Wenn öffentliche Daten zur Hacker-Waffe werden
Analyse von PDF-Dateien
von Jens Stark - 24.01.2019
Auch für die mehr virtuellen Angriffswege gibt es öffentlich zugängliche Daten, die sich nutzen lassen. Für Phishing und Spear-Phishing-Kampagnen finden sich meist schon auf den Webseiten der Firmen wichtige Hinweise beispielsweise über den Aufbau der E-Mail-Adressen. Unter Zuhilfenahme von Infos aus LinkedIn beispielsweise könnten so Mitarbeiter sehr gezielt kontaktiert werden.
Was die Metadaten von Online-Dateien auf Webseiten alles verraten, fördert das Tool FOCA zu Tage.
(Quelle: FOCA )
Ebenfalls in einer Gratis-Version erhältlich ist das Tool Maltego, das OSINT-Daten verwendet, um beispielsweise Verbindungen zwischen Personen und deren E-Mail-Adressen darzustellen. Laut Reiter kann man so auch herausfinden, ob eine verwendete E-Mail-Adresse im Rahmen eines größeren Datenlecks bereits kompromittiert worden ist.
Grundlage für Awareness-Schulungen
Nach Reiters Vortrag wird klar, wie viel Hacker mit frei verfügbaren Infos in Erfahrung bringen und im schlimmsten Fall einzelne Personen sogar erpressen können. Um so wichtiger sei es, die mit OSINT gemachten Erfahrungen beispielsweise in Awareness-Schulungen von Mitarbeitern einfließen zu lassen.
"So können Sie beispielsweise aufzeigen, wie wichtig es sein kann, die Geschäfts-E-Mail-Adresse nicht für die Anmeldung bei privaten Webdiensten zu verwenden", lautet einer von Reiters Tipps.