Die Kunst des Human Hacking - mitpCHRISTOPHER HADNAGY Social Engineering Deutsche Ausgabe Eine Warnung vorab: Dieses Buch ist nichts für schwache Nerven. Es bringt Sie in jene dunklen

CHRISTOPHER HADNAGYSocial Engineering – Deutsche Ausgabe

Eine Warnung vorab: Dieses Buch ist nichts für schwache Nerven. Es bringt Sie in jene dunklen Ecken der Gesellschaft, wo die Black Hats (bösartige Hacker) das Sagen haben. Hier werden Bereiche des Social Engineering, in denen sich Spione und Trickbetrüger tummeln, aufgedeckt und einge-hend erforscht. Außerdem wird anhand ganz normaler Alltagssituationen gezeigt, inwiefern es sich auch da oft um komplexe Szenarien des Social Engineering handelt. Am Ende deckt das Buch die Tipps und Tricks der Insider, der professionellen Social Engineers und eben auch der kriminel-len Profis auf.

Dieses Buch ist mehr als eine Sammlung cooler Stories, toller Hacks oder abgefahrener Ideen. Wissenschaftlich fundiert (dabei höchst unterhalt-sam), stellt es das weltweit erste Framework für Social Engineering vor, auf dessen Grundlage der Autor genau analysiert, geradezu seziert, was einen guten Social Engineer ausmacht. Mit praktischen Ratschlägen wird der Leser befähigt, skills zu entwickeln, die es ihm ermöglichen, die nachweis-lich größte Schwachstelle in IT-Sicherheitssystemen auf die Probe zu stellen: den Menschen.

Christopher Hadnagy ist Chefentwickler bei www.social-engineer.org, weltweit die erste Adresse, wenn es um Social Engineering geht. Der Autor kann auf fast fünfzehn Jahre einschlägiger Berufserfahrung zurück-blicken, in denen er sich mit den unterschiedlichsten Themen rund um die IT-Sicherheit beschäftigt hat, dabei u.a. für backtrack-linux oder zuletzt im Penetration Testing Team von Offensive Security tätig war.

DIE

KUN

ST D

ES H

UMAN

HAC

KIN

G

HADNAGY

www.mitp.de (D) €

29

,95

ISBN 978-3-8266-9167-6ISBN 978-3-8266-9167-6

Inhaltsverzeichnis

Vorwort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1 Ein Blick in die Welt des Social Engineering . . . . . . . . . . . . . . 19

1.1 Warum dieses Buch so wertvoll ist . . . . . . . . . . . . . . . . . . . . . . 21

1.1.1 Das Layout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

1.1.2 Was zu erwarten ist. . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

1.2 Social Engineering im Überblick . . . . . . . . . . . . . . . . . . . . . . . . 29

1.2.1 Social Engineering und sein Platz in der Gesellschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

1.2.2 Verschiedene Typen von Social Engineers . . . . . . . . . 39

1.2.3 So nutzen Sie das Social Engineering-Framework . . . 42

1.3 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

2 Informationssammlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

2.1 Informationen sammeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

2.1.1 Die Arbeit mit BasKet . . . . . . . . . . . . . . . . . . . . . . . . . . 49

2.1.2 Die Arbeit mit Dradis . . . . . . . . . . . . . . . . . . . . . . . . . . 51

2.1.3 Denken wie ein Social Engineer . . . . . . . . . . . . . . . . . 53

2.2 Quellen zur Informationssammlung. . . . . . . . . . . . . . . . . . . . . 58

2.2.1 Informationen von Websites abgreifen . . . . . . . . . . . . 58

2.2.2 Die Macht der Observation. . . . . . . . . . . . . . . . . . . . . . 64

2.2.3 Den Müll durchwühlen . . . . . . . . . . . . . . . . . . . . . . . . 65

2.2.4 Die Arbeit mit Profiling-Software . . . . . . . . . . . . . . . . 67

2.3 Kommunikationsmodellierung . . . . . . . . . . . . . . . . . . . . . . . . . 69

2.3.1 Das Kommunikationsmodell und seine Wurzeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71

2.3.2 Ein Kommunikationsmodell entwickeln . . . . . . . . . . . 75

2.4 Die Macht der Kommunikationsmodelle . . . . . . . . . . . . . . . . . 79

3 Elizitieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

3.1 Was ist Elizitieren? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

5© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.

Nähere Informationen unter: http://www.mitp.de/9167

Inhaltsverzeichnis

6

3.2 Ziele des Elizitierens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

3.2.1 Preloading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

3.2.2 Elizitieren erfolgreich einsetzen . . . . . . . . . . . . . . . . . 95

3.2.3 Intelligente Fragen stellen . . . . . . . . . . . . . . . . . . . . . . 101

3.3 Elizitieren meistern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106


4 Pretexting – In eine andere Haut schlüpfen . . . . . . . . . . . . . . . 109

4.1 Was ist Pretexting? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111

4.2 Prinzipien und Planungsphasen beim Pretexting . . . . . . . . . . 112

4.2.1 Je mehr Sie recherchieren, desto besser sind die Erfolgschancen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

4.2.2 Der Einbau persönlicher Interessen steigert den Erfolg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

4.2.3 Üben Sie bestimmte Dialekte und Redensarten. . . . . 117

4.2.4 Telefonnutzung sollte den Aufwand für den Social Engineer nicht reduzieren . . . . . . . . . . . . . . . . . 119

4.2.5 Je einfacher der Pretext, desto größer die Erfolgswahrscheinlichkeit . . . . . . . . . . . . . . . . . . . . . . 121

4.2.6 Der Pretext sollte spontan wirken . . . . . . . . . . . . . . . . 124

4.2.7 Liefern Sie der Zielperson einen logischen Schluss oder Anschlussauftrag . . . . . . . . . . . . . . . . . . 126

4.3 Erfolgreiches Pretexting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

4.3.1 Beispiel 1: Stanley Mark Rifkin . . . . . . . . . . . . . . . . . . 127

4.3.2 Beispiel 2: Hewlett-Packard . . . . . . . . . . . . . . . . . . . . . 130

4.3.3 Legal bleiben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

4.3.4 Weitere Tools fürs Pretexting . . . . . . . . . . . . . . . . . . . 134


5 Gedankentricks – Psychologische Prinzipien im Social Engineering. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

5.1 Formen des Denkens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

5.1.1 Die Sinne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

5.1.2 Die drei wichtigsten Denkmodi . . . . . . . . . . . . . . . . . . 141

5.2 Mikroexpressionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147

5.2.1 Wut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

5.2.2 Ekel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152

© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.


Inhaltsverzeichnis

5.2.3 Verachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154

5.2.4 Angst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

5.2.5 Überraschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

5.2.6 Traurigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161

5.2.7 Glück . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164

5.2.8 Mikroexpressionen selbst erkennen . . . . . . . . . . . . . . 166

5.2.9 Wie Social Engineers Mikroexpressionen nutzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169

5.3 Neurolinguistisches Programmieren. . . . . . . . . . . . . . . . . . . . . 177

5.3.1 Die Geschichte des neurolinguistischen Programmierens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

5.3.2 Die NLP-Codes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

5.3.3 NLP beim Social Engineering nutzen . . . . . . . . . . . . . 180

5.4 Interviews und Vernehmungen . . . . . . . . . . . . . . . . . . . . . . . . . 185

5.4.1 Professionelle Befragungstaktiken . . . . . . . . . . . . . . . 187

5.4.2 Gestikulieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

5.4.3 Die Haltung von Armen und Händen . . . . . . . . . . . . 201

5.4.4 Den Weg zum Erfolg »erhören« . . . . . . . . . . . . . . . . . 203

5.5 Schnell Rapport aufbauen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

5.5.1 Seien Sie authentisch bei dem Wunsch, Menschen kennenzulernen . . . . . . . . . . . . . . . . . . . . . 210

5.5.2 Achten Sie auf Ihre äußere Erscheinung . . . . . . . . . . 210

5.5.3 Seien Sie ein guter Zuhörer . . . . . . . . . . . . . . . . . . . . . 211

5.5.4 Machen Sie sich Ihrer Wirkung auf andere bewusst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

5.5.5 Halten Sie sich bei Gesprächen heraus . . . . . . . . . . . . 212

5.5.6 Denken Sie daran, dass Empathie der Schlüssel zum Rapport ist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212

5.5.7 Sorgen Sie für ein gutes Allgemeinwissen . . . . . . . . . 214

5.5.8 Entwickeln Sie Ihre neugierige Seite . . . . . . . . . . . . . . 214

5.5.9 Finden Sie Wege, um die Bedürfnisse anderer zu erfüllen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

5.5.10 Weitere Techniken für Rapport . . . . . . . . . . . . . . . . . . 219

5.5.11 Rapport testen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221

5.6 Der menschliche Pufferüberlauf . . . . . . . . . . . . . . . . . . . . . . . . 222

5.6.1 Die Grundregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

5.6.2 Fuzzing des Betriebssystems Mensch . . . . . . . . . . . . . 225



Inhaltsverzeichnis

8

5.6.3 Die Regeln eingebetteter Befehle . . . . . . . . . . . . . . . . . 226


6 Beeinflussung – Die Macht der Überredung . . . . . . . . . . . . . . 231

6.1 Die fünf Säulen von Beeinflussung und Überredung . . . . . . . 232

6.1.1 Ein klares Ziel im Kopf haben . . . . . . . . . . . . . . . . . . . 233

6.1.2 Rapport, Rapport, Rapport . . . . . . . . . . . . . . . . . . . . . . 234

6.1.3 Beobachten Sie Ihre Umgebung . . . . . . . . . . . . . . . . . 237

6.1.4 Handeln Sie nicht verrückt, sondern flexibel . . . . . . . 238

6.1.5 Mit sich selbst in Kontakt sein . . . . . . . . . . . . . . . . . . . 239

6.2 Taktiken der Beeinflussung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239

6.2.1 Die Reziprozität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240

6.2.2 Die Verpflichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

6.2.3 Das Zugeständnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247

6.2.4 Knappheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

6.2.5 Autorität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254

6.2.6 Commitment und Konsistenz . . . . . . . . . . . . . . . . . . . 258

6.2.7 Gemocht werden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263

6.2.8 Übereinstimmung oder Social Proof. . . . . . . . . . . . . . 268

6.3 Die Realität verändern – Das Framing . . . . . . . . . . . . . . . . . . . 273

6.3.1 Politik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274

6.3.2 Framing im Alltag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275

6.3.3 Vier Arten der Rasterangleichung . . . . . . . . . . . . . . . . 280

6.3.4 Framing für den Social Engineer . . . . . . . . . . . . . . . . 287

6.4 Manipulation – Kontrollieren Sie Ihr Ziel. . . . . . . . . . . . . . . . . 295

6.4.1 Zurückrufen oder nicht?. . . . . . . . . . . . . . . . . . . . . . . . 297

6.4.2 Endlich geheilt – Angst . . . . . . . . . . . . . . . . . . . . . . . . 299

6.4.3 Sie können mich nicht zwingen, das zu kaufen! . . . . 300

6.4.4 Zielpersonen auf positive Reaktionen konditionieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305

6.4.5 Anreize für Manipulation . . . . . . . . . . . . . . . . . . . . . . . 307

6.5 Manipulation beim Social Engineering . . . . . . . . . . . . . . . . . . 313

6.5.1 Die Beeinflussbarkeit einer Zielperson erhöhen . . . . 313

6.5.2 Die Umgebung der Zielperson kontrollieren . . . . . . . 315

6.5.3 Die Zielperson zur Neubewertung zwingen . . . . . . . . 316

6.5.4 Die Zielperson soll sich ohnmächtig fühlen . . . . . . . . 317

6.5.5 Immaterielle Strafen verteilen . . . . . . . . . . . . . . . . . . . 318



Inhaltsverzeichnis

6.5.6 Die Zielperson einschüchtern . . . . . . . . . . . . . . . . . . . 318

6.5.7 Positive Manipulation . . . . . . . . . . . . . . . . . . . . . . . . . 319


7 Die Tools des Social Engineer . . . . . . . . . . . . . . . . . . . . . . . . . . 325

7.1 Werkzeuge und Instrumente . . . . . . . . . . . . . . . . . . . . . . . . . . . 326

7.1.1 Öffnungswerkzeuge . . . . . . . . . . . . . . . . . . . . . . . . . . . 326

7.1.2 Kameras und Aufzeichnungsgeräte. . . . . . . . . . . . . . . 335

7.1.3 Der GPS-Tracker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339

7.2 Online-Tools zur Informationsbeschaffung . . . . . . . . . . . . . . . 347

7.2.1 Maltego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348

7.2.2 Das Social Engineer Toolkit . . . . . . . . . . . . . . . . . . . . . 351

7.2.3 Telefonbasierte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . 358

7.2.4 Passwort-Profiler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362


8 Fallstudien: Social Engineering unter der Lupe . . . . . . . . . . . . 369

8.1 Mitnick-Fallstudie 1: Die Zulassungsstelle hacken . . . . . . . . . . 370

8.1.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370

8.1.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371

8.1.3 Das SE-Framework auf den DMV-Hack anwenden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374

8.2 Mitnick-Fallstudie 2: Die Sozialversicherungsbehörde hacken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

8.2.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

8.2.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378

8.2.3 Das SE-Framework auf den SSA-Hack anwenden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381

8.3 Hadnagy-Fallstudie 1: Der viel zu selbstsichere CEO . . . . . . . . 383

8.3.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

8.3.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384

8.3.3 Das SE-Framework beim Hack mit dem zu selbstsicheren CEO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

8.4 Hadnagy-Fallstudie 2: Skandal im Vergnügungspark . . . . . . . 393

8.4.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393

8.4.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394

8.4.3 Das SE-Framework auf den Park-Hack anwenden. . . 397



Inhaltsverzeichnis

10

8.5 Fallstudie Top Secret 1: Mission not impossible . . . . . . . . . . . . 399

8.5.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399

8.5.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400

8.5.3 Das SE-Framework auf Top Secret 1 anwenden . . . . . 406

8.6 Fallstudie Top Secret 2: Pentester als Social Engineer . . . . . . . 408

8.6.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408

8.6.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409

8.6.3 Das SE-Framework auf Top Secret 2 anwenden. . . . . 415

8.7 Warum Fallstudien so wichtig sind . . . . . . . . . . . . . . . . . . . . . . 417


9 Prävention und Schadensbegrenzung . . . . . . . . . . . . . . . . . . . . 419

9.1 Lernen Sie, Social Engineering-Angriffe zu identifizieren . . . 420

9.2 Schaffen Sie eine persönliche Kultur des Sicherheitsbewusstseins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422

9.3 Seien Sie sich des Wertes der Informationen bewusst, nach denen Sie gefragt werden . . . . . . . . . . . . . . . . . . . . . . . . . 425

9.4 Halten Sie Software aktualisiert . . . . . . . . . . . . . . . . . . . . . . . . . 429

9.5 Entwickeln Sie Handlungsabläufe . . . . . . . . . . . . . . . . . . . . . . . 431

9.6 Lernen Sie aus Social Engineering-Audits . . . . . . . . . . . . . . . . 431

9.6.1 Das Social Engineering-Audit . . . . . . . . . . . . . . . . . . . 432

9.6.2 Audit-Ziele festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . 432

9.6.3 Was zu einem Audit gehört und was nicht . . . . . . . . . 434

9.6.4 Den besten Auditor wählen . . . . . . . . . . . . . . . . . . . . . 436

9.7 Abschließende Bemerkungen . . . . . . . . . . . . . . . . . . . . . . . . . . 438

9.7.1 Social Engineering ist nicht immer negativ . . . . . . . . 439

9.7.2 Die Bedeutung der Sammlung und Organisation von Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439

9.7.3 Wählen Sie Ihre Worte sorgfältig. . . . . . . . . . . . . . . . . 441

9.7.4 Sorgen Sie für einen guten Pretext . . . . . . . . . . . . . . . 442

9.7.5 Üben Sie, Ausdrücke zu lesen . . . . . . . . . . . . . . . . . . . 443

9.7.6 Manipulation und Beeinflussung . . . . . . . . . . . . . . . . 443

9.7.7 Achten Sie auf bösartige Taktiken . . . . . . . . . . . . . . . . 444

9.7.8 Nutzen Sie Ihre Angst . . . . . . . . . . . . . . . . . . . . . . . . . 445


Stichwortverzeichnis449



Kapitel 1

Ein Blick in die Welt des Social Engineering

Wenn du den Feind und dich selbst kennst, brauchst du den Ausgangvon Hundert Schlachten nicht zu fürchten.

