Mail-Account so hacken, dass der Besitzer es nicht merkt?

Nachforschung, Untersuchung, Information. Hintergrundinformationen für deine Werke. Fragen bzgl. Geschichte, Gesellschaft, Technologie, etc.

Mail-Account so hacken, dass der Besitzer es nicht merkt?

Beitragvon Alys » 10.06.2015, 19:26

So, und gleich mal vorweg: ich bitte inständig darum, dass hier keine step-by-step-Anleitung gepostet wird, wie man sich in ein Mail-Account hackt. Wir sind doch ein brav legales Forum.

Was mich aber interessiert ist, ob es grundsätzlich möglich ist, sich in das Mail-Account eines anderen Menschen einzuhacken, ohne dass er es merkt?

Die Story-Idee, die mir da im Kopf herumschwirrt, basiert darauf, dass jemand über längere Zeit die Mails seines Chefs als stiller Mitleser verfolgt und dann aus diesem Mailverkehr mitbekommt, was der Chef alles mit ihm plant. Er steht dann vor dem Dilemma, dass er alles weiß, aber dies nicht verraten kann ohne seine eigene Schuld zu gestehen.

Ich bin da aber technisch nicht versiert genug, um die Hintergründe wirklich zu verstehen. Hab' mich tatsächlich in den letzten Tagen ein wenig in Hacker-Foren herumgetrieben, aber das ist mir zu hoch.
Es geht wohl bei einigen Providern, dass man auf "Passwort vergessen klickt", darum bittet, dass ein neues PW als Mail oder SMS zugeschickt wird, und dann als Empfängeradresse für diese Mail/SMS eine eigene Adresse angibt.
Natürlich gibt es hier noch Sicherheitsfragen etc. zu überwinden. Das ist also schon ungeeignet für meinen Prota, denn wenn die Sicherheitsfrage sowas wie "Wann war Deine erste Flugreise?" oder "Wie ist der zweite Vorname Deiner Mutter?" ist, dann weiß er das sicher nicht über seinen Chef.
Außerdem meine ich, dass einem dann ein neu generiertes PW zugeschickt wird. Wenn Prota sich dann also mit dem neuen PW einloggt, dann merkt es sein Chef sofort, weil er selbst nicht mehr mit seinem alten PW rein kommt.

Also, ohne technische Details zu verraten - geht das, dass mein Prota sich Chefs Passwort aneignet bzw. das Account hackt, und zwar ohne dass der Chef es merkt?
Prota sollte durchschnittliche Computerkenntnisse haben, also sicherer Anwender sein, und darf auch gängige Programmiersprachen kennen (C++, Java, Flash - so nen Kram) aber prinzipiel ist er nicht als Hacker-Genie angelegt. Und hat auch nicht die freundliche Mithilfe von BND und NSA.
Alys
 
Beiträge: 490
Registriert: 30.12.2014, 15:26

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon daniel_ » 10.06.2015, 19:48

Ich bin hauptberuflich als Systemadmin und -entwickler tätig, daher kann ich dir einige Infos dazu geben.

Da es um die E-Mails des Chefs geht, wird vermutlich ein interner Mailserver verwendet, also nicht so etwas wie GMX oder Web.de. Das heißt auch, dass die Möglichkeit nicht besteht, eine Passwort-vergessen-Funktion auszuführen, sondern man muss sich direkt an die IT wenden und diese setzt das Kennwort bestimmt nicht zurück und sagt das neue jedem X-beliebigen. In der Regel wird ein neues Passwort gesetzt und versiegelt übermittelt. Ja nachdem wie groß das Unternehmen ist (und wie streng die Sicherheitsrichtlinien sind) auch übers Telefon. Hier könnte der "Hacker" zugehört haben, aber das Passwort muss dann in der Regel auch nochmal geändert werden. Meistens (da es quasi zusammengehört, Domänenetzwerk mit ActiveDirectory (Benutzer) und Exchange (E-Mailserver) wird der selbe Account (also ein Passwort) für die Benutzeranmeldung als auch für das E-Mail-Programm (häufig MS Outlook) verwendet, meistens muss man sich nur am Rechner anmelden, Outlook (sobald es einmal eingerichtet wurde) verbindet sich dann automatisch mit dem Server (ist so quasi der Standart).

