U geeft gratis uw wachtwoorden en vertrouwelijke informatie weg

Helaas heeft het gemak van overal draadloos internet ook een groot nadeel. Het risico op gegevensdiefstal / afluisteren.

• Het is gemakkelijk om te doen met basis computerkennis en youtube.
• De verkregen informatie is vaak zeer vertrouwelijk van aard.
• Er is weinig tegen te doen.

Lees snel door om een beeld te krijgen van hoe de hacker te werk gaat en wat de gebruikte technieken zijn.

Voorbereiding voor een Man In the Middle attack
De hacker heeft zijn hacking computer ingesteld als MITM aanvalscomputer via het programma Wireshark, ARPspoofing en eventueel SSLstrip. De hacker is ingelogd op een openbaar draadloos netwerk, waarbij er geen code nodig is om in te loggen op het draadloze netwerk. De hacker wil wel graag een doelwit bepalen. Immers kost het afvangen van alle netwerkverkeer veel resources. Het doelwit moet van tevoren duidelijk zijn vastgesteld, bijvoorbeeld door Social Engineering.

Wat er kan gebeuren – voorbeeld uit een simulatie
De eerste logbestanden van Wireshark waren voor mij onbruikbare informatie. Ik zag veel IP adressen voorbij komen, dat betekende in ieder geval wel dat er verschillende computers actief waren op het draadloze netwerk.

Een poort en OS scan op een ingelogde computer via het openbare draadloze netwerk leverde al schatrijke informatie op. Windows 7 Pro computer 64bit met SP1. Deze bleek niet in een domein te zitten maar in de werkgroep “WORKGROUP” De aangemelde gebruiker was “Gebruiker”, want was aangemeld op werkgroep met GebruikerPC.

Via Armitage Metasploit en BackTrack een aantal kwetsbaarheden scans gedaan. Geen resultaten. Poorten 135, 139 en 443 stonden wel open. NESSUS wilde ik niet gebruiken, want dat moest onder een Windows account. Dat was iets wat ik niet voor handen had.

Ik bedacht mij om binnen Wireshark te gaan scannen naar onbeveiligd http verkeer. Daar zag ik al snel wat leuk verkeer verschijnen met opvallend veel verkeer naar een webserver. De webserver bleek echter niet bereikbaar via poort 80 en 443. Toen ik ging zoeken naar email verkeer via het imap en pop protocol was het raak.

Ik zag wel versleuteld TLS verkeer voorbij komen, maar toch bleef de IMAP service draaien. Ik opende één van de resultaten en daar bleek dat ik een schat aan informatie had gevonden.

Compleet niet versleuteld mailverkeer. Inclusief handshake, User > Pass en hoppa! Complete analyse van mailverkeer, CC, BCC, onderwerpen, alles! Toen ik dat wist ben ik nog beter gaan luisteren en ben ik alle verkeer gaan analyseren. De webserver wordt gehost door webhoster XXX. Via het opgevangen emailadres, gebruikersnaam en wachtwoord kwam ik zonder problemen binnen in de bedrijfsemail box via webmail. Alle pdf bijlagen met zeer complete en UITERST VERTROUWELIJKE informatie kon ik inzien. Ook met wie er zaken werd gedaan.

Door onderzoek op de website van de betreffende bedrijven is via Social Engineering nuttige informatie vergaard. Via Linkedin kennen we nu meer partners die aan het bedrijf verbonden zijn.

Door middel van simpel onderzoek weten we nu het volgende:

• Besturingssysteem, patches, macadres en useraccount van de machine.

• Naam van de gebruiker, mogelijk wachtwoord van de gebruiker (gebruikers hebben vaak dezelfde wachtwoorden voor emailaccounts en windows bakken).

• Dat het bedrijf dropbox gebruikt, met mogelijk zeer vertrouwelijke bedrijfs-en klanten info.

• Bedrijfsnaam van het bedrijf inclusief domein informatie.

• Dat ze bezig zijn met een transactie met bedrijf XXX B.V.

• Dat er twee servers actief zijn onder IP adressen xxx.xx.xx.xxx en xxx.xxx.xx.xxx.

• Dat er nog een bedrijf actief is met een transactie en dat daar mee gemoeid is Pietje Puk (pietjepuk@financieelbedrijf.com)

• Hoe de usernamen zijn opgebouwd: pp@financieelbedrijf.com is het mailadres voor Pietje Puk en Koos Grandioos heeft kg@financieelbedrijf.com

• Dat de email bereikbaar is via http://webmail.financieelbedrijf.com

• Dat de server bij hostingprovider XXX draait.

• Dat Gekke Henkie partner is geweest bij Financieel Bedrijf en nu CEO en President is bij XXX.

• Dat Pietje een bedrag heeft gepind van XX euro nog wat met een XXX-XXX bank pas.

Ik ben er zeker van dat ik bij verder doorzoeken en nader Metasploit exploit-onderzoek op een gemakkelijke manier nog veel meer zeer vertrouwelijke informatie over dit bedrijf kan vergaren. Maar voor deze simulatie was beperkte tijd beschikbaar.

Dit bedrijf loopt serieus risico.

  • Chantage / afpersing. Ik heb immers zeer waardevolle bedrijfsinformatie via email verkregen.
  • Aangezien ik ook in de nabije toekomst zonder enig gebruik van een exploit of resources verbinding kan leggen met de mailaccount van een van de CEO’s van het bedrijf, nog meer afpersingsmogelijkheden.
  • Website en mailverkeer platleggen door exploit / DDOS.
  • Bedrijfspagina hijacken en nep pagina plaatsen met andere informatie.
  • Mailverkeer onderscheppen, bewerken en doorsturen met andere getallen!
  • Mail versturen namens de CEO naar VIP’s met fake informatie waardoor het vertrouwen in elkaar deuken oploopt (makkelijker afpersen hierna!)
  • Makkelijk maken van nep internet pagina van de bank om inlog gegevens te ontfutselen, want ik weet bij welke bank de persoon bankiert via shoulder watching.
  • Ik weet het besturingssysteem en kan daardoor gemakkelijk kwetsbaarheden gaan uitbuiten.
  • Ik ken het bedrijf en mailverkeer, waardoor ik heel makkelijk een PDF waar persoon X op zit te wachten kan aanpassen en code aan kan toevoegen met een backdoor / trojan / keylogger etc.

U bent gewaarschuwd!

 

Disclaimer:

De schrijver heeft geenszins de bedoeling de lezer aan te zetten tot hacken, digitaal (laten) stelen/inzien van (vertrouwelijke gegevens) of ander materiaal. De opzet van de blog is uitsluitend bedoelt om geïnteresseerden kennis te laten maken in de wereld van hackers en het bedrijfsleven te waarschuwen voor cybercriminelen en de door hun gebruikte technieken. Alle hacks hebben plaats gevonden in gesimuleerde omgevingen of na uitdrukkelijke toestemming van de gehackte.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.