oder Reverse-Social-Engineering?
Wer kennt sie nicht… Die berüchtigten Kaufinteressenten auf Tutti, Anibis und Facebook-Inserate…
Aber von Anfang an: Meine Garmin Watch meinte es gut, mit all den Benachrichtigungen. Doch mir wurden sie allmählich zu viel. Dass es nicht mehr nur auf dem Smartphone klingelt und leuchtet, sondern auch immer mehr am Handgelenk, nervte auch meine Frau. Und nun standen die Sommerferien vor dem Haus. Eigentlich der richtige Zeitpunkt, um der Uhr ebenfalls eine Pause zu gönnen. Da wir aber in den Urlaub fliegen wollten und ich eine spezielle Garmin „Piloten-Watch“ mit ganz vielen Flug-Features habe, war das keine Option. Wenn nicht jetzt diese Funktionen live testen, dann wann, sagte ich mir. Die Watch alleine macht Dich ja nicht zum Piloten und fliegen konnte ich selbst nicht. Also mit in den Urlaub! Doch der Spass während des Fluges hielt sich Grenzen. All die spannenden Grafiken, Metriken und Informationen konnte ich nämlich nicht interpretieren. Um die Ferien also geniessen zu können und meine Frau zu zeigen, dass ich auch ohne Push-Nachrichten am Handgelenk leben kann, schalte ich die Uhr während des ganzen Urlaubes auf Flugmodus…
Der Urlaub ist inzwischen vorbei und der Alltag allgegenwärtig. Die Uhr aber immer noch auf Flugmodus. Ich habe die Benachrichtigungen und das Digitale an meinem Handgelenk während des gesamten Urlaub nicht einmal vermisst. Und da ich wie bereits erwähnt weder fliegen kann noch all die Gesundheitsmetriken mich wirklich interessieren, habe ich die Smartwatch vor einer Woche ganz abgenommen. Der Platz an meinem Handgelenk gehört nun wieder meiner Omega Speedmaster, welche mein Vater im Jahre 1969, als die Menschen das erste Mal den Mond betraten, gekauft und mir später dann viele Jahre später geschenkt hatte. Und während ich sie am Handgelenk tragend betrachte, stelle ich einmal mehr fest, wie schön sie ganz ohne Digitales ist. Feinste Details, pure Mechanik. Einfach wunderbar. Unweigerlich frage ich mich, wieso das Apple, Samsung, Garmin und alle anderen Smartwatch Hersteller nicht einen Meister-Uhrenmacher als UI/UX Designer engagieren. Das würde allen Smartwatches definitiv gut tun… Aber das ist ja bekanntlich Geschmacksache.
Nun, darum gehts hier gar nicht. Sondern darum, dass ich mich vor einigen Tagen entschieden habe, meine Garmin zu verkaufen. Ich werde sie nicht mehr tragen und als reines Ausstellungsmodell ist sie nur Staubfänger - und meine Frau mag keinen Staub. Also Fotos machen, Beschrieb erstellen und rein damit, ins Tutti und Anibis. Doch wie fast immer wenn ich was Ausschreibe, gibts zwar viele Views aber kein Interessent. Also übergebe ich es einmal mehr meiner Frau, die mit Verkauf über Kleininserate deutlich effizienter und erfolgreicher unterwegs ist als ich. Sie schaltet das Inserat also für mich auf - diesmal auf Facebook.
15 Minuten nach der Schaltung kommt sie bereits um die Ecke:
„Da hat sich schon einer gemeldet“.
Zuerst wie immer der obligate Satz „ist der Artikel noch verfügbar?“
Der Interessent, ich nennen ich mal aus Datenschutzgründen „Matthew“, fragt sofort weiter nach dem Verkaufspreis, inklusive Verpackung und Versand nach Schaffhausen.
Ganz erfreut und voll der Meinung, einen echten und willigen Interessent an der Angel zu haben, teile ich ihm einen Komplettpreis mit.