Sunzi

Social Engineering unterliegt bisher weitgehend verschiedenen Missver-ständnissen, was zu vielen unterschiedlichen Meinungen darüber geführthat, was es eigentlich ist und wie es funktioniert. Manche glauben, dabeigehe es nur darum, sich kostenlos triviale Sachen wie Pizza zu erschwin-deln oder sich wortreich sexuelle Freuden zu ermöglichen. Andere meinen,es beziehe sich nur auf die Instrumente, die von Kriminellen oder Trickbe-trügern eingesetzt werden, oder dass es sich um eine Wissenschaft handelt,die theoretisch in kleinere Bestandteile oder Gleichungen heruntergebro-chen und studiert werden könne. Oder vielleicht ist es auch eine lange ver-loren geglaubte mystische Kunst, die ihren Anhängern die Fähigkeitverleiht, mächtige Tricks wie Zauberer oder Illusionisten auszuführen.

Egal welchem Lager Sie sich zugehörig fühlen – dieses Buch ist für Sie.Social Engineering wird täglich von ganz normalen Leuten in alltäglichenSituationen eingesetzt. Wenn ein Kind versucht, im Supermarkt in denGang mit den Süßigkeiten zu gelangen, oder ein Angestellter seine Gehalts-erhöhung durchsetzen will, dann wird dabei mit Mitteln des Social Enginee-ring gearbeitet. Social Engineering gibt es auch bei Regierungen oder demMarketing kleiner Geschäfte. Leider ist es auch gegenwärtig, wenn Krimi-nelle, Trickbetrüger oder ähnliche Bösewichte andere hereinlegen, damit sieInformationen weitergeben, durch die sie für Straftaten angreifbar werden.Wie jedes Instrument ist auch Social Engineering nicht per se gut oder böse,sondern einfach zu vielerlei Zwecken einsetzbar.



http://www.social-engineer.org/wiki/archives/ConMen/ConMen-Scam-NigerianFee.html

http://www.social-engineer.org/wiki/archives/ConMen/ConMen-Scam-NigerianFee.html

http://de.wikipedia.org/wiki/Vorschussbetrug#Nigeria-Scam

http://de.wikipedia.org/wiki/Vorschussbetrug#Nigeria-Scam

http://www.social-engineer.org/framework


Kapitel 1Ein Blick in die Welt des Social Engineering

20

Machen Sie sich bitte Gedanken zu folgenden Fragen, um diesen Punkt zuverdeutlichen:

� Haben Sie die Aufgabe bekommen, darauf zu achten, dass Ihre Firma sogut abgesichert ist wie irgend möglich?

� Sind Sie ein Sicherheitsfanatiker, der möglichst jede aktuelle Informati-on zu diesem Thema liest?

� Sind Sie ein professioneller Penetrationstester, der eingestellt wurde,um die Sicherheit Ihrer Kunden zu testen?

� Sind Sie Informatikstudent, der in seinem Hauptfach irgendeine Formder IT-Spezialisierung belegt?

� Sind Sie aktuell ein Social Engineer, der nach neuen und verbessertenIdeen sucht, die Sie in Ihrer Praxis einsetzen können?

� Sind Sie ein Konsument, der sich vor den Gefahren von Identitätsdieb-stahl und Betrug fürchtet?

Egal welche dieser Situationen zu Ihnen passt: Die in diesem Buch enthalte-nen Informationen eröffnen Ihnen, wie Sie die Fähigkeiten des Social Engi-neering nutzen können. Sie werfen auch einen Blick in die dunkle Welt desSocial Engineering und lernen, wie »böse Buben« ihre Fähigkeiten einsetzen,um sich Vorteile zu verschaffen. Mit dieser Grundlage erfahren Sie, wie manfür Angriffe mit Methoden des Social Engineering weniger verletzbar wird.

Eine Warnung vorab: Dieses Buch ist nichts für schwache Nerven. Es bringtSie in jene dunklen Ecken der Gesellschaft, wo die »Black Hats« (bösartigeHacker) das Sagen haben. Hier werden Bereiche des Social Engineering, indenen sich Spione und Trickbetrüger tummeln, aufgedeckt und eingehenderforscht. Dieses Buch untersucht Taktik und Tools, die aus James-Bond-Fil-men zu stammen scheinen. Außerdem wird anhand ganz normaler Alltags-situationen gezeigt, inwiefern es sich um komplexe Szenarien des SocialEngineering handelt. Am Ende deckt das Buch die Tipps und Tricks derInsider, der professionellen Social Engineers und eben auch der kriminellenProfis auf.

Ich wurde gefragt, warum ich mir vornehme, solche Informationen aufzu-decken. Die Antwort lautet schlicht: Die Bösewichte lassen sich nicht durchmoralische Grenzen oder vertragliche Beschränkungen stoppen. Sie lassennicht locker, wenn mal ein Versuch daneben geht. Bösartige Hacker ver-schwinden nicht einfach deswegen, weil Firmen es nicht gerne haben, dassihre Server infiltriert werden. Social Engineering, die Täuschung von Mitar-beitern und Internet-Betrug kommen heutzutage hingegen immer häufigervor. Während Software-Unternehmen lernen, wie sie ihre Programme stär-



http://www.social-engineer.org/wiki/archives/Governments/Governments-FoodElectionWeapon.html

1.1Warum dieses Buch so wertvoll ist

ken und härten, wenden sich Hacker und bösartige Social Engineers demschwächsten Teil der Infrastruktur zu: den Menschen. Sie sind nur vomReturn On Investment (ROI) motiviert: Kein Hacker, der etwas auf sich hält,wendet Dutzende Stunden auf, wenn er die gleichen Ergebnisse auch miteiner einfachen Attacke bekommt, die eine Stunde oder weniger dauert.

Letzten Endes läuft es traurigerweise darauf hinaus, dass man nie zu 100 %sicher sein kann – außer Sie ziehen bei allen elektronischen Geräten den Stöp-sel und wandern auf eine einsame Insel aus. Weil das nicht sonderlich prak-tisch ist und auch nicht viel Spaß macht, werden in diesem Buch Wege undMöglichkeiten erläutert, um besser über Angriffe informiert zu sein und siebesser erkennen zu können. Hier erfahren Sie, wie Sie sich dagegen schützenkönnen. Mein Motto lautet »Sicherheit durch Aufklärung«. Wenn manBescheid weiß, ist das einer der wenigen narrensicheren Wege, um sich gegendie steigenden Bedrohungen des Social Engineering und Identitätsdiebstahlsabzusichern. Von Kaspersky Labs, einem der führenden Anbieter von Antivi-ren- und Schutzsoftware, wird geschätzt, dass 2009 über 100.000 Malware-Kostproben durch soziale Netzwerke verbreitet wurden. In einem aktuellenBericht kommt Kaspersky zu der Einschätzung, dass »Angriffe gegen sozialeNetzwerke zehn Mal so erfolgreich sind« wie andere Angriffsarten.

Auch hier gilt die alte Hacker-Redewendung »Wissen ist Macht«. Je mehrWissen jeder Verbraucher und jede Firma über die Gefahren und Bedro-hungen des Social Engineering hat und je mehr jedes Angriffsszenario ana-lysiert wird, desto einfacher kann man sich davor schützen, diese Angriffeabschwächen oder gar stoppen. So kann man die Macht all dieses Wissenswirksam einsetzen.

1.1 Warum dieses Buch so wertvoll ist

Auf dem Markt gibt es viele Bücher über Sicherheit, Hacking, Penetrations-tests und sogar Social Engineering. Viele dieser Bücher liefern den Lesernwertvolle Informationen und Tipps und helfen ihnen dadurch. Auch wennall diese Informationen verfügbar sind, ist doch ein Buch nötig, das dieInformationen über Social Engineering in einem weiteren Schritt zusam-menfasst, diese Angriffe detailliert erklärt und sie von der bösartigen Seitedes Zaunes her beschreibt. Dieses Buch ist nicht bloß eine Sammlung coo-ler Stories, toller Hacks oder abgefahrener Ideen. Es stellt das weltweit ersteFramework für Social Engineering vor. Hier wird die gesamte Grundlagedessen analysiert und seziert, was einen guten Social Engineer ausmacht,praktische Ratschläge geboten, um diese »Skills« zu nutzen, damit die Leser



http://www.social-engineer.org/wiki/archives/Spies/Spies-DalaiLama.html


22

noch besser die größte Schwachstelle testen können: die menschliche Infra-struktur.

1.1.1 Das Layout

Dieses Buch greift Social Engineering auf einzigartige Weise auf. In seinerStruktur hält es sich eng an das umfassende Social Engineering-Frame-work, das unter www.social-engineer.org/framework zu finden ist. Die-ses Framework umreißt die Skills und Tools (materiell, mental undpersönlich), die man sich aneignen sollte, wenn man als exzellenter SocialEngineer gelten will.

In diesem Buch stellen wir zuerst ein thematisches Prinzip vor, das defi-niert, erklärt und analysiert wird. Anschließend zeigen wir dessen Einsatzanhand einer Sammlung wahrer Geschichten oder Fallstudien. Dies ist keinBuch mit Stories oder tollen Tricks, sondern ein Handbuch und Leitfadenfür die dunkle Welt des Social Engineering.

Im Buch verteilt finden Sie viele Internet-Links zu Stories oder Beschrei-bungen sowie auch zu Tools und anderen Aspekten, die mit den erläutertenThemen zusammenhängen. Außerdem erscheinen praktische Übungen,mit denen Sie dieses Framework für Social Engineering meistern und auchIhre alltägliche Kommunikation verbessern.

Diese Aussagen gelten vor allem dann, wenn Sie Sicherheitsspezialist sind.Wenn Sie dieses Buch lesen, hoffe ich, Ihnen einschärfen zu können, dassSicherheit nicht nur ein »Teilzeitjob« ist und definitiv nicht auf die leichteSchulter genommen werden darf. Da Kriminelle und bösartige Social Engi-neers in dieser Welt offenbar immer schlimmer werden, werden auch dieAngriffe auf Unternehmen und das persönliche Leben scheinbar immerheftiger. Natürlich will jeder sich schützen, das ist schon den Verkaufszah-len für Software und Geräte zum persönlichen Schutz zu entnehmen.Obwohl all diese Vorkehrungen wichtig sind, besteht der beste Schutz imWissen, dass »Sicherheit durch Aufklärung« erfolgt. Um die Auswirkungendieser Angriffe einzugrenzen, muss man einzig und allein wissen, dass sieexistieren, wie sie ausgeführt werden und verstehen, nach welchen gedank-lichen Prozessen jene Menschen arbeiten, die solche Dinge ausführen, undwelche Mentalität sie haben.

Wenn Sie über solche Kenntnisse verfügen und verstehen, wie bösartigeHacker denken, geht Ihnen ein Licht auf. Dieses sprichwörtliche Lichterhellt die bisher abgedunkelten Ecken und ermöglicht Ihnen, die dort lau-ernden Bösewichte zu erkennen. Wenn Sie vorab sehen können, auf welche



http://www.social-engineer.org/wiki/archives/DisgruntledEmployees/DisgruntledEmployees-EmployeeTheft.html

http://www.social-engineer.org/wiki/archives/DisgruntledEmployees/DisgruntledEmployees-EmployeeTheft.html


http://www.social-engineer.org/wiki/archives/DisgruntledEmployees/DisgruntledEmployees-MorganStanley.html


Weise diese Angriffe erfolgen, können Sie Ihre eigenen täglichen Angele-genheiten und die Ihrer Firma darauf einstellen.

Natürlich widerspreche ich hier nicht dem, was ich bereits gesagt habe: Ichbin der festen Überzeugung, dass man nie hundertprozentig sicher seinkann. Sogar höchst geheime und bestens bewachte Geheimnisse könnenauf einfachste Weise gehackt werden – das ist alles schon passiert!

Schauen Sie sich die Story unter www.social-engineer.org/resources/book/TopSecretStolen.htm an, die aus einer Zeitung aus dem kanadischenOttawa stammt. Diese Geschichte ist deswegen so interessant, weil einigeDokumente in den falschen Händen gelandet sind. Dabei handelte es sichnicht um nebensächliche Unterlagen, sondern als Top Secret eingestufteVerteidigungsdokumente, in denen solche Dinge wie die Standorte vonSicherheitszäunen an der Canadian Forces Base (CFB) in Trenton, dem Lage-plan der militärischen Canadian Joint Incident Response Unit usw. aufge-führt waren. Wie konnte eine derartige Sicherheitslücke entstehen? DiePläne wurden in Papierkorb geworfen, und jemand hat sie im Müllcontainergefunden. Ein einfacher »Dumpster Dive« (Mülltonne durchwühlen) hättezu einer der schlimmsten Sicherheitslücken des Landes führen können.

Einfache und doch tödliche Angriffe werden täglich gestartet und machensich folgende Tatsachen zunutze: Viele wissen über mögliche Bedrohungeneinfach nicht Bescheid. Sie müssen sich bei den Passwortrichtlinien andersverhalten und auch bei der Art und Weise, wie sie mit dem Remote-Zugriffauf Server umgehen. Sie müssen sich im Umgang mit Bewerbungsgesprä-chen und Liefervorgängen anders verhalten und auch mit solchen Ange-stellten, die neu eingestellt oder gerade entlassen wurden. Doch ohne guteAufklärung ist man einfach nicht motiviert genug, diesbezüglich das eigeneVerhalten zu ändern.

Das Computer Security Institute führte 2003 gemeinsam mit dem FBI eineUntersuchung durch, die ergab, dass 77 % aller befragten Unternehmeneinen verärgerten Mitarbeiter als Quelle einer großen Sicherheitslückeangaben. Vontu (http://go.symantec.com/vontu/), die bei Symantec fürdie Verhinderung von Datenverlusten zuständige Abteilung, sagt, dass ineiner von 500 E-Mails vertrauliche Daten enthalten sind. Besonders hervor-zuheben sind aus diesem Bericht folgende Punkte (zitiert entsprechendnach http://financialservices.house.gov/media/pdf/062403ja.pdf):

� 62 % der befragten Mitarbeiter und Manager berichten, dass es in derFirma Vorfälle gegeben habe, bei denen Kundendaten so gefährdet wa-ren, dass sie für Identitätsdiebstahl hätten eingesetzt werden können.



http://www.social-engineer.org/resources/book/TopSecretStolen.htm

http://www.social-engineer.org/resources/book/TopSecretStolen.htm

http://go.symantec.com/vontu/

http://financialservices.house.gov/media/pdf/062403ja.pdf


24

� 66 % geben an, dass ihre Kollegen und nicht Hacker für die Privatsphä-re der Kunden das größte Risiko darstellen. Nur 10 % sagen, dass Ha-cker die größte Bedrohung seien.

