Angriffspunkt Mensch

00:00:00: Bevor es den Begriff Social Engineer überhaupt gab, sprach man einfach von Trickbetrügern.

00:00:05: Denn bei einer Betrugsmasche geht es darum, das Vertrauen von jemandem zu gewinnen und ihn dann übers Ohr zu hauen.

00:00:11: Social Engineers gewinnen das Vertrauen von Leuten, um sie auszutricksen.

00:00:16: Ist dasselbe.

00:00:18: Einer meiner Lieblingstrickbetrüger war George C. Parker.

00:00:21: Er verdiente seinen Lebensunterhalt damit, Dinge zu verkaufen, die ihm gar nicht gehörten.

00:00:26: Er lebte Anfang des zwanzigsten Jahrhunderts in New York City.

00:00:29: Damals zogen viele Einwanderer in die Stadt und er wollte ihre Ahnungslosigkeit ausnutzen.

00:00:34: Achtzehntundundneunzig wurde Grant's Tomb abbaut, die letzte Ruhestätte von Ulysses S. Grant.

00:00:40: Es steht mitten in Manhattan und ist ein wirklich beeindruckendes Denkmal.

00:00:44: Man kann sogar hineingehen und sich den Sarg ansehen.

00:00:47: Eine beliebte Touristenattraktion.

00:00:49: Als George C. Parker sah, wie viele Menschen zu Grant's Tomb strömten, wollte er damit irgendwie Geld verdienen, aber nicht mit dem Verkauf von Popcorn, Hot Dogs oder Blumen.

00:01:00: Nein, George's Idee war, Grant's Tomb selbst zu verkaufen, obwohl er ihm gar nicht gehörte.

00:01:06: Er machte sich also daran, gefälschte Dokumente aufzusetzen, die ihn als Enkel von Ulysses S. Grant auswiesen.

00:01:13: Dann mietete er ein Büro, um solchen Geschäften einen seriösen Anstrich zu geben.

00:01:18: Und anschließend zog er durch die Stadt, um nach Opfern zu suchen.

00:01:22: In New York City sind viele Leute unterwegs, die sich die Schuhe putzen lassen oder eine Zeitung kaufen.

00:01:27: Da kommt man leicht mit jedem ins Gespräch.

00:01:29: George fand jemanden, der Interesse daran hatte, Grant's Tomb zu kaufen.

00:01:34: Er fehlte einige Dokumente, die ihn als Besitzer auswiesen und erzählte dem Opfer, es könne mit dem Ort eine Menge Geld verdienen, wenn es einfach eintritt, von den Leuten verlangen würde, die sich den Sarg ansehen wollen.

00:01:46: Also schlossen sie das Geschäft ab.

00:01:48: Er verkaufte Grant's Tomb an jemanden, Obwohl der ihm nicht gehörte.

00:01:53: In den folgenden Jahrzehnten verkaufte George C. Parker Dutzende weitere Wahrzeichen in New York City.

00:01:58: Er verkaufte die Rechte an Theaterstücken und Opern.

00:02:01: Einmal verkaufte er den Madison Square Garden, ein anderes Mal das Metropolitan Museum of Art.

00:02:07: Und sogar die Freiheitsstatue.

00:02:09: Aber mein Lieblingsstück, das er verkauft hat, war die Brooklyn Bridge selbst.

00:02:13: Er erzählte den Leuten, sie könnten ein Mauthäuschen auf der Brooklyn Bridge errichten und mit den ganzen vorbeifahrenen Autos ein Vermögen verdienen.

00:02:21: Die Masche war so gut, dass George die Brooklyn Bridge manchmal zweimal pro Woche verkaufte.

00:02:27: Die Stadtverwaltung musste oft anrücken und die Opfer davon abhalten, Mauthäuschen auf der Brücke zu errichten.

00:02:33: Daher kommt die englische Redewendung.

00:02:35: Wenn du das glaubst, habe ich hier noch eine Brücke zu verkaufen.

00:02:41: Dies sind wahre Geschichten von der dunklen Seite des Internets, aufgezeichnet von Jack Reesider.

00:02:48: Wir sind Marco Pauli und Isabel Grünewald von Heise Online und wir bringen euch Darknet Diaries auf Deutsch.

00:03:11: Wollen

00:03:14: wir damit anfangen, wer du bist und was du machst?

00:03:21: Na klar, ist allerdings auch eine vielschichtige Frage.

00:03:24: Also ich bin Chris Hadnaggy und in erster Linie CEO oder witzigerer Titel Chief Human Hacker von Social Engineer LLC.

00:03:33: Ich betreibe aber auch Social Engineer.org, eine kostenlose Anlaufstelle für Social Engineers oder Leute, die sich einfach fürs Thema interessieren.

00:03:42: Und dann leite ich auch noch eine gemeinnützige Organisation namens The Innocent Lives Foundation.

00:03:51: Und

00:03:55: wie bist du zum Social Engineering gekommen?

00:04:04: Ja, das ist ganz lustig.

00:04:05: Ich habe in der Branche gearbeitet, aber eher Schwachstellenanalysen gemacht.

00:04:09: Ich nehme an, viele von uns haben so angefangen, obwohl ich mir da nicht sicher bin.

00:04:13: Damals habe ich mich also eher mit, ich würde sagen, sehr grundlegend das Sicherheit beschäftigt und Schwachstellenanalysen durchgeführt.

00:04:21: Dann aber habe ich einen Pen-Testing-Kurs belegt, wo ich also gelernt habe, gezielt in IT-Systeme einzudringen.

00:04:28: Und ich wurde gerade zu süchtig danach.

00:04:29: Ich habe mehr Zeit in den Pen-Testing Übungsumgebungen verbracht, als es eigentlich gut für mich war.

00:04:36: Aber ich habe dann irgendwann einen Server geknackt, dem bis dahin noch niemand geknackt hatte und daraufhin bekam ich einen Jobangebot von Offsac als deren Ops Manager.

00:04:46: Während meiner Arbeit da habe ich dann gelernt, was echtes Pentesting ist und wie man es macht.

00:04:52: Gemerkt habe ich dabei aber auch, was meine eigentliche Stärke in dem Bereich ist, nämlich der Umgang mit Menschen, mit ihnen zu reden und zu wissen, wie man sie beeinflusst.

00:05:02: Dann habe ich angefangen, ein Framework für Social Engineering zu schreiben.

00:05:06: Immer noch auf der Website, Social Engineer Borg zu finden übrigens.

00:05:11: Als dieses Framework veröffentlicht wurde, bekam ich dann ein Angebot, mein erstes Buch zu schreiben, das allerdings niemand gelesen hat.

00:05:18: Und daraus entstand dann meine Firma.

00:05:21: Und jetzt, elf Jahre später, sind wir hier.

00:05:28: Vor über einem Jahrzehnt hat Chris die Website social-engineer.org ins Leben geofen.

00:05:34: Dort begann er, ein Framework für Social Engineering zu entwickeln.

00:05:37: Eine Art Anleitung, wie man dabei vorgeht.

00:05:40: Er verfasste einen Ethikkodex, definierte eine Reihe von Begriffen und skizzierte viele der verschiedenen Methoden und Angriffe.

00:05:53: Ich wollte Social Engineering aus wissenschaftlicher, aber auch aus künstlerischer Sicht verstehen.

00:05:58: Ich habe mir einfach meinen Bücherregal angesehen.

00:06:01: Das Buch hier habe ich gelesen, weil ich dieses oder jenes Thema verstehen wollte.

00:06:06: Sagen wir mal Einfluss.

00:06:07: Robert Chardinis Buch dazu habe ich gelesen, ja, regelrecht studiert, um das Thema Einfluss, Einflussnahme zu verstehen.

00:06:15: Ich habe dann die Prinzipien daraus genommen und sie in einer Fishing-Email ausprobiert oder als wir in ein Gebäude eingebrochen sind.

00:06:23: Das habe ich dann aufgeschrieben.

00:06:25: So habe ich meine Bücher durchforstet und einfach zu zusammengefasst, welche Fähigkeiten ich verwendet habe, wo und wie ich sie gelernt habe.

00:06:33: Ich habe dann so neun oder zehn Monate gebraucht, um das Social Engineering Framework zu entwickeln, das heute noch auf der Website zu finden ist.

00:06:41: Es wird natürlich immer aktualisiert.

00:06:46: Chris hier, der Chief Human Hacker, hat also buchstäblich das Standardwerk über Social Engineering geschrieben.

00:06:53: Inzwischen sind es sogar drei.

00:06:55: Aber Jahrzehnte hat er zusätzlich zu dem Framework, an dem er schrieb, auch Newsletter über Social Engineering verfasst und einen Podcast dazu herausgebracht.

00:07:07: Dann haben Firmen angerufen, die das mitbekommen hatten.

00:07:10: Es war ja das erste Mal, dass das jemand so definiert hat.

00:07:13: Und die haben dann gefragt, ob wir ihre Firma testen könnten.

00:07:16: Ja, ob wir einen Pen-Test bei ihnen machen könnten oder ob wir sie fischen könnten und dann erklären, wie wir das geschafft haben.

00:07:24: Ich sagte, na klar, das können wir gerne versuchen.

00:07:27: Es gab damals noch keine Firmen, die das gemacht haben.

00:07:30: Und wir haben uns dann nicht nur gefragt, wie wir das den berechnen, sondern auch ganz grundsätzlich, wie man daraus ein Geschäft aufbauen könnte.

00:07:38: Das haben wir dann alles nach und nach rausgefunden.

00:07:41: Und so ist meine Firma entstanden.

00:07:43: Das war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war,

00:07:50: es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es war, es

00:07:54: war, Ihr wisst, was eine Fishing-Email ist, oder?

00:07:56: Eine E-Mail, die euch dazu bringen soll auf einen Link zu klicken, der euch irgendwie schadet.

00:08:02: Sei es, dass ihr Malware herunterladet, betrogen werdet oder was auch immer.

00:08:06: Wenn Chris einen Anruf bekommt, um eine Fishing-Kampagne gegen ein Unternehmen durchzuführen, bietet er zwei Optionen an.

00:08:17: Es

00:08:18: gibt das Security Awareness Fishing und dann das Pentest Fishing.

00:08:21: Beim Security Awareness Fishing, also dem, dass Sicherheitsbewusstsein schaffen soll, da geht es um den Lerneffekt.

00:08:29: Das wird normalerweise unternehmensweit gemacht, also bei allen, egal ob es ein tausend oder hunderttausend Leute sind.

00:08:35: Das machen wir jeden Monat.

00:08:37: Und das Ziel ist, die Leute dazu zu bringen, auf einen Link zu klicken, der sie dann auf eine Schulungsseite führt.

00:08:44: Da geht es darum, ihnen beizubringen, wie sie Fishing erkennen und richtig melden.

00:08:48: Beim Pen-Test-Fishing ist das Ziel ein anderes.

00:08:51: Da wollen wir Anmeldedaten stehlen, da wollen wir einen Implantat installieren, um einen Trojaner oder Malware auf den Rechner zu bekommen.

00:09:00: Wir haben da also das Ziel, das Netzwerk und die Personen für den von uns durchgeführten Pen-Test anzugreifen, zu manipulieren und zu schädigen.

00:09:11: Nun, ich habe selbst als Sicherheitsingenieur mit, ich weiß nicht, Hunderten von Kunden gearbeitet.

00:09:17: Und glaubt mir.

00:09:17: Keiner von ihnen war daran interessiert, dass ich Fishing-Angriffe auf ihre Mitarbeiter durchführe.

00:09:23: Sogar meine eigene Firma, für die ich gearbeitet habe, wollte nicht, dass ich Fishing-Tests an unseren eigenen Mitarbeitern durchführe.

00:09:30: Es ist heute schon eine Seltenheit, das Firmenversuchen, ihre Mitarbeiter zu fischen.

00:09:35: Aber im Jahr war es extrem selten.

00:09:41: Ich

00:09:42: wurde von einem echt großen Finanzinstitut angerufen, die gesagt haben, dass sie intern schon ein weiles Social-Engineern und das jetzt unser Framework nutzen.

00:09:51: Und die haben dann gefragt, ob wir bereit wären, mit ihnen zusammenzuarbeiten, um ihre Leute zu testen.

00:09:57: Das hat mich richtig überrascht, denn ich habe ähnliche Erfahrungen gemacht wie du.

