Der Name Canary Tokens kommt von den Kanarienvögeln, die früher in Kohleminen eingesetzt wurden, um giftige Gase frühzeitig zu erkennen. Ein Canary Token ist ein bewusst platzierter Köder, der ebenso der Früherkennung dient. Das kann eine Datei, ein Link, ein scheinbarer API-Key oder eine gefälschte Zugangsinformation sein. Canary Tokens sind keine klassische Spyware und auch kein „Zurückhacken“, sie verschaffen keinen Zugriff auf das Gerät des Angreifers. Je nach Token-Typ werden technische Informationen wie Zeitpunkt, IP-Adresse, ungefährer Standort oder verwendeter Client zurückgemeldet, sobald jemand den Token öffnet oder verwendet.
Ein Beispiel wäre passwörter2026.xlsx - sehr interessant für Angreifer.
So erstellt man ein präpariertes Excel-File:
- Auf canarytokens.org: Create Microsoft Excel Token
- Mail me here when the alert fires: Hier Mailadresse eintragen, wohin der Alert geschickt werden soll. Es bietet sich an, eine Relay Adresse zu verwenden, diese sollte Push-Nachrichten aktiviert haben, damit man keinen Alert verpasst.
- Remind me of this when the alert fires: Beschreibung eingeben, damit man zuordnen kann, welcher Token den Alarm sendet - hilfreich vorallem, wenn man mehrere aktive Tokens hat.
- Optional kann man auch einen Webhook angeben, eine Webapp, die auf den Alert wartet (HTTP POST zum Webhook muss funktionieren).
- Klick auf Create Canary Token
- Auf der nächsten Seite kann man das fertig präparierte Excel File herunterladen. Damit der Angreifer nicht erkennt, dass es ein Köder ist, sollte man die Datei unbedingt umbenennen, das beeinträchtigt den Token nicht.
- WICHTIG: unter Manage Canary Token erhält man den Link, wohin alle Alerts des Tokens gesendet werden und dort kann man den Token auch deaktivieren und löschen. Der Link sieht in etwa so aus:
https://canarytokens.org/nest/manage/4f52a769167af91fac01317c3c0a1d04/dzyo90qq2oln4bum77g420oax
Auf Canarytokens.org kann man derzeit 32 unterschiedliche Token erstellen.
CanaryTokens.org gehört zum Thinkst-Canary-Ökosystem, dahinter steht Thinkst Applied Research, ein südafrikanisches Unternehmen. Der Gründer ist Haroon Meer, ein südafrikanischer Security-Researcher.
