Upload
others
View
3
Download
1
Embed Size (px)
Citation preview
CHRISTOPHER HADNAGYSocial Engineering – Deutsche Ausgabe
Eine Warnung vorab: Dieses Buch ist nichts für schwache Nerven. Es bringt Sie in jene dunklen Ecken der Gesellschaft, wo die Black Hats (bösartige Hacker) das Sagen haben. Hier werden Bereiche des Social Engineering, in denen sich Spione und Trickbetrüger tummeln, aufgedeckt und einge-hend erforscht. Außerdem wird anhand ganz normaler Alltagssituationen gezeigt, inwiefern es sich auch da oft um komplexe Szenarien des Social Engineering handelt. Am Ende deckt das Buch die Tipps und Tricks der Insider, der professionellen Social Engineers und eben auch der kriminel-len Profis auf.
Dieses Buch ist mehr als eine Sammlung cooler Stories, toller Hacks oder abgefahrener Ideen. Wissenschaftlich fundiert (dabei höchst unterhalt-sam), stellt es das weltweit erste Framework für Social Engineering vor, auf dessen Grundlage der Autor genau analysiert, geradezu seziert, was einen guten Social Engineer ausmacht. Mit praktischen Ratschlägen wird der Leser befähigt, skills zu entwickeln, die es ihm ermöglichen, die nachweis-lich größte Schwachstelle in IT-Sicherheitssystemen auf die Probe zu stellen: den Menschen.
Christopher Hadnagy ist Chefentwickler bei www.social-engineer.org, weltweit die erste Adresse, wenn es um Social Engineering geht. Der Autor kann auf fast fünfzehn Jahre einschlägiger Berufserfahrung zurück-blicken, in denen er sich mit den unterschiedlichsten Themen rund um die IT-Sicherheit beschäftigt hat, dabei u.a. für backtrack-linux oder zuletzt im Penetration Testing Team von Offensive Security tätig war.
DIE
KUN
ST D
ES H
UMAN
HAC
KIN
G
HADNAGY
www.mitp.de (D) €
29
,95
ISBN 978-3-8266-9167-6ISBN 978-3-8266-9167-6
Inhaltsverzeichnis
Vorwort. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1 Ein Blick in die Welt des Social Engineering . . . . . . . . . . . . . . 19
1.1 Warum dieses Buch so wertvoll ist . . . . . . . . . . . . . . . . . . . . . . 21
1.1.1 Das Layout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
1.1.2 Was zu erwarten ist. . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
1.2 Social Engineering im Überblick . . . . . . . . . . . . . . . . . . . . . . . . 29
1.2.1 Social Engineering und sein Platz in der Gesellschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
1.2.2 Verschiedene Typen von Social Engineers . . . . . . . . . 39
1.2.3 So nutzen Sie das Social Engineering-Framework . . . 42
1.3 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
2 Informationssammlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
2.1 Informationen sammeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
2.1.1 Die Arbeit mit BasKet . . . . . . . . . . . . . . . . . . . . . . . . . . 49
2.1.2 Die Arbeit mit Dradis . . . . . . . . . . . . . . . . . . . . . . . . . . 51
2.1.3 Denken wie ein Social Engineer . . . . . . . . . . . . . . . . . 53
2.2 Quellen zur Informationssammlung. . . . . . . . . . . . . . . . . . . . . 58
2.2.1 Informationen von Websites abgreifen . . . . . . . . . . . . 58
2.2.2 Die Macht der Observation. . . . . . . . . . . . . . . . . . . . . . 64
2.2.3 Den Müll durchwühlen . . . . . . . . . . . . . . . . . . . . . . . . 65
2.2.4 Die Arbeit mit Profiling-Software . . . . . . . . . . . . . . . . 67
2.3 Kommunikationsmodellierung . . . . . . . . . . . . . . . . . . . . . . . . . 69
2.3.1 Das Kommunikationsmodell und seine Wurzeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
2.3.2 Ein Kommunikationsmodell entwickeln . . . . . . . . . . . 75
2.4 Die Macht der Kommunikationsmodelle . . . . . . . . . . . . . . . . . 79
3 Elizitieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
3.1 Was ist Elizitieren? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
5© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Inhaltsverzeichnis
6
3.2 Ziele des Elizitierens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
3.2.1 Preloading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
3.2.2 Elizitieren erfolgreich einsetzen . . . . . . . . . . . . . . . . . 95
3.2.3 Intelligente Fragen stellen . . . . . . . . . . . . . . . . . . . . . . 101
3.3 Elizitieren meistern . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
3.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
4 Pretexting – In eine andere Haut schlüpfen . . . . . . . . . . . . . . . 109