00:10:01: Da haben wir einen Pan-Test für einen Kunden durchgeführt und dann gefragt, ob wir nicht auch ein paar Fishing-Mails verschicken sollten und die meinten auch nur, ne, interessiert uns nicht.

00:10:11: Ich habe sie dann kostenlos angeboten und meinte, wenn es euch gefällt, können wir ja über eine Bezahlung reden.

00:10:17: Die meinten dann, okay, ja, du kannst ein paar schicken.

00:10:21: Die funktionierten dann immer und dann sagten sie, nee, dafür wollen wir nicht bezahlen, die funktionieren zu gut.

00:10:27: Ich habe nur gedacht, dass wir es ja genau deshalb machen sollten.

00:10:30: Es gab also überall so eine Blockade.

00:10:33: Aber dann kam dieses große Finanzinstitut und plötzlich sind wir voll dabei, Social Engineering Tests und Fishing und all diese anderen Arbeiten in einem großen globalen Unternehmen durchzuführen.

00:10:45: Und das hat sich dann rumgesprochen.

00:10:47: Dann kamen andere Firmen, die meinten, okay, wenn ihr das bei denen macht, sollten wir das vielleicht auch in Betracht ziehen.

00:10:54: Ja, und das war der Moment, in dem wir da saßen und nicht wussten, wie wir die ganzen Sachen eigentlich berechnen sollten.

00:10:59: Man konnte ja auf keiner Plattform nachsehen, was ein typischer Social Engineer verdient.

00:11:04: Wir haben es dann einfach nach und nach herausgefunden.

00:11:07: Aber die ersten fünf Jahre waren extrem mühsam.

00:11:10: Wir haben Firmen angesprochen, denen oft nicht klar war, warum sie das überhaupt machen sollten.

00:11:15: Da war viel Aufklärungsarbeit nötig.

00:11:18: Als die Medien dann aber anfingen, darüber zu berichten über Fishing-Angriffe ... Über Wishing-Angriffe, also betrügerische Telefonanrufe oder über Social Engineering-Angriffe mit Identitätsdiebstahl, kam immer mehr Aufmerksamkeit.

00:11:34: Da hörten dann Firmen auch die Führungsebenen davon, und es wurde ihnen bewusst, dass das alles einfach ein echtes Problem darstellen kann.

00:11:43: Ja, und dann wurde es einfacher, solche Dienstleistungen zu verkaufen.

00:11:47: Heute wissen fast alle Unternehmen, dass sie Social Engineering-Dienste benötigen.

00:11:52: Aber na klar, heute gibt es, anders als früher, auch viel mehr Konkurrenz.

00:11:57: Es ist wie in jeder anderen Branche auch.

00:11:59: Jetzt können sie sich aussuchen, mit wem sie zusammenarbeiten wollen.

00:12:06: Chris wird manchmal beauftragt, allen Mitarbeiterinnen und Mitarbeitern eines Unternehmens Fishingmails zu schicken.

00:12:12: Das Ziel ist es, die Mitarbeitenden für diese Art von Angriffen zu sensibilisieren und zu schulen.

00:12:23: Wir

00:12:23: haben drei verschiedene Fishingmail-Stufen eingerichtet.

00:12:26: Nehmen wir an, das Thema der Fishingmail ist bei allen dasselbe.

00:12:30: Eine Nachricht an die vielen Homeoffice-User, in der es um vermeintliche neue Homeoffice-Richtlinien geht.

00:12:36: Eine Fishing-Mail auf der einfachsten Stufe sieht aus, als wäre sie komplett zufällig bei dir gelandet.

00:12:42: Sie ist nicht personalisiert, nicht im Firmendesign gehalten und hat Rechtschreib- und Grammatikfehler.

00:12:48: Die Stufe II-Mail ist ebenfalls nicht personalisiert, aber fehlerfrei.

00:12:52: Die sieht schon etwas realistischer aus.

00:12:54: Und die Stufe III-Mail sieht aus, als käme sie tatsächlich direkt von deiner Personalabteilung.

00:13:01: All diese Fishing-Mails sollen die Mitarbeitern zwei Dinge beibringen.

00:13:05: Erstens können sie die Fishing-Mail erkennen.

00:13:08: Wir zeichnen dabei viele Daten auf.

00:13:10: Zweitens wurde es ordnungsgemäß gemeldet, wenn es erkannt wurde.

00:13:14: Und wenn nicht, sind diese Leute auf die angegebene Landing-Page gegangen und haben sie die Informationen gelesen in Bezug auf Sicherheitsbewusstsein.

00:13:24: Informationen, die sonst gerne in zehn, fünf, zehn oder zwanzigminütigen CBTs vermittelt werden.

00:13:30: Das war's.

00:13:31: Das war's.

00:13:33: CDTs sind computerbasierte Schulungen, also die typischen Security Awareness Trainings, die man in einer Firma bekommt.

00:13:43: Ja, die sind nicht so toll.

00:13:44: Sie können schon ihren Sinn haben, aber für das, worüber wir hier sprechen, sind sie eigentlich nicht ideal.

00:13:50: Man will eigentlich jemandem Informationen geben, die er oder sie in sechszig bis neunzig Sekunden verarbeiten kann.

00:13:57: Es sollte so etwas sein wie, du hast gerade auf eine Fishing Mail geklickt.

00:14:01: So hättest du sie erkennen können.

00:14:03: Bitte melde sie an dieser Adresse.

00:14:06: Ein solches Security Awareness Fishing Programm trägt dazu bei, das haben wir festgestellt, dass die Idee des Fishings in den Köpfen hängen bleibt.

00:14:15: Etwa einen Monat lang sind die Mitarbeiter dann viel aufmerksamer für alle Fishing-Mails.

00:14:24: Diese Art von Training funktioniert erstaunlich gut.

00:14:27: Es bleibt wirklich bei den Mitarbeiterinnen und Mitarbeitern Hängen, die auf den Link geklickt haben und gefischt wurden.

00:14:33: Diese sechzig Sekunden, in denen sie erfahren, dass sie auf einen bösartigen Link geklickt haben, sind ein sehr starker emotionaler Moment.

00:14:40: Ihre Online-Wahrnehmung und digitale Hygiene werden sofort auf ein neues Level gehoben.

00:14:48: Wichtig

00:14:48: ist ein einheitlicher Ansatz und dass dieser konsequent umgesetzt wird.

00:14:53: Es dürfen keine möglicherweise verletzenden Botschaften enthalten sein.

00:14:57: Wenn wir zum Beispiel Leute mit Fishingmails belästigen, die lauten, unter diesem Link finden sie heraus, wer im Büro mit einer ansteckenden Krankheit diagnostiziert wurde, dann könnte das verletzend sein.

00:15:10: wenn jemand ein Familienmitglied durch die Krankheit verloren hat.

00:15:15: Ein Programm muss also gestuft, konsequent, regelmäßig sein und darf keine moralische Grenze überschreiten.

00:15:22: Ein gelungenes Beispiel dafür ist eine Firma, die wir fünf Jahre lang gefischt haben.

00:15:27: Nach drei Jahren konsequenten Fishings hatten sie eine seventy- acht Prozentige Reduzierung von tatsächlicher Malware in ihrem Netzwerk, weil die Leute Fishingmails erkannten und richtig meldeten, ohne darauf zu klicken.

00:15:44: Ziemlich beeindruckend, oder?

00:15:46: Fishing-Kampagnen als Teil eines Security Awareness Trainings für alle Mitarbeiterinnen und Mitarbeiter durchzuführen, scheint eine absolut naheliegende Maßnahme zu sein, um die Sicherheit eines Unternehmens zu verbessern.

00:15:58: Denn ein Großteil der Malware gelangt in ein Unternehmen, weil Leute auf Fishingmails klicken.

00:16:04: Es ist verrückt, dass diese Angriffe heute immer noch so wirksam sind, obwohl die meisten Leute über Fishing Bescheid wissen und immer wieder ermahnt wurden, nicht auf verdächtige Links zu klicken.

00:16:15: Wisst ihr, was ich bei meinen Firmen schon erlebt habe?

00:16:17: Wo ich früher gearbeitet habe, gab es einen Bonus für Mitarbeiter, die gesundes Verhalten zeigten.

00:16:23: Wenn du also nicht geraucht hast, zur Vorsorge untersuchen gegangen bist und regelmäßig Sport getrieben hast, wurde das belohnt.

00:16:29: Und du bekamst einen Gesundheitsbonus von fünfhundert Dollar extra pro Jahr.

00:16:34: Aber einige Unternehmen gehen noch einen Schritt weiter und belohnen Mitarbeiter, die eine gute Sicherheit zu gehen und an den Tag legen.

00:16:42: Wenn du also zum Beispiel jeden Monat mit Fishingmails getestet wirst und bestehst, die zwei Faktor-Authentifizierung korrekt implementiert hast, ein Passwortmanager verwendest und ein Jahr lang wirrenfrei bleibst, könntest du auch einen digitalen Gesundheitsbonus bekommen.

00:16:57: Denn einige Unternehmen können wirklich Geld sparen, indem sie ihre Mitarbeiterinnen und Mitarbeiter dazu ansparen, wachsamer und sicherer zu sein.

00:17:06: was zu weniger Infektionen im gesamten Unternehmen führt, weil der allgemeine Sicherheitsgewinn die Kosten überwiegt.

00:17:14: Aber genug vom Security Awareness Training.

00:17:16: Ich will eine Geschichte hören, in der Chris ein Penetrationstest bei einem Kunden durchführen musste.

00:17:24: Ich hatte Ryan gerade eingestellt, erst heute mein Betriebsleiter.

00:17:28: Wir haben gerade erst angefangen zusammenzuarbeiten.

00:17:31: Es war buchstäblich einer unserer ersten gemeinsamen Jobs vor ein paar Jahren.

00:17:36: Wir wurden beauftragt, in ein paar Banken auf Jamaica einzubrechen.

00:17:40: Das war sehr interessant, weil es mein erster Einbruch in Banken in einem anderen Land war.

00:17:45: Wir wussten nicht, was uns da erwarten würde, z.B.

00:17:49: ob die Leute bewaffnet sein würden, wenn wir ankamen oder wie feindselig sie auch reagieren könnten.

00:17:58: Ihre Aufgabe war es, mitten am Tag in die Bank zu gelangen.

00:18:01: Es ging darum zu sehen, ob sie an den Sicherheitsvorkehrungen vorbeikommen und in die inneren Bereiche der Bank gelangen konnten, denn diese Bank war normalerweise kein Ort an dem Kunden ein- und ausgehen.

00:18:13: Zwei Ausländer, die einfach von der Straße hereinkommen, ohne dort etwas zu suchen zu haben, sollten nicht in dieses Gebäude gelangen können.

00:18:20: Die Sicherheitsleute sollten sie an der Eingangstür aufhalten.

00:18:23: Aber wenn sie reinkämen, sollten die Türen zu allen sicheren Bereichen im Gebäude verschlossen sein.

00:18:32: Eine

00:18:33: unserer Aufgaben war es, einen USB-Stick in irgendwelche Computer zu stecken und das Netzwerk zu hacken.

00:18:39: Wir hatten dafür verschiedene Software und Malware auf den USB-Sticks und sollten zeigen, dass wir dazu in der Lage gewesen wären.

00:18:47: Wir durften also nichts wirklich stehlen oder insensible Bereiche der Bank eindringen.

00:18:53: Aber wenn wir Zugang zum Netzwerk bekämen, wollten sie, dass wir beweisen, dass wir zerstörerisch hätten wirken können.

00:19:00: Sie wollten, dass wir auch Software und Tools dabei hatten, die das Ganze aufzeichnen, damit wir ihnen richtig zeigen konnten, was wir da taten.

00:19:11: Zusätzlich sollten sie alle Sicherheitsprobleme melden, die sie auf dem Weg fanden.

00:19:15: Das Ziel ist gesetzt, Zeit sich an die Arbeit zu machen.

00:19:21: Wir

00:19:21: haben allerhand Osint-Recherchen durchgeführt und dabei herausgefunden, dass die Bank gerade von einem amerikanischen Unternehmen überprüft wurde.

00:19:30: Okay, Osint steht für Open Source Intelligence, also das Sammeln von Informationen aus öffentlichen Quellen.

00:19:38: Dabei sucht man in öffentlichen Online-Bereichen nach privaten Informationen über Unternehmen.

00:19:43: Chris hat nicht gesagt, wie er es gemacht hat, aber so würde ich anfangen.