� 46 % sagen, dass es für Mitarbeiter »leicht« bis »extrem leicht« sei, sen-sible Daten aus den Firmendatenbanken zu entfernen.

� 32 % (also einer von drei) sind keine internen Firmenrichtlinien be-kannt, wie Kundendaten geschützt werden sollen.

Diese Statistiken wirken wie ein Schlag vor den Kopf.

In späteren Kapiteln führen wir diese statistischen Angaben detaillierteraus. Die Zahlen verweisen auf einen schwerwiegenden Mangel in der Artund Weise, wie mit der Sicherheit selbst umgegangen wird. Wenn die Leuteaufgeklärt werden, hoffentlich bevor eine Sicherheitslücke auftaucht, dannkönnen sie ihr Verhalten ändern, um Verluste, Ärger und finanzielle Schä-den zu vermeiden.

Sunzi sagt: »Wenn du den Feind und dich selbst kennst, brauchst du denAusgang von Hundert Schlachten nicht zu fürchten.« Wie wahr diese Wortesind, aber Wissen ist nur die halbe Schlacht. Weisheit wird dadurch defi-niert, dass sich nicht mit reinem Wissen zufriedengibt, sondern dies in ent-sprechendes Verhalten umsetzt.

Dieses Buch ist am wirksamsten, wenn es als Handbuch oder Leitfadendurch die Welt der sozialen Angriffe, die soziale Manipulation und dasSocial Engineering genutzt wird.

1.1.2 Was zu erwarten ist

Dieses Buch deckt alle Aspekte, Tools und Skills ab, die von professionellenund bösartigen Social Engineers eingesetzt werden. Jedes Kapitel beschäf-tigt sich eingehend mit der Kunst und Wissenschaft einer speziellen Fähig-keit (Skill) der Social Engineers, um Ihnen zu zeigen, wie sie eingesetzt,erweitert und perfektioniert wird.

Der nächste Abschnitt dieses Kapitels, »Social Engineering im Überblick«,definiert das Social Engineering und welche Rolle es in der heutigen Gesell-schaft spielt. Außerdem werden die verschiedenen Arten eines Social Engi-neering-Angriffs vorgestellt und dazu andere Lebensbereiche, wo SocialEngineering auf nicht bösartige Weise eingesetzt wird. Ich werde aucherläutern, wie ein Social Engineer das Social Engineering-Framework nutzt,um ein Audit (Prüfung) zu planen oder seine eigenen Fähigkeiten zu erwei-tern.



http://www.darkreading.com/database_security/security/attacks/showArticle.jhtml?articleID=226200272

http://www.darkreading.com/database_security/security/attacks/showArticle.jhtml?articleID=226200272


In Kapitel 2 geht’s dann ans Eingemachte. Die Erfassung und Sammlungvon Informationen ist die Grundlage eines jeden Social Engineering-Audits.Das Credo der Social Engineers lautet: »Ich bin nur so gut wie die Informa-tion, die ich mir beschaffen kann.« Ein Social Engineer mag alle Skills derWelt besitzen, aber wenn er über sein Ziel nicht Bescheid weiß, wenn ernicht jedes einzelne intime Detail erfasst hat, dann wird sein Vorhabenhöchstwahrscheinlich misslingen. Die Informationssammlung ist die Cruxdes gesamten Social Engineering überhaupt, obwohl ein geschickterUmgang mit Menschen und eine schnelle Reaktionsfähigkeit einem natür-lich helfen, aus gefährlichen Situationen herauszukommen. Oftmals gilt: Jemehr Informationen Sie sammeln, desto größer sind Ihre Chancen aufErfolg.

Die Fragen, die ich in diesem Kapitel beantworte, sind wie folgt:

� Welche Quellen kann ein Social Engineer nutzen?

� Welche Informationen sind nützlich?

� Wie kann ein Social Engineer diese Informationen erfassen, sammelnund organisieren?

� Wie technisch sollte ein Social Engineer werden?

� Wie viel Information reicht aus?

Nach der Analyse der Informationsbeschaffung kümmern wir uns in Kapi-tel 2 um das Thema Kommunikationsmodellierung. Dies ist eng mit derInformationssammlung verknüpft. Zuerst wird diskutiert, was Kommuni-kationsmodellierung ist und welche Wurzeln in der Praxis sie hat. Danngehen wir in diesem Kapitel die Schritte durch, die zur Entwicklung undzum Einsatz eines passenden Kommunikationsmodells erforderlich sind.Darin wird umrissen, wie ein Social Engineer dieses Modell gegen ein Zielanwendet, und welche Vorteile sich daraus ergeben, es für jeden Auftraganzuwenden.

In Kapitel 3 geht es ums Herauslocken von Informationen (Elicitation), demnächsten logischen Schritt im Framework. Es befasst sich sehr eingehenddamit, wie man Fragen stellt, um an Informationen und Passwörter zugelangen, und an weiteres Wissen über das Ziel und dessen Firma zu kom-men. Sie erfahren, wie man anderen gut und angemessen Informationenabluchst und wie wichtig dabei ein gut geplantes Vorgehen ist.

In diesem Kapitel erfahren Sie außerdem das wichtige Thema, wie man dieZielperson sozusagen mit Informationen »befüllt«, damit Ihre Fragenbereitwilliger akzeptiert werden. Wenn Sie sich in diesen Abschnitt einar-beiten, erkennen Sie eindeutig, wie wichtig es ist, ein hervorragender Frage-




26

steller zu werden. Diese Fähigkeit wird Ihnen nicht nur in IhrerSicherheitspraxis behilflich sein, sondern auch in Ihrem persönlichen All-tagsleben.

Kapitel 4 beschäftigt sich mit einem besonders wirkungsvollen Thema – esgeht um das sogenannte Pretexting (etwa: unter einem Vorwand Informatio-nen erschleichen). Dieses gravierende Thema ist einer der zentralen Punktefür viele Social Engineers. Zum Pretexting gehört, jene Rolle zu entwickeln,die der Social Engineer für seinen Angriff auf die Firma spielen wird. Wirdder Social Engineer ein Kunde, Lieferant, Kundendiensttechniker, neuerMitarbeiter sein oder eine ähnlich realistische und glaubwürdige Rolle spie-len? Zum Pretexting gehört nicht nur ein Handlungsablauf, sondern manmuss sich auch intensive Gedanken darüber machen, wie die Person aus-sieht, handelt, spricht oder sich bewegt. Welche Tools oder Kenntnisse sollsie haben? Dieses Bündel an Verhaltensweisen und Informationen mussman sich wirklich zutiefst aneignen, denn wenn man sich seiner Zielpersonnähert, muss man diese Person sein und darf nicht einfach eine Rolle spie-len. Hier werden folgende Fragen beantwortet:

� Was ist Pretexting?

� Wie entwickelt man einen Pretext (Vorwand)?� Welchen Prinzipien folgt ein erfolgreicher Pretext?

� Wie kann ein Social Engineer den perfekten Pretext planen und dannausführen?

Der nächste Schritt im Framework ist einer, der ganze Bücher füllen kann.Doch er muss vom Standpunkt eines Social Engineers diskutiert werden. InKapitel 5 werden einige sehr konfrontative Themen schonungslos disku-tiert, darunter das der autonomen Augenbewegungen. Was sagen die verschie-denen Profis zum Thema Augenbewegungen und wie kann ein SocialEngineer diese Informationen nutzen? Das Kapitel führt auch in die faszi-nierende Wissenschaft der Mikroexpressionen und seine Implikationen aufdas Social Engineering ein.

Kapitel 5 greift die Analyse der Recherchen weiter auf und liefert Antwortenauf diese Fragen:

� Ist es möglich, im Bereich der Sicherheit mit Mikroexpressionen zu ar-beiten?

� Wie könnte man das anstellen?� Welche Vorteile liefern Mikroexpressionen?

� Kann man sich selbst beibringen, diese Mikroexpressionen automatischwahrzunehmen und einzusetzen?




� Welche Informationen liefern Mikroexpressionen, wenn man sich die-sen Bereich angeeignet hat?

Wahrscheinlich ist das Neurolinguistische Programmieren (NLP) eines deram heißesten diskutierten Themen aus Kapitel 5. Dieser Bereich ist für vieleweiterhin unklar, worum es bei NLP geht und wofür man es einsetzenkann. Kapitel 5 präsentiert eine kurze Geschichte von NLP und zeigt auf,warum NLP derartig kontrovers ist. Sie können selbst entscheiden, ob NLPbeim Social Engineering einsetzbar ist.

Kapitel 5 diskutiert außerdem einen der wichtigsten Aspekte des SocialEngineering, der persönlich oder am Telefon umgesetzt wird: wie man guteFragen stellt, die Antworten aufnimmt und dann weiter fragt. Vernehmun-gen und Befragungen sind zwei Methoden, die schon seit vielen Jahren vonpolizeilichen Ermittlern eingesetzt werden, um Kriminelle zu Geständnis-sen zu bewegen, und auch, um sogar die kniffligsten Fälle zu lösen. DieserTeil von Kapitel 5 setzt das in Kapitel 3 angeeignete Wissen praktisch um.

Außerdem erläutert Kapitel 5, wie man sofortigen Rapport aufbaut, alsoeinen Zustand der verbalen und nonverbalen starken Bezogenheit herstellt.Diese Fähigkeit können Sie auch im Alltag einsetzen. Das Kapitel endet miteiner Darstellung meiner eigenen persönlichen Recherchen über den»menschlichen Pufferüberlauf« (human buffer overflow): die Auffassung,dass der menschliche Geist sehr der Software ähnelt, die von Hackern jedenTag ausgenutzt wird. Indem er bestimmte Prinzipien anwendet, kann eingeschickter Social Engineer den menschlichen Geist überfluten und jedenbeliebigen Befehl injizieren.

So wie Hacker Overflows schreiben, um Software derart zu manipulieren,dass ein bestimmter Code ausgeführt wird, kann der menschliche Geistanhand bestimmter Instruktionen im Prinzip auch einen »Überlauf« erfah-ren, und dann können spezielle Anweisungen eingefügt werden. Kapitel 5ist eine umwerfende Lektion darüber, wie man mit einfachen Techniken dasDenken anderer meistert.

Viele Leute haben ihr Leben lang recherchiert, erforscht und bewiesen, wasandere beeinflusst. Beeinflussung ist ein mächtiges Instrument mit vielenFacetten. Zu diesem Zweck werden in Kapitel 6 die Grundlagen der Überre-dungskunst ausgeführt. Mit den in Kapitel 6 eingeführten Prinzipien wer-den Sie zu einem Meister der Überredungskunst.

Das Kapitel präsentiert eine kurze Ausführung über die verschiedenenArten der Überredung und bietet Beispiele, wie Sie diese Facetten beimSocial Engineering grundiert und wirkungsvoll einsetzen.




28

Doch die Ausführungen sind hier noch nicht zu Ende: Framing (etwa:jemanden durch gezielte Änderung der Perspektive hereinlegen) ist eben-falls heutzutage ein ganz heißes Eisen. Über den Einsatz von Framing gibtes viele verschiedene Ansichten, und in diesem Buch werden einige realeBeispiele gezeigt. Indem wir jedes einzelne Beispiel auseinandernehmen,gehen wir die gelernten Lektionen durch und zeigen auf, wie Sie einübenkönnen, bei sich selbst für ein Reframing zu sorgen und Framing als SocialEngineer auch im alltäglichen Umgang einzusetzen.

Ein umfassendes Thema beim Social Engineering ist Manipulation:

� Was ist der Zweck von Manipulationen?� Welche Anreize treiben Manipulatoren an?� Wie kann man Manipulationen beim Social Engineering einsetzen?

Kapitel 6 präsentiert, was ein Social Engineer über das Thema Manipulationwissen muss und wie man diese Fähigkeiten erfolgreich anwendet.

Kapitel 7 stellt die Tools vor, mit denen Social Engineering-Audits erfolgrei-cher werden. Von Geräten wie versteckten Kameras bis zu Software-Toolszur Informationsbeschaffung deckt jeder Abschnitt dieses Kapitels dieerprobten und bewährten Tools des Social Engineer ab.

Nachdem Sie das Framework fürs Social Engineering verstanden haben,werden in Kapitel 8 einige Fallstudien aus dem realen Leben erörtert. Ichhabe mich für zwei ausgezeichnete Berichte des weltweit bekannten SocialEngineers Kevin Mitnick entschieden. Ich analysiere diese Beispiele undmache dann Vorschläge, was Sie daraus lernen können und wie Sie jeneMethoden aus dem Social Engineering-Framework identifizieren, mitdenen er arbeitet. Außerdem erläutere ich, was aus seinen Angriffsvektorengelernt werden kann und wie man sie heutzutage einsetzt. Schließlichbringe ich auch einige persönliche Berichte ins Spiel und analysiere sieebenfalls.

Welcher Leitfaden für Social Engineering wäre vollständig ohne ein paarAusführungen darüber, wie man diese Art der Angriffe abschwächen undderen Auswirkungen mildern kann? Im Anhang finden Sie Infos darüber.Ich beantworte einige übliche Fragen zu diesem Thema und gebe prakti-sche Tipps, mit denen Sie sich und Ihre Organisation gegen diese Formbösartiger Angriffe sichern können.

Die vorangegangene Übersicht ist nur ein Vorgeschmack dessen, was Sieerwarten dürfen. Ich hoffe wirklich sehr, dass Sie so viel Freude an der Lek-türe dieses Buches haben, wie ich beim Schreiben. Social Engineering istmeine Leidenschaft. Ich bin überzeugt davon, dass es bestimmte Merkmale



1.2Social Engineering im Überblick

und Eigenschaften gibt, mögen sie erlernt oder angeboren sein, durch dieeiner zum hervorragenden Social Engineer wird. Ich kann auch die Über-zeugung unterschreiben, dass mit ausreichend Zeit und Energie jeder dieverschiedenen Aspekte des Social Engineering lernen und diese Skills dannpraktizieren kann, um ein kompetenter Social Engineer zu werden.

Die Prinzipien in diesem Buch sind nicht neu. Sie werden hier keine atem-beraubende Technologie vorfinden, die das Antlitz der Sicherheit für immerverändern wird. Es gibt keine magische Pille. Tatsächlich gibt es diese Prin-zipien schon, solange es Menschen gibt. Was dieses Buch aber tatsächlicheinzigartig macht: Es kombiniert all diese Fähigkeiten und Fertigkeiten aneiner Stelle. Hier bekommen Sie klare Anleitungen, wie man diese Skillspraktiziert, und auch jeweils Beispiele aus dem realen Leben dazu. Allediese Informationen helfen Ihnen dabei, ein fundiertes Verständnis allerangesprochenen Themen zu erlangen.