Wenn jemand sich bei der IT für jemanden anderen ausgibt, um solche Daten wie Zugänge zu erhalten, nennt man das "social engineering". Das ist quasi die "verbale" Form des Hackens.

Eine andere Möglichkeit wäre, einen Keylogger zu installieren (der aber vor der Benutzeranmeldung ausgeführt wird), dann hat man den Windows-Zugang und kann sich auch mit diesen Zugangsdaten beim E-Mail-Serever anmelden. Ohne Berechtigungen ist das nicht so einfach zu installieren. Eine Möglichkeit wäre, ein Livelinux auf dem Zielrechner von CD oder USB zu starten und dann die entsprechende Trojanersoftware auf die Festplatte kopieren bzw. Windowsdateien zu manipulieren. Dazu braucht man aber etwas mehr Knowhow und vor allem auch Zeit. Ansonsten wäre noch eine Möglichkeit, einen USB-Keylogger zwischen Tastatur und USB-Buchse anzuschließen. Dann braucht man aber auch physischen Zugang zu dem Zielrechner (evtl. mit Hilfe von einem aus der IT, der das beim nächsten Hardwareproblem unterschiebt, aber IT-ler sind aufgrund den Zugriffsmöglichkeiten meist vertrauenswürdig).

Wenn es etwas banaler sein darf: Es ist verboten, aber viele schreiben sich ihre Passwörter auf und halten sie nicht(!) unter Verschluss. Manche pinnen sie sogar neben den Monitor. Das passiert echt ständig. Auch viele haben ein Passwort wie zB "Monika2002", weil die Frau Monika heißt und 2002 geheiratet wurde. Evtl. errät der Angreifer einfach das Passwort. Ein Stichwort, das Softwaregestützt zu machen wäre "Brutforce", aber die meiste Software verhindert das zu häufige ausprobierte Einloggen und sperrt den Account.

Dann würde mir noch einfallen, dass man die Passworteingabe einfach mit dem Smarphone filmt. Diese sind heututage so gut auflösend, dass Hacker sogar an Fingerabdrücke alleine durch Fotos rankommen. Wenn man dann denjenigen auf die Finger filmt und so tut als ob man mit dem Handy was anderes macht, kriegt man acuh das Passwort raus.

Wenn man das Passwort einmal hat, ist es ein Leichtes. Dann kann man im E-Mail-Client einfach eine neue Verbindung erstellen mit den anderen Zugangsdaten. Oder man meldet sich an einem Rechner mit den Zugangsdaten an. Outlook richtet das dann meist automatisch passend ein.

Wenn du weitere Fragen hast, ich stehe gerne mit Rat (aber ohne Tat ;) ) zur Verfügung.

/edit: mir ist noch eingefallen, dass man das auch noch sehr viel technischer machen kann. Zum Beispiel, indem man die Kommunikation zw. Zielgerät und Server abhört (Stichwort: man-in-the-middle). Dann braucht man aber sehr viel Knowhow.
daniel_
 
Beiträge: 55
Registriert: 17.11.2010, 14:11

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon Mutschekuh » 10.06.2015, 20:41

Ich schreib jetzt mal ins Blaue, ohne mehr als den Ausgangspost gelesen zu haben :)
Das Szenario hat mich nämlich entfernt an meinen Job erinnert. Wir hatten ein Mailprogramm, in dem man anderen Benutzern die Einsicht freischalten konnte, firmenintern zumindest. Bestimmt funktioniert das auch mit jedem anderen Mailprogramm.
Mein Gedanke wäre jetzt gewesen, dass sich der Mitarbeiter von Chefs Account einfach die Einsicht freischaltet. Wenn der Chef da nicht ständig rumguckt, merkt er es sicher nicht (so schnell).
Ansonsten könnte der Mitarbeiter doch auch einfach das Passwort von irgendwoher "klauen". Vielleicht ist es ja sowas einfaches, wie das Geburtsdatum, der Name der Frau, der Kinder oder sonstwas... Da sind ja viele Menschen ziemlich unvorsichtig. Das ginge dann ja auch ohne große Hackerkenntnisse.
In der Regel kann man gelesene E-Mails dann ja auch wieder als ungelesen markieren, dann fällt es nicht so schnell auf :)
Rettet die Wale, esst keine Walnüsse!
Benutzeravatar
Mutschekuh
 
Beiträge: 78
Registriert: 05.01.2013, 19:25

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon Justin » 11.06.2015, 01:19

Was sehr einfach wäre, ist wenn der Chef den Mitarbeiter das Passwort gibt... Du lachst.

