Keine Antworten in diesem Thema

[тоскующий]

Brain.exe - Server Logins ohne Malware herausfinden

Ein SE Tutorial von тоскующий

Dieses Tutorial richtet sich an Anwender die den Stimmbruch bereits hinter sich haben!
ACHTUNG: Erhöhter Schwierigkeitsgrad!

Grundsätzlich verlässt sich der allgemeine Kriminelle auf die üblichen Hilfsmittel wie Cracking Software, Exploits, Rat's, oder Keylogger um in fremde Systeme einzudringen. Ist ja auch keine schlechte Idee, doch was wenn man einfach nichts angreifbares hat?!

Fast jeder gibt an dieser Stelle auf. Das muss aber nicht sein. Mit etwas Recherche, SE, 200Kg Glück und viel Feingefühl lassen sich dennoch Login Daten ausspähen. Erfahrungsgemäß klappt das nachfolgende Tutorial besonders bei mittelständischen Unternehmen gut.
Begründung: Viele mittelständische und kleinere Unternehmen lagern die Arbeit am Backend/ Server aus. Oftmals wird dafür eine bestimmte Agentur beauftragt.
 

 

Der komplette Vorgang in der Kurzfassung:

Zuerst sucht man sich ein geeignetes Ziel aus. Herrausfinden wer oder was für die Server (Onlineshop als Beispiel) zuständig ist, anschließend sich als Mitarbeiter ausgeben, besonderen Vorfall vortäuschen und Login Daten verlangen.
 

 

Und nun in Detail:

Das richtige Opfer wählen:

Als erstes versucht den Hoster des Systems herraus zu finden. Wer ist das?
Whois und abfragen der Iprange können schnell zu einem Ergebnis führen.

Anschließend sollte man in Erfahrung bringen wie das Team hinter der Webseite aufgebaut ist.
Hierzu kann man sich als unterschiedliche Personen ausgeben und mit dem Support wegen irgendwelcher banalen Probleme in Kontakt treten. Bedenkt jedoch das immer die selbe IP auffällig sein kann.
Wenn der Supporter immer den gleichen Namen hat oder länger als 12 Stunden zum antworten braucht kann euer Ziel gut gewählt sein.


Nun kommen wir zum eigentlichem Streich. Eigentlich ist Streich das falsche Wort, das was du machst ist kriminell und verboten. Also sorg für ausreichend Sicherheit. Aber das sollte eigentlich verständlich sein. Eigentlich.

Wir sind so dreist und rufen einfach beim Support/ Kundenservice an und geben uns als Mitarbeiter aus.
Hierbei ist es besonders wichtig "langweilig" zu klingen. DENN: Ein Mitarbeiter mit guter Laune oder übertriebener Freundlichkeit fällt auf. Natürlich sollte die "Seriösität" gewahrt werden. Es kann dennoch nicht schaden einen leicht genervten Unterton zu haben. Dies hängt natürlich aber auch vom Mitarbeiter ab. Der eine reagiert auf Authorität gut, der andere auf gestresste oder genervte Reaktionen.

Während ihr telefoniert lasst ihr euer Zweithandy oder irgendwas anderes klingeln. Achtet dabei auf den Klingelton. Es sollte sich schon wie ein normales Telefon anhören. Entschuldigt euch beim Mitarbeiter und bittet ihn kurz zu warten. Täuscht nun ein Gespräch mit eurem Vorgesetzen vor. Es ist völlig egal welchen Nonsens ihr von euch gebt, solange ihr erwähnt das ihr grade mit eurem Ziel telefoniert wegen Vorfall XY. Legt auf und kümmert euch wieder um das Gespräch mit eurem Ziel. Durch das vorgetäuschte Telefonat könnt ihr meistens glaubwürdig genug sein ohne euch weiter verifizieren zu müssen.
Statt ein Telefonat vorzutäuschen könnt ihr auch mit einer anderen Person einen Mitarbeiter vortäuschen welcher Unterlagen vorbeibringt oder sonstwas. Das Prinzip ist das gleiche.

Vorfall XY kann alles mögliche sein. Egal ob Systemupdates, konfiguration der Firewall oder was anderes. Lass es wichtig und eilig klingen.

Der weitere Ablauf ist ziemlich simpel. Entweder erhaltet ihr die verlangten Daten oder nicht. Wenn ihr die Daten nicht bekommt, sucht ihr euch einfach ein anderes Ziel.
Wer die Login Daten bekommt kann nun einen Backdoor einrichten, nen neuen User anlegen oder sich einfach freuen das es geklappt hat.

Erfahrungsgemäß fallen von 20 Webseiten 9 drauf rein.

 

 

 

 

Ich weise ausdrücklich darauf hin das dieses Tutorial nur für informative Zwecke genutzt werden darf! Ausspähen von Daten hat ja auch was informatives...

Ich freue mich über jede Resonanz, egal ob positiv oder negativ!
 

 

 

Edit: Rechtschreibfehler behoben, Titel geändert

Bearbeitet von тоскующий, 23 June 2016 - 18:48 Uhr.