Uralte Hackertricks noch immer eine GefahrDie hohe Kunst des “Shoulder-Surfing”
Gefahr durch Tastatur-Voyeure
Uralte Hackertricks noch immer eine Gefahr
Jeder Hacker erinnert sich an den Trick, mit dem ihm der Einstieg in sein illegales aber zugegebenermaßen aufregendes Hobby gelungen ist. Heute besteht dieser erste Trick wahrscheinlich aus einem simplen Download eines Tools oder einem, das von einem Freund kopiert wurde – so etwas wie ein Buffer-Overflow-Generierer, mit dem sich Administratorrechte erschleichen lassen. Zu meiner Zeit aber war das alles viel promitiver.
Es war ein Trick, den die heutige Generation mit Sicherheit als zu leicht abtun würde – oder der einfach über das Internet in vielen Fällen unmöglich ist. In den Jahren nach meinem ersten Hack habe ich viel über das Manipulieren von Systemen, Analysieren von technischen Schwachstellen, Erzeugen von maßgeschneiderten Viren und ähnlichem gelernt. Aber mein erster Hack war ein einfacher “Shoulder-Surf” – jemandem über die Schulter zu schauen und dabei dessen Passwort zu erkennen und es sich zu merken.
Hören statt Sehen
Uralte Hackertricks noch immer eine Gefahr
Es ist bemerkenswert einfach, wenn man weiß wie.
Die meisten Passwörter sind einigermaßen kurz und haben für ihre Nutzer eine gewisse Bedeutung. Sechs oder acht Zeichen sind die Norm und sie haben eine gewisse Logik: Namen, Daten oder bekannte Wörter wie Sternzeichen. Und der Trick beim Shoulder-Surfing besteht darin, nicht zu gierig hinzustarren. Ich biete Ihnen eine kurze Expertenstunde und gehe dabei davon aus, dass Sie mehrere Möglichkeiten haben, Ihr Ziel zu beobachten.
Erstens: Man zähle die Anzahl der Tasten, die gedrückt werden – das erweist sich als nützlich, um auszumachen, wie viel Rätselraten später absolviert werden muss. Hierbei muss man noch nicht mal so genau hinsehen, sondern vor allem aufmerksam zuhören.
Das große Ratespiel für Datendiebe
Uralte Hackertricks noch immer eine Gefahr
Jetzt kommt der zweite Schritt: Einen Blick auf ein paar der Tasten zu erhaschen.
In einem Unternehmen, wo die Passwörter häufig gewechselt werden, haben Sie die besten Chancen, wenn das Passwort relativ neu ist: Die Zielperson tippt sie viel langsamer ein als das später der Fall ist, wenn sie sich an das zugrunde liegende Muster gewöhnt hat. Es gibt mehrere Techniken aber ich bevorzuge es, die ersten drei Zeichen beim zweiten Eintrag zu erwischen. Versuchen Sie nicht herauszufinden, welche Tasten das nun wirklich sind, sondern achten Sie auf die Position der Tasten auf der Tastatur. Versuchen Sie, eine ungefähre Vorstellung davon zu bekommen, wo sich die Finger hinbewegen.
Mit Glück und etwas “Video abspielen” im Kopf kennen Sie nun die Länge und die ersten drei Zeichen. In vielen Fällen mag das ausreichen, um eine Liste von möglichen Anhaltspunkten zu erstellen: Haben sich die Finger nur auf dem numerischen Tastenfeld bewegt? Ist es ein Geburtsdatum oder eine Telefonnummer? Gehörten die Tasten für die ersten Buchstaben zu einem sehr häufigen Wort? Tja, es dauert schon ein bisschen, bis man es richtig erraten kann.
Gekuckt und geknackt!
Uralte Hackertricks noch immer eine Gefahr
Jetzt schauen Sie sich die letzte betätigte Taste, vor “Enter” an.
Da müssen Sie schnell sein, denn die meisten Leute machen diese letzten beiden Bewegungen sehr schnell. Wenn Sie es aber schaffen, dann haben Sie die Länge, die ersten drei Zeichen und das letzte. Mit großer Wahrscheinlichkeit kann man es nun erraten – wenn aber nicht, denken Sie an mögliche Varianten und welches die letzten drei Tasten sein könnten. Nur noch eine Beobachtung – und Sie haben es!
Wie schützt man sich davor? Nun, man verwende auf alle Fälle lange Passwörter, mische Zahlen darunter und nutze die Shift-Taste. Auch sollte man so lange üben, bis man das Passwort so schnell wie möglich eintippen kann.
Und zu guter letzt: Passen Sie auf, dass ich nicht hinter Ihnen stehe!
Der Autor
Uralte Hackertricks noch immer eine Gefahr
Neil Barrett ist Redakteur bei IT Week und zugleich Security-Sachverständiger für britische Gerichte.
Nachdem er das Thema “Shoulder Surfing” wieder in die Medien brachte, griffen zahlreich Journalisten das Thema auf, etwa das Onlinemagazin “The First Post” mit “You can still get phished with your chip” – auch mit Chipkarten und damit gekoppelten Pin-Nummern könne man noch um seine Daten gebracht werden. Dass auch Zuhören wichtig ist für Phishing, zeigen neueste Trends wie etwa Phishing per Telefon. Und das passiert nun in Australien per Internet-Telefonie so gut wie automatisch.