{"id":1157,"date":"2010-04-04T21:43:29","date_gmt":"2010-04-04T20:43:29","guid":{"rendered":"http:\/\/www.mitternachtshacking.de\/blog\/1157-eh2010-a-beginners-guide-to-social-engineering"},"modified":"2010-07-15T20:56:49","modified_gmt":"2010-07-15T19:56:49","slug":"eh2010-a-beginners-guide-to-social-engineering","status":"publish","type":"post","link":"https:\/\/www.mitternachtshacking.de\/blog\/1157-eh2010-a-beginners-guide-to-social-engineering","title":{"rendered":"EH2010: A Beginner&#8217;s Guide to Social Engineering"},"content":{"rendered":"<p>Menschen tun Dinge die sie eigentlich nicht tun w\u00fcrden, z.B. Preisgabe von Informationen. Oder ein Blog schreiben. Stimmt. Ich frage mich gerade, wer mich da hinsocialengineert hat. Egal. Die b\u00f6sen Griechen haben das schon bei den Trojanern erfolgreich angewandt und sp\u00e4ter wieder bei der W\u00e4hrungsunion (Euro!). Das moderne Social Engineering geht auf Kevin Mitnick zur\u00fcck, der es in dieser Disziplin zur Meisterschaft gebracht hat.<\/p>\n<p>Ich schreibe jetzt nur mal die Stichw\u00f6rter aus dem Vortrag auf.<\/p>\n<p><strong>Algorithmen \/ Vorgehensweise<\/strong><\/p>\n<p>1. Zielortung<\/p>\n<ul>\n<li>Welche Information soll gewonnen werden?<\/li>\n<li>Wer hat diese Information oder wer kann sie besorgen?<\/li>\n<li>Wie erreicht man den Informationstr\u00e4ger?<\/li>\n<\/ul>\n<p>2. Kommunikationskan\u00e4le<\/p>\n<ul>\n<li>E-Mail (Spam), Internet, IM, Social Network<\/li>\n<li>Fax, Post, Telefon (old school)<\/li>\n<li>von Angesicht zu Angesicht (face to face)<\/li>\n<\/ul>\n<p>3. Wichtigstes Hilfsmittel<\/p>\n<ul>\n<li>Vertrauen\n<ul>\n<li>Erwecken<\/li>\n<li>Absch\u00e4tzen\n<ul>\n<li>Reaktion auf kritische\/pers\u00f6nliche Fragen auswerten<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>4. Informationsacquise<\/p>\n<ul>\n<li>Informationen um den Zielinformationstr\u00e4ger\n<ul>\n<li>Webseite, Internet, Zeitung, Werbung, &#8230;<\/li>\n<li>Anruf (unter einem Vorwand)<\/li>\n<li>vor Ort &#8230; oder in der Bar<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>5. Pretexting<\/p>\n<ul>\n<li>Pretext = Vorwand\/Scheingrund<\/li>\n<li>Wie Schauspieler in eine Rolle schl\u00fcpfen<\/li>\n<li>Mehr als L\u00fcge<\/li>\n<li>Sollte gut vorbereitet werden\n<ul>\n<li>Plausibilit\u00e4t<\/li>\n<li>Authentizit\u00e4t<\/li>\n<\/ul>\n<\/li>\n<li>\u00dcben\/durchspielen<\/li>\n<li>M\u00f6gliche Reaktionen und Gegenreaktionen \u00fcberlegen<\/li>\n<li>Hilfsmittel m\u00f6glich\n<ul>\n<li>Zettel bei Telefonaten vorbereiten<\/li>\n<li>Aufnahmen zur Analyse<\/li>\n<\/ul>\n<\/li>\n<li>Inkrementell anwenden\n<ul>\n<li>mit neuer Story<\/li>\n<li>an anderer Stelle<\/li>\n<\/ul>\n<\/li>\n<li>Bis Zielinformation erreicht<\/li>\n<\/ul>\n<p>Gro\u00dfe Unternehmen lassen sich leichter angreifen als kleine, weil es einfach mehr Stellen gibt, von denen jeweils Teilinformationen gewonnen werden k\u00f6nnen.