Am besten fangen wir hier nun mit den Grundlagen an, indem wir uns einefundamentale Frage stellen: »Was ist Social Engineering?«

1.2 Social Engineering im ÜberblickWas ist Social Engineering?

Diese Frage stellte ich einmal einer Gruppe von Sicherheitsfanatikern undwar erschrocken über deren Antworten:

»Beim Social Engineering belügt man andere, um Informationen zubekommen.«

»Mit Social Engineering ist gemeint, dass man ein guter Schauspieler ist.«

»Social Engineering bedeutet, dass man weiß, wie man gratis an allemöglichen Sachen kommt.«

Wikipedia definiert Social Engineering als »den Akt, Menschen zur Ausfüh-rung bestimmter Aktionen oder zur Preisgabe vertraulicher Informationenzu manipulieren. Das ist zwar ähnlich wie ein Trickbetrug oder einfacherBetrug, doch dieser Begriff wird üblicherweise auf eine Gaunerei oder Täu-schung zum Zwecke der Informationsbeschaffung, des Betrugs oder desZugriffs auf Computersysteme verwendet. In den meisten Fällen begegnetder Angreifer seinem Opfer nicht persönlich.«

Obwohl Social Engineering durch die Unmengen von Websites mit »Pizza gra-tis«, »Kaffee kostenlos« oder »Wie man Girls abschleppt« in Verruf geraten ist,berühren dessen verschiedene Aspekte viele Bereiche des Alltagslebens.




30

Webster’s Dictionary definiert social als »auf das Leben, Wohlergehen unddie Beziehung von Menschen in einer Gemeinschaft bezogen«. Engineering(wörtlich: Ingenieurswesen) wird dort definiert als »die Kunst oder Wissen-schaft, die Kenntnisse aus reinen Wissenschaften wie Physik oder Chemiepraktisch anzuwenden, z.B. in der Konstruktion von Motoren, Brücken,Gebäuden, Minen, Schiffen und Chemiefabriken bzw. geschickte oderkunstvolle Erfindung; kluges Taktieren.«

Wenn man diese beiden Definitionen kombiniert, sieht man schnell, dasses beim Social Engineering um die Kunst oder besser noch Wissenschaftgeht, wie man Menschen hinsichtlich bestimmter Aspekte ihres Lebensgeschickt und umsichtig in Aktion bringt.

Diese Definition erweitert den Horizont von Social Engineers überall. SocialEngineering wird im alltäglichen Leben dabei eingesetzt, wie Kinder ihreEltern dazu bringen, das zu tun, was sie wollen. So gehen Lehrer mit ihrenSchülern um, und wir finden es auch in der Art, wie Ärzte, Rechtsanwälteoder Psychologen ihren Patienten oder Klienten Informationen entlocken.Es wird definitiv bei der Strafverfolgung verwendet und kommt auch gar beiromantischen Treffen zum Einsatz – wir finden es also tatsächlich in jegli-cher menschlicher Interaktion: von Babys bis zu Politikern und auch allenZwischenstufen.

Ich treibe diese Definition gerne noch einen Schritt weiter voran und sage,dass mit der echten Definition des Social Engineering der Akt der Manipu-lation einer Person gemeint ist, eine Handlung auszuführen, die vielleichtim besten Interesse der »Zielperson« liegt – oder auch nicht. Damit kanndie Erlangung von Informationen gemeint sein oder auch der Zugang inbestimmte (gesperrte) Bereiche oder dass man die Zielperson dazu bewegt,eine bestimmte Aktion auszuführen.

Ärzte, Psychologen und Therapeuten nutzen beispielsweise oft Elemente,die ich als Social Engineering betrachte, um ihre Patienten zu bestimmtenHandlungen zu »manipulieren«, die gut für sie sind. Trickbetrüger hinge-gen nutzen Elemente des Social Engineering, um ihre Zielpersonen zuAktivitäten zu bringen, die zu einem Verlust führen. Obwohl es letztenEndes auf etwas völlig anderes hinauslaufen kann, ist das Vorgehen bei bei-dem doch sehr ähnlich. Ein Psychologe arbeitet beispielsweise mit einerReihe gut ausgeklügelter Fragen, um einen Patienten zu der Schlussfolge-rung zu bringen, dass eine Veränderung ansteht. Entsprechend wird einTrickbetrüger wohlformulierte Fragen nutzen, um sein Ziel in eine angreif-bare Position zu bringen.




Beide gehen als Beispiele für Social Engineering in seiner reinsten Formdurch, aber Ziele und Resultate sind sehr unterschiedliche. Beim SocialEngineering geht es nicht einfach nur um das Beschwindeln von anderen,um Lügen oder darum, eine Rolle zu spielen. In einem Gespräch mit ChrisNickerson, einem bekannten Social Engineer aus der TV-Serie Tiger Team,sagte er mir: »Beim echten Social Engineering glaubt man nicht einfachnur, eine Rolle zu spielen, sondern für diesen Moment ist man diese Person,man ist diese Rolle – das ist dann wie das eigene Leben.«

Social Engineering ist nicht nur eine einzelne Aktion, sondern eine Samm-lung all der Fähigkeiten und Fertigkeiten, die im Framework erwähnt wer-den, die zusammengenommen dann die Aktion, den Skill und dieWissenschaft ausmachen, die ich als Social Engineering bezeichne. Ähnlichwie eine wundervolle Mahlzeit nicht nur aus einer Zutat besteht, sondernsich aus der sorgfältig abgewogenen Kombination, Mischung und Ergän-zung vieler Zutaten zusammensetzt. So stelle ich mir vor, sollte Social Engi-neering sein, und ein guter Social Engineer ist hier dann der Chefkoch.Einen Klacks Infos herauslocken, ein wenig Manipulation hineinrührenund einige gute Handvoll Pretexting – und zack! haben Sie eine hervorra-gende und perfekte Social Engineering-Mahlzeit.

Natürlich diskutiert dieses Buch einige dieser Facetten, aber der Schwer-punkt liegt hauptsächlich darin, was Sie von den Gesetzeshütern, den Politi-kern, den Psychologen und sogar Kindern lernen können, um IhreFähigkeiten bei Audits zu verbessern und sich dann auch entsprechend bes-ser selbst abzusichern. Zu analysieren, wie ein Kind seine Eltern manipu-liert, kann einem als Social Engineer hervorragende Erkenntnisse darüberliefern, wie der menschliche Geist funktioniert. Wenn man darauf achtet,wie ein Psychologe seine Fragen formuliert, stellt man fest, wie es ihmgelingt, dass sich Menschen bei ihm entspannen und beruhigen. Wennman durchschaut, wie ein polizeilicher Ermittler eine erfolgreiche Befra-gung durchführt, bekommt man eine klare Vorstellung davon, wie mandem Befragten bestimmte Informationen entlockt. Achtet man darauf, wieRegierungen und Politiker ihre Aussagen für optimale Wirkung formulie-ren, erkennt man, was funktioniert und was nicht. Wenn man analysiert,wie sich ein Schauspieler eine Rolle aneignet, öffnet einem das die Augenfür die erstaunliche Welt des Pretexting. Durch die Analyse der Forschun-gen und Arbeiten führender Autoritäten zum Thema Mikroexpressionenund Überredungskunst erfährt man, wie diese Techniken beim Social Engi-neering eingesetzt werden können. Wenn man einige der Motivatorenuntersucht, die von den besten Verkaufs- und Überredungsexperten der




32

Welt eingesetzt werden, lernt man, wie Rapport hergestellt wird, wie manandere beruhigt und einlullt und dann seine Schäfchen ins Trockene holt,also den Deal abschließt.

Wenn man dann die andere Seite dieser Medaille, also die Trickbetrüger, dieBetrugskünstler und Diebe untersucht und analysiert, lernt man, wie allediese Fähigkeiten zusammenfließen, um andere zu beeinflussen und sie ineine Richtung zu bringen, von der sie nie gedacht hätten, dass sie sie ein-schlagen würden.

Kombinieren Sie dieses Wissen mit dem Geschick von Schlossknackern, Spi-onen, die mit versteckten Kameras arbeiten, und professionellen Informati-onssammlern, und vor Ihnen steht ein Social Engineer mit echtem Talent.

Sie brauchen weder jede einzelne der angesprochenen Fähigkeiten beijedem Auftrag noch können Sie jede dieser Skills wirklich alle meistern.Wenn man hingegen versteht, wie diese Skills funktionieren und wann mansie einsetzen sollte, dann kann man die Wissenschaft des Social Enginee-ring meistern. Es stimmt, dass manche wie Kevin Mitnick ein natürlichesTalent dafür haben: Er konnte scheinbar jeden zu allem überreden. FrankAbagnale Jr. schien ein naturgegebenes Talent dafür zu besitzen, anderenach Belieben glauben zu machen, wer er ist. Victor Lustig hat das Unglaub-liche geschafft und tatsächlich einige Menschen davon überzeugt, das Rechtzu haben, den Eiffelturm verkaufen zu dürfen. Dieser Schwindel wurde nurvon seinem Schwindel bei Al Capone getoppt.

Diese Social Engineers und viele, die ihnen ähnlich sind, haben scheinbarein natürliches Talent oder ihnen fehlt die Angst, und so wagen sie sich anDinge, die die meisten von uns niemals in Erwägung ziehen würden. Lei-der verbessern in unserer heutigen Welt die bösartigen Hacker andauerndihre Skills, um andere Menschen zu manipulieren, und arglistige SocialEngineering-Angriffe nehmen immer mehr zu. DarkReading hat einenArtikel veröffentlicht (www.darkreading.com/database_security/secu-rity/attacks/showArticle.jhtml?articleID=226200272), in dem fest-gestellt wird, dass Sicherheitseinbrüche zwischen einer und 53 MillionenDollar pro Einbruch kosten. DarkReading zitiert Recherchen des Pone-mon Institute und stellt fest: »Ponemon fand heraus, dass Angriffe ausdem Internet, bösartiger Code und heimtückische Insider die kostspieligs-ten Angriffsarten sind und über 90 % der Kosten bei Cybercrimes proOrganisation und Jahr stellen: Ein webbasierter Angriff kostet 143.209Dollar, bösartiger Code kostet 124.083 Dollar und heimtückische Insider100.300 Dollar.« Dass heimtückische Insider es aufs Treppchen geschaffthaben, legt nahe, dass Unternehmen sich mehr über die Gefahren klar




sein müssen, die ihnen von bösartigem Social Engineering drohen – sogarvon eigenen Angestellten.

Viele dieser Angriffe hätten vermieden werden können, wenn die Men-schen ausgebildet gewesen wären, denn dann hätten sie sich diesem Wis-sen gemäß verhalten können. Manchmal fällt es einem bereits wieSchuppen von den Augen, wenn man herausfindet, wie böse Buben denkenund handeln.

Ein Beispiel aus einem viel kleineren und persönlicheren Rahmen: Ich habeletztens einmal mit einer engen Freundin deren finanzielle Situation disku-tiert und dass sie sich Sorgen machte, betrogen zu werden oder einemHacker zum Opfer zu fallen. Im Verlauf des Gesprächs ging es auch darum,wie einfach es ist, Passwörter anderer Leute zu »raten«. Ich erzählte ihr,dass oft immer das gleiche Passwort für jedes Konto genommen wird, undsah, wie sie bleich wurde, als ihr klar wurde, dass sie das ja auch macht. Ichsagte ihr, dass die meisten Leute ganz einfache Passwörter nehmen, indenen der Name ihres Ehepartners vorkommt, der eigene Geburtstag oderHochzeitstag. Ich sah, wie noch mehr Blut aus ihren Wangen wich. Ich fuhrdamit fort, dass meist ganz, ganz einfache »Sicherheitsfragen« wie »IhrGeburtsname oder der Ihrer Mutter« genommen werden und wie leichtman solche Infos über das Internet oder ein paar geschwindelte Anrufe her-ausbekommt.

Viele Leute geben solche Informationen in ihren Konten bei Blippy, Twitteroder Facebook an. Diese Freundin nutzte soziale Medien nun nicht sonder-lich intensiv, also fragte ich sie, ob sie der Meinung sei, dass sie solcheInformationen möglicherweise bei einigen Telefonaten angeben würde.Natürlich verneinte sie dies. Um zu verdeutlichen, wie bereitwillig anderepersönliche Informationen weitergeben, erzählte ich ihr, dass ich mal ineinem Restaurant ein Platzdeckchen gesehen hatte, auf dem ein 50-prozen-tiger Rabatt bei einem Golfplatz angeboten wurde – ein sehr attraktivesAngebot. Um dieses Angebot nutzen zu können, musste man nur seinenNamen, das Geburtsdatum und die Postadresse angeben und ein Passwortfür ein Konto, das dann eingerichtet und an die angegebene E-Mail-Adressegeschickt wird. (Mir war das überhaupt nur deswegen aufgefallen, weiljemand einen solchen Coupon unfertig ausgefüllt auf dem Tisch liegenge-lassen hatte.) Täglich werden Websites erstellt, um solche sensiblen Infor-mationen abzugreifen.

Ein Telefonat unter dem Vorwand einer Umfrage oder eine schnelle Recher-che im Netz kann ein Geburtsdatum oder einen Hochzeitstag ergeben, undgewappnet mit diesen Informationen erstelle ich mir eine Passwortliste für




34

einen Angriff. Außerdem bietet etwa ein Dutzend Sites detaillierte Auf-zeichnungen aller möglichen persönlichen Informationen über Personenan, und man bezahlt dafür gerade mal zwischen 9 und 30 US-Dollar.

Wenn man weiß, wie bösartige Social Engineers denken, wie Trickbetrügerauf Informationen reagieren und wie Schwindler alles Mögliche versuchen,wird einem bewusster, was um einen herum passiert.

Mit einem Team von Sicherheitsenthusiasten habe ich das Internet durch-forstet und Stories gesammelt, die viele unterschiedliche Aspekte des SocialEngineering zeigen. Diese Storys helfen dabei, eine zentrale Frage zu beant-worten: »Wie wurde Social Engineering in der Gesellschaft im Laufe derZeit eingesetzt?«. Außerdem erkennen wir, wo Social Engineering einzu-ordnen ist und wie es auf bösartige Weise eingesetzt wird.

1.2.1 Social Engineering und sein Platz in der Gesellschaft

Wie bereits angesprochen, trifft man in vielen Lebensbereichen auf Social Engi-neering, aber nicht überall ist es bösartig gemeint oder dient schlimmen Zwe-cken. Oftmals wird Social Engineering dafür eingesetzt, jemanden zumotivieren, eine Aktion auszuführen, die gut für ihn ist. Doch wie läuft das ab?

Denken Sie mal an Folgendes: John muss abnehmen. Er weiß, dass es umseine Gesundheit nicht gut bestellt ist und er etwas unternehmen muss.Johns Freunde sind ebenfalls übergewichtig. Sie machen sogar Witze darü-ber, zu dick zu sein, und sagen solche Sachen wie »Ich finde es toll, dass ichmir keine Gedanken über meine Figur machen brauche«. Einerseits ist diesein Aspekt des Social Engineering. Es ist ein Social Proof (man verhält sichlieber so, wie man annimmt, dass die eigene Umgebung es gut findet) oderKonsens, bei dem das, was man als akzeptabel erachtet, vom eigenenUmkreis bestimmt wird. Weil Johns enger Umkreis Übergewicht für ver-tretbar hält, ist es für John einfacher, das ebenfalls zu akzeptieren. Dochwenn einer dieser Freunde abnehmen würde und dabei nicht in Urteile ver-fällt, was besser oder schlechter ist, sondern zur Hilfe motiviert würde,dann existiert die Möglichkeit, dass Johns Einschätzung übers Gewicht sichändern könnte, und vielleicht bekommt er auch den Eindruck, dass Abneh-men gut und möglich ist.