Ich habe früher in einem Büro gearbeitet wo wir eine kleine Clique waren. Der Chef hat mich eines Tages aus dem Urlaub angerufen - Er saß mit Familie irgendwo in der Normandie - ohne Internet-Anschluss und wollte wissen ob irgendeine Antwort für in per Mail gekommen war. Ich sollte für ihn in sein Mail-Account schauen und er hat mir sein Password telefonisch durch gegeben. Da war kein Mail für ihn da und anscheinend hatte er ein Gläschen Wein zu viel getrunken, und vergessen, dass er mir sein Passwort gegeben hatte.
You can observe a lot just by watching.
Justin
 
Beiträge: 497
Registriert: 12.11.2010, 23:34
Blog: Blog ansehen (15)

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon Libelle » 11.06.2015, 01:54

Da ich auch mit Computern zu tun habe, plaudere ich auch mal aus dem Nähkästchen: Ich gebe Kunden zum Abschluss eines Projekts grundsätzlich schriftlich in gesammelter Form ihre projektbezogenen Zugangsdaten mit dem deutlichen Hinweis, dass diese bitte Ihre Passwörter zeitnah selbstständig ändern mögen. (Die Passwörter in meinen Unterlagen vernichte ich nach Abschluss des Projekts, nicht dass jetzt jemand meint, ich wär ein Sammelsurium für Zugangsdaten.) Fast 90% aller (meiner) Kunden nehmen das Schreiben und heften es auf Nimmerwiedersehen ab – zu den anderen Sachen, die mit Computer, Internet und Telefon zu tun haben.

Oft stehen die Aktenordner dann auch offensichtlich (»Internet« oder so steht drauf) und ungeschützt herum, weil die Kunden meist meinen, dass das nicht so wichtig wie ihre Finanzangelegenheiten sei und daher nicht an einen sicheren Ort müsse. Die sind auch absolut beratungsresistent in der Hinsicht, bis irgendwas passiert, aber selbst danach geht es schnell weiter wie gehabt.

Im Prinzip braucht man nur mal ins Regal zu greifen, sein Smartphone zücken, ein paar Fotos knipsen – und schon hat man sämtliche Zugangsdaten fürs Firmennetzwerk, Firmen-Internetseite, Firmen-E-Mail, PCs, Daten für den Telefon- und Internetanbieter und so weiter.

Alys, wenn deine Figur also schon in der Firma arbeitet und sich dort auskennt, weiß sie sicherlich, wo der Chef seinen Ordner, sofern vorhanden, stehen hat. Und dieser Fall ist gar nicht so unwahrscheinlich, wie man meint.
»Wo die Sonne der Kultur niedrig steht, werfen selbst Zwerge lange Schatten.«
Karl Kraus (1874 – 1936)
Benutzeravatar
Libelle
 
Beiträge: 534
Registriert: 17.11.2014, 14:25

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon Alys » 11.06.2015, 07:52

Wow, da sind ein paar sehr tolle Ideen dabei. Danke Euch allen. :)

Ich glaube, ich werde da eine Kombination aus den von Euch genannten Möglichkeiten machen.
Erstmal ein internes Mailsystem, das dem Chef erhöhte Sicherheit vorgaukelt.
Dann ist das mit dem Ordner "Internet" und der Passwortliste doch sehr realistisch... ich erinnere mich daran, dass an meinem letzten Arbeitsplatz auch an einen sehr öffentlichen Ordner stand, wo bis zum letzten Studenten jeder wusste, dass innen auf dem Deckel das Passwort für XXX steht.
(Und so gesehen - das PW unseres Chefs kannte jeder, weil er sich nicht selbst einloggen wollte (konnte?). Nur da er nie selbst Mails geschrieben hat war das nicht so wichtig.)

Eigentlich dachte ich für die Geschichte an die privaten Mails des Chefs, aber wenn dass mit web.de & Co nicht so einfach funktioniert nehme ich sein Firmenaccount und dieses interne Mailsystem. Es müssen ja keine schmutzigen privaten Geheimnisse sein, die der Mitarbeiter herausbekommt.