<\/p>\n<p>6. Authentizit\u00e4t<\/p>\n<ul>\n<li>Referenzen<\/li>\n<li>Wissen sieht aus wie Authentizit\u00e4t<\/li>\n<li>Jargon\/Sprache adaptieren<\/li>\n<li>Accessories\n<ul>\n<li>z.B. Visitenkarten, Prospekte, Rechnungen<\/li>\n<li>Erscheinungsbild, Arbeitskleidung, Uniform<\/li>\n<li>Klischees erf\u00fcllen \ud83d\ude42<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>7. Elicitation<\/p>\n<ul>\n<li>Elicit = entlocken, ablisten<\/li>\n<li>Lernen, Gespr\u00e4che zu steuern\n<ul>\n<li>Offene vs. geschlossene Fragen<\/li>\n<li>Neutrale vs. leitende Fragen<\/li>\n<li>Fragen mit Annahme<\/li>\n<\/ul>\n<\/li>\n<li>Gespr\u00e4chstechnik Spiegel<\/li>\n<\/ul>\n<p>8. Vorteile ausnutzen<\/p>\n<ul>\n<li>Menschen sind\n<ul>\n<li>gierig<\/li>\n<li>zutraulich\/leichtgl\u00e4ubbig<\/li>\n<li>faul<\/li>\n<li>in Hierarchien organisiert<\/li>\n<li>fast immer in Social Networks<\/li>\n<li>hilfsbereit und hilfebed\u00fcrftig<\/li>\n<\/ul>\n<\/li>\n<li>Menschen machen unter zeitlichem Druck leichter Fehler<\/li>\n<li>Sympathie bringt Vertrauen\n<ul>\n<li>L\u00e4cheln, Augenkontakt<\/li>\n<li>Lob\/Wichtigkeit aussprechen bringt Sympathie<\/li>\n<li>\u00c4hnlichkeit<\/li>\n<\/ul>\n<\/li>\n<li>Das Gegen\u00fcber ist meistens Nicht-Nerd\n<ul>\n<li>Keine Ahnung von und kein Vertrauen in Technik<\/li>\n<li>Nicht so paranoid<\/li>\n<\/ul>\n<\/li>\n<li>Auswirkungen auf das andere Geschlecht<\/li>\n<\/ul>\n<p>9. Reverse Social Engineering<\/p>\n<ul>\n<li>Das Opfer kommt auf den SE zur\u00fcck\n<ul>\n<li>erst Hilfem\u00f6glichkeit anbieten<\/li>\n<li>dann etwas kaputt machen<\/li>\n<li>dann warten, bis die Hilfe in Anspruch genommen wird<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>10. Hausbesuch<\/p>\n<ul>\n<li>Der Bote, Installateur, &#8230; kommt<\/li>\n<li>Selbsteinladung unter Vorwand<\/li>\n<li>Tail Gating (einfach mitgehen) in gro\u00dfen, von Firmen geteilten Komplexen<\/li>\n<li>Wenn man im Geb\u00e4ude ist:\n<ul>\n<li>Lockpicking<\/li>\n<li>Hardwarekeylogger<\/li>\n<li>Shoulder Surfing<\/li>\n<li>Medien klauen<\/li>\n<li>Kamera, Funkmikro<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>11. Spuren Verwischen<\/p>\n<ul>\n<li>VoIP-Rufnummern verwenden<\/li>\n<li>Caller-ID faken<\/li>\n<li>Informationen gezielt verwenden<\/li>\n<\/ul>\n<p><strong>Gegenma\u00dfnahmen<\/strong><\/p>\n<ul>\n<li>Klassifizierung welche Informationen sind kritisch<\/li>\n<li>Policy f\u00fcr den Umgang mit allen Informationen<\/li>\n<li>Verantwortliche Person f\u00fcr Informationsaustausch bestimmen<\/li>\n<li>Daten vermeiden<\/li>\n<li>Know your Enemy\n<ul>\n<li>Alle Personen mit einbeziehen<\/li>\n<\/ul>\n<\/li>\n<li>Know your Friends\n<ul>\n<li>R\u00fcckfragen bei authentifizierten Personen<\/li>\n<li>Authentifikationsmethoden einf\u00fchren<\/li>\n<\/ul>\n<\/li>\n<li>Inverse Social Engineering\n<ul>\n<li>Angreifen des Social Engineer<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Link: <a href=\"http:\/\/www.social-engineer.org\/\">http:\/\/www.social-engineer.org\/<br \/>\n<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Menschen tun Dinge die sie eigentlich nicht tun w\u00fcrden, z.B. Preisgabe von Informationen. Oder ein Blog schreiben. Stimmt. Ich frage mich gerade, wer mich da hinsocialengineert hat. Egal. Die b\u00f6sen Griechen haben das schon bei den Trojanern erfolgreich angewandt und sp\u00e4ter wieder bei der W\u00e4hrungsunion (Euro!). Das moderne Social Engineering geht auf Kevin Mitnick zur\u00fcck, [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[13],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1157"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=1157"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/1157\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=1157"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=1157"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=1157"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}