Das ist die Essenz des Social Engineering. So erkennen Sie klar und deut-lich, wie Social Engineering in die Gesellschaft und das Alltagsleben passt.Die folgenden Abschnitte präsentieren ein paar Beispiele für Social Engi-neering, Betrugsmaschen (Scams) und Manipulationen und eine Analyse,wie sie funktionieren.




Der 419 Scam

Der 419 Scam, besser bekannt unter dem Namen Nigeria-Scam, hat sich zueiner Epidemie ausgewachsen. Sie finden darüber einen Artikel im Archivunter www.social-engineer.org/wiki/archives/ConMen/ConMen-Scam-NigerianFee.html (oder unter http://de.wikipedia.org/wiki/Vorschuss-betrug#Nigeria-Scam).

Im Prinzip wird eine E-Mail (oder bis vor kurzem noch ein Brief) versendet,in der die Zielperson informiert wird, sie sei für ein sehr lukratives Geschäftauserwählt worden und brauche dafür nur ein wenig Unterstützung zu leis-ten. Wenn das Opfer dabei behilflich ist, dem Absender des Briefes einegroße Summe aus einem ausländischen Bankkonto zu entnehmen, dannstellt dieser einen Anteil dieser Summe für die Zielperson in Aussicht.Nachdem die Zielperson eingewilligt hat und »sich registriert«, entstehtunerwartet ein Problem, durch das eine Gebühr fällig wird. Nachdem dieseGebühr von der Zielperson beglichen wurde, erscheint ein neues Problem,auch dieses wieder gebührenpflichtig. Jedes Problem ist »das letzte« undnur noch »eine abschließende Gebühr« ist nötig, aber das kann sich übermehrere Monate hinziehen. Das Opfer kriegt niemals irgendwelches Geldzu sehen und verliert bei diesem Prozess zwischen 10.000 und 50.000 US-Dollar. Was diese Betrugsmasche so erstaunlich macht, ist, dass in der Ver-gangenheit von offiziellen Dokumenten, Unterlagen, Briefköpfen undsogar persönlichen Treffen berichtet wurde.

Kürzlich ist auch eine Variante dieses Scams aufgetaucht, bei der die Opfer tat-sächlich einen echten Scheck zugesandt bekommen haben. Die Betrüger ver-sprechen eine große Geldsumme und erwarten im Gegenzug für ihre Mühennur einen kleinen Anteil. Wenn die Zielperson die Anweisung einer (ver-gleichsweise) geringen Summe von 10.000 Dollar veranlasst, dürfen sie dieDifferenz behalten, wenn der versprochene Scheck eintrifft und eingelöst wird.Das Problem ist, dass der übersandte Scheck betrügerisch ist, also ungedecktist, und wenn das Opfer ihn einlösen will, dann bekommt es noch Strafen undGebühren für diesen Betrug aufgedrückt – in manchen Fällen, nachdem dasOpfer sein Geld bereits an die Trickbetrüger überwiesen hat.

Dieser Scam ist so erfolgreich, weil er mit der Gier der Opfer spielt. Werwürde nicht 10.000 Dollar einsetzen, um 1 Million Dollar oder auch nur100.000 Dollar zu verdienen? Die meisten schlauen Leute wären dazubereit. Wenn diese Leuten es mit offiziellen Dokumenten, Ausweisen, Emp-fangsbestätigungen und sogar richtigen Büros mit »behördlichem Perso-nal« zu tun bekommen, dann schlucken sie den Köder und legen sichrichtig ins Zeug, um diesen Deal abzuschließen. Bei dieser Betrugsmasche




36

spielen großes Engagement und Konsistenz eine ebenso große Rolle wie dieVerbindlichkeit. Ich diskutiere diese Attribute in den späteren Kapiteln ein-gehender, und wenn wir dieses Thema wieder aufgreifen, dann werden Sieverstehen, warum dieser Scam so erfolgreich ist.

Die Macht des Mangels

Der unter www.social-engineer.org/wiki/archives/Governments/Govern-ments-FoodElectionWeapon.html abgelegte Artikel greift das sogenanntePrinzip des Mangels auf.

Mit Mangel oder Knappheit ist hier gemeint, dass man darauf hinweist,etwas, das andere brauchen oder gerne haben würden, sei nur begrenzt ver-fügbar, und um das zu bekommen, muss man eine gewisse Einstellunghaben oder eine bestimmte Aktion durchführen. Sehr oft wird daserwünschte Verhalten nicht einmal angesprochen, sondern so vermittelt,dass gezeigt wird, wie jemand belohnt wird, der sich »korrekt« verhält.

In dem Artikel geht es um die Verwendung von Lebensmitteln, um in Süd-afrika Wahlen zu gewinnen. Wenn eine Gruppe oder Person nicht den»richtigen« Anführer unterstützt, werden die Lebensmittel knapp, und Jobswerden den Leuten wieder weggenommen und jenen zugeteilt, die dieSache der Mächtigen mehr unterstützen. Wenn die Leute ein solches Ver-halten beobachten, dauert es nicht lange, bis sie »auf Spur« gebracht wer-den. Dies ist eine sehr böswillige und verletzende Form des SocialEngineering, aber nichtsdestotrotz eine Art, von der man lernen kann. Es istoft der Fall, dass die Menschen etwas wollen, das knapp ist, und sie werdenalles daran setzen, es zu bekommen, wenn ihnen glaubhaft vermittelt wird,dass bestimmte Handlungen für sie nachteilig sind bzw. sie durch andereHandlungen mehr vom Gewünschten bekommen. Was bestimmte Fällesogar noch schlimmer macht, ist wie im vorigen Beispiel, dass eine Regie-rung etwas Lebensnotwendiges nimmt, es »verknappt« und so nur fürAnhänger und Befürworter verfügbar macht – eine bösartige, aber sehreffektive Manipulationstaktik.

Der Dalai Lama und das Social Engineering

In einem interessanten Artikel unter www.social-engineer.org/wiki/archives/Spies/Spies-DalaiLama.html wird detailliert ein Angriff aufden Dalai Lama im Jahre 2009 beschrieben.

Eine chinesische Hackergruppe wollte auf die Server und Dateien des Netz-werks zugreifen, das dem Dalai Lama gehörte. Welche Methoden kamen beidiesem erfolgreichen Angriff zum Einsatz?




Die Angreifer überzeugten das Personal im Büro des Dalai Lamas davon,bösartige Software auf ihren Server herunterzuladen und zu öffnen. DieserAngriff ist interessant, weil hier sowohl ein technologischer Hack als auchSocial Engineering zusammentreffen.

Der Artikel stellt fest: »Die Software wurde laut Sicherheitsforscher RossAnderson, Professor für Security Engineering am University of CambridgeComputer Laboratory, an E-Mails angehängt, die vorgeblich von Kollegenoder Kontaktpersonen aus der Pro-Tibet-Bewegung stammen. So steht es inder Montagsausgabe der Washington Times. Die Software stahl Passwörterund andere Informationen, durch die Hacker Zugriff auf das E-Mail-Systemdes Büros und auf Dokumente bekamen, die auf den Computern gespei-chert waren.«

Dabei wurde Manipulation eingesetzt, aber auch solch bekannte Angriffs-vektoren wie Phishing (bei dieser Technik werden E-Mails mit verlockendenNachrichten und Links oder Dateien verschickt, die geöffnet werden sollen,um mehr Informationen zu bekommen; oft führen diese Links oderDateien zu bösartigen Nutzlasten) und Exploits (die Ausbeutung vonbekannten Sicherheitsschwachstellen). Dieser Angriff funktioniert bei gro-ßen Firmen und auch bei Regierungen und wurde dort auch schon erfolg-reich umgesetzt. Dieses Beispiel ist nur eines aus einem großen Pool vonBeispielen, wo besagte Vektoren zu massiven Schäden geführt haben.

Diebstahl durch Angestellte

Mit dem Thema Diebstahl durch Angestellte kann man ganze Bände füllen,vor allem vor dem Hintergrund solch erschütternder Statistiken wie z.B.www.social-engineer.org/wiki/archives/DisgruntledEmployees/Dis-gruntledEmployees-EmployeeTheft.html. Hier gaben über 60 % derbefragten Angestellten zu, dass sie bereits Daten in der einen oder anderenForm von ihren Arbeitgebern entwendet haben.

Sehr oft werden diese Daten dann an Konkurrenten verkauft (so geschehenin dieser Story eines Angestellten von Morgan Stanley: www.social-engi-neer.org/wiki/archives/DisgruntledEmployees/DisgruntledEmployees-MorganStanley.html). Bei anderen Gelegenheiten stehlen Angestellte Zeitoder andere Ressourcen, und in vielen Fällen können verärgerte Angestelltegroße Schäden verursachen.

Ich sprach einmal mit einem Kunden über dessen Firmenrichtlinien zurEntlassung von Angestellten, z.B. die Deaktivierung von Zugangskarten, dieLöschung von Netzwerkzugängen und die Eskortierung der entlassenen




38

Angestellten aus dem Gebäude. Die Firma war der Ansicht, dass alle »zurFamilie gehörten« und dass solche Richtlinien nicht umsetzbar seien.

Leider gab es dann mal den Tag, als ein Angestellter, nennen wir ihn »Jim«,entlassen werden musste. Er gehörte zu den höheren Rängen des Unter-nehmens. Die Entlassung lief gut, man trennte sich einvernehmlich, undJim sagte, dass er Verständnis habe. Das Einzige, was das Management rich-tig gemacht hatte, war, ihn kurz vor Feierabend zu feuern, um peinlicheMomente und Ablenkungen zu vermeiden. Man schüttelte sich die Hände,und dann stellte Jim die verhängnisvolle Frage: »Kann ich mich noch ebeneine Stunde an meinen Schreibtisch setzen, um alles aufzuräumen und einpaar private Bilder vom Computer zu nehmen? Bevor ich dann gehe, werdeich meine Schlüsselkarte an den Sicherheitsdienst übergeben.«

Weil man sich bei diesem Meeting gut fühlte, stimmten alle zu, und mantrennte sich scherzend und mit einem Lächeln auf den Lippen. Dann gingJim in sein Büro, packte seine persönlichen Sachen in einen Karton, zog dieBilder und andere Daten von seinem Computer, ging ins Netzwerk undlöschte elf Server voller Daten: Buchhaltungsunterlagen, Gehaltsabrechnun-gen, Rechnungen, Bestellungen, Aufzeichnungen über zeitliche Abläufe,Bilder und Grafiken und vieles mehr – alles gelöscht innerhalb wenigerMinuten. Jim gab wie versprochen seine Schlüsselkarte ab und verließruhig das Gebäude, ohne Beweise zu hinterlassen, dass er derjenige war, derdiesen Angriff initiiert hatte.

Am nächsten Tag bekam ich einen Anruf des Eigentümers, der mir dieKatastrophe beschrieb, die sein Exangestellter hinterlassen hatte. DerKunde hoffte zwar auf eine Wunderwaffe gegen den Schaden, aber er hattekeine andere Wahl, als zu versuchen, möglichst viel forensisch wieder her-zustellen und mit den Backups anzufangen, die aber leider über zweiMonate alt waren.

Ein aufgebrachter Angestellter, der nicht überprüft und überwacht wird,kann verheerender sein als ein Team entschlossener und fähiger Hacker.Der Diebstahl durch Angestellte beläuft sich allein in den USA auf schät-zungsweise etwa 15 Milliarden US-Doller.

Diese Stories werfen die Frage auf, welche unterschiedlichen Kategorienvon Social Engineers es wohl gibt und wie man sie klassifizieren kann.

DarkMarket und Master Splynter

2009 wurde eine Story über eine Untergrundgruppe namens DarkMarketruchbar, dem sogenannten eBay für Kriminelle. Diese hermetisch abge-




schlossene Gruppe handelte mit gestohlenen Kreditkartennummern undTools für Identitätsdiebstahl und auch allem, was man braucht, um z.B.Zugangsberechtigungen usw. zu fälschen.

Ein FBI-Agent namens J. Keith Mularski ging undercover und infiltriertedie DarkMarket-Site. Nach einer Weile wurde Agent Mularski zu einemAdministrator der Site. Obwohl viele versuchten, ihn zu diskreditieren,blieb er über drei Jahre als Admin der Site am Ball.

In dieser Zeit musste Mularski wie ein böswilliger Hacker leben, sprechen,handeln und denken. Er gab vor, ein böswilliger Spammer zu sein, undbrachte genug Wissen mit, um diese Masche glaubhaft zu vermitteln. SeinPretexting und seine Fähigkeiten als Social Engineer zahlten sich aus, weilAgent Mularski DarkMarket als der berüchtigte Master Splynter infiltrierte.Nach drei Jahren war er wesentlich daran beteiligt, einen weitreichendenRing auszuheben, der sein Geld mit Identitätsdiebstahl verdiente.

Die dreijährige Social Engineering-Operation führte zu 59 Festnahmen undverhinderte Bankbetrügereien im Rahmen von über 70 Millionen US-Dol-lar. Dies ist nur ein Beispiel dafür, wie die Skills eines Social Engineers auchfür gute Zwecke eingesetzt werden können.

1.2.2 Verschiedene Typen von Social Engineers

Wie bereits ausgeführt, kann Social Engineering vielerlei Formen anneh-men. Es kann böswillig oder freundlich sein, damit kann etwas aufgebautoder auch zerstört werden. Bevor wir uns dem Kern dieses Buches zuwen-den, schauen wir uns die verschiedenen Arten der Social Engineers an undumreißen sie kurz:

� Hacker: Die Hersteller von Software werden immer geschickter darin,Software zu schaffen, die gehärtet oder schwerer zu knacken ist. WennHacker auf mehr und mehr gehärtete Software treffen und wenn Soft-ware- und Netzwerkangriffsvektoren wie das Remote Hacking immerschwieriger werden, wenden sich die Hacker dem Social Engineeringzu. Oft nutzen sie eine Mischung aus Hardware und persönlichen Skillsund setzen Social Engineering in aller Welt sowohl bei großen Angriffenals auch in kleineren Einbrüchen ein.

� Penetrationstester: Weil ein echter Penetrationstester (auch als Pentesterbekannt) von seiner Natur her sehr offensiv ist, muss diese Kategorie di-rekt nach den Hackern folgen. Echte Penetrationstester lernen die Skills,die auch böswillige Hacker nutzen, und setzen sie ein, um die Sicherheitihrer Kunden wirklich gewährleisten zu können. Penetrationstester sind




40

Leute, die vielleicht die Skills eines böswilligen Black Hat haben, aberdiese Informationen niemals zum eigenen Vorteil nutzen oder um dasZiel zu schädigen.