00:19:47: Zuerst geht man zum LinkedIn-Profil des Unternehmens.

00:19:50: Dort sind normalerweise eine Reihe von Mitarbeiterinnen und Mitarbeitern aufgeführt, die für dieses Unternehmen arbeiten.

00:19:56: Von dort aus sieht man vielleicht Mitarbeiter, die direkt auf LinkedIn-Dinge posten, wie, uuh, schon wieder Auditzeit, kaum zu fassen.

00:20:04: Aber wenn keine solche Hinweise auftauchen, kann man noch einen Schritt weitergehen.

00:20:08: Man nimmt die Namen der Mitarbeiter von LinkedIn und versucht, ihre Facebook-Profile zu finden, um zu sehen, was sie dort posten und schaut sich das alles an.

00:20:18: Wenn dort nichts zu finden ist, geht man noch einen Schritt weiter.

00:20:21: Man versucht mit diesem Namen ihr Reddit-Profil oder ihren Stack-Overflow-Namen oder einen Twitter-Namen oder etwas anderes zu finden, um dann diese Beiträge zu durchforsten.

00:20:32: Man hangelt sich immer weiter vor und findet schließlich jemanden, der irgendwo etwas postet, was er nicht posten sollte.

00:20:39: In diesem Fall fand Chris Leute die Informationen über eine Netzwerksicherheitsüberprüfung posteten, die von einer amerikanischen Firma bei dieser jamaikanischen Bank durchgeführt wurde.

00:20:50: Genauer gesagt war es ein PCI-Audit, was für Payment Card Industry steht.

00:20:56: Im Grunde muss jedes Unternehmen das Kreditkarten abwickeln will, ein jährliches PCI-Audit bestehen.

00:21:02: Da Chris und Ryan beide aus den USA kommen und die Besonderheiten von PCI kennen, Wäre das eine perfekte Tarnung oder ein perfekter Vorwand?

00:21:11: Sie wollten sich als PCI-Prüfer ausgeben, um Zugang zum Gebäude zu erhalten.

00:21:18: Wir haben Visitenkarten und Hemden mit dem Namen dieser Firma drucken lassen, haben ein paar Klemmberetter mitgenommen und sind dann in Jamaica angekommen.

00:21:30: Am

00:21:31: ersten Tag sind wir zum Standort gefahren, um uns dort umzusehen.

00:21:35: Es ist ein ziemlich großes Gebäude, drei oder vier Stockwerke hoch, riesig und quadratisch.

00:21:41: Der gesamte Parkplatz ist von einem Zaun umgeben, an dem Stacheldraht angebracht ist.

00:21:47: Wenn man auf dem Parkplatz kommt, steht dort ein Wachmann und am Rand ist da ein Wachhäuschen mit zwei Wachleuten drin.

00:21:56: Sie fahren zum Wachposten, bereit, sich irgendwie hineinzulügen.

00:22:02: Das Tagsüberwahr ging da Kunden ein und aus.

00:22:05: Wir wurden am Tour dann auch nur kurz gestoppt.

00:22:07: Wir haben dann aber einfach gesagt, dass wir Bankgeschäfte zu erledigen haben und sie ließen uns direkt und ohne Probleme rein.

00:22:15: Als sie den Parkplatz betreten, sehen sie ein paar Typen auf Dirtbikes vorbeifliessen.

00:22:20: Sie waren nicht nur auf Dirtbikes, sondern als sie vorbeifuhren, sahen Chris und Ryan dass an der Seite der Dirtbikes abgesegte Schrotflinden montiert waren.

00:22:31: Das war die Security, das war das Bank-Sicherheitspersonal.

00:22:35: In den USA ist das normalerweise ein Wachmann, der vielleicht eine Waffe am Gürtel hat, der aber am Schreibtisch sitzt oder vorne.

00:22:44: Die Typen aber waren auf Dirtbikes unterwegs und fuhren über den Parkplatz.

00:22:49: Als wir das sahen, dachten wir nur,

00:22:50: was?

00:22:55: Als

00:22:56: wir vorbeifuern, ich erinnere mich, sahen wir uns an und hatten beide den gleichen Gedanken, ziehen wir das jetzt wirklich hier durch.

00:23:03: Ryan meinte dann auch, ey, das habe ich so nicht unterschrieben.

00:23:07: Ich meinte, hm, hast recht, aber der ganze weite Weg von Amerika nach Jamaica wäre ja schon schade, wenn wir es nicht mal versuchen würden, oder?

00:23:15: Er meinte, ey, die heizen hier auf Dirtbikes rum und tragen Schrotflinten.

00:23:20: Ich meinte, ja, ja, kommt schon ein bisschen strange rüber, aber im Grunde ist ja auch nur eine Waffe, oder?

00:23:26: In den USA brechen wir auch in bewaffnete Einrichtungen ein, da riskieren wir auch erschossen zu werden.

00:23:32: Ja, okay, die fahren da nicht auf Dirtbikes auf dem Parkplatz rum, aber trotzdem, ob man nun von einer Schrotflinte ein Gewehr oder einer halbautomatischen getroffen wird, macht eigentlich keinen Unterschied oder alles ätzend.

00:23:46: Und wir machen halt solche Jobs.

00:23:48: Insgesamt war das, würde ich sagen, keine wirklich gute Argumentation, aber Ryan machte dann mit.

00:23:54: Wir wollten es also tun.

00:23:56: Rückblickend, würde ich aber sagen, dass das insgesamt ein wirklich beängstigender Moment war.

00:24:07: Sie atmet ein Tief durch.

00:24:09: Fuhren durch den Parkplatz und parkten.

00:24:11: Die Dirtbikes flitzten vorbei und sorgten für ein ganz neues Stresslevel, mit dem sie nicht gerechnet hatten.

00:24:17: Sie stiegen also aus dem Wern und machten sich bereit.

00:24:20: Sie zogen ein Hemd mit dem Namen der Firma an, die das Audit durchführte.

00:24:24: Sie hatten ihre gefälschten Visitenkarten dabei und natürlich ... Mein Favorit.

00:24:30: Das

00:24:30: Klemmbrett und das ist Hohl.

00:24:33: Darin stecken USB-Sticks und andere Werkzeuge, die wir brauchen könnten.

00:24:37: Dietriche, eine Kamera, mit der wir die Dinge filmen konnten, lauter Sachen, die wir unsichtbar dabei haben, wenn wir da reingehen.

00:24:45: Sie sehen sich dieses Gebäude an.

00:24:50: Das Gebäude ist aus verspiegelten Glas.

00:24:52: Man kann also beim Herangehen nicht durch die Fenster sehen.

00:24:56: Sie hatten sich ein paar Informationen darüber besorgt, was sich in diesem Gebäude befindet, bevor sie reinkamen.

00:25:02: Also wussten sie, wie es drin aussieht, bevor sie überhaupt reingehen.

00:25:07: Wenn

00:25:07: man die Vordertüren öffnet, ist da direkt ein Schreibtisch, an dem Wachleute sitzen und daneben ein Metalldetektor.

00:25:14: Man muss also direkt an den Wachleuten vorbei, um zur Treppe zu gelangen.

00:25:19: Es ist der einzige Zugang zum Gebäude.

00:25:21: Man kann zwar auch zur Rückseite gehen, wo ein paar Laderampen und andere Bereiche sind, aber die Vordertür und an den Wachleuten vorbei, das war der einzige Zugang, um zum Rest der Bank zu gelangen.

00:25:37: Sie gehen auf das Gebäude zu.

00:25:42: Als

00:25:42: wir näher kam, meinte ich zu Ryan, Ich nehme einfach mein Handy und tue so, als ob ich ein Gespräch führe.

00:25:48: Wenn wir drin sind, sage ich dann so was wie, alles klar, wir kommen jetzt hoch.

00:25:53: Warte einfach, wir beenden die Prüfung in einer Minute.

00:25:56: Und wir gehen dann einfach an das Security vorbei, als ob wir hierher gehören.

00:26:01: Und du meinst, das klappt?

00:26:03: Meinte Ryan zu mir und ich meinte, werden wir ja sehen.

00:26:10: Ja,

00:26:10: und dann öffne ich die Vordertür, gehe rein, nehme mein Handy, halte es mir ans Ohr und sage, ja, ja, Jack, wir sind vorne, wir kommen jetzt hoch.

00:26:20: Und wir gehen dabei direkt an das Security vorbei.

00:26:23: Und sie halten uns nicht an.

00:26:25: Sie zucken nicht mal mit der Wimper.

00:26:27: Man hat da natürlich keine Zeit, innezuhalten und sich zu wundern.

00:26:30: Aber als wir die Treppe erreichen, denken wir beide, was zum Teufel das war.

00:26:35: Viel zu einfach.

00:26:36: Oben angekommen bemerken wir, dass wir auch hier keine Zeit haben, anzuhalten oder durchzuatmen oder überhaupt herauszufinden, wohin wir gehen sollen.

00:26:44: Ich biege einfach um die Ecke.

00:26:46: Und da sehe ich ein Raum und ein Schild, auf dem steht ATM Testing Center.

00:26:51: Geldautomaten also.

00:26:53: Eine Frau geht direkt vor uns in den Raum hinein.

00:26:56: Ich entscheide mich einfach, ihr hinterherzugehen.

00:26:59: Ryan folgt mir.

00:27:00: Wir betreten also hinter ihr den Raum.

00:27:03: Aber dann dreht sie sich um.

00:27:05: Sie wirkt einigermaßen erschrocken, schaut mich nur an, als wollte sie sagen, was machen Sie hier?

00:27:10: Ich sag dann, ah, wir sind hier, um die Prüfung für PCI durchzuführen.

00:27:15: Wir sind aber auch bald fertig.

00:27:17: Sie dann, okay, dann dreht sie sich einfach um und lässt uns in den Raum hinein.

00:27:26: Sie haben es geschafft.

00:27:28: Sie sehen sich in diesem Raum um.

00:27:30: Es scheint der Ort zu sein, an dem Sie Geldautomaten reparieren.

00:27:33: große Maschinen, die vielleicht Bargeld enthalten oder auch nicht.

00:27:36: Aber sie sind alle in Einzelteilen im Raum verteilt.

00:27:43: Ryan

00:27:44: klettert dann buchstäblich rein in diese riesigen Geldautomaten, macht Fotos von all den ganzen Platinen und Teilen.

00:27:52: Da war ein Mann an einem Computer, der einen Geldautomaten testet.

00:27:56: Ich bin dann zu ihm und fragte ihn, ob er mir erklären könne, was er da tut.

00:28:01: Und er führt mich durch das ganze Prozedere, wie sie ihre Geldautomaten programmieren und zeigt mir die Software und alles.

00:28:08: Er gibt mir im Grunde eine kostenlose Schulung über Geldautomaten.

00:28:12: Und ich filme das ganz erheimlich.

00:28:13: Wir waren etwa dreißig Minuten in dem Raum, bis wir dann irgendwann dachten, dass es jetzt eigentlich an der Zeit wäre zu gehen, weil es sonst wirklich vielleicht ein bisschen komisch wirken würde, dass wir hier so tatenlos rumhängen und mit den Leuten reden.

00:28:27: Und wir meinten dann, ja, wir sind jetzt fertig, und dann gingen wir raus.

00:28:34: Denkt daran, Sie sind in Jamaica, also fallen Sie hier auf.

00:28:38: Aber ... Sie hatten einen Trick.

00:28:42: Wir sind die einzigen beiden weißen Männer in dem ganzen Gebäude.

00:28:46: Kulturell auf jeden Fall eine ganz interessante Situation, also wir fielen wirklich auf.

00:28:51: Deshalb haben wir uns dafür entschieden, so zu tun, als würden wir für diese US-amerikanische Prüfungsfirma arbeiten.

00:28:57: So machte es Sinn, dass wir da waren, dass wir also nicht so taten, als wären wir Einheimische, wodurch sie hätten skeptisch werden können.

00:29:04: Und so sagten wir, dass wir gerade erst aus den USA eingeflohen sind, um die Prüfung abzuschließen.

00:29:14: Sie wandern mit dem Klemmbrett in der Hand durch die Gänge und suchen nach etwas anderem Interessantem.

00:29:23: Da

00:29:23: ist ein sehr langer Flur und am Ende des Flurs sind da zwei Glastüren, durch die wir sehen, dass da ein Call Center ist.