Hatte ja schon überlegt, mir selbst ein web.de-Account anzulegen und zu probieren, ob ich es "hacken" kann. :lol:

Danke für die Hilfe!
Alys
 
Beiträge: 490
Registriert: 30.12.2014, 15:26

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon Neniel » 11.06.2015, 11:40

Ich möchte noch hinzufügen (auch wenn es schon ansatzweise genannt wurde), dass man Zugriff auf die Inbox eines anderen bekommen kann.

Bei uns in der Firma benutzen wir Outlook, und in meiner Zeit als Assistentin des VP hatte ich dadurch Zugriff auf seine eMails und seinen Kalender, um Meetings aufzusetzen, etc.
Das ist nicht schwierig einzustellen, und wenn der Chef mal kurz aus dem Büro muss und den Computer nicht locked, könnte man das schön einstellen. ;-) Solange man nur liest, bekommt der andere das gar nicht mit.

LG,
Neniel
Nicht Hass ist die Bestimmung eines Engels. Sondern Vergebung, Güte und Mitgefühl.. und manchmal vielleicht auch Traurigkeit.
Neniel
 
Beiträge: 78
Registriert: 27.01.2013, 12:33
Wohnort: Südhessen

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon Aradir » 13.06.2015, 00:57

Wenn man Zugriff auf das Büro des Chefs hat, was ja in den meisten Fällen gegeben sein dürfte und sei es, dass man sich kurz während der Mittagspause reinschleicht, dann kann man einen USB-Keylogger nutzen. Das ist praktisch ein kurzer Stift mit einer Buchse für die Tastatur und einem für den PC-Eingang. Die gibts ganz legal zu kaufen. Ich bin da bei einer Seite für Geek-Krimskrams drüber gestolpert (was auch immer der da im Sortiment gesucht hat). Damit hat man dann ja die Zugangsdaten.
Damit kann man sich dann ja einfach in den Account einloggen.

Alternativ kann man über einen USB-Stick natürlich auch ausgefeiltere Sachen hochladen.
Die erste Regel der IT-Sicherheit: Lass dein Zeug nicht unbeaufsichtigt. Das ist natürlich in den allermeisten Firmen nicht die Realität.
Aradir
 
Beiträge: 641
Registriert: 19.01.2014, 19:15

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon Alys » 18.06.2015, 10:25

Muss man diesen USB-Stick (also, den Keylogger) dann nicht am PC des Chefs dran lassen? Das würde der doch merken, oder?
(Selbst, wenn er die Sorte Chef ist, der das Internet für Neuland hält...)
Alys
 
Beiträge: 490
Registriert: 30.12.2014, 15:26

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon Aradir » 18.06.2015, 11:08

Na ja, zum einen ist das Ding zwischen dem Anschluss für Tastatur und PC-Buchse (es wirkt also auf den ersten Blick wie ein Teil des Tastatursteckers) und zweitens: Wie oft kriechst du unter deinen Tisch um hinter deinen Pc zu gucken?
Aradir
 
Beiträge: 641
Registriert: 19.01.2014, 19:15

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon anby77 » 18.06.2015, 16:00

Es gibt auch Software-Keylogger. Das ist Software, die man aufspielt und die ohne den Datenträger auf dem sie gekommen ist, funktioniert. Kein verräterisches Gerät am Rechner und wenn das Getippte via Internet übermittelt wird, ist es ganz leicht von jedem internetfähigen Rechner der Welt abrufbar.
Und wenn der Chef technisch unbedarft ist, schickt der Angestellte ihm beruflich eine Mail mit Anhang, der anstatt der versprochenen Präsentation oder Quartalszahlen den Keylogger enthält. Bei Versuch das "Dokument" zu öffnen installiert der Chef selbst ihn und wenn er sich beklagt, dass die Datei nicht aufgegangen ist, schiebt der Angestellte die Schuld auf die Technik und schickt dieses mal die richtige Datei... Ich hatte mehr als einen Chefs, bei dem das absolut umstandslos funktioniert hätte.
Je größer der Dachschaden, desto schöner der Ausblick zum Himmel.
(Karlheinz Deschner)
anby77
 
Beiträge: 4293
Registriert: 19.12.2007, 19:55
Wohnort: Das schöne Badnerland

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon Alys » 19.06.2015, 11:23

Wow. Hab gerade den Wikipedia-Artikel dazu gelesen.
Das klingt alles hochillegal, aber das ist das mitlesen von privaten Mails sowieso.