1975.- - eingeschrieben
Dann jedoch (o-ton):
„Aber es ist ein Geschenk für meinen Cousin da drüben in Schaffhausen und ich werde Sie aus dem Ausland zahlen, deshalb möchte ich, dass Sie dem Paket eine Apple Karte im Wert von 200.- beilegen und mir als Foto senden“.
Zuerst rege ich mich kurz auf, doch dann…
„Challenge acceptet“ 😈
Er will ein Foto? soll er kriegen! Ich werde meine Reverse-Uno-Karte ausspielen - er will mich manipuliere? Dann manipuliere ich ihn auch!
Also ab zum Notebook. Ich starte meine Kali AttackNode, stelle sicher, dass meine Operation Security greift (Pi-Hole, Gateway über Tails und natürlich sowieso mein ProtonVPN mit SecureCore übers Tor Netzwerk - heute mal mit Ursprung Ecuador - wäre nicht alles notwendig, aber sicher ist sicher) und starte mein Social Engineering Toolset. 🤖
Verbindung zu Reverseproxy - Check!
Ready for Attack! 🚀💥
So weit so gut. Aber was will ich überhaupt? Ich will Informationen! Wer, wo, wie ist dieser „Matthew“.
Technisch bin ich bereit - nun kommt also der psychologische Aspekt ins Spiel. Wie kriege ich es hin, dass „Matthew“ in meine Falle tritt?
Ein manipuliertes Bild per Facebook Messenger zu versenden ist irgendwie nicht wirklich möglich. Am einfachsten und ohne gleich eine Doktorarbeit machen zu müssen wäre, ein Link zu versenden.
Mit was für einem Ziel? Ich will folgendes herausfinden:
Wo befindet sich Matthew genau (GPS-Standort)?
Was für ein PC, Tablet oder Smartphone nutzt er? Welches Modell genau?
Wie lautet seine IP-Adresse?
und vor allem; wie sieht er aus? Ich will ein Foto oder ein Video von ihm!
So weit so gut. Die Herausforderung: wie kriege ich Matthew dazu, dann auch auf meinen Link zu klicken? 🧐
Einfach kommentarlos einen Link senden, würde nicht funktionieren. Ausserdem müsste der Link ja eine gewisse Ausstrahlung haben, damit Matthew die Lunte nicht riecht. Ich muss Zeit gewinnen. Denn ich benötigen eine neue Domain und die muss ich erst kaufen, einrichten und weiterleiten…
Ich halte ihn mit der Aussage hin, dass ich die Karte erst noch online kaufen muss. Das will er aber irgendwie nicht, er schreibt:
Hmm… Neuer Versuch:
„Matthew - ich kaufe die Karte online. Das habe ich schon viel gemacht. darum brauche ich Deine Emailadresse. Aber wenn du willst, kann ich morgen auch eine am Kiosk kaufen gehen. jetzt ist leider schon geschlossen.“ (Zeit gewinnen und realistisch aussehen lassen, alles andere wäre ja sonst unlogisch).
Matthew:
„Ok, kein Problem, ich werde bis morgen früh warten, weil ich möchte, dass du das Paket zusammenpackst und es an meine Cousine schickst, aber lass es schnell gehen, weil ich möchte, dass das Paket morgen versendet wird“
Am nächsten Tag bereits in den Morgenstunden -> Terror:
Matthew: „???“
Matthew: „Hallo“
Matthew: „Versenden Sie oder nicht?“
Matthew: „??? Halllooo?“
Inzwischen habe ich mir aber eine Strategie zurecht gelegt: Ich werde ihm mitteilen, dass meine Handykamera defekt ist und ich daher, die inzwischen gekaufte Karte mit meinem Brother-Scanner scannen werde. Und dieser macht aus dem Scan nur PDF-Dateien. Da ich keine Ahnung von Computer habe , wisse ich auch nicht, wie man dass auf JPG Bild umstellt. Dann noch der Satz:
Ich bin sicher, das wird hinhauen. 😎
Dafür habe ich mir extra eine neue Domain „www.brotherscan.zip“ über Hostpoint reserviert. Eine Weiterleitung per .htaccess ist ebenfalls bereits vorbereitet. So sieht der Link dann realistischer aus 🥸!