00:29:30: Ich kann all die Männer und Frauen an Telefonen und mit Headsets sitzen sehen, an Reihen von Computer.

00:29:37: Direkt neben der Tür ist ein Chip-Lesegerät.

00:29:39: Wir gehen also davon aus, dass die Tür verschlossen ist.

00:29:43: Wir können ja auch nicht einfach dran zerren in diesem Moment.

00:29:46: Ich gehe dann sehr langsam auf die Tür zu, in der Hoffnung, dass jemand rein oder rausgebt, damit ich dann die Tür aufhalten oder vielleicht mit dem Fuß abfangen kann, um also ohne Schlüssel da reinzukommen.

00:29:56: Das kann man natürlich alles überhaupt nicht vorher planen.

00:29:59: Als ich mich dann langsam der Tür nähere, kommt eine Frau heraus.

00:30:03: Ich sage dann, oh, lassen Sie mich Ihnen die Tür aufhalten.

00:30:06: Nicht siehe an der Tür, sie entriegelt sie und ich halte sie für sie auf.

00:30:11: Sie bedankt sich sehr freundlich und Ryan und ich gehen ins Testzentrum.

00:30:20: Sie gelangen in diesem großen Büroraum.

00:30:23: Ryan über Ryan von Schreibtischen und Kabinen sind hier.

00:30:26: Viele Leute überall mit Headsets, die mit Kunden am Telefon sprechen.

00:30:33: Wir

00:30:33: versuchen

00:30:33: dann, einen ruhigen und freien Platz zu finden.

00:30:36: Wir gehen also langsam die Gänge auf und ab.

00:30:39: Dann sehe ich ein Computer, der an ist, auf dem ein Sperrbildschirm zu erkennen ist.

00:30:44: Eine Frau sitzt direkt daneben an ihrem Computer.

00:30:47: Ich spreche sie einfach an.

00:30:49: Ähm, Entschuldigung, ich bräuchte sie mal, damit sie an diesem Computer hier bitte ihr Passwort eingeben.

00:30:54: Sie schaut auf, hält inne, schaut mich an und sagt dann, was?

00:30:58: Wieso?

00:30:58: Was meinen Sie?

00:30:59: Ich sagte dann, ich bräuchte sie bitte, um sich an diesem Computer hier anzumelden.

00:31:04: Sie sagt dann... Aber ich benutze doch den hier.

00:31:08: Ich dann, ja, ich weiß.

00:31:09: Aber ich brauche sie, um sich auch an diesem Computer hier anzumelden.

00:31:13: Dann sagt sie.

00:31:14: Okay, sie steht auf und als sie ihr Passwort eingibt, filme ich sie dabei mit meinem Handy.

00:31:20: Ich halte es dafür über die Tastatur.

00:31:26: Sieht sie, was du machst?

00:31:29: Nein,

00:31:29: sieht sie nicht.

00:31:30: Ich halte mein Handy auf der Rückseite von dem Klemmbrett und ich schau auch währenddessen ganz demonstrativ weg, sodass ich ihr das Gefühl gebe, dass ich auf gar keinen Fall dabei zu sehe, wie sie ihr Passwort eingibt.

00:31:42: Aber ich nehme es halt währenddessen mit meinem Handy auf.

00:31:45: Ich rufe dann zu Ryan rüber, ersetzt sich, holt ein der USB-Sticks raus und beginnt, das Netzwerk von dort aus zu hacken.

00:31:55: Und

00:31:55: während er das macht, drehe ich mich einfach um und bemerke, dass da ein Typ an einem Schreibtisch direkt hinter uns sitzt, etwa zwei Meter entfernt.

00:32:03: Und dass der aufsteht, um, wie ich annehme, auf die Toilette zu können.

00:32:07: Als er weggeht, lässt er sein Computer jedenfalls ungesperrt da.

00:32:11: Er lässt sein Ausweis auf dem Schreibtisch, er lässt alles da.

00:32:14: Ich gehe dann hin zu seinem Computer, setz mich und klick mich durch die Bankbildschirme und Anwendung, dann mache ich ein Foto von seinem Ausweis, um den vielleicht später kopieren zu können.

00:32:25: Dann kommt Ryan rüber und fängt an, diesen Computer zu hacken.

00:32:29: Wir sind jetzt auf diesen beiden Maschinen und denken uns, Okay, wir waren im ATM-Testzentrum, wir haben das Netzwerk gehackt, wir haben zwei verschiedene Maschinen laufen.

00:32:38: Eigentlich ist es an der Zeit, jetzt den Rückzug anzutreten.

00:32:44: Ryan und Chris fangen an, zusammen zu packen und ihre Flucht von dort zu planen.

00:32:50: Während wir darüber nachdenken, wie wir hier rauskommen, kommt eine Frau rüber und fragt, was machen sie hier?

00:32:56: Ich sage, ach so, wir schließen nur die PC-Eilprüfung ab, also testen nur die Geschwindigkeiten auf diesen Computern.

00:33:04: Sie sagt, okay, und geht dann weg.

00:33:06: Ich denke mir, Mann, das war irgendwie viel zu einfach.

00:33:11: Tja,

00:33:11: und zwei Minuten später kommt sie zurück, bei ihr ein Manager.

00:33:15: Und der fragt dann, wer unser Ansprechpartner hier ist.

00:33:19: Ich antworte ihm, ach, wissen Sie, eigentlich haben wir gar keinen Ansprechpartner.

00:33:24: Sie sagt dann, jeder, der in die Bank darf, hat einen Ansprechpartner.

00:33:28: Wie sind Sie hier reingekommen?

00:33:30: Ich sage dann, Ah, wir arbeiten ja mit dieser amerikanischen Auditfirma, mit dieser Prüfungsfirma zusammen.

00:33:36: Ich nenne den Namen und sie sagt, ja, die kenne ich, die sind schon den letzten Monat hier gewesen.

00:33:41: Ich sage dann, genau, und wir schließen nur das Audit zur Rechnergeschwindigkeit und anderen Dingen ab.

00:33:47: Mir wurde nur gesagt, ich soll hier den Test machen.

00:33:50: Ich kann Ihnen meinen amerikanischen Kontakt geben, sage ich dann.

00:33:54: Sie?

00:33:54: Nein, ich brauche Ihren Lokalen.

00:33:56: Und dann sagt sie, kommen Sie mit mir mit.

00:33:59: Sie beginnt, Chris und Ryan zum Sicherheitsschalter am Eingang des Gebäudes zu eskortieren.

00:34:05: Chris ist schon einen Schritt voraus.

00:34:07: Er hat darüber nachgedacht, was er tun würde, wenn er erwischt wird.

00:34:10: Denn es ist nie vorbei, wenn man erwischt wird.

00:34:12: Diese Mission hat sich einfach geändert, um zu sehen, ob man der Gefangennahme entkommen kann.

00:34:18: Chris' Plan war ziemlich brillant.

00:34:20: In ihrem Van auf dem Parkplatz dieses Gebäudes sitzt ein dritter Mann, den sie mitgebracht haben.

00:34:28: Ein Einheimischer aus Jamaika, der für eine Pentest-Firma arbeitet, deren Kunde die Bank war, also die, die uns beauftragt hatten, dahin zu kommen und den Social Engineering-Teil zu machen.

00:34:39: Ich meinte vorher zu ihm, also du sitzt einfach im Van und bist unser lokaler Banker-Typ und du benutzt diesen Namen hier und wenn sie anrufen, meldest du dich als dieser, okay?

00:34:51: Ziemlich

00:34:52: clever.

00:34:53: Jemand mit einem lokalen Akzent, der vorgeben kann, für sie zu bürgen, könnte ein ziemlich überzeugender gefälschter Joker sein, um nicht im Gefängnis zu landen.

00:35:04: Sie bringt uns zur Security und sagt, überprüfen Sie diese Leute.

00:35:08: Und dann geht sie.

00:35:09: Ich sage zu dem Security-Mann, möchten Sie vielleicht mit meinem Kontakt hier in der Bank sprechen?

00:35:14: Er sagt, ja, also rufe ich an.

00:35:19: Chris

00:35:19: benutzt sein eigenes Handy, um seinen Kumpel anzurufen, der nur im Wern auf dem Parkplatz ist.

00:35:24: Um sich als jemand auszugeben, der in dieser Firma arbeitet.

00:35:30: Ich sage also, Team, ich brauche dich kurz, um mit dem Kollegen von der Security zu sprechen.

00:35:36: Und der

00:35:37: Security-Mann fragt ihn dann, kennen Sie diese beiden Leute?

00:35:40: Er nennt dann die falsche Namen von den gefälschten Visitenkarten.

00:35:44: Und unser Mann dann, oh ja, na klar, die arbeiten für die Prüfungsfirma.

00:35:48: Security-Mann, ja, das steht auf Ihrer Karte.

00:35:51: Unser Mann dann, ja, Sie sollen da einen Geschwindigkeits- und Internetverbindungstest durchführen.

00:35:58: Security?

00:35:59: Ja, das haben Sie auch gemacht.

00:36:01: Und dann sagt er, okay, das klingt alles in Ordnung.

00:36:04: Unser Mann dann, ja, super, dann lassen Sie Sie bitte einfach Ihre Arbeit fortsetzen.

00:36:09: Der Security-Mann dann zu uns, okay, Sie sind verifiziert.

00:36:13: Ich meinte, okay, gut, wir machen aber jetzt erst mal eine Pause und kommen dann später wieder.

00:36:19: Ob das wirklich möglich gewesen wäre oder ob eine Rückkehr ins Gebäude uns vielleicht eine Verhaftung eingebracht hätte, war unklar.

00:36:27: Bei Jobs in den Staaten wurde ich schon oft verhaftet.

00:36:30: Da wieder rauszukommen ist relativ einfach.

00:36:33: Ich wusste aber nicht, wie es sein würde, in Jamaica verhaftet zu werden.

00:36:37: Also haben wir beschlossen, das Gebäude zu verlassen.

00:36:39: Außerdem hatten wir das Netzwerk und die Geldautomaten gehackt.

00:36:43: Also dachten wir, ja, eigentlich sind wir hier so gut wie durch.

00:36:47: Wir verließen dann das Gebäude und gingen zu unserem nächsten Standort.

00:36:59: Alle Ziele im ersten Gebäude wurden erreicht.

00:37:02: Rein und raus, kein Problem.

00:37:04: Kinderleicht.

00:37:05: Zumindest für jemanden, der so geschickt ist wie Chris und Ryan.

00:37:08: Zeit zum zweiten Bankgebäude überzugehen.

00:37:11: Das nächste ist jedoch der Standort des NOC.

00:37:14: Das ist das Network Operations Center.

00:37:16: Der Raum, in dem eine Reihe von Netzwerktechnikern und Ingenieuren aktiv nach Netzwerksicherheitsvorfällen im Netzwerk der Bank suchen, um sie zu beheben.

00:37:26: Nun, Chris und Ryan werden gleich zwei große Netzwerksicherheitsvorfälle sein, wenn sie ins NOC gelangen.

00:37:32: Das sollte also ein interessantes Duell werden.

00:37:37: Innerhalb des Bankgeländes, das von außen übrigens genauso aussah wie das andere, also mit Stacheldraht, Zaun und dem ganzen Drum und Dran, innerhalb gab es ein kleineres Gebäude, das von einem weiteren Stacheldraht Zaun umgeben war.

00:37:49: Und das war das NOC, das Network Operations Center.

00:37:52: Wir klingeln.

00:37:53: Der Security-Mann kommt raus und fragt uns, wie wir heißen.

00:37:56: Ich erzähle ihm das und was wir vorhaben.

00:37:58: Er schaut auf seine Liste und sagt, sie stehe nicht auf der Liste.

00:38:01: Ich muss Anrufen und eine Genehmigung einholen.

00:38:04: Ich sage, oh Mann, ja, na klar, alles klar, aber schauen Sie, wir sind zwei US-Amerikaner und die Hitze hier einfach echt nicht gewohnt.

00:38:12: Können wir vielleicht reinkommen und im klimatisierten Raum warten, während Sie die Anrufe tätigen und uns verifizieren?

00:38:19: Er dachte ein paar Sekunden darüber nach und sagte dann, ja ok.

00:38:24: Er drückt den Knopf, entriegelt das Tor und wir gehen rein.

00:38:27: Ich denke, das ist es.