� Spione: Für Spione ist Social Engineering sozusagen ihre Art zu leben.Sie setzen oft jeden Aspekt des Social Engineering-Frameworks ein(wird in diesem Kapitel später noch angesprochen), und in dieser Wis-senschaft sind sie Experten. In aller Welt lernen Spione, wie sie ihre Op-fer so beschwindeln können, dass sie sie für jemand halten, der sie inWahrheit nicht sind. Außerdem bauen Spione oft auf Glaubwürdigkeit,indem sie ein wenig oder auch gar sehr viel über das Business oder dieRegierung wissen, die sie per Social Engineering hintergehen wollen.

� Identitätsdiebe: Mit Identitätsdiebstahl ist gemeint, dass persönliche In-formationen wie Name, Bankkontonummer, Adresse, Geburtsdatumund Sozialversicherungsnummer ohne Wissen des Eigentümers ver-wendet werden. Diese Straftat reicht vom Anziehen einer Uniform (sie-he der »Hauptmann von Köpenick«) bis zur Verkörperung einer Person,um deutlich ausgefeiltere Scams umsetzen zu können. Identitätsdiebesetzen viele Aspekte des Social Engineering ein, und im Laufe der Zeitfühlen sie sich immer mehr ermutigt und werden dem von ihnen verur-sachten Leiden gegenüber immer indifferenter.

� Verärgerte Angestellte: Wenn ein Mitarbeiter auf seinen Arbeitgebersauer ist, entsteht häufig ein feindseliges Verhältnis. Oft ist dies eineeinseitige Situation, da der Angestellte üblicherweise das Ausmaß seinerVerstimmung verbergen will, um seine Stelle nicht aufs Spiel zu setzen.Doch je verärgerter er wird, desto einfacher kann er vor sich Handlun-gen rechtfertigen, die mit Diebstahl, Vandalismus und anderen Strafta-ten zu tun haben.

� Trickbetrüger: Scams oder Betrugsmaschen gründen sich auf die Gierder Menschen oder andere Prinzipien und ziehen damit Begehrlichkei-ten an, »eine schnelle Mark zu machen«. Betrugskünstler oder Hoch-stapler haben sich meisterhaft die Fähigkeit angeeignet, andere zu »le-sen« und kleinste Hinweise zu erkennen, denen sie entnehmen, ob je-mand ein gutes Opfer abgibt. Sie sind außerdem auch sehr geschicktdabei, Situationen zu schaffen, die sich dem Opfer als unschlagbare Ge-legenheiten präsentieren.

� Personalvermittler: Anwerber und Personalvermittler müssen ebenfallsviele Aspekte des Social Engineering meistern. Sie müssen nicht nur Eli-citation (das Entlocken von Informationen) meistern, sondern auch vieleder psychologischen Prinzipien des Social Engineering, und sind darumsehr bewandert darin, Menschen zu durchschauen und auch zu verste-hen, was andere motiviert. Oftmals muss ein Personalvermittler nicht




nur den Jobsuchenden berücksichtigen und ihn zufriedenstellen, son-dern auch den Jobanbieter.

� Verkaufspersonal: Ähnlich wie Personalvermittler oder »Headhunter«müssen auch Verkäufer viele Skills im Umgang mit Menschen meis-tern. Viele Verkaufsgurus sagen, dass ein guter Verkäufer keine Leutemanipuliert, sondern sein Geschick nutzt, um die Bedürfnisse der ande-ren herauszufinden, und anschließend danach schaut, ob er sie erfüllenkann. In der Kunst des Verkaufens kommen viele Fähigkeiten und Fer-tigkeiten zusammen, z.B. Informationssammlung, Entlocken von per-sönlichen Angaben (Elicitation), Beeinflussung, psychologische Prinzi-pien und auch viele andere soziale Fähigkeiten.

� Regierungen: Die Regierungen werden nicht oft als Social Engineers be-trachtet, aber sie nutzen Social Engineering, um die von ihnen ausgege-benen Botschaften zu kontrollieren und auch die Menschen, die sie re-gieren. Viele Regierungen arbeiten mit Social Proof, Autorität und Ver-knappung, um zu gewährleisten, dass ihre Bürger unter Kontrolle sind.Diese Art von Social Engineering ist nicht immer negativ, weil einige dervon den Regierungen vermittelten Botschaften zum Guten der Men-schen weitergegeben werden, und wenn man bestimmte Elemente desSocial Engineering einsetzt, werden diese Botschaften möglicherweiseansprechender und allgemeiner akzeptiert.

� Ärzte, Psychologen und Rechtsanwälte: Obwohl die Personen in diesenBerufszweigen scheinbar nicht in die gleiche Kategorie der anderen So-cial Engineers passen, setzen sie die gleichen Methoden ein, wie sie vonanderen Gruppen dieser Liste verwendet werden. Sie müssen in ihrenTaktiken dem Gegenüber Informationen entlocken, es korrekt befragenund aushorchen sowie viele, wenn nicht gar alle psychologischen Prinzi-pien des Social Engineering einsetzen, um ihre »Ziele« (Klienten) in dieRichtung zu manipulieren, die sie einschlagen sollen.

Ungeachtet des Einsatzfeldes finden Sie scheinbar überall Social Enginee-ring oder einen Aspekt davon. Darum halte ich an der Überzeugung fest,dass es sich beim Social Engineering um eine Wissenschaft handelt. Es gibtregelrechte Gleichungen, die jemanden dazu befähigen, Elemente des SocialEngineering zu »addieren«, um zum Ziel zu gelangen. Im Beispiel einesTrickbetrügers sieht die Gleichung wie folgt aus: Pretexting + Manipulation+ die Neigung zur Gier = für Social Engineering geeignete Zielperson.

Bei jeder Situation ist es am schwierigsten zu wissen, welche Elemente hierfunktionieren werden, aber das Geschick besteht darin zu lernen, wie mandiese Elemente nutzt. Dies war die gedankliche Grundlage hinter der Ent-wicklung des Social Engineering-Frameworks. Dieses Framework hat die




42

Art und Weise revolutioniert, wie Social Engineering analysiert wird. Daserläutern wir im nächsten Abschnitt.

1.2.3 So nutzen Sie das Social Engineering-Framework

Durch eigene Erfahrungen und Recherchen habe ich versucht, die Ele-mente zu umreißen, die einen Social Engineer ausmachen. Jedes dieser Ele-mente definiert einen Teil der Gleichung, die letzten Endes denvollständigen Social Engineer ergibt. Diese Aspekte sind nicht in Steingemeißelt, denn von seinem ursprünglichen Zustand bis zum heutigen Tagist das Framework im Wachsen und Gedeihen begriffen.

Der Zweck dieses Frameworks ist, allen Interessierten genug Informatio-nen an die Hand zu geben, um auf diese Skills aufzubauen. Das Frameworkist nicht als vollständige und umfassende Ressource für alle Informationenaus jedem Kapitel gedacht. Der Abschnitt von Kapitel 5, in dem es umMikroexpressionen geht, basiert beispielsweise auf Forschungen der bestenKöpfe dieser Sparte und meinen eigenen Erfahrungen, solche Informatio-nen einzusetzen. Es ist keineswegs dazu gedacht, die 50 Jahre Forschungs-arbeit solch hervorragender Geister wie Dr. Paul Ekman zu ersetzen.

Wenn Sie sich das Framework durchlesen, werden Sie sehen, dass Sie durchEinsatz der vielen Skills darin nicht nur Ihre Sicherheitspraxis erweitern,sondern auch Ihre geistige Haltung, wie man sich Sicherheit verschafft, wieman umfassender kommuniziert und wie man versteht, wie Menschendenken.

Werfen Sie einen Blick ins Inhaltsverzeichnis des Buches, um eine klareVorstellung über das Framework zu bekommen, oder gehen Sie ins Internetzu www.social-engineer.org/framework. Auf den ersten Blick mag dasFramework einschüchternd wirken, doch in diesem Buch finden Sie eineAnalyse aller Themen und sind dann in der Lage, diese Skills anzuwenden,zu erweitern und aufzubauen.

Wissen ist Macht – soviel steht fest. In diesem Sinne ist Aufklärung undInformation die beste Verteidigung gegen die meisten Social Engineering-Angriffe. Sogar bei jenen, gegen die man sich nicht hundertprozentig mitWissen schützen kann, bleibt man aufmerksam, wenn man Details dieserAngriffe kennt. Mit der Schulung erweitern Sie Ihre eigenen Skills und blei-ben wachsam.

Neben der Schulung brauchen Sie allerdings auch Praxis. Dieses Buch istnicht für die einmalige Lektüre als Handbuch gedacht, sondern eher als




Leitfaden zum Selbststudium. Sie können jeden Abschnitt üben und aneigene Bedürfnisse anpassen. Das Framework ist progressiv in dem Sinne,dass es vorstellt, wie ein Social Engineering-Angriff angelegt ist. JederAbschnitt des Frameworks diskutiert das nächste Thema in der Reihenfolge,in der ein Social Engineer diesen Skill bei seinen Aktivitäten oder Planungs-phasen nutzen wird.

Das Framework zeigt, wie Angriffe entworfen werden. Nachdem der Angriffgeplant ist, kann man die erforderlichen Skills studieren, ausbauen undüben, bevor man sich an die Umsetzung macht.

Nehmen wir beispielsweise an, dass Sie ein Social Engineering-Audit beieiner Firma planen, die überprüfen will, ob Sie in deren Serverraum gelan-gen und Daten stehlen könnten.

Vielleicht nehmen Sie sich als Angriffsplan vor, so zu tun, als wären Sie einKundendiensttechniker, der den Serverraum betreten muss. Dafür könnenSie Informationen sammeln, vielleicht sogar einen Dumpster Dive durch-führen.

Dann könnten Sie unter dem Vorwand, dieser Techniker zu sein, mit ver-steckter Kamera arbeiten und die korrekte Sprache und sprachliche sowieäußerliche Hinweise einsetzen, wie Sie agieren, klingen und aussehen müs-sen, um als Techniker durchzugehen.

Wenn Sie herausgefunden haben, welche Firma Ihr Kunde mit dem techni-schen Support beauftragt hat, können Sie darüber auch weitere Informatio-nen sammeln. Wen schickt Ihr Kunde normalerweise bei einemServiceauftrag hin? Wie heißen die Angestellten, mit denen die Firmenmit-arbeiter dann zu tun haben? Der Angriff muss umfassend und sorgfältiggeplant werden.

Dieses Buch ist allerdings auch nicht nur für solche Leute, die Audits durch-führen. Viele Leser sind neugierig darauf, um was für Angriffe es sich han-delt – nicht weil sie eine Firma, sondern sich selbst schützen wollen. Wenneinem nicht bewusst ist, wie ein böswilliger Social Engineer denkt, rückteinen das sofort ein ganzes Stück näher daran, gehackt zu werden.

Auch Studierende im Bereich Sicherheit haben das Framework verwendet.Die Informationen im Framework umreißen einen realistischen Pfad fürdiese Vektoren oder Methoden des Angriffs, und so werden die Leser in dieLage versetzt, sie gründlich zu studieren.

Generell helfen diese Informationen Ihnen dabei, Ihre kommunikativenFähigkeiten im Alltagsleben zu verbessern und zu erweitern. Wenn Sie wis-




44

sen, wie man die Mimik eines Menschen lesen muss, oder wie man Fragenso formuliert, dass das Gegenüber sich entspannt und gerne antwortet,erweitert das Ihre Fähigkeiten, mit Ihrer Familie und Ihren Freunden zukommunizieren. Es hilft Ihnen dabei, ein guter Zuhörer zu werden undsich über die Gefühle anderer Menschen bewusster zu werden.

Wenn Sie die Körpersprache der Menschen, ihre Mimik und ihren Tonfall»lesen« können, verbessert das außerdem Ihre Fähigkeiten, ein effektiverKommunikator zu sein. Wenn Sie verstehen, wie Sie sich selbst und dieMenschen schützen können, die Ihnen lieb und wert sind, wertet Sie dasebenfalls auf und macht Ihnen Ihre Umwelt bewusster.

1.3 Zusammenfassung

Wie bei jedem Buch sind auch die hier enthaltenen Informationen nurnützlich und sinnvoll, wenn Sie sie einüben und ausprobieren. Je mehr Siedavon praktizieren, desto erfolgreicher eigenen Sie sich diese Skills an.

Ich habe bereits erwähnt, dass Social Engineering dem Kochen ähnelt.Indem Sie die richtigen Zutaten in der passenden Menge mischen, bekom-men Sie eine leckere und spannende Mahlzeit. Wenn Sie das erste Mal einGericht kochen, wird es vielleicht versalzen oder hat gar keinen Geschmack,aber dann werfen Sie auch nicht gleich das Handtuch: Sie probieren weiter,bis es Ihnen gelingt. Das Gleiche gilt fürs Social Engineering. Manche dererforderlichen Skills liegen Ihnen persönlich mehr, und andere sind eherschwierig für Sie.

Wenn ein bestimmtes Thema schwer verständlich ist oder Sie partout kei-nen Zugang dazu finden, sollten Sie nicht aufgeben oder glauben, dass Siees nicht lernen können. Jeder kann sich diese Skills mit dem richtigen Ein-satz und Engagement aneignen.

Behalten Sie auch stets im Hinterkopf, dass wie bei einem echten Rezeptviele »Zutaten« zu einem Social Engineering-Auftritt gehören. Die ersteZutat ist wahrscheinlich erst dann sinnvoll, wenn Sie schon ein wenig mehrin die Thematik eingestiegen sind. Bestimmte Skills (wie z.B. der »mensch-liche Pufferüberlauf« aus Kapitel 5) werden erst dann nachvollziehbar undsinnvoll, wenn Sie andere im Buch angeführten Skills gemeistert haben.

Doch bleiben Sie einfach weiterhin in Übung und achten Sie gewissenhaftdarauf, für jene Themen weitere Recherchen anzustrengen, die Ihnenunklar sind. Nun fangen wir mit dem Kochen an: Ihr »Rezept« beginnt imnächsten Kapitel mit der ersten Zutat: dem Sammeln von Informationen.



