7 Schritte, um sich in ein Bankkonto zu hacken
7 Schritte, um sich in ein Bankkonto zu hacken
Das Experiment:
Herbert Thompson* wollte 2008 der Öffentlichkeit zeigen, wie einfach es war, sich Zugang zu den persönlichen Daten und dem Bankkonto einer Person zu verschaffen.
Er führte das Experiment an einer Person durch, die er kaum kannte, einem Mädchen namens Kim. Mit dem Wissen, das er über sie hatte, ihrem Namen, ihrer Herkunft, ihrem Arbeitsplatz und ihrem ungefähren Alter, konnte er in NUR 7 SCHRITTEN auf ihr Bankkonto zugreifen!!!
Lesen Sie unten, wie er es gemacht hat – in den Tagen vor Facebook!
Schritt 1
Google Suche. Er googelt sie. Findet einen Blog und einen Lebenslauf. (Thompson nennt ihren Blog eine „Goldgrube“.) Er findet Informationen über Großeltern, Haustiere und ihren Heimatort. Vor allem aber findet er ihre College-E-Mail-Adresse und ihre aktuelle Gmail-Adresse.
Schritt 2
Nächster Halt: Passwort-Wiederherstellungsfunktion auf der Website ihrer Bank. Er versucht, ihr Bankpasswort zurückzusetzen. Die Bank sendet einen Link zum Zurücksetzen an ihre E-Mail, auf die er keinen Zugriff hat. Er muss sich Zugang zu Gmail verschaffen.
Schritt 3
Gmail-Zugang. Er versucht, ihr Gmail-Passwort zurückzusetzen, aber Gmail sendet dies an ihre College-E-Mail-Adresse. Da Gmail die Domäne dieser Adresse angibt (zumindest war das 2008 der Fall, als Thompson die Experimente durchführte), wusste er, dass er sich Zugang zu dieser Adresse verschaffen musste.
Schritt 4
E-Mail-Kontoseite der Hochschule. Thompson klickt auf dieser Seite auf den Link „Passwort vergessen“ und wird mit einigen Fragen konfrontiert. Heimatadresse, Postleitzahl und Heimatland? Kein Problem, Thompson hat sie alle aus demselben Lebenslauf. Derselbe Lebenslauf, der bei einer einfachen Google-Suche gefunden wurde. Dann kam ein Stolperstein: Das College wollte ihren Geburtstag wissen. Aber er hatte nur eine ungefähre Vorstellung von ihrem Alter, kein tatsächliches Geburtsdatum.
Schritt 5
Website des staatlichen Verkehrsgerichts. Anscheinend kann man nach Verstößen und Gerichtsterminen nach Namen suchen! Und solche Aufzeichnungen enthalten ein Geburtsdatum. (Facebook macht es auch sehr einfach, an diese Daten zu kommen, selbst wenn die Leute ihr Geburtsjahr nicht angeben… Denken Sie daran, dass Thompson ungefähr wusste, wie alt Kim war). Aber er hatte kein Glück mit dem Department of Motor Vehicles.
Schritt 6
Thompson geht zurück zum Blog und sucht nach „Geburtstag“. Er erhält ein Datum, aber kein Jahr.
Schritt 7
Schließlich versucht Thompson erneut, das Passwort der Hochschule zurückzusetzen. Er gibt ihr Geburtsdatum ein und rät einfach das Jahr. Er irrt sich. Aber die Website gibt ihm fünf Chancen und sagt ihm, in welchem Feld der Fehler liegt. Also rät er weiter. Er erhält Zugang in weniger als fünf Versuchen. Er ändert ihr College-Passwort. Dadurch erhält er Zugang zu ihrer E-Mail zum Zurücksetzen des Gmail-Passworts. Google verlangt einige persönliche Informationen, die er leicht aus ihrem Blog herausfinden kann (z. B. den zweiten Vornamen des Vaters). Thompson ändert das Gmail-Passwort und erhält so Zugang zur E-Mail mit dem zurückgesetzten Passwort für das Bankkonto. Auch hier wird er nach persönlichen Informationen gefragt, aber nichts, was er nicht auch in Kims Blog finden könnte (z. B. Name und Telefonnummer des Haustiers). Er setzt das Bankpasswort zurück, und schon hat er Zugang zu all ihren Unterlagen und ihrem Geld.