Identitätsdiebstahl vor einem Jahrhundert

Wie konnten Betrüger einen Man-in-the-Middle Angriff und die Umgehung der 2FA im Jahr 1915 durchführen?

Forscher, die sich mit Cyberbedrohungen befassen, schlagen seit einiger Zeit Alarm wegen der zunehmenden Gefahr von Deepfakes. Insbesondere raten sie dazu, unseren eigenen Ohren vorsichtshalber nicht mehr zu trauen: Denn im digitalen Zeitalter der künstlichen Intelligenz ist die Stimme am anderen Ende der Leitung vielleicht nicht die, für die man sie hält. Apropos, wissen Sie, wovor die Menschen vor mehr als hundert Jahren Angst hatten? Auch in jenem mechanischen Zeitalter der wissenschaftlichen Entdeckungen traute man seinen Ohren nicht so recht über den Weg. Denn war die Stimme am anderen Ende der Leitung wirklich die, für die man sie hielt? Sie glauben uns nicht? Dann werfen Sie einen Blick auf einen Fall von Identitätsdiebstahl, bei dem mit Hilfe der damals modernsten Technik Geld von einem Bankkonto gestohlen wurde, wie in einem Film aus dem Jahr 1915 dargestellt! Willkommen in der Welt der französischen Stummfilmserie Die Vampire.

Die Vampire

Ein kleiner Spoiler: Wer übernatürliche, blutsaugende Monster erwartet, den müssen wir leider enttäuschen. Die Hauptrolle, der Journalist Philippe Guérande, stellt sich einer verwegenen Verbrecherbande, die sich Die Vampire nennt. Trotz seines stattlichen Alters hat der Film in Sachen Informationssicherheit einiges zu bieten. Gleich die erste Szene verdeutlicht, warum der Zugang von Außenstehenden zu Arbeitsdokumenten ein Tabu ist.

Die Vampire selbst sind wegen ihres Einsatzes von damals hochmodernen Methoden interessant. Ein Großteil der dritten Episode (The Red Codebook) ist der Kryptoanalyse gewidmet: Guérande sucht nach Mustern in den verschlüsselten Notizen der Schurken. Und in Episode 7 (Satanas) geht es um den Versuch, die Identität eines anderen zu kopieren. Doch wie kann jemand einen Identitätsdiebstahl begehen, der lediglich mit der Technik des frühen 20. Jahrhunderts ausgestattet ist?

Identitätsdiebstahl im Jahr 1915

Zusammengefasst sieht der kriminelle Plan folgendermaßen aus. Die Vampire finden heraus, dass der US-Magnat George Baldwin auf einer Reise nach Paris ist, wo sie ihm einen Teil seines Geldes abknöpfen wollen. Dazu planen sie einen mehrstufigen Überfall. Zuerst arrangieren sie ein Interview mit dem Millionär durch eine ihrer Mitarbeiterinnen, Lily Flower, die sich als Journalistin der Zeitschrift Modern Woman ausgibt. Sie erzählt Baldwin, dass ihr Magazin jeden Monat ein Promi-Zitat veröffentlicht, und bittet ihn, ein paar Worte in ein Notizbuch zu schreiben und diese dann zu datieren und zu unterschreiben.

Anschließend besucht eine Verkäuferin, die sich als Vertreterin der Universal Phonograph Company ausgibt, den Millionär mit einem neuen technischen Wunderwerk: einem echten Phonographen – dem ersten Gerät zur Aufnahme und Wiedergabe von Ton. Sie erzählt Baldwin, dass es die Firmenpolitik sei, alle Stimmen bekannter Persönlichkeiten aufzunehmen, die Paris besuchen. Baldwin fällt auf den Trick herein und diktiert den einzigen Satz, den er auf Französisch aussprechen kann: „Pariser Frauen sind die charmantesten, die ich je gesehen habe“, und beendet den Satz mit einem englischen „All right!“.

Danach wird dem Zuschauer das ganze Ausmaß des Betrugs offenbart. Das Ziel der ersten Phase war natürlich, die Unterschrift des Magnaten zu stehlen. Unter das Blatt, auf dem Baldwin sein Autogramm hinterlassen hatte, wurde eine Art Kohlepapier gelegt, auf dem die Unterschrift und das Datum festgehalten wurden. Darüber verfassen die Verbrecher nun eine gefälschte Anweisung, mit der die New American Bank verpflichtet wird, Lily (der Journalistin) einen Betrag in Höhe von 100.000 US-Dollar zu zahlen (eine stolze Summe zur heutigen Zeit; stellen Sie sich den Wert vor einem Jahrhundert vor!).

Anschließend entführen sie die Telefonistin, die für Baldwin arbeitet, aus dem Hotel, in dem er logiert, und schicken an ihrer Stelle einen anderen Komplizen mit der Notiz: „Ich bin krank und schicke meinen Cousin als Ersatz“. Die Hotelleitung schluckt diesen primitiven Trick und überlässt dem völlig Unbekannten die Leitung des Telefons.

In der Zwischenzeit geht Lily mit dem gefälschten Zahlungsauftrag zur Bank. Der Bankangestellte beschließt, die Rechtmäßigkeit der Transaktion zu überprüfen und ruft in dem Hotel an, in dem Baldwin untergebracht ist. Der falsche Telefonist spielt dann die Aufnahme ab, die der Millionär zuvor für das Fake-Unternehmen aufgenommen hat, was den Schalterbeamten zur Auszahlung veranlasst.

Wie realistisch ist diese Methode?

Natürlich ist das meiste davon völliger Blödsinn. Woher um alles in der Welt sollte ein Pariser Bankangestellter einer US-Bank im Jahr 1915 die Unterschrift, geschweige denn die Stimme, eines amerikanischen Millionärs kennen? Ganz zu schweigen von der Tatsache, dass die damaligen Telefonleitungen diese Stimme wahrscheinlich bis zur Unkenntlichkeit verzerrt hätten. Abgesehen davon ist die Masche selbst eine klassische Umsetzung eines Man-in-the-Middle (MitM)-Angriffs – der Angestellte ist sich sicher, dass die Stimme zu Baldwin gehört, der seinerseits glaubt, dass er sie zuvor einer Firma für Phonographen zur Verfügung gestellt hat.

Außerdem wird in dem Film eine Umgehung der 2FA-Methode gezeigt: Signaturdiebstahl und gefälschte Stimmbestätigung. Natürlich wird all dies heute mit digitalen Technologien durchgeführt, aber das Kernszenario des Angriffs bleibt dasselbe. Die wichtigsten Gegenmaßnahmen hätten also auch schon vor über einem Jahrhundert formuliert werden können:

  • Geben Sie Außenstehenden keinen Zugang zu Kommunikationskanälen (gefälschter Telefonanbieter).
  • Geben Sie keine vertraulichen persönlichen Daten weiter – und zwar niemals (Unterschrift und Stimmbiometrie).
  • Im Zweifelsfall sollte die Rechtmäßigkeit der Anweisung sorgfältig überprüft werden (der Satz „Pariser Frauen sind die charmantesten, die ich je gesehen habe“ ist nicht gerade der sicherste Beweis).

Heutzutage können Sie diese wunderbare Filmreihe selbst auf Wikipedia nachlesen. Falls Ihre Mitarbeiter allerdings noch nicht bereit sind, Cybersicherheitstipps aus dem Stummfilm zu übernehmen, empfehlen wir stattdessen unsere interaktive Kaspersky Automated Security Awareness Platform.

Tipps