00:38:28: Während er in seinem Büro telefoniert, werden wir das ganze Knock hacken und dann sind wir weg.

00:38:34: Er lässt uns also vorne rein und setzt uns praktischerweise gleich an zwei Computer.

00:38:38: Und ich denke mir, Ryan, sobald er geht, ist es soweit.

00:38:42: Okay, ihr wartet hier, ich muss in mein Büro, meinte er.

00:38:45: Wir alles klar, kein Problem, wir rühren uns nicht.

00:38:48: So schön hier bei der Klimaanlage zu sitzen.

00:38:50: Echt, danke, dass Sie so cool sind.

00:38:52: Er steht auf, geht um die Ecke, ruft dann aber irgendjemand mit etwas zu.

00:38:56: Ich konnte nicht verstehen, was es war, aber eine Sekunde später kommt ein Typ, der war ungelogen, der größte Mann, den ich je in meinem Leben gesehen habe.

00:39:06: Ich bin ja selbst nicht klein, aber der Kerl ließ mich wie ein Miniatur-Menschen aussehen.

00:39:11: Ich schätze, er war zwei Meter zehn groß und noch dazu so breit wie eine Tür.

00:39:17: Er trug eine Schutzweste, in der er in verschiedenen Abständen Messer steckte.

00:39:21: Er hatte einen riesigen Schlagstock an seiner Einhüfte, an der anderen eine abgesickte Schrotflinte.

00:39:27: Und dann war da noch eine Handfeuerwaffe am Gürtel auf der anderen Seite.

00:39:31: Der also kommt zu uns und stellt sich mit verschränkten Armen in den Türrahmen.

00:39:36: Ich hatte mich gerade vorgebeugt, um den Computer zu berühren.

00:39:39: Er sah das und er machte nur, ähm, ähm, genau so.

00:39:43: Ich sagte, nein, nein, ich mach gar nichts, Mann.

00:39:45: Gar nichts.

00:39:46: Ryan beugt sich zu mir rüber und meinte, ich versuch's nicht.

00:39:49: Ich sage, nein, nein, ich versuch's nicht.

00:39:54: An diesem Punkt trifft Chris eine Entscheidung.

00:39:57: Das wird nicht funktionieren.

00:39:59: Zeit, einen Weg zu finden, um zu entkommen.

00:40:01: Aber man will nicht einfach aufstehen und weglaufen, während dieser große Kerl mit Waffen einen Anstatt.

00:40:07: Aber Chris hat sich wirklich gut darauf vorbereitet und hat einen Plan.

00:40:12: An diesem Morgen, bevor er in dieses Gebäude kam, hat er eine Menge Daten über die Firma gesammelt.

00:40:17: Er hat das Internet durchforstet und eine Reihe von Mitarbeitern hier recherchiert und sogar einige Anrufe getätigt, um mit einigen dieser Leute zu sprechen.

00:40:26: All das wurde am selben Morgen erledigt.

00:40:31: Wir sind auf die LinkedIn-Website und haben nach Mitarbeitern der Bank gesucht.

00:40:35: Wir haben da welche gefunden, die ihre Telefonnummern angegeben hatten.

00:40:39: Und wir wollten dann diejenigen anrufen, die in Positionen waren, von denen wir dachten, sie könnten unsere potenziellen Ansprechpartner sein, wenn wir tatsächlich Prüfer gewesen wären.

00:40:50: Also die Verantwortlichen für die Sicherheit oder für IT.

00:40:53: Wir haben die dann also angerufen und ein paar seltsame Fragen gestellt.

00:40:57: Nichts über Prüfungen oder so.

00:40:59: Einfach nur so was wie, oh, hallo, ist da Joe?

00:41:02: Und die haben dann geantwortet, nein, hier ist nicht Joe.

00:41:06: Wir wollten nur Ihre Stimmen hören, weil wir hofften, dass, wenn einer von Ihnen in unserem Jamaikanischen Kontakt ähnlich klang, wenn Sie etwas älter waren und eine raue Stimme hatten, dann könnten wir unseren Mann die Rolle dieses Verantwortlichen etwa für die IT-Sicherheit spielen lassen, der uns dann per Telefon gegebenenfalls eine gefälschte Legitimation geben kann.

00:41:29: Ihr

00:41:32: versteht das, oder?

00:41:33: Sie versuchten, jemanden innerhalb der Firma zu finden, der so klang wie ihr dritter Mann im Wern, damit er am Telefon so tun konnte, als sei er diese Person.

00:41:43: Eine der Leute, die sie versuchten anzurufen, war der Chief Information Officer.

00:41:48: Aber als sie den CIO anriefen, kam sie nie durch.

00:41:53: Die

00:41:53: Sekretärin sagte, nein, er ist leider heute nicht da, er ist auf einer Geschäftsreise auf eine andere Insel geflogen.

00:42:00: Ich fragte dann einfach, wann er denn wohl zurück sei und sie meinte nicht vor heute Nachmittag.

00:42:05: Okay, super meinte ich.

00:42:06: Wir rufen dann später wieder

00:42:07: an.

00:42:08: Er

00:42:09: nahm diese kleine Information, die er früher am Tag gelernt hatte und setzt jetzt im Gebäude mit dem Nock und dieser riesige bewaffnete Wachmann-Stadien an.

00:42:19: Er wartet darauf, dass der andere Wachmann zurückkommt.

00:42:26: Als

00:42:26: der Mann zurückkam, sagte er, Ich kann sie nicht verifizieren.

00:42:30: Niemand weiß, wer sie sind.

00:42:32: Das macht mir ein bisschen Sorgen.

00:42:34: Ich meinte dann, ah, wissen Sie, der Typ, der unser Ansprechpartner sein sollte, ich habe gehört, er ist heute nicht auf der Insel.

00:42:42: Er ist irgendwo auf Geschäftsreise.

00:42:44: Und er meinte, ja, das wurde mir auch so gesagt.

00:42:47: Und das war das Einzige, was uns gerettet hat, weil ich etwas wusste, was er gerade am Telefon erfahren hatte.

00:42:55: Ich meinte dann, okay, ich verstehe das sehr gut.

00:42:58: Erst nun mal unser Kontakt.

00:42:59: Wissen Sie was?

00:43:00: Ich hatte eine Idee.

00:43:01: Er soll doch in ein paar Stunden zurück sein.

00:43:04: Also gehen wir jetzt einfach zu dem anderen Standort, wo wir noch einen Termin haben, erledigen da unsere Arbeit und in ein paar Stunden, wenn unser Ansprechpartner zurück ist, kommen wir einfach wieder.

00:43:15: Er meinte, okay, alles klar.

00:43:18: Wir haben uns verdammt nochmal so schnell es ging von da verzogen und sind gegangen und nie wiedergekommen.

00:43:24: Wir hatten natürlich keine anderen Standorte.

00:43:27: Wir wollten da einfach nur raus, bevor Kinkung uns in kleine Stücke zerlegt.

00:43:31: Wir haben da also gar nichts gemacht, nichts gehackt.

00:43:34: Wir haben es nicht geschafft.

00:43:36: Der Typ hätte uns beide ohne nachzudenken in zwei Hälften brechen können.

00:43:43: Ein Fehlschlag ist in diesem Fall sogar gut.

00:43:46: Es bedeutet, dass ihre Sicherheit besser war als der Angriff von Chris.

00:43:50: Und Chris ist ein Profi.

00:43:52: An diesem Punkt schreiben Chris und Ryan einen vollständigen Bericht und haben ein Treffen mit dem Kunden, um alles durchzugehen.

00:43:58: Ja,

00:43:59: das

00:44:01: mag ich an der Arbeit mit solchen Kunden.

00:44:03: Die waren echt zufrieden mit uns, nicht wütend oder sowas.

00:44:07: Die fanden die Geschichten von beiden Standorten super.

00:44:10: Und auch, wie weit wir gegangen sind.

00:44:12: Sie fanden es aber auch gut, dass wir nicht versucht haben, jetzt jemanden zu schädigen oder so.

00:44:17: Und dass wir auch alle Regeln befolgt haben.

00:44:20: Aber am besten fanden sie, dass wir ihnen gezeigt haben, wo ihre Schwachstellen lagen.

00:44:25: Sie haben gefragt, was uns besser hätte aufhalten können, und ich nannte ein paar Punkte, wo das ohne Probleme hätte geschehen

00:44:32: können.

00:44:35: Ich bin neugierig auf diese Punkte.

00:44:38: Na klar, der erste Punkt war, als wir das erste Gebäude mit Telefon in der Hand betraten, da hat der Sicherheitsmann uns nicht aufgehalten, was er aber hätte tun sollen.

00:44:47: Er hätte sagen sollen, hey, Moment mal, bevor Sie nach oben wollen, sagen Sie doch erst mal, wen Sie da eigentlich treffen wollen.

00:44:55: Ich hätte denselben falschen Namen genannt und er hätte gesagt, den sehe ich hier nicht auf der Liste.

00:45:00: Lassen Sie mich oben anrufen und sehen, ob Jack da ist.

00:45:04: Und dann hätte er herausgefunden, dass es kein Jack gibt und dann wäre ich aufgehalten worden.

00:45:09: Der zweite Punkt war, als ich mit Ryan das ATM-Center betrat und die Dame sich umdrehte und sagte, hey, was machen Sie hier?

00:45:16: Ich sagte PCI Prüfung.

00:45:18: Sie hätte sagen sollen, ich habe sie nicht für diesen Raum autorisiert.

00:45:22: Dies ist ein privater Raum.

00:45:24: Er verfügte nämlich über ein eigenes Sicherheitssystem.

00:45:27: Sie hätte unten die Sicherheitskräfte anrufen und fragen können, hey, sollen hier eigentlich Prüfer im ATM-Center sein?

00:45:35: Das hätte sie dazu veranlasst, nachzuschauen und ich hätte dort aufgehalten werden können.

00:45:46: Oder sie hätte einfach die Tür schließen und sagen können...

00:45:48: Ja,

00:45:49: sie dürfen hier nicht rein.

00:45:55: Das dritte

00:45:56: Mal, wo man uns hätte aufhalten können, war im Calls Center.

00:45:59: Als ich zu der Frau meinte, geben sie hier ihr Passwort ein, hätte sie sagen sollen, ich glaube nicht, dass ich das... Lassen Sie mich mein Manager holen oder einfach die Eingabe Ihres Passworts verweigern.

00:46:10: Das hat sie nicht getan.

00:46:12: Das vierte Mal war, als wir zu dem Computer gingen, den der Typ nicht gesperrt hatte.

00:46:17: Er hätte uns aufhalten können, indem er seinen Computer sperrt, bevor er auf die Toilette geht.

00:46:22: Und das fünfte Mal war zurück bei den Sicherheitsleuten, als wir den falschen Jack anriefen und sagten, hey ja, hier sprechen Sie mit unserem Kontakt hier.

00:46:31: Er glaubte das und wollte uns wieder reinlassen.

00:46:35: Er hätte uns aufhalten können, wenn er gesagt hätte, ich nehme ihr Telefon nicht entgegen.

00:46:39: Ich möchte diesen Mann direkt über die mir bekannte Durchwahlnummer anrufen.

00:46:43: Er aber nahm meinen Telefon und sprach mit ihm als vermeintlicher Bankkontakt.

00:46:48: Er hätte also einfach direkt die Durchwahlnummer anrufen sollen, anstatt mir zu vertrauen.

00:46:54: Ich gab dann noch den Ratschlag, bei der nächsten Schulung den Mitarbeitern diese Punkte auf interessante und clevere Art näher zu bringen.

00:47:02: Dann werden wir nächstes Mal nicht auf diese Art einbrechen können.

00:47:08: Ein

00:47:21: paar Jahre später waren Chris und Ryan wieder in den Vereinigten Staaten.

00:47:24: Sie bekamen einen Auftrag in ein Gebäude einzubrechen und Fernzugriff auf das Netzwerk im Inneren zu erlangen.

00:47:31: Der Mann, der Chris und Ryan beauftragt hatte, den Einbruch zu versuchen, war der Leiter der Gebäudesicherheit.

00:47:37: Der Sicherheitschef genehmigte dies, was das Ganze legal machte.

00:47:41: Und Chris hatte sich diesen Genehmigungsbrief ausgedruckt und in seine Tasche gesteckt.

00:47:45: Denn wenn alles schief geht, haben sie immerhin schwarz auf weiß, dass der Sicherheitschef sie bezahlt hat, um diese Einrichtung zu testen.

