann. Die Antwort: Social Engineering. Zuerst dachten die Jungs von Gizmodo, dass hinter allem eine Brutforce-Attacke steckte, welches Mat’s 7-stelliges alphanumerisches Passwort geknackt hat. Anschließend hat er sich der Hacker an die Arbeit gemacht.

Als Mat das alles bemerkte, rief er beim Apple Kundenservice an und stellt dann fest, dass das Passwort seines Google-Accounts schon resettet wurde. Blöd – dieser war als alternative Adresse für die Wiederherstellung bei Apple hinterlegt. Er wurde gebeten, von dem mittlerweile zurücksetztem iPhone eine SMS zu verschicken. Man konnte ihm leider nicht sofort helfen, vereinbarte aber einen Termin am nächsten Tag in der Apple Genius Bar.

Inzwischen hat sich der angebliche Hacker bei ihm gemeldet und gesagt, dass es kein Bruteforce war, welches der Apple-Mitarbeiter am nächsten Tag in der Genius Bar bestätigte. Stattdessen hat der Hacker beim Apple-Kundenservice angerufen und habe sich als Mat Honans ausgegeben habe durch geschickte Antworten den Mitarbeiter davon überzeugen können, der echte Mat zu sein. Pech für Mat, denn er hatte viele seiner Daten nur in der Cloud liegen. Apple arbeite wohl daran, diese nun wiederherzustellen.

Hört sich fast an wie in einem Science-Fiction Thriller, ist aber Wirklichkeit. Dardurch, dass man Informationen in sozialen Netzwerken freigibt und fast jedem zugänglich macht, teilt man vielleicht Informationen, die gegen einen verwendet werden können, wie z.B. Name des Haustieres oder den Namen der Grundschule auf Facebook veröffentlichen. Wird man der Antwort einer Sicherheitsfrage gebeten, kann man schnell nachschauen, ob sich die Antwort evtl. in einem sozialen Netzwerk finden lässt.

Mal abgesehen davon, dass Bruteforce-Attacken mittlerweile nicht mehr so oft genutzt werden wie früher, nutzen diese Listen von Passwörtern, die mit hoher Wahrscheinlichkeit richtig sein könnten, oder bereits in früheren Hacks erbeutet wurden. Wenn man also  Passwort-Tools wie KeePass 2 oder Lastpass nutzt, kann man sich Passwörter mit Buchstaben, Zahlen und Zeichen generieren lassen. Diese wird man zwar nicht auswendig lernen, jedoch sind sie auch weniger angreifbar. Zudem bieten einige Unternehmen, wie z.B. Google eine zweifach Authentifizierung an, über die ich vor geraumer Zeit und Caschy heute geschrieben hat.

Aber das beste Passwort nutzt halt nichts, wenn man authorisierte Personen so manipulieren kann, dass Sie einem glauben, jemand anderes zu sein und somit ungewollt helfen, an Passwörter o.ä. zu kommen.

Moral der Geschichte: Sichert eure Daten auch lokal und verbreitet nicht den Mädchennamen eurer Mütter :))

(via, via)