4.1 Was ist Pretexting? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
4.2 Prinzipien und Planungsphasen beim Pretexting . . . . . . . . . . 112
4.2.1 Je mehr Sie recherchieren, desto besser sind die Erfolgschancen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
4.2.2 Der Einbau persönlicher Interessen steigert den Erfolg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
4.2.3 Üben Sie bestimmte Dialekte und Redensarten. . . . . 117
4.2.4 Telefonnutzung sollte den Aufwand für den Social Engineer nicht reduzieren . . . . . . . . . . . . . . . . . 119
4.2.5 Je einfacher der Pretext, desto größer die Erfolgswahrscheinlichkeit . . . . . . . . . . . . . . . . . . . . . . 121
4.2.6 Der Pretext sollte spontan wirken . . . . . . . . . . . . . . . . 124
4.2.7 Liefern Sie der Zielperson einen logischen Schluss oder Anschlussauftrag . . . . . . . . . . . . . . . . . . 126
4.3 Erfolgreiches Pretexting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
4.3.1 Beispiel 1: Stanley Mark Rifkin . . . . . . . . . . . . . . . . . . 127
4.3.2 Beispiel 2: Hewlett-Packard . . . . . . . . . . . . . . . . . . . . . 130
4.3.3 Legal bleiben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
4.3.4 Weitere Tools fürs Pretexting . . . . . . . . . . . . . . . . . . . 134
4.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
5 Gedankentricks – Psychologische Prinzipien im Social Engineering. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
5.1 Formen des Denkens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
5.1.1 Die Sinne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
5.1.2 Die drei wichtigsten Denkmodi . . . . . . . . . . . . . . . . . . 141
5.2 Mikroexpressionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
5.2.1 Wut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
5.2.2 Ekel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Inhaltsverzeichnis
5.2.3 Verachtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
5.2.4 Angst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
5.2.5 Überraschung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
5.2.6 Traurigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
5.2.7 Glück . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
5.2.8 Mikroexpressionen selbst erkennen . . . . . . . . . . . . . . 166
5.2.9 Wie Social Engineers Mikroexpressionen nutzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
5.3 Neurolinguistisches Programmieren. . . . . . . . . . . . . . . . . . . . . 177
5.3.1 Die Geschichte des neurolinguistischen Programmierens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
5.3.2 Die NLP-Codes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
5.3.3 NLP beim Social Engineering nutzen . . . . . . . . . . . . . 180
5.4 Interviews und Vernehmungen . . . . . . . . . . . . . . . . . . . . . . . . . 185
5.4.1 Professionelle Befragungstaktiken . . . . . . . . . . . . . . . 187
5.4.2 Gestikulieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
5.4.3 Die Haltung von Armen und Händen . . . . . . . . . . . . 201
5.4.4 Den Weg zum Erfolg »erhören« . . . . . . . . . . . . . . . . . 203
5.5 Schnell Rapport aufbauen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
5.5.1 Seien Sie authentisch bei dem Wunsch, Menschen kennenzulernen . . . . . . . . . . . . . . . . . . . . . 210
5.5.2 Achten Sie auf Ihre äußere Erscheinung . . . . . . . . . . 210
5.5.3 Seien Sie ein guter Zuhörer . . . . . . . . . . . . . . . . . . . . . 211
5.5.4 Machen Sie sich Ihrer Wirkung auf andere bewusst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
5.5.5 Halten Sie sich bei Gesprächen heraus . . . . . . . . . . . . 212
5.5.6 Denken Sie daran, dass Empathie der Schlüssel zum Rapport ist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212
5.5.7 Sorgen Sie für ein gutes Allgemeinwissen . . . . . . . . . 214
5.5.8 Entwickeln Sie Ihre neugierige Seite . . . . . . . . . . . . . . 214
5.5.9 Finden Sie Wege, um die Bedürfnisse anderer zu erfüllen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
5.5.10 Weitere Techniken für Rapport . . . . . . . . . . . . . . . . . . 219
5.5.11 Rapport testen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
5.6 Der menschliche Pufferüberlauf . . . . . . . . . . . . . . . . . . . . . . . . 222
5.6.1 Die Grundregeln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
5.6.2 Fuzzing des Betriebssystems Mensch . . . . . . . . . . . . . 225
7© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Inhaltsverzeichnis
8
5.6.3 Die Regeln eingebetteter Befehle . . . . . . . . . . . . . . . . . 226
5.7 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
6 Beeinflussung – Die Macht der Überredung . . . . . . . . . . . . . . 231
6.1 Die fünf Säulen von Beeinflussung und Überredung . . . . . . . 232
6.1.1 Ein klares Ziel im Kopf haben . . . . . . . . . . . . . . . . . . . 233
6.1.2 Rapport, Rapport, Rapport . . . . . . . . . . . . . . . . . . . . . . 234
6.1.3 Beobachten Sie Ihre Umgebung . . . . . . . . . . . . . . . . . 237
6.1.4 Handeln Sie nicht verrückt, sondern flexibel . . . . . . . 238
6.1.5 Mit sich selbst in Kontakt sein . . . . . . . . . . . . . . . . . . . 239
6.2 Taktiken der Beeinflussung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239
6.2.1 Die Reziprozität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
6.2.2 Die Verpflichtung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
6.2.3 Das Zugeständnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
6.2.4 Knappheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
6.2.5 Autorität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
6.2.6 Commitment und Konsistenz . . . . . . . . . . . . . . . . . . . 258
6.2.7 Gemocht werden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
6.2.8 Übereinstimmung oder Social Proof. . . . . . . . . . . . . . 268
6.3 Die Realität verändern – Das Framing . . . . . . . . . . . . . . . . . . . 273
6.3.1 Politik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
6.3.2 Framing im Alltag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
6.3.3 Vier Arten der Rasterangleichung . . . . . . . . . . . . . . . . 280
6.3.4 Framing für den Social Engineer . . . . . . . . . . . . . . . . 287
6.4 Manipulation – Kontrollieren Sie Ihr Ziel. . . . . . . . . . . . . . . . . 295
6.4.1 Zurückrufen oder nicht?. . . . . . . . . . . . . . . . . . . . . . . . 297
6.4.2 Endlich geheilt – Angst . . . . . . . . . . . . . . . . . . . . . . . . 299
6.4.3 Sie können mich nicht zwingen, das zu kaufen! . . . . 300
6.4.4 Zielpersonen auf positive Reaktionen konditionieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305
6.4.5 Anreize für Manipulation . . . . . . . . . . . . . . . . . . . . . . . 307
6.5 Manipulation beim Social Engineering . . . . . . . . . . . . . . . . . . 313
6.5.1 Die Beeinflussbarkeit einer Zielperson erhöhen . . . . 313
6.5.2 Die Umgebung der Zielperson kontrollieren . . . . . . . 315
6.5.3 Die Zielperson zur Neubewertung zwingen . . . . . . . . 316
6.5.4 Die Zielperson soll sich ohnmächtig fühlen . . . . . . . . 317
6.5.5 Immaterielle Strafen verteilen . . . . . . . . . . . . . . . . . . . 318
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Inhaltsverzeichnis
6.5.6 Die Zielperson einschüchtern . . . . . . . . . . . . . . . . . . . 318
6.5.7 Positive Manipulation . . . . . . . . . . . . . . . . . . . . . . . . . 319
6.6 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
7 Die Tools des Social Engineer . . . . . . . . . . . . . . . . . . . . . . . . . . 325
7.1 Werkzeuge und Instrumente . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
7.1.1 Öffnungswerkzeuge . . . . . . . . . . . . . . . . . . . . . . . . . . . 326
7.1.2 Kameras und Aufzeichnungsgeräte. . . . . . . . . . . . . . . 335
7.1.3 Der GPS-Tracker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
7.2 Online-Tools zur Informationsbeschaffung . . . . . . . . . . . . . . . 347
7.2.1 Maltego . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
7.2.2 Das Social Engineer Toolkit . . . . . . . . . . . . . . . . . . . . . 351
7.2.3 Telefonbasierte Tools . . . . . . . . . . . . . . . . . . . . . . . . . . 358
7.2.4 Passwort-Profiler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
7.3 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
8 Fallstudien: Social Engineering unter der Lupe . . . . . . . . . . . . 369
8.1 Mitnick-Fallstudie 1: Die Zulassungsstelle hacken . . . . . . . . . . 370
8.1.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
8.1.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
8.1.3 Das SE-Framework auf den DMV-Hack anwenden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
8.2 Mitnick-Fallstudie 2: Die Sozialversicherungsbehörde hacken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