00:47:53: Also tüfteln sie an einer Methode, um das Sicherheitsteam zu überlisten.

00:47:57: Sie wollen sich als Kammerjäger ausgeben, was ihnen Zugang zum Gebäude verschaffen könnte.

00:48:02: Und von dort aus könnten sie versuchen, ein USB-Stick in einen der Computer zu schmuggeln.

00:48:07: Sie haben eine Uniform, Sprühflaschenkisten und mehr, um so auszusehen, als ob sie tatsächlich zur Schädlingsbekämpfung kommen würden.

00:48:15: Sie beschließen am Abend davor, hinzugehen, um den Ort auszukonschaften.

00:48:21: Es ist ein großes Bürogebäude, viele Glasfenster und sogar eine Glastür vorne.

00:48:27: Sie gehen dort also nachts vorbei.

00:48:28: Das ist keines Security da.

00:48:30: Sie ziehen an den Türen, aber die sind verschlossen.

00:48:33: Also beschließen sie, einen alten Trick zu versuchen.

00:48:38: Ja,

00:48:38: es gab da zwei Glastüren, die hineinführten.

00:48:41: Und dazwischen war ein Spalt, der breit genug war, um einen USB-Stick durchzuschieben.

00:48:47: Ihre Theorie ist, dass, wenn sie einen ihrer bösartigen USB-Sticks durch den Spalt der Tür ins Gebäude schieben, jemand, der ihn am nächsten Tag findet, neugierig genug sein könnte, um zu sehen, was drauf ist und ihn in einen Computer steckt.

00:49:01: Was man übrigens niemals tun sollte.

00:49:04: USB-Sticks können eine Menge übler Meru enthalten, die man vermeiden möchte.

00:49:09: In diesem Fall wäre es so, dass, wenn ein Benutzer eine der Dateien auf diesem USB-Laufwerk öffnet, dass eine umgekehrte Verbindung zu Chris Server herstellen würde, was ihm einen Fernzugriff auf den Computer ermöglichen würde, in den der Benutzer den USB-Stick gesteckt hat.

00:49:26: Sie schoben also diesen USB-Stick durch den Spalt in der Tür.

00:49:34: Es gab zwei dieser Türen.

00:49:36: Die erste wäre super gewesen.

00:49:38: Wir haben die andere genommen, was keine gute Idee war, denn diese zweite Tür benutzt niemand.

00:49:44: Aber das wussten wir nicht.

00:49:45: Unseren USB-Stick hat jemand am nächsten Morgen gefunden und dann sofort gemeldet, dass der da an dieser Tür lag, die nie je jemand benutzt.

00:49:55: Das hat dann den Sicherheitsdienst veranlasst, sich die Videoaufzeichnung der vergangenen Nacht anzusehen.

00:50:01: Sie haben dann Ryan und mich vor dem Gebäude gesehen, wie wir den Stick durch die Tür schoben.

00:50:07: Aber das wussten wir zu dem Zeitpunkt ja nicht.

00:50:09: Wir fuhren am nächsten Tag dahin.

00:50:11: Ich bin gerade rückwärts mit dem SUV in eine Parklücke rein hatte mich gerade umgedreht, um sicherzustellen, dass ich nichts Tuschiere, da hörte ich, wie die Tür geöffnet wird.

00:50:21: Ich dachte, Ryan steigt aus, aber als ich mich wieder umdrehte, sah ich da einen Polizisten, der Ryan herausgerissen hatte.

00:50:29: Ein Security-Mann, ein bewaffneter, der Ryan vom Vordersitz gerissen hatte.

00:50:35: Er knallte ihn auf die Motorhaube und legte ihm dann Handschellen

00:50:38: an.

00:50:39: Okay, Ryan weiß, wie das jetzt eigentlich läuft.

00:50:42: Zur Not flieht wenigstens einer, damit der später zurückkommt und dann wieder einbrechen kann.

00:50:48: Damit muss man dann klarkommen.

00:50:49: Ich lege also den Vorwärtsgang ein, damit ich fliehen kann und ich sehe den Polizisten, wie der mich anschaut und den Kopf schüttelt, als wollte er sagen, dass mich nicht allein, Mann.

00:50:59: Ich sage nur bis dann Trottel.

00:51:01: Ich will gerade den Fuß von der Bremse nehmen.

00:51:04: Da springt eine Frau mit gezogener Waffe vor das Auto und sagt, steig aus dem Auto aus.

00:51:09: Ich sage, äh ja ja, steckt die Waffe weg, alles in Ordnung.

00:51:13: Ich schalte auf Parken und sie sagt, steig aus dem Auto aus.

00:51:16: Ich sage, ich steige nicht aus dem Auto aus, bevor sie nicht die Waffe wegstecken.

00:51:21: Ich will, dass sie die Waffe weglegen.

00:51:23: Sie sagt, ich leg die Waffe nicht weg.

00:51:25: Wir schreien uns gegenseitig an.

00:51:27: Schließlich steige ich dann doch aus dem Auto aus.

00:51:30: Sie war klein, höchstens ein Meter sechzig.

00:51:33: Ich bin ein Meter neunzig groß.

00:51:35: Aber sie hat mich so hart auf die Motorhaube geschleudert, dass meine Mütze Und meine Sonnenbrille runterfielen und über die Motorhaube flogen.

00:51:44: Bevor mein Gesicht auf der Motorhaube aufschlug, hatte sie mir schon Handschellen angelegt.

00:51:49: Das war so beeindruckend, dass ich sagte, wow, das war das schnellste Handschellenanlegen, das ich je erlebt habe.

00:51:56: Das kam mir einfach so über die Lippen.

00:51:58: Sie meinte daraufhin, dass ich Dreckskerl ja wohl ständig mit Handschellen gefesselt werde.

00:52:04: Woraufhin ich versucht habe, sie erst mal zu beruhigen.

00:52:07: Ich meinte, okay, ich sehe, dass sie sehr wütend sind.

00:52:10: Aber ich weiß eigentlich gar nicht, warum.

00:52:12: Wir sind ja nur hierher gefahren, um eine Schädlingsbekämpfung durchzuführen.

00:52:16: Sie meinte, ah, ah, sie führen keine Schädlingsbekämpfung durch Drecks Kerl.

00:52:21: Dann hebt sie mich hoch und stellt mich auf die Beine.

00:52:24: Ich meinte dann, dass es sehr, sehr heiß ist.

00:52:27: Es war Sommer und in einer wirklich sehr heißen Gegend.

00:52:30: Können wir uns vielleicht in den Schatten setzen?

00:52:33: Sie brachte uns in den Schatten.

00:52:35: Ryan und ich knien nun da auf den Boden, wie bei einer Hinrichtung.

00:52:39: Wir sind auf den Knien.

00:52:40: Beide mit Handschellen hinter dem Rücken gefesselt.

00:52:43: Sie fragt, was macht ihr hier?

00:52:46: Ryan flüstert mir zu.

00:52:47: Gib mir den Brief.

00:52:49: Ich flüstere zurück.

00:52:50: Nein, wir kommen hier raus.

00:52:52: Ich also ... Wir sind hier, um Schädlinge zu bekämpfen.

00:52:56: Sie erwidert.

00:52:57: Nein, deshalb seid ihr nicht hier.

00:52:59: Ich entgegne.

00:53:00: Doch doch, schauen Sie in den Kofferraum, denn sehen Sie es.

00:53:03: Wir hatten Sprühgeräte zur Schädlingsbekämpfung dabei und gefälschte Chemikalienkartons, alles Mögliche.

00:53:10: Irgendwann hat sie dann in den Kofferraum geschaut, meinte aber, dass sie uns nicht glaubt.

00:53:15: Ich meinte, ich weiß nicht, warum sie mich nicht glauben.

00:53:18: Ich habe einen Arbeitsauftrag.

00:53:20: Mein Klemmbrett liegt im Auto, wenn Sie ihn sehen wollen.

00:53:23: Sie sagt, ich gehe nirgendwo hin, Drexkerl.

00:53:26: Was macht ihr hier?

00:53:27: Ich sage, ich habe sie doch gesagt.

00:53:29: Ich weiß gar nicht, wie ich ihnen das noch anders erklären soll.

00:53:32: Ryan meinte, Alter, der Brief.

00:53:35: Die Polizisten werden wütend.

00:53:37: Ich sage, nein, wir brauchen den Brief nicht.

00:53:40: Dann kommt der Wachmann rüber und fragt, warum waren sie gestern Abend um drei Uhr hier?

00:53:46: Shit,

00:53:46: denke ich, in meinem Kopf rattet es.

00:53:49: Und dann sage ich, Wir wurden unter anderem beauftragt, gegen Skorpione zu sprühen.

00:53:55: Und die kommen tagsüber nicht raus.

00:53:57: Diese Skorpionart kommt nur nachts raus.

00:53:59: Also sind wir nachts gekommen, um die Gegend zu überprüfen und sicherzustellen, dass wir nachts sprühen können.

00:54:07: Er sagt, wir haben euch auf dem Video gesehen.

00:54:09: Es gab keine Sprühgeräte.

00:54:11: Ihr seid um das Gebäude rum und habt euch ganz genau unsere Türen angesehen.

00:54:15: Wir haben uns doch nur umgesehen, meinte ich, und schlug vor, dass wir jetzt gerne mit unserer Sprüharbeit beginnen würden.

00:54:23: Er fragt dann, ey, was macht ihr hier eigentlich wirklich?

00:54:27: Ich nur, ey, das ist echt die Wahrheit.

00:54:30: Ryan sagt, gib ihm den Brief, verdammt, ich, nein, man, wir schaffen das.

00:54:35: Und ich habe wirklich das Gefühl, dass wir hier rauskommen können.

00:54:39: Dann aber fragt der Wachmann, was ist mit den USB-Sticks, die er feiern gelassen hat?

00:54:44: Da denke ich dann, okay, shit, jetzt ist es vorbei.

00:54:48: Ich sage, okay, alles klar, pass auf.

00:54:50: In diesem Klemmbrett hier ist ein Brief, der alles erklärt.

00:54:54: Er nur, ich nehme dein Klemmbrett nicht, das könnte irgendein Gerät sein.

00:54:58: Ich sage, nein, nein, nimm bitte einfach den Brief.

00:55:02: Die Dame geht dann rüber, nimmt den Brief, öffnet ihn und sieht den Namen des Ansprechpartners, den sie auch persönlich kennt und sie nur so, oh, diese Motherf... Ich kann es echt nicht glauben.

00:55:13: Ich sage, ja, ja, Sie haben vollkommen recht.

00:55:16: Könntet ihr uns bitte die Handschellen jetzt abnehmen?

00:55:18: Wir sind ja Freunde.

00:55:20: Sie sagt, nee, machen wir nicht Abschaum.

00:55:22: Ich sage, ey, komm, wir sind kein Abschaum mehr.

00:55:25: Ihr wisst doch jetzt, dass wir auf eurer Seite sind.

00:55:28: Sie nur, nein.

00:55:29: Wir knieten tatsächlich noch etwa zehn Minuten auf dem Boden und warteten darauf, dass endlich unser Kontaktmann rauskam.

00:55:38: Als er dann wirklich kam, meinte er, dass er im Gebüsch stand und alles gefilmt hat.

00:55:43: Echt jetzt, meinten wir.

00:55:45: Ja, er war ganz begeistert und meinte, dass die Leute hier das richtig gut gemacht hätten.

00:55:50: Ja, ja, das stimmt, sagte ich.

00:55:52: Aber du hättest uns echt früher retten können, woraufhin er meinte, nein, nein, das war alles ganz fantastisch

00:56:04: so.

00:56:06: Der

00:56:10: Name in dem Brief war tatsächlich der des Chefs des Sicherheitsmanns.

00:56:14: Nachdem sie ihn angerufen hatten und er sagte, ja, das ist alles ein Test, beruhigte sich die Situation.

00:56:19: Und die Sicherheitsleute fingen schließlich an, über die ganze Situation zu lachen und fragten Chris und Ryan, was ihre Jobs als Pentester sind.

00:56:27: Alle wurden wesentlich

00:56:28: freundlicher.

00:56:31: Ich

00:56:31: habe sie die ganze Zeit mit Fragen gelöchert, um Infos von ihnen zu bekommen.

00:56:35: Ihr habt das wirklich gut gemacht, meint ich.