Stichwortverzeichnis

Numerisch419 Scam 357-38-55-Regel 211

AAbagnale, Jr., Frank 32Ablenkung 298Aggressiver Ansatz

bei Verhören 194Aharoni, Mati 45

Briefmarkensammlung 45Programmabstürze 53

Aktives Zuhörenreflektierte Reaktion 207

Alibi ausdünnenbei Verhören 197

AlkoholElizitieren 100

Allgemeinwissen 214Alternative Route

im Verhör präsentieren 192Amazon-Logo 277Angestellter

verärgerter 37, 40Angriff

Dalai Lama 36identifizieren 420kostspieligster 32

AngriffsvektorTeensy HID 356

Angst 156Überraschung 156

Ängstlichkeit 202Angststörung

soziale 299Ankern 200Anreiz

finanzieller 308ideologischer 308

sozialer 310Anruferidentifikation

spoofen 358Anruferinformation

fälschen 120Ansatz, das Gesicht zu wahren

bei Verhören 195Anschlussauftrag 126Antwort

abschlägig bei Verhören 191Antwortzeit 189Arzt 41Asterisk 360Attraktivität

körperliche 265Audioaufzeichnung 336

an Handy senden 337Audit

Aspekte für 435besten Auditor wählen 436Social Engineering-Audits 431was dazu gehört und was nicht 434Ziele festlegen 432

Auditiver Denker 141Submodalitäten 143

Auditorbesten wählen 436

AufklärungSicherheit 21

Aufmerksamkeitder Zielperson 192

AufzeichnungsgerätAudio 335Gründe für Nutzung 335Video 335

Augebeim Verhör 188

Augenbewegungautonome 26

Auktion




450

Konsistenz 259Ausdruck der Gemütsbewegungen bei

dem Menschen und den Tieren (Dar-win) 148

Autorität 254legale 255organisatorische 255soziale 256Symbole 257

BBackTrack

BasKet 49Balmund, D.C.

transaktionales Modell 74Bandiera, Oriana 311Bandler, Richard 138, 178

Geschichten als direkte Instruktionen 227

BankkontoBlippy 63

Barankay, Iwan 311Bartlett, Frederic C. 104BasKet 49

Notizen 50Screenshot 50

BauchgefühlCommitment 258

Beeinflussbarkeit 295erhöhen 313

BeeinflussungAutorität 254bedingtes Zugeständnisse 248Commitment 258durch mangelnde Versorgung 251eigene Gefühle wahrnehmen 239flexibel sein 238fünf Säulen 232gemocht werden 263internen Dialog minimieren 238klare Ziele 233Knappheit 249Konditionierung 305Konsistenz 258mit sich selbst in Kontakt sein 239Rapport schaffen 234Spendenaufruf 248Umgebung beobachten 237Zugeständnisse in Raten 248Zugeständnisse kennzeichnen 247Zugeständnisse machen 247

Befehleingebetteter 226

Befragungstaktikprofessionelle 187

Benford, Robert 280Bericht

öffentlicher 64Berlo, David 73Berühren

sich 201Bewegung

konservative 286Beziehung

bewusste und unbewusste 179Framing 280

BitDefenderPasswortnutzung 362

Blickstoischer 162

Blippy 63Boehm, Stephan G. 169Boothman, Nicolas 268Bregler, Cristoph 224Bressert, Steve 246Briefmarkensammlung 45Bump Proof BiLock 334Bürogeräusche 120Butler, Judith 275

CCafé

Gespräch im 55Caller ID Spoofing 359Campeau, Robert

Kauf von Bloomingdale's 259Canadian Forces Base (CFB)

Sicherheitseinbruch 23Cathie Marsh Centre for Census and

Survey Information 282CeWL 367Chebat, Jean-Charles 302Cialdini, Robert B.

Experiment mit Pflegekräften 256Social Proof 268

CodeNLP 179

Commitment 258Bauchgefühl 258Informationen sammeln 260




Common User Password Profiler (CUPP) 365

Common User Passwords Profiler (CUPP) 67

Computer Security InstituteUntersuchung 23

Condon, WilliamKörpersprache 148Mikrobewegungen 148NLP 148

Counter-Terrorism UnitGebäudepläne 67

Covell, Michele 224Craig, Dr. K.D. 271Crandall, Christian 292

DDalai Lama 36DarkMarket

Master Splynter 38DarkReading

Sicherheitseinbrüche 32Darwin, Charles

Der Ausdruck der Gemütsbewegun-gen bei dem Menschen und den Tieren 148

Davis, Harry 264DeLozier, Judith 179

Der Reigen der Daimonen 179Turtles All the Way Down 179

Denkerauditive Submodalitäten 143auditiver 141kinästhetische Dinge berühren 145kinästhetische Submodalitäten 144kinästhetischer 141visuelle Submodalitäten 142visueller 141

Denkform 139FBI-Merkblatt 140Sinne 140

Denkmodus 141auditiver Denker 141

Submodalitäten 143Bedeutung 146beobachten 145dominierenden Sinn erkennen 144kinästhetischer Denker 141

Dinge berühren 145Submodalitäten 144

lauschen auf 145Stift-Übung 146visueller Denker 141

Submodalitäten 142Department of Homeland Security (DHS)

Elizitieren 96Department of Motor Vehicles (DMV) 370Der Reigen der Daimonen (DeLozier) 179Dialects for the Stage, Evangeline

Machlin 118Dialekt

üben 117Dialog

internen minimieren bei Beeinflussung 238

Diebstahldurch Angestellte 38

Direkter Ansatzbei Verhören 193

Dissonanzkognitive 115

Dokumentgeschreddertes 65

Dradis 51Duchenne, Guillaume-Benjamin 164Dumpster Diving 67

Tipps 67Dunn & Bradstreet-Berichte 64Dunn, Patricia 130

EEgoistischer Ansatz

bei Verhören 196Eidelman, Scott 292Eindruck

erster 268Einfachheit

beim Pretexting 121Eingebetteter Befehl 226

Negierungen nutzen 228Verwendung von Zitaten und Ge-

schichten 227Einschüchterung 296, 318Ekel 152Ekman, Dr. Paul 121

Facial Action Coding System (FACS) 149

Gefühle lesen 149Maureen O’Sullivan 148




452

Mikroexpressionen 137, 148Emotionen 149erkennen lernen 166

Wizards-Projekt 148Elizitieren 81

absichtlich falsche Aussagen treffen 97

ans Ego appellieren 96Department of Homeland Security

(DHS) 96gegenseitiges Interesse bekunden 97Gesichtsausdruck 88Informationen freiwillig

weitergeben 98Informationssammlung 82Kenntnisse unterstellen 99meistern 106National Security Agency (NSA) 82Preloading 89warum es funktioniert 83Wirkung von Alkohol 100Ziele 85

Ellbogen 201E-Mail

mit vertraulichen Daten 23Emotion

eigene beim Zuhören im Griff haben 206

Ekman, Dr. PaulMikroexpressionen 149

Makroexpressionen 147steuern 320von Verhalten entkoppeln 320

Emotionale Verbundenheit 113Emotionaler Ansatz

bei Verhören 194Empathie

bei Katastrophen 213Schalterangestellte in Bank 218Schlüssel zum Rapport 212Versicherungsagent 216

Endorsement 269Endziel

von Befragungen 197Energie

bei Kommunikation 88Ernten

von Informationen 47Eröffnungssatz 321Erster Eindruck

Bedeutung 268

ErwartungGesetz der Erwartung 225

EtikettierungFraming 291

FFacebook 58Facial Action Coding System (FACS) 149Fallstudie

Bedeutung 417Der selbstsichere CEO 383DMV-Hack 370Skandal im Vergnügungspark 393Sozialversicherungsbehörde

hacken 378SSA-Hack 378Top Secret 1 399Top Secret 2 408

Fantasiedes Zuhörers aktivieren 228

FarbeAssoziationen 303

FBIFormen des Denkens 139

Federal Trade Commission (FTC)Joel Winston 133Pretexting 130

FedEx-Logo 277Feedback

beim Zuhören geben 205Fehler

absichtliche 122Festinger, Leon

kognitive Dissonanz 115Finanzieller Anreiz 308Finger

tippen oder trommeln 202Fingerspitzen 202Flexibilität

für Beeinflussung 238Folter 292Form des Denkens 139

FBI-Merkblatt 140Sinne 140

FotoStandortlokalisierung per GPS 62

Fragegeschlossene 103offene 101Suggestivfragen 103




Vermutungsfragen 104zur Vorbereitung auf

Befragungen 197Framework

für Social Engineering 21Framing 273

Aufgaben 280Beziehung 280Etikettierung 291Folter 292im Alltag 275Markennamen 279Nutzung als Social Engineer 287Politik 274Protest 281Rasterangleichung 280Rastererweiterung 285Rastertransformation 286Rasterüberbrückung 282Rasterverstärkung 284Reality-TV 294Relevanz 281unterschwelliges 277visuelles 275Wahrnehmung 275

Framing-Effekt 273Frenzen, Jonathan 264Freundlichkeit

Rapport 236Fuß

beim Verhör 188Fuzzing 225

GGefühl

Bauchgefühl 258Beeinflussung 239

Gefühle lesen (Ekman) 149Gemocht werden 263

Halo-Effekt 265Marketingmechanismen 265Schönheit 265Tupper-Partys 264

Geschichteals direkte Instruktion 227Unterbewusstsein 227

Gesetz der Erwartung 225

Gesichteigenes berühren 202

GesichtsausdruckElizitieren 88Makroexpressionen 147Mikroexpressionen 147, 148

neurolinguistisches Hacking 170

spiegeln 169Täuschung aufdecken 149, 171

universelle 148Gespräch im Café 55Geste

Ängstlichkeit zeigen 202eigenes Gesicht berühren 202Fingerspitzen 202Haltung von Armen und Händen 201mit Fingern tippen 202Monotonie 202offene Handfläche 202spiegeln 200verankern 200

GestikulierenAnkern 200in verschiedenen Kulturen 198spiegeln 200zu starkes 203

Glück 164echtes und unechtes Lächeln 164

GoogleGoogle Dorks 59Operanden 59

Google Hacking for Penetration Testers (Johnny Long) 59

Gouldner, Alvinüber Reziprozität 241

GPS-TrackerDaten beurteilen 344

Grinder, John 138, 178Grundlinie

einer Zielperson bei Verhören 189Gruppe

von Zeichen bei Verhören 188

HHack

Der selbstsichere CEO 383Skandal im Vergnügungspark 393SSA-Hack 378Top Secret 1 399Top Secret 2 408




454

Hacker 39bösartige 21Kollegen als Bedrohung der Sicher-

heit vs. 24Return On Investment (ROI) 21

Halo-Effekt 265Haltung

Ellbogen 201von Armen und Händen 201

Handbeim Verhör 188

Handflächeoffene 202

Handgeste 175, 201Handlungsablauf 420

entwickeln 431Hautfarbe

beim Verhör 188Hewlett-Packard

Pretexting-Beispiel 130Hören

Unterschied zu Lauschen 203Huckepack-Eintritt 312Hundeflüsterer 88

IICanStalkU.com 62Identitätsdieb 40Identitätsdiebstahl

zerrissener Scheck im Leihwagen 54Ideologischer Anreiz 308Incentive 307Indifferenter Ansatz

bei Verhören 195Indirekter Ansatz

bei Verhören 193Information

Wert von 420, 425Informationsbeschaffung

Online-Tools 347Informationssammlung

BasKet 49Dradis 51Elizitieren 82Firmen-Websites 58Kommunikationsmodell 80Observation 64öffentliche Berichte 64persönliche Websites 58Pretexting 111

Quellen 58Social-Media-Sites 58Suchmaschinen 59

InfrastrukturMenschen 21

Interessegegenseitiges 97

InternetPretexting 109

InterviewUnterschied zu Verhör 186

IP-Adresse 60

KKamera 335, 336Kampf um die Seele, Der (Sargant) 314Kaspersky Labs

soziale Netzwerke 21Katastrophenopfer 213Kenntnis

unterstellen 99Kinästhetischer Denker 141

Dinge berühren 145Submodalitäten 144

KitÖffnungswerkzeuge 328

KmartPlanogramm 300

Knappheit 249Dringlichkeit aufbauen 251durch Mangel Druck aufbauen 251Fleischwarenverkäufer 252gesellschaftliche Ereignisse 250Hauptkomponenten 250Ökonomie 251Restaurants 250

Kognitive Dissonanz 115Kollege

als Bedrohung der Sicherheit 24Kombinierter Ansatz

bei Verhören 195Komfortzone 146Kommunikation

Definition 69Formen 69Fragen 80für Social Engineers 75nonverbaler Anteil 69persönliche Energie 88persönliche Realitäten 70




Probleme 73Prozess 69Regeln 71Shannon-Weaver-Modell 72transaktionales Modell nach Bal-

mund 74USB-Stick akzeptieren 77verbaler Anteil 69Wahrnehmung 70

Kommunikationsmodell 71Botschaft 75Empfänger 75entwickeln 75Feedback 75für Informationssammlung 80Kanal 75nach Berlo 73Quelle 75

Kommunikationsmodellierung 69Konditionierung 297

Marketing 305Konfrontation

positive 189Konservative Bewegung 286Konsistenz 258

Auktionen 259Informationen sammeln 260Marketing 258Spielkasinos 259

Konversationgute Schulung 87natürlich sein 86nicht gierig werden 87Regeln der Kunst 86

Konzessionbei Verhandlungen 248Spendenaufruf 248

Kopfhaltungbeim Verhör 188

Körperhaltungbeim Verhör 188

KörperspracheCondon, William 148Mikrobewegungen 148

Kuliklicken 314

Kultureller HintergrundReziprozität 241

Kultureller UnterschiedGestikulieren 198

Kunst der Täuschung, Die 369Kurgan, Murgis 365

LLächeln

Duchenne, Guillaume-Benjamin 164echtes und unechtes 164

Lakoff, George 274Langer, Ellen

Gedankenlosigkeit 257Lauschen

Unterschied zu Hören 203Legale Autorität 255Leihwagen 54Li, Wen 169LinkedIn 58Lippen

beim Verhör 188Lockpicking 327

Bump Proof BiLock 334magnetische und elektronische

Schlösser 331Padlock Shims 333Tools 332

Loftus, Elizabeth 104Logischer Ansatz

bei Verhören 194Long, Johnny

Google Hacking for Penetration Tes-ters 59

Los Alamos-Wissenschaftler in China 100Luftwaffe

Training und Anreize 310Lustig, Viktor 32

MMachlin, Evangeline

Dialects for the Stage 118Machtlosigkeit 296Makroexpression 147Maltego 60, 68, 348Mangel

als Antriebsfeder für SE 36Manipulation 28

Ablenkung 298Anreize 307Beeinflussbarkeit 295Beeinflussbarkeit erhöhen 313beim Social Engineering 313Definitionen 295durch Farbassoziationen 303Einschüchterung 296Eröffnungssätze 321finanzielle Anreize 308




456

Gefühl der Machtlosigkeit 296Huckepack-Eintritt 312ideologische Anreize 308immaterielle Strafen verteilen 318Konditionierung 297, 305Kuli klicken 314Motrin-Rückruf 297Musikschleifen 302Neubewertung erzwingen 316Nötigung 313Ohnmachtsgefühl 317Planogramm 300positiv Erwähnenswertes 320positive 319Privilegien verlieren 318Produktplatzierung 301Schuldgefühle 318Sekten 316soziale Angststörung 299soziale Anreize 310starke emotionale Reaktionen auslö-

sen 296Umgebung der Zielperson steuern

295Umgebung kontrollieren 315Unterstellungen 321Vergangenheitsform bei Negativem

322Ziele 313Zielperson einschüchtern 318Zweifel säen 296

Markenname 279Marketing

finanzielle Anreize 308ideologische Anreize 308Kampagne soziale Angststörung 299Konditionierung 305Konsistenz 258soziale Anreize 310

Master SplynterDarkMarket 38

Matherly, John 59Mehrabian, Albert 211Menschlicher Pufferüberlauf 222

eingebettete Befehle 226Fuzzing 225

MetasploitMeterpreter 355

Meterpreter 355

Michon, Richard 302microsoft.com

PDF-Dateien 59Mikrobewegung 148Mikroexpression 147

Angst 156Dr. Paul Ekman 137

Emotionen 149Ekel 152Glück 164Grenzen 168selbst erkennen 166Social Engineers 169spiegeln 169stoischer Blick 162Täuschung aufdecken 149, 171Traurigkeit 161Überraschung 159Verachtung 154Wut 150

Millan, Cesar 88Mischke, Tom 111Mitnick, Kevin 28, 32

Die Kunst der Täuschung 369DMV-Hack 370SSA-Hack 378Zulassungsstelle hacken 370

Mizrahi, Avi 61Monotonie

bei Gesten 202Morgan Stanley

Diebstahl durch Angestellte 37Morgan, Scott 292Moriarty, Thomas 262Motrin-Rückruf 297Moulton, Scott