Ich hole also wieder meine Kali AttackNode aus dem Tiefschlaf, überprüfe nochmal alle Einstellungen und starte die Konfiguration des Social Engineering Toolset. Ich generiere eine Fakeseite mit einem Brother-Logo und einem Link zum Download der „gescannten Datei“ und aktiviere das Ganze. Die Falle steht und wartet auf das erste Opfer. 😈
Nun wirds spannend: Also ab mit der Nachricht an Matthew:
„Matthew, habs geschafft. Karte ist gescannt. Hier: https://brotherscan.zip
Jetzt abwarten… Ich mach mich auf den Weg zur Kaffeemaschine. Aber noch bevor ich auf den Powerknopf drücke, piepst es im Hintergrund. Augenblicklich steigt mein Puls, nervös renne ich zurück zu der AttackNode…
„Hat der Honk jetzt tatsächlich auf den Link geklickt…?!“
Ja, in der Tat! Da steht es, schwarz auf weiss… (beziehungsweise grün auf schwarz): Victim IP found!
IP: XXX.XXX.XXX.XXX
IP Type: IPv4
User OS: iPhone
User Agent: Mozilla/5.0
Location: XXXXX, Germany, Europe
GeoLocation: XX.XXXXX, X.XXXXXX
Currency: EURO
(Ich maskiere hier, wieder aus Datenschutzgründen, die Details mit XXX… Ich will ja nicht eine Reverse-Reverse-Uno-Karte ausgespielt erhalten…)
Matthew sitzt also in Deutschland. Und er nutzt ein iPhone… Schlecht für mich! Denn iOS (wie auch viele andere, aktuellere Betriebssysteme, melden, sobald ein Zugriff auf die interne Kamera erfolgt. Und man muss diese freigeben, damit die Kamera aufnahmen machen kann… Wäre Matthew einer von vielen Betrüger aus dem südlichen Asien, wäre die Chance gross gewesen, dass dieser stattdessen einen veralteten Windows XP PC mit einer ebenso alten Webcam im Einsatz hätte. Meine Hoffnung auf ein Bild stirbt also… Doch dann, wieder ein Piep!
Kali Linux fängt an, kontinuierlich Bilder abzuspeichern… Mein Puls ist bereits wieder auf Überschall-Frequenz… Ich warte dennoch geduldig ab und extrahiere die ergatterten Bilder… Um dann doch wieder nur enttäuscht zu werden! Bilder wurden gemacht, Matthew hat dem Kamerazugriff tatsächlich zugestimmt (wahrscheinlich eben doch ein Honk). Aber genauso wahrscheinlich war wohl auch seine Kamera kaputt… Denn alle Bilder waren weiss. Einfach nur weiss…
Schade! 😭
Enttäuscht und frustriert breche ich die Kommunikation mit Matthew ab. Blockiere sein Konto und melde es Facebook. Spannend wars trotzdem und vielleicht mache ich mir das zum Hobby - ich stelle „Fake-Inserate“ online und warte auf den nächsten „Matthew“ und spiele das Spiel nochmal von vorne… Mal schauen...
Falls Du also was kaufen willst, und der Verkäufer sendet Dir einen Link - dann könnte das wahrscheinlich ich sein, der versucht, Deine Kamera zu übernehmen 🤓.
P.S. Die gewonnen Informationen mit den Punktgenauen GPS-Standortdaten, habe ich natürlich gesichert und dem NCSC weitergeleitet. Mit IP-Adresse und GPS-Angaben, sollte die Deutsche Polizei eigentlich recht weit kommen...