00:56:37: Wir hätten später kommen sollen, aber ihr seid wahrscheinlich rund um die Uhr hier, oder?

00:56:42: Sie antworteten.

00:56:43: Nein, nein, nein.

00:56:44: Nach neunzehn Uhr gibt es hier keine Sicherheitsvorkehrungen.

00:56:47: Ich so, oh ja, dann hätten wir diesen Zeitpunkt wählen sollen.

00:56:51: Das ist schade.

00:56:52: Im weiteren Gespräch habe ich dann ihre Dienstpläne herausgefunden.

00:56:56: Am selben Abend sind wir dann gegen einundzwanzig Uhr zurückgekommen, kurz nachdem sie gegangen sind und sind in das Gebäude und in ihr Büro eingebrochen.

00:57:05: Wir haben ihre Ausweise und einige ihrer Sachen gestohlen, um in andere Gebäude zu gelangen.

00:57:11: Anschließend habe ich die ganze Schädlingsbekämpfungsausrüstung auf ihre Schreibtische gelegt, zusammen mit einer großen Dankeskarte und einigen Smiley-Herzen.

00:57:20: Als sie am nächsten Tag kamen, wussten sie, dass wir alle Kameras ausgeschaltet und ihre Sachen gestohlen.

00:57:27: Sie fanden dann unsere Schädlingsbekämpfungsgeräte auf ihrem Schreibtisch, ein kleiner humorvoller Schlagabtausch.

00:57:43: Okay, zur nächsten Geschichte.

00:57:45: Das ist ein seltener Fund und ich habe schon eine ganze Weile nach so etwas gesucht.

00:57:50: Also war ich wirklich aufgeregt, als Chris sagte, er kann das übernehmen.

00:57:54: Die Geschichte beginnt damit, dass Chris eine Fishing-Kampagne gegen einen Unternehmen durchführt, mit dem Ziel, das Sicherheitsbewusstsein des Unternehmens zu erhöhen.

00:58:07: Bei diesem speziellen Test haben wir mit einer Fishing-Email begonnen, die an eintausend Personen verschickt wurde.

00:58:13: Man konnte angeblich brandneue iPhones gewinnen.

00:58:16: Um sich für die Verlosung zu registrieren, musste man lediglich eine Website aufrufen und dort die Zugangsdaten für den eigenen Computer eingeben.

00:58:25: Es handelte sich um eine von den Unternehmen gesponserte Verlosung, sodass man eine Website aufrief, die wie die Website des Unternehmens aussah, wo man dort also dann die Dateneingabe und dann an der Verlosung der iPhones teilnahm.

00:58:42: So viele Leute in dieser Firma wollten ein kostenloses iPhone und die E-Messer aus als wäre sie von der Firma selbst gesponsert.

00:58:50: Also dachten die Mitarbeiterinnen und Mitarbeiter, na klar lass ich mich für dieses Ding registrieren.

00:58:55: Allein durch diese E-Mail brachte Chris siebenhundertfünfzig Leute dazu, auf den Link zu klicken, auf seine Website zu gehen und ihren Benutzernamen und ihr Passwort für die Arbeit einzugeben.

00:59:06: Es ist verrückt.

00:59:08: An diesem Punkt könnte man jedem dieser Leute eine E-Mail schicken, in der erklärt wird, dass die Verlosung nur ein Test war und sie durchgefallen sind.

00:59:15: Das könnte das Ende des Sicherheitstraining sein.

00:59:18: Aber neben der Sensibilisierung hatte Chris ein sekundäres Ziel, nämlich Fernzugriff auf das interne Netzwerk zu erlangen.

00:59:26: Er schmiedet einen Plan.

00:59:27: Wir

00:59:32: hatten ihren Benutzernamen und ihr Passwort, aber unsere eigentliche Aufgabe bestand darin, Remotezugriff auf ihr Netzwerk zu erhalten.

00:59:39: Wir wollten dann jede dieser Personen anrufen und ihnen mitteilen, dass der Link, auf den sie gerade geklickt hatten, ein Fishing Link war.

00:59:47: Und dass wir jetzt, da sie ihr Passwort darauf hin ändern mussten, nur sicherstellen wollten, dass keine Malware auf dem Computer zurückbleibt, die durch das Anklicken dieses Fishing Links verursacht worden war.

01:00:00: Um ihr System jetzt also zu säubern, hätten wir für sie ein PC-Reinigungsprogramm erstellt, das ihre Rechner von jeglicher Malware befreien würde.

01:00:10: Natürlich handelte es sich dabei nicht um ein PC-Reinigungsprogramm, sondern um einen Meterpreeter Reverse Shell, ein Werkzeug, das uns Zugriff auf ihre Rechner verschaffte.

01:00:25: Das Ziel war es, etwa twenty-fünf Leute anzurufen, die auf den Link geklickt hatten und sie irgendwie davon zu überzeugen, Malware auszuführen.

01:00:34: Das ist Wishing, also Voice-Fishing.

01:00:37: Aber wie ich bereits sagte, ist das dasselbe, was Betrüger seit hundert Jahren tun.

01:00:41: Chris verwandelt sich in Paul und Tatso, als wäre er vom technischen Support.

01:00:46: Er schickt einem der Leute, die auf den Fishing-Link geklickt haben, eine E-Mail und sagt ihm, hey, schau mal, das war eine Fishing-E-Mail, du hast darauf geklickt.

01:00:53: Das hättest du nicht tun sollen.

01:00:55: Ändere sofort dein Passwort.

01:00:57: Dann ruft Chris, oder jetzt Paul, den Mitarbeiter an.

01:01:01: Hier ist der tatsächliche Wishing-Anruf, der stattgefunden hat.

01:01:05: Ich übernehme hierfür mal den Part des Mitarbeiters.

01:01:09: Hier ist Paul vom Technischen Support.

01:01:10: Wie geht's?

01:01:13: Wir haben gesehen, dass Sie das Formular für das iPhone ausgefüllt haben.

01:01:16: Das iPhone?

01:01:18: Ja, ja.

01:01:19: Sie haben sich eingeloggt und Ihr Passwort geändert?

01:01:22: Ja, habe ich.

01:01:23: Okay, ausgezeichnet.

01:01:24: Ich wollte Ihnen nur sagen, das war wirklich gut.

01:01:26: Genauso hätte man es handhaben sollen.

01:01:29: Okay, ja.

01:01:30: Sobald wir es bemerkt haben, haben sich zwei von uns sofort darum gekümmert.

01:01:33: Okay, es gab also noch einen anderen Mann in Ihrem Team, der auch ...

01:01:37: Ja, ich glaube, es war JR.

01:01:39: JR, okay.

01:01:40: Ich notiere mir nur, dass ich später mit ihm sprechen werde.

01:01:43: Okay.

01:01:44: Lassen Sie uns gerade mal noch eine Sache checken.

01:01:46: Sind Sie gerade in VPM?

01:01:48: Sind Sie an Ihrem Arbeitsrechner?

01:01:50: Ja.

01:01:52: Okay, ich gebe Ihnen jetzt eine interne Adresse.

01:01:54: Es ist eine FTP-Seite, die wir für die Mitarbeiter eingerichtet haben.

01:01:59: Sie können bitte dahin gehen.

01:02:01: Sie werden sehen, dass es dort eine Datei gibt, die Sie runterladen können.

01:02:05: Und die wird einfach alle restlichen Spuren von dieser Website beseitigen, die wir, die wir für die Prüfung, verwendet haben.

01:02:14: Sie meinen, als ob ich eine E-Mail senden würde?

01:02:16: Ich bin nicht so.

01:02:18: Internet Explorer, den können Sie öffnen.

01:02:21: Okay,

01:02:22: ja, habe ich.

01:02:23: Dann oben in der Adresszeile.

01:02:25: geben Sie FTP ein.

01:02:29: FTP?

01:02:30: Ja, F wie Fritz, T wie Theodor und dann P wie Paula und dann ein Doppelpunkt.

01:02:35: Dann zwei Schrägstriche und das sind die Schrägstriche bei Ihrem Fragezeichen, dieselbe Taste wie Ihr Fragezeichen.

01:02:42: Verstanden,

01:02:43: FTP, okay.

01:02:45: Dann ist das Wort Update Strich und der Strich ist wie das Minuszeichen.

01:02:50: Verstanden?

01:02:51: Wenn Sie das schließen, sollte sich ein Fenster öffnen.

01:02:55: Es sollte Index Sub anzeigen und eine Datei haben.

01:02:58: Es gibt eine Datei namens PC Checker.

01:03:03: Okay,

01:03:04: ja, nein, die ist hier.

01:03:06: Ja, klicken Sie drauf.

01:03:07: Okay, Doppel klick darauf.

01:03:09: Es sollte heruntergeladen werden oder Sie fragen, ob Sie es ausführen oder speichern möchten.

01:03:13: Klicken Sie auf Ausführen.

01:03:16: Okay.

01:03:17: Wenn alles gut geht, sollten Sie keine weiteren Warnungen erhalten.

01:03:21: Wenn Sie ein Restproblem von dieser Seite haben, erhalten Sie eine Nachricht.

01:03:25: Aber wenn nichts passiert, ist alles sauber und gut und wir sind fertig.

01:03:31: Okay, ich habe gerade eine zweite Meldung gekommen.

01:03:33: Da stand der Herausgeber konnte nicht verifiziert werden.

01:03:36: Sind Sie sicher, dass Sie dieses Software ausführen möchten?

01:03:39: Ja, klicken Sie auf OK.

01:03:41: OK,

01:03:41: jetzt bin ich wieder auf dem ursprünglichen Bildschirm.

01:03:44: OK, das ist gut.

01:03:45: Wenn Sie keine Fehlermeldung erhalten haben, sind Sie startklar.

01:03:48: Sie sind sauber.

01:03:50: OK,

01:03:51: nun danke für die Hilfe.

01:03:52: Kein Problem, wir sprechen uns später.

01:03:54: Ja,

01:03:54: tut mir leid, dass ich darauf geklickt habe.

01:03:57: Ist schon OK, danke, dass Sie danach darüber nachgedacht haben.

01:04:02: Und einfach so hat Chris Fernzugriff auf den Computer dieses Mannes erlangt.

01:04:07: Er kann jetzt alles damit machen, was er will.

01:04:09: Eine Webcam öffnen, das Mikrofon einschalten, Tastenanschläge aufzeichnen, Dateien übertragen, den Desktop-Screenshotten oder sich zu einem anderen Computer tiefer im Inneren bewegen.

01:04:19: Das ist faszinierend.

01:04:21: Also lasst es mich für euch ein bisschen aufschlüsseln.

01:04:25: Das Unternehmen hatte modernste Netzwerkausrüstung, eine Firewall, um alle schlechten Verbindungen zu blockieren, die ins Gebäude kommen oder aus dem Gebäude gehen.

01:04:35: Ein Intrusion-Detection-System, um den ein und ausgehenden Verkehr zu inspezieren und alles zu blockieren, was bösartig aussieht.

01:04:43: Die Mitarbeiterinnen und Mitarbeiter haben auch alle Antivieren-Software auf ihren PCs, um zu verhindern, dass schlechte Software ausgeführt wird.

01:04:50: Aber natürlich hört keine ihrer Sicherheitsvorkehrungen auf Fishing-Anrufe.

01:04:55: Das umgeht alles.

01:04:57: Das ist ein Problem.

01:04:59: Dann brachte Chris den Mitarbeiter dazu, diese ausführbare Software herunterzuladen.

01:05:04: Sie luden sie herunter und fühlten sie aus.

01:05:07: Es gab eine Warnung, sind sie sicher, dass sie so etwas ausführen wollen, aber der Computer hat die Ausführung nicht blockiert.

01:05:14: Sobald das Programm ausgeführt wurde, startete es eine umgekehrte Verbindung zu Chris Computer.

01:05:20: Für alle Sicherheitsgeräte im Netzwerk sah dies einfach wie eine normale Web-Anfrage an Chris Server aus.

01:05:27: Und von dort aus konnte Chris diese Verbindung zurück in den PC des Mitarbeiters nutzen und eindringen.

01:05:34: Dies ist auch einfach einzurechten, mit einem Werkzeug namens Metasploit.

01:05:39: Dies ist nur ein Reverse Shell, die auf dem PC des Opfers platziert wird.

01:05:43: Antivirus stoppt auch das nicht.

01:05:47: Nein,

01:05:47: weil es nicht als Virus angesehen wurde.

01:05:50: Es nutzt die eingebauten Fernsteuerungsfunktion von Windows selbst aus.

01:05:55: Selbst ein vollständig aktualisierter Computer hat die Fähigkeit, Fernzugiffsbefehle auszuführen.

01:06:01: Und das ist alles, was dies tat.

01:06:04: Wenn man jemanden innerhalb des Unternehmens dazu bringt, dieses Programm auszuführen, ist das alles, was man braucht, um alles zu umgehen, was einen aufhalten soll.

01:06:13: Ziemlich beängstigend.

01:06:20: Die Leute sagen ja oft, wenn wir über dieses Thema reden, darauf würde ich nie reinfallen.

01:06:25: Der Mann, den wir da eben gehört haben, klingt wie ein ganz normaler Typ, wie einer, mit dem man zusammenarbeitet.

01:06:31: Er ist nicht dumm.

01:06:32: Und er wirft das Thema Sicherheit bestimmt nicht einfach über Bord.

01:06:35: Aber ihr habt es ja gehört.

01:06:37: Oh Gott, ich kann nicht glauben, dass ich auf diesen Fishing-Link geklickt habe.

01:06:40: Danke für ihre Hilfe.

01:06:42: Ich mag den Satz nicht, es gibt keinen Patch für menschliche Dummheit.

01:06:47: Bei uns sagt ihn niemand, weil er bedeutet, dass jeder, der auf sowas hereinfällt, dumm ist.

01:06:52: Aber ich glaube ganz sicher nicht, dass das wahr ist.

01:06:54: Der Mann war nicht dumm.

01:06:56: Ich glaube, wenn die Leute den Anruf hören, können sie sich in ihnen hineinversetzen und sein Handeln verstehen.

01:07:02: Es hätte ja auch so passieren können.

01:07:07: Es

01:07:07: gibt sich ja einige Maßnahmen, die Unternehmen ergreifen können, um solche Vorfälle zu verhindern.

01:07:13: Das Ganze eben ist vor ein paar Jahren geschehen.

01:07:16: Heute müssten wir wahrscheinlich etwas ausgefeiltere Maßnahmen mit Meetup-Treater ergreifen.

01:07:21: Vielleicht hätte ein Paket-Inspektionssystem das verhindern können.

01:07:25: Wir haben es einfach in eine normale Exedatei eingebettet über einen verschlüsselten Tunnel und es enthielt keine Malware, keine Trojaner und keine Viren.

01:07:34: Wir wollten auf den Rechner gelangen und ihn dann ausnutzen, sobald wir drauf waren.

01:07:38: Es war buchstäblich so, als würde man einen SSH-Server auf dem Rechner öffnen.

01:07:43: Das war es.

01:07:44: Es wurde lediglich eine umgekehrte Verbindung hergestellt.

01:07:54: Nun, viele meiner Zuhörer fragen mich ständig, wie man Social Engineering üben kann.

01:07:59: Also habe ich Chris gefragt.

01:08:04: Das ist eine Frage, die mir in meinen Kursen ständig gestellt wird, denn man kann ja nicht einfach losziehen und aus Spaß in Gebäude einbrechen oder Leute fischen.

01:08:13: Ich sage dann immer, beim Social Engineering geht es im Grunde genommen nur darum zu lernen, wie man mit Menschen kommuniziert und zwar auf einer Ebene, die diese Menschen mögen und wie man diese Personen dann dazu bringt, sich einem zu öffnen.

01:08:28: Das kann man auch tun, ohne Pentester zu sein.

01:08:31: Man könnte das mit einem Lieferanten ausprobieren oder wenn man das nächste Mal in ein Café geht.

01:08:36: Man kann sich mit einem völlig fremden unterhalten und von diesem fremden Informationen erhalten, ohne jede böse Absicht.

01:08:44: Wie lautet der vollständige Name?

01:08:46: Wo wohnt er?

01:08:47: Welchen Beruf übt er aus?

01:08:49: Wie viele Kinder hat er?

01:08:50: Ist er verheiratet?

01:08:52: Was hat er beruflich gemacht?

01:08:53: Wo ist er zur Schule gegangen?

01:08:55: All diese Fragen sind wichtig, um eine Person zu verstehen, die sie auch, wenn sie ein Pentester sind, in einem normalen Gespräch erfahren können.

01:09:04: Je wohler sie sich dabei fühlen, einfach mit einem zufälligen Menschen zu sprechen, desto leichter wird es ihnen fallen, Social Engineering zu betreiben.

01:09:13: Auch, um damit zum Beispiel ihren Lebensunterhalt zu verdienen.

01:09:22: Wenn ihr mehr über Social Engineering wissen wollt, schaut euch Chris Buch, Social Engineering, The Science of Human Hacking an.

01:09:29: Achtet darauf, dass ihr die aktualisierte zweite Auflage bekommt.

01:09:33: Das ist ein großartiges Buch, das alle Konzepte aufschlüsselt, wie man ein großartiger Social Engineer wird.

01:09:41: Von

01:09:42: den vier Büchern, die ich geschrieben habe, ist das wahrscheinlich mein Favorit.

01:09:45: Da stecken einfach elf Jahre Erfahrung und Forschung drin.

01:09:49: Die erste Ausgabe war dagegen nicht besonders gut geschrieben.

01:09:52: Wer tolle Bücher aus dem Themengebiet lesen möchte, dem empfehle ich Influence, wie man andere überzeugt von Robert Cialdini oder Joe Navarro's Menschen lesen.

01:10:02: Ebenso Paul Eggman's Buch Gefühle lesen, in dem es um nonverbale Kommunikation geht.

01:10:09: Hervorragend ist auch Amy Cuddy's Buch Presence, das davon handelt, wie man sich in eine andere Rolle versetzt.

01:10:16: Ich könnte Noch viel mehr Bücher aufzählen, die ich hier für wichtig halte, die vielleicht nicht speziell vom Social Engineering handeln, aber von Aspekten der Kommunikation und des Social Engineering.

01:10:29: Robin Dreeks Buch über die zehn besten Methoden, um schnell eine gute Beziehung zu jedem aufzubauen, etwa.

01:10:36: Alles Bücher, die einem helfen können, wenn man Social Engineer sein möchte.

01:10:42: Natürlich werde ich links zu all diesen Büchern und mehr in den Show notes haben.

01:10:47: Neben seiner Tätigkeit als Chief Human Hacker für seine Firma und dem Schreiben von Büchern darüber, hat Chris noch so viel mehr erreicht.

01:10:54: Er ist derjenige, der das Social Engineering Village auf der DEF CON ins Leben gerufen hat.

01:11:00: Das beliebteste Village auf der DEF CON.

01:11:02: Es gibt dort einige großartige Vorträge, aber auch ein Wettbewerb, bei dem die Teilnehmer live auf der Bühne vor Publikum jemanden am Telefon Social Engineering müssen.

01:11:12: Es ist fantastisch anzusehen und neue Tricks zu lernen.

01:11:16: Darüber hinaus hat Chris eine gemeinnützige Organisation namens The Innocent Lives Foundation gegründet, bei der Menschen Osint und Hackingfähigkeit nutzen, um den Behörden zu helfen, Kinderpornografietäter oder Menschenhändler zu fassen.

01:11:32: Vielen Dank, dass du deine Geschichte mit uns geteilt hast.

01:11:35: Ich schließe jetzt mit dieser Frage.

01:11:37: Wurdest du jemals gefischt?

01:11:43: Ja, ich liebe diese Frage.

01:11:45: Die Leute in der Branche wollen ja manchmal nicht über so was sprechen, wenn sie selbst gehackt werden oder so.

01:11:50: Aber ja, ich wurde knallhart gefischt.

01:11:53: Wahrscheinlich ein paar Mal, aber einmal bin ich komplett drauf reingefallen.

01:11:57: Ich bin Amazon-Junkie.

01:11:59: Ich kaufe alles, was ich kann bei Amazon.

01:12:01: Ich habe mich mal auf die DevCon vorbereitet und dafür so zehn, zwanzig Sachen für den Kinderwettbewerb bei Amazon bestellt.

01:12:10: Während ich also schon mal mein Bürokram für die DevCon zusammenpacke, bekomme ich eine E-Mail, die genau wie eine Amazon-Bestell-E-Mail aussieht in der Stand, dass eine meiner letzten Bestellungen aufgrund einer abgelehnten Kreditkarte nicht versendet werden kann.

01:12:25: Alles, was ich meinen Kunden immer sage, ist, klickt niemals auf diese Links in der E-Mail, öffnet euren Browser, geht zu Amazon, lockt euch in euer Konto ein und dort wird euch genau gesagt, was das Problem ist.

01:12:38: Aber ich, ohne kritisch nachzudenken, gestresst von der DEF CON meine Sachen packend, diese E-Mail sehend, dachte ich nur, oh Gott, wie kann meine Kreditkarte abgelehnt werden?

01:12:48: Die wird nie abgelehnt.

01:12:50: Ich habe auf den Link geklickt.

01:12:51: Der Browser öffnet sich.

01:12:53: Ich gehe auf eine Seite, die aussieht wie die Amazon-Anmelde-Seite.

01:12:57: Sie sieht identisch aus, aber ich bin einer von denen, die ihren Benutzernamen gespeichert haben, aber nicht ihr Passwort.

01:13:05: Ich fange an, mein Passwort einzugeben und als ich auf den Senden-Button klicken will, kurz bevor ich klicke, merke ich, dass mein Benutzernamen nicht da steht.

01:13:14: Ich bin verwundert.

01:13:16: Mein Benutzernamen ist immer da.

01:13:18: Dann schaue ich auf die URL-Leiste und da stand irgendwas.ru.

01:13:24: Oh Gott, dachte ich.

01:13:25: Ich habe gerade auf einen Fishing-Link geklickt und bin buchstäblich auf eine russische Website reingefallen.

01:13:32: Ich habe es meinem Team erzählt und meinte dann noch, dass ich das nie jemandem anders erzählen werde, weil es so peinlich ist.

01:13:39: Eine Person aus dem Team meinte dann aber ganz im Gegenteil, erzähle davon.

01:13:43: Das kann so vielen Menschen helfen, weil du bist ja der Typ, der über Fishing schreibt.

01:13:48: Du musst die Geschichte erzählen, wie du selbst gefischt wurdest.

01:13:53: Ja, guter Punkt, dachte ich mir.

01:13:55: Ich erzähle jetzt davon und ich muss sagen, ich wäre ohne Zweifel darauf reingefallen, wenn ich nicht auf diese URL-Leiste geschaut hätte.

01:14:03: Dann hätte ich auf Senden geklickt und ihnen meine Anmelde-Information gegeben.

01:14:08: Das einzige, was mich erwischt hat, war der eine Fehler, dass mein Benutzernamen nicht in diesem Feld war.

01:14:14: Als ich mir später die E-Mail genauer angesehen habe, war es eine Bestellung für einen George Foreman-Grill und ein paar Lie-Aufkleben-Nägel.

01:14:24: Keine Artikel, die jemals bestellen würde.

01:14:27: Wenn ich nur die blöde E-Mail gelesen hätte, hätte ich's merken können.

01:14:31: Genauso, wenn ich auf die URL-Leiste geschaut hätte oder mein Browser selbst geöffnet und die Adresse eingegeben hätte.

01:14:39: Es gibt ungefähr fünf Wege, wie ich diesen Fishingversuch hätte erkennen können.

01:14:43: Und ich hab sie alle ignoriert, bloß weil ich im Stress war und mein kritisches Denken ausgesetzt hat.

01:14:50: Ja, ja, ich wurde gefischt, Mann.

01:14:52: Ich bin voll drauf reingefallen.

01:15:01: Ein großes

01:15:10: Dankeschön an Christopher Hadnaggy, den Human Hacker, was er hier war.

01:15:14: Ihr könnt mehr über ihn erfahren, indem ihr Social-Engineer.org besucht oder seinen Podcast hört, der einfach The Social Engineer Podcast heißt.

01:15:29: Dies sind die Darknet Diaries of Deutsch.

01:15:32: Übersetzt von Marco Pauli und Isabel Grünewald Heise Online.

01:15:36: Im englischen Original von Jack Reisider.

01:15:40: Produktion Marco Pauli.

01:15:42: Sounddesign und Originalmusik von Andrew Merriweather.

01:15:46: Titelmusik von Breakmaster Cylinder.