Portscans 61Mularski, J. Keith 39Müll 65

geschredderte Dokumente 65Tipps fürs Dumpster Diving 67wertvolle Dinge 54

Mundbeim Verhör 188

Musikschleife 302

NNational Security Agency (NSA)

Elizitieren 82Negierung

nutzen 228




Netzwerksoziales 311

Neubewertungerzwingen 316

Neuer Codedes NLP 179

Neurolinguistisches Hacking 170Neurolinguistisches Programmieren

(NLP) 27Nickerson, Chris 31

Pretexting 110Nigeria-Scam 35NLP

Ankern 200Bandler, Richard 138, 178Bateson, Gregory 178beim Social Engineering nutzen 180Beziehung

bewusste und unbewusste 179Codes 179Condon, William 148DeLozier, Judith 179Geschichte 178Grinder, John 138, 178Meta-Modell 178neuer Code 179Planet NLP 183Satzstruktur 181Skripte des neuen Codes 180Spiegeln 200Sprache 181Stimme 181ultimative Stimme 182Wahrnehmungsfilter 179Zustand 179

NMAP-Portscans 60Nonverbale Kommunikation 69Nötigung 313

OO’Sullivan, Dr. Maureen 148Observation 64Öffentlicher Bericht 64Öffentlicher Server 60Öffnungswerkzeug 326

Harken 330Kit 328Padlock Shims 333Praxis 330Schlagschlüssel 332Shove Knife 332

Ohnmachtsgefühl 317Ökonomie

Knappheitsprinzip 251Online-Tool

Maltego 348Social Engineer Toolkit (SET) 351zur Infobeschaffung 347

orbicularis oculi (Muskel)beim Lächeln 164

Organisatorische Autorität 255

PPadlock Shim 333Paller, Ken A. 169Passwort

Liste für Angriff 34Studie von BitDefender 362

Passwort-Profiler 67, 362CeWL 367Common User Password Profiler

(CUPP) 365Pawlow, Iwan 141, 297Penetrationstester 39

Programmabstürze 53Person

in Notlage 79Personalvermittler 40Persönliche Kultur

des Sicherheitsbewusstseins 422Persönliche Realität

Kommunikation 70Persönliches Interesse

Pretexting 114Pharmafirma

Reziprozität 240Phishing

mit Social Engineering Toolkit (SET) 352

Phishing-E-Mail 76Pick 327Pitt, Brad 110Planet NLP 183Planogramm 300Politik 274Politiker

Reziprozität 240Portscan 60

europäische Gesetzeslage 61Positive Konfrontation 189Positive Manipulation 319




458

Positive Verstärkung 267Sättigung 267

Präsupposition 226Prävention

Audit-Ziele festlegen 432aus Social Engineering-Audits

lernen 431bei SE-Angriffen 419den besten Auditor wählen 436Handlungsabläufe entwickeln 431persönliche Kultur des Sicherheitsbe-

wusstseins schaffen 422Skripts entwickeln 431Social Engineering-Angriffe identifi-

zieren 420Software aktualisiert halten 429was zum Audit gehört und was nicht

434Wert von Informationen wissen 425

Preloadingbei Kinofilmen 89Elizitieren 89Personen aufschließen 92Steakdinner 90

PretextingAnschlussauftrag 126Beispiele

Hewlett-Packard 130Stanley Mark Rifkin 127

Beschreibung 109Definition 111Dialekte und Redensarten üben 117Einfachheit 121Einsatzgebiete 111emotionale Verbundenheit 113Federal Trade Commission (FTC) 130Informationssammlung 111Internet 109logischer Schluss 126persönliche Interessen ausnutzen 114Prinzipien 112Recherchen 113rechtliche Probleme 133Requisiten 134Scams nach Katastrophen 114Spontaneität 124Telefonnutzung 119Tod von Film- oder Musikstars 114Tools 134

Primärsinnbeim Verhör 188

Privilegienverlieren 318

Produktplatzierung 301Profiling-Software 67Progressive Umweltbewegung 286Pronomen

Verwendung in Verhören 189Protest

Framing 281Psychologe 41Puffer

Definition 223Pufferüberlauf 138

menschlicher 222eingebettete Befehle 226Fuzzing 225

Pyramidenmethode 102

QQuelle

zur Informationssammlung 58

RRabattcoupon 308Rapport 94

aktives Zuhörenreflektierte Reaktion 207

an Körpersprache anpassen 220an Stimm- und Sprechmuster anpas-

sen 220äußere Erscheinung 210authentischer Wunsch, Menschen

kennenzulernen 210Bedürfnisse anderer erfüllen 215Beeinflussung 234Definition 209Empathie 212Freundlichkeit 236guter Zuhörer 211gutes Allgemeinwissen 214im gleichen Tempo atmen 219Neugierde 214schnell aufbauen 209sich selbst bei Gesprächen heraushal-

ten 212testen 221weitere Techniken 219Wirkung auf andere 211

Rasterangleichung 280Rastererweiterung 285




Rastertransformation 286Rasterüberbrückung 282Rasterverstärkung 284Rasul, Imran 311Reaktion

emotionale 296reflektierte 207

Reaktionszeitauf Fragen 189

Reality-TV 294Recherche

für Pretexting 113Recherchedienst 64Rechtsanwalt 41Redensart

üben 117Referenzrahmen 275Reflektierte Reaktion 207Regel

7-38-55-Regel 211für Kommunikation 71

Regierung 41Relevanz

Framing 281Requisit

für Pretexting 134Return On Investment (ROI)

bei Hackern 21Reverse Shell 355Reziprozität 240

ansprechen, was man haben will 243etwas weggeben 241Gefühl der Verpflichtung schaffen

242Gouldner, Alvin 241Pharmafirmen 240Politiker 240unterschiedliche kulturelle Hinter-

gründe 241Zugeständnisse machen 247

Rifkin, Stanley Mark 127Route

alternative im Verhör 192Router

Suche nach 59Rusch, Jonathan R. 256

SSargant, William 314Satzstruktur 181

SchadensbegrenzungAudit-Ziele festlegen 432aus Social Engineering-Audits lernen

431bei SE-Angriffen 419den besten Auditor wählen 436persönliche Kultur des Sicherheitsbe-

wusstseins schaffen 422Skripts entwickeln 431Social Engineering-Angriffe identifi-

zieren 420Software aktualisiert halten 429was zum Audit gehört und was

nicht 434Wert von Informationen wissen 425

Scheckzerrissener 54

Schlagschlüssel 332Schlangenspitze 327Schloss 326

elektronisches 331Funkionsweise 326magnetisches 331öffnen 326

Schlossöffnungmagnetische und elektronische

Schlösser 331Padlock Shims 333Tools 332üben 328

Schlusslogischer 126

Schredder 65Schuldgefühl 318Schulungsprogramm

für Sicherheitsbewusstsein 420Sekte

Manipulation 316Selbstvertrauen

situatives 115Server

öffentlicher 60Suche nach 59

Shannon, Claude 71Shannon-Weaver-Modell 72

Bestandteile 72Shodan-Suchmaschine 59Shove Knife 332Sicherheit

Bewusstseinskultur schaffen 420durch Aufklärung 21




460

Hacker vs. Kollegen als Bedrohung der Sicherheit 24

schwerwiegende Mängel 24Sicherheitsbewusstsein 420

Kultur schaffen 420Sicherheitslücke

in Software patchen 430Sinn

Denkmodus 141dominierenden erkennen 145dominierender 144körperlicher 140

Formen des Denkens 139Submodalität 141

Sinneswahrnehmunggesteigerte 237

Skitka, Linda 292Skizze 120Skript 361

neuer Code 180zur Prävention und Schadensbegren-

zung entwickeln 431Slaney, Malcolm 224Smart, Jamie 233Smartphone

standortbasierte Informationen 62Snow, David 280

Rasterverstärkung 284Social Engineer

Arbeit mit Skripten 361Ärzte 41Denken wie ein 53Hacker 39Identitätsdiebe 40Kommunikation 75Mikroexpressionen nutzen 169Penetrationstester 39Personalvermittler 40Psychologen 41Rechtsanwälte 41Regierungen 41Spione 40Tools 325Trickbetrüger 40verärgerte Angestellte 40Verkaufspersonal 41verschiedene Typen 39Werkzeuge 338

Social Engineer Toolkit (SET) 351Social Engineering

Angriffe identifizieren 420Aspekte für Audits 435

Auditziele 432aus Audits lernen 431besten Auditor wählen 436Definition 29, 30Einsatzmöglichkeiten 19Macht des Mangels 36Manipulation 28Tools 325

Öffnungswerkzeuge 326was zum Audit gehört und was

nicht 434Werkzeuge 338Zwecke des Frameworks 42

Social Engineering Toolkit (SET)Phishing 352Web Attack Vector 354

Social Engineering-Framework 22Social Media 61

Blippy 62Facebook 62LinkedIn 62MySpace 62PleaseRobMe 62Twitter 62

Social Proof 268Candid Camera 271Definition 34Gleichartigkeit 272Lachen vom Band 270Schmerztoleranz 271Trinkgeld 270Ungewissheit 272

Social Security Administration (SSA) 378Social-Media-Site 58Software

Maltego 68Patches 430Profiling-Software 67Updates 429Upgrades 420

Sozial (Definition) 30Soziale Angststörung 299Soziale Autorität 256Sozialer Anreiz 310Soziales Netzwerk 311Sozialversicherungsnummer

illegale Nutzung 131Recherchedienste 64

Spanner 327Spendenaufruf

Beeinflussung 248




Spiegeln 200von Mikroexpressionen 169

SpielkasinoKonsistenz 259

Spion 40Spontaneität 124SpoofApp 360SpoofCard 120, 359Spoofen

Anruferidentifikation 358Sprache

in NLP 181SpyHawk SuperTrak GPS TrackStick 340Standortbasierte Information 62Stevens, Tom G.

situatives Selbstvertrauen 115Stimme

beim Verhör 188NLP 181ultimative 182

Stoischer Blick 162Strafe

immaterielle verteilen 318Submodalität 141Suchmaschine 59

Google 59Shodan 59

Symbolder Autorität 257

Sympathisierender Ansatzbei Verhören 194

TTäuschung

aufdecken 171Handgesten 175Verhaltensänderungen 175Widersprüche 172, 174

Teensy HID 356Telefonnutzung 119Telephone Records and Privacy Protection

Act von 2006 131Terrorbekämpfung

Framing 274The Real Hustle, TV-Show 85Themenentwicklung 190Thriving Office 120Tomkins, Silvan 148Tool

Anruferidentifikation spoofen 358Asterisk 360

AufzeichnungsgerätAudio 335Video 335

GPS-Tracker 339Kamera 335Online-Informationsbeschaffung 347

Maltego 348Passwort-Profiler 362Pretexting 134Skript 361Social Engineer Toolkit (SET) 351SpoofApp 360SpoofCard 359SpyHawk SuperTrak GPS Track

Stick 340Top Secret-Fallstudie 1 399Top Secret-Fallstudie 2 408Tostitos-Logo 278Transaktionales Kommunikationsmodell

nach Balmund 74Traurigkeit 161Trickbetrüger 40Trinkgeld

Social Proof 270Tupperware-Party 264Turtles All the Way Down (DeLozier) 179

UÜben

als Grundvoraussetzung beim SE 339Übereinstimmung 268Überraschung 159

Angst 156Übertreibender Ansatz

bei Verhören 196Ultimative Stimme 182Umgebung

beobachten für Beeinflussung 237der Zielperson kontrollieren 315der Zielperson steuern 295

Umweltbewegungprogressive 286

Unterschiedzwischen Hören und Lauschen 203

Unterschwelliges Framing 277Unterstellung

bei positiver Manipulation 321Update

von Software 430USB-Stick

akzeptieren 77




462

VVerachtung 154Verärgerter Angestellter 37, 40Vergangenheit

Zeitform bei Negativem 322Verhalten

Änderungen 175von Emotionen entkoppeln 320

Verhöraggressiver Ansatz 194Alibi ausdünnen 197alternative Route präsentieren 192Ansatz, das Gesicht zu wahren 195Augen 188direkter Ansatz 193egoistischer Ansatz 196emotionaler Ansatz 194Endziel 197Fragen zur Vorbereitung 197Grundlinie der Zielperson 189Haltung von Armen und Händen 201Hände/Füße 188Handgesten 201Hautfarbe 188indifferenter Ansatz 195indirekter Ansatz 193kombinierter Ansatz 195Kopfhaltung 188Körperhaltung 188logischer Ansatz 194Merkblatt des amerikanischen Vertei-

digungsministeriums 193Mund/Lippen 188Primärsinn 188Stimme 188sympathisierender Ansatz 194übertreibender Ansatz 196Unterschied zu Interview 186Worte 188

Verkäuferund Social Engineers 47

Verkaufspersonal 41Vernehmung 138Verpflichtung

Reziprozität 242Verstärkung

positive 267Verteidigungsministerium

amerikanisches Handbuch für Ver-höre 193

Vertrauliche Datenin E-Mails 23

Verwendungvon Pronomen 189

Videoaufzeichnung 336Visueller Denker 141

Submodalitäten 142Vontu

vertrauliche Daten in E-Mails 23

WWahrnehmung

Framing 275Wahrnehmungsfilter 179warm lead 47Weaver, Warren 71Web Attack Vector

mit Social Engineering Toolkit (SET) 354

WebsiteICanStalkU.com 62Lockpicking 327mit persönlichen Informationen 34öffentliche Berichte 64öffentliche Server 60persönliche 58PleaseRobMe.com 62Recherchedienste 64Schlösser öffnen 327Social Media 61Suchmaschinen 59von Firmen 58www.social-engineer.org 22zur Informationssammlung 34

WerkzeugPicks 327Spanner 327

Westbury, Chris 237Who’s Your Daddy (WYD) 67Whois 60Widerrede

bei Verhören 191Widerspruch 172Winston, Joel 133Withgott, Margaret 224Wizards-Projekt 148Wong, Kelvie 49Wort

beim Verhör 188Wut 150




ZZeichen

bei Verhören 188Zeitform

der Verben 189Verwendung in Verhören 189Wechsel 189

ZielBeeinflussung 231für Audits 432Überredung 231

ZielpersonAufmerksamkeit bekommen 192beim Sprechen nicht unterbrechen

205einschüchtern 318Grundlinie bei Verhören 189

Zinbarg, Richard E. 169Zitat

als direkte Instruktion 227Zögern 174Zugeständnis 247

bedingtes 248in Raten 248kennzeichnen 247Reziprozität 247

ZuhörenAblenkungen 204angemessen reagieren 206Aufmerksamkeit 204eigene Emotionen im Griff haben

206Feedback geben 205Gegenüber nicht unterbrechen 205Hinweise aufs Hören 205reflektierte Reaktion 207

Zulassungsstelle hacken 370Zuschauereffekt 268Zustand 179Zweifel

säen 296zygomaticus major (Muskel)

beim Lächeln 164





Documents

Die Kunst des Human Hacking - mitpCHRISTOPHER HADNAGY Social Engineering Deutsche Ausgabe Eine Warnung vorab: Dieses Buch ist nichts für schwache Nerven. Es bringt Sie in jene dunklen