Danke für all Eure Antworten.
Alys
 
Beiträge: 490
Registriert: 30.12.2014, 15:26

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon Cato » 19.06.2015, 21:47

Aus eigener Erfahrung kann ich die Binsenweisheit der IT Security bestätigen dass bei weitem mehr Accounts durch "Social Hacking" als durch hochkomplexe Techno Spielzeuge (-> Keyboard Dongles) kompromittiert werden.
Einfache Beispiel, die Sekretärin des Chefs ruft pikiert in der technischen Abteilung an, weil sie vorgibt der Boss habe sie aus dem Flieger angerufen und verlangt das sie sich in seinen Mail Account einloggen soll um die dringende Vertragskopie nochmal neu zu überarbeiten.

Jetzt können sie als Techniker zweierlei machen:
A) Sie sagen dem Zerberus des Chefs das sie sich an die Regeln halten soll, und ihrem Boss dass er seine Anfrage bitte schriftlich an die IT Sicherheit richten möge (anschließend am besten gleich schon mal den Lebenslauf auf Vordermann bringen, denn in der Firma werden sie nicht mehr glücklich).
B) Sie geben ihr das Paßwort durch, und weil die Dame nicht nur schwer von Begriff sondern auch noch schwerhörig ist, müssen sie es gleich in den Hörer brüllen - so dass jeder zufällige Besucher der IT es mitbekommt.

Die schwerst bewachten IT Systeme der Welt wurden häufig durch einen simplen Telefonanruf kompromittiert, oder durch einen Dreikäsehoch der auf Papas USB Stick einen Bootvirus vom Internet herunterlud.
Latine dictum, sit altum videtur
Benutzeravatar
Cato
 
Beiträge: 36
Registriert: 04.05.2015, 19:20
Wohnort: Terra Insulae

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon Yarisha » 10.09.2015, 21:14

Mal noch ein bisschen eine andere Idee:

Der Chef ist in einem Meeting und hat seinen Rechner nicht gesperrt - da kann der Mitarbeiter sich mal kurz an den Rechner setzen und eine Regel in Outlook einrichten, die alle Mails, die der Chef erhält automatisch an eine andere Mail-Adresse weiterleitet.
Da im Mailverkehr ja in der Regel auf eine Mail geantwortet wird, sollte das ausreichen, um den vollständigen Mailverkehr mitzubekommen.
Yarisha
 
Beiträge: 28
Registriert: 09.03.2013, 00:38

Re: Mail-Account so hacken, dass der Besitzer es nicht merkt

Beitragvon treogen » 11.09.2015, 07:52

Eine physikalische Lösung würde ich ausschließen.
1.) Würde es auffallen
2.) war in den meisten Firmen, in denen ich gearbeitet habe, Standard, dass man als normaler User keine andere HW an den Rechner anstecken konnte, als die, die von der IT installiert wurde. USB-Sticks? Physikalische Keylogger? Externe Laufwerke? Fehlanzeige. Wurde alles durch die IT verhindert.

Auch eine SW-Lösung dürfte für die meisten ausfallen. In den Firmen, in denen ich gearbeitet habe, hat der normale User so wenig Rechte, dass so etwas wie ein SW-Keylogger demnach nicht gehen würde.

Die einfachsten Lösungen sind wirklich der Unsicherheitsfaktor Mensch (Passwort unten an der Tastatur festgeklebt ist beispielsweise ganz beliebt. So einen Chef hatte ich auch schon), nicht gesperrter Rechner und Social Hacking.
Einmalig in der Phantastik-Szene - Der Verlag wurde 7 Mal in Folge für den Deutschen Phantastik Preis nominiert.
1. Platz: 2015 / 2011
2. Platz: 2014 / 2012 / 2010
4. Platz: 2013 / 2009

Phantastik vom Feinsten
Benutzeravatar
treogen
 
Beiträge: 1194
Registriert: 26.05.2010, 09:17
Wohnort: Erlingen
Blog: Blog ansehen (5)

Nächste

Zurück zu Recherche

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste