4. April 2010

EH2010: A Beginner’s Guide to Social Engineering

Category: CCC — Christian @ 21:43

Menschen tun Dinge die sie eigentlich nicht tun würden, z.B. Preisgabe von Informationen. Oder ein Blog schreiben. Stimmt. Ich frage mich gerade, wer mich da hinsocialengineert hat. Egal. Die bösen Griechen haben das schon bei den Trojanern erfolgreich angewandt und später wieder bei der Währungsunion (Euro!). Das moderne Social Engineering geht auf Kevin Mitnick zurück, der es in dieser Disziplin zur Meisterschaft gebracht hat.

Ich schreibe jetzt nur mal die Stichwörter aus dem Vortrag auf.

Algorithmen / Vorgehensweise

1. Zielortung

  • Welche Information soll gewonnen werden?
  • Wer hat diese Information oder wer kann sie besorgen?
  • Wie erreicht man den Informationsträger?

2. Kommunikationskanäle

  • E-Mail (Spam), Internet, IM, Social Network
  • Fax, Post, Telefon (old school)
  • von Angesicht zu Angesicht (face to face)

3. Wichtigstes Hilfsmittel

  • Vertrauen
    • Erwecken
    • Abschätzen
      • Reaktion auf kritische/persönliche Fragen auswerten

4. Informationsacquise

  • Informationen um den Zielinformationsträger
    • Webseite, Internet, Zeitung, Werbung, …
    • Anruf (unter einem Vorwand)
    • vor Ort … oder in der Bar

5. Pretexting

  • Pretext = Vorwand/Scheingrund
  • Wie Schauspieler in eine Rolle schlüpfen
  • Mehr als Lüge
  • Sollte gut vorbereitet werden
    • Plausibilität
    • Authentizität
  • Üben/durchspielen
  • Mögliche Reaktionen und Gegenreaktionen überlegen
  • Hilfsmittel möglich
    • Zettel bei Telefonaten vorbereiten
    • Aufnahmen zur Analyse
  • Inkrementell anwenden
    • mit neuer Story
    • an anderer Stelle
  • Bis Zielinformation erreicht

Große Unternehmen lassen sich leichter angreifen als kleine, weil es einfach mehr Stellen gibt, von denen jeweils Teilinformationen gewonnen werden können.

6. Authentizität

  • Referenzen
  • Wissen sieht aus wie Authentizität
  • Jargon/Sprache adaptieren
  • Accessories
    • z.B. Visitenkarten, Prospekte, Rechnungen
    • Erscheinungsbild, Arbeitskleidung, Uniform
    • Klischees erfüllen 🙂

7. Elicitation

  • Elicit = entlocken, ablisten
  • Lernen, Gespräche zu steuern
    • Offene vs. geschlossene Fragen
    • Neutrale vs. leitende Fragen
    • Fragen mit Annahme
  • Gesprächstechnik Spiegel

8. Vorteile ausnutzen

  • Menschen sind
    • gierig
    • zutraulich/leichtgläubbig
    • faul
    • in Hierarchien organisiert
    • fast immer in Social Networks
    • hilfsbereit und hilfebedürftig
  • Menschen machen unter zeitlichem Druck leichter Fehler
  • Sympathie bringt Vertrauen
    • Lächeln, Augenkontakt
    • Lob/Wichtigkeit aussprechen bringt Sympathie
    • Ähnlichkeit
  • Das Gegenüber ist meistens Nicht-Nerd
    • Keine Ahnung von und kein Vertrauen in Technik
    • Nicht so paranoid
  • Auswirkungen auf das andere Geschlecht

9. Reverse Social Engineering

  • Das Opfer kommt auf den SE zurück
    • erst Hilfemöglichkeit anbieten
    • dann etwas kaputt machen
    • dann warten, bis die Hilfe in Anspruch genommen wird

10. Hausbesuch

  • Der Bote, Installateur, … kommt
  • Selbsteinladung unter Vorwand
  • Tail Gating (einfach mitgehen) in großen, von Firmen geteilten Komplexen
  • Wenn man im Gebäude ist:
    • Lockpicking
    • Hardwarekeylogger
    • Shoulder Surfing
    • Medien klauen
    • Kamera, Funkmikro

11. Spuren Verwischen

  • VoIP-Rufnummern verwenden
  • Caller-ID faken
  • Informationen gezielt verwenden

Gegenmaßnahmen

  • Klassifizierung welche Informationen sind kritisch
  • Policy für den Umgang mit allen Informationen
  • Verantwortliche Person für Informationsaustausch bestimmen
  • Daten vermeiden
  • Know your Enemy
    • Alle Personen mit einbeziehen
  • Know your Friends
    • Rückfragen bei authentifizierten Personen
    • Authentifikationsmethoden einführen
  • Inverse Social Engineering
    • Angreifen des Social Engineer

Link: http://www.social-engineer.org/


Tags: , ,

3 Comments

  1. Kevin Mitnick lässt grüssen ;o)
    Sehr empfehlenswert zu dem Thema auch Kevin Mitnicks Buch: „Die Kunst der Täuschung“

    Comment by PowerShell — 6. April 2010 @ 07:56

  2. Das Mitnick-Buch ist halt bissi sehr US-zentrisch. Viele Tricks würden in Deutschland so gar nicht funktionieren. Insgesamt fand ich diesen Vortrag aber sehr gut strukturiert, darum auch die lange Inhaltsangabe.

    Comment by Christian — 10. April 2010 @ 18:05

  3. Kommentare gesperrt wegen Spam

    Comment by Christian — 15. Juli 2010 @ 20:56

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.