8.2.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
8.2.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
8.2.3 Das SE-Framework auf den SSA-Hack anwenden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
8.3 Hadnagy-Fallstudie 1: Der viel zu selbstsichere CEO . . . . . . . . 383
8.3.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
8.3.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
8.3.3 Das SE-Framework beim Hack mit dem zu selbstsicheren CEO . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
8.4 Hadnagy-Fallstudie 2: Skandal im Vergnügungspark . . . . . . . 393
8.4.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
8.4.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394
8.4.3 Das SE-Framework auf den Park-Hack anwenden. . . 397
9© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Inhaltsverzeichnis
10
8.5 Fallstudie Top Secret 1: Mission not impossible . . . . . . . . . . . . 399
8.5.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
8.5.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 400
8.5.3 Das SE-Framework auf Top Secret 1 anwenden . . . . . 406
8.6 Fallstudie Top Secret 2: Pentester als Social Engineer . . . . . . . 408
8.6.1 Das Ziel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
8.6.2 Die Story . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409
8.6.3 Das SE-Framework auf Top Secret 2 anwenden. . . . . 415
8.7 Warum Fallstudien so wichtig sind . . . . . . . . . . . . . . . . . . . . . . 417
8.8 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
9 Prävention und Schadensbegrenzung . . . . . . . . . . . . . . . . . . . . 419
9.1 Lernen Sie, Social Engineering-Angriffe zu identifizieren . . . 420
9.2 Schaffen Sie eine persönliche Kultur des Sicherheitsbewusstseins . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
9.3 Seien Sie sich des Wertes der Informationen bewusst, nach denen Sie gefragt werden . . . . . . . . . . . . . . . . . . . . . . . . . 425
9.4 Halten Sie Software aktualisiert . . . . . . . . . . . . . . . . . . . . . . . . . 429
9.5 Entwickeln Sie Handlungsabläufe . . . . . . . . . . . . . . . . . . . . . . . 431
9.6 Lernen Sie aus Social Engineering-Audits . . . . . . . . . . . . . . . . 431
9.6.1 Das Social Engineering-Audit . . . . . . . . . . . . . . . . . . . 432
9.6.2 Audit-Ziele festlegen . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
9.6.3 Was zu einem Audit gehört und was nicht . . . . . . . . . 434
9.6.4 Den besten Auditor wählen . . . . . . . . . . . . . . . . . . . . . 436
9.7 Abschließende Bemerkungen . . . . . . . . . . . . . . . . . . . . . . . . . . 438
9.7.1 Social Engineering ist nicht immer negativ . . . . . . . . 439
9.7.2 Die Bedeutung der Sammlung und Organisation von Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439
9.7.3 Wählen Sie Ihre Worte sorgfältig. . . . . . . . . . . . . . . . . 441
9.7.4 Sorgen Sie für einen guten Pretext . . . . . . . . . . . . . . . 442
9.7.5 Üben Sie, Ausdrücke zu lesen . . . . . . . . . . . . . . . . . . . 443
9.7.6 Manipulation und Beeinflussung . . . . . . . . . . . . . . . . 443
9.7.7 Achten Sie auf bösartige Taktiken . . . . . . . . . . . . . . . . 444
9.7.8 Nutzen Sie Ihre Angst . . . . . . . . . . . . . . . . . . . . . . . . . 445
9.8 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
Stichwortverzeichnis449
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1
Ein Blick in die Welt des Social Engineering
Wenn du den Feind und dich selbst kennst, brauchst du den Ausgangvon Hundert Schlachten nicht zu fürchten.
Sunzi
Social Engineering unterliegt bisher weitgehend verschiedenen Missver-ständnissen, was zu vielen unterschiedlichen Meinungen darüber geführthat, was es eigentlich ist und wie es funktioniert. Manche glauben, dabeigehe es nur darum, sich kostenlos triviale Sachen wie Pizza zu erschwin-deln oder sich wortreich sexuelle Freuden zu ermöglichen. Andere meinen,es beziehe sich nur auf die Instrumente, die von Kriminellen oder Trickbe-trügern eingesetzt werden, oder dass es sich um eine Wissenschaft handelt,die theoretisch in kleinere Bestandteile oder Gleichungen heruntergebro-chen und studiert werden könne. Oder vielleicht ist es auch eine lange ver-loren geglaubte mystische Kunst, die ihren Anhängern die Fähigkeitverleiht, mächtige Tricks wie Zauberer oder Illusionisten auszuführen.
Egal welchem Lager Sie sich zugehörig fühlen – dieses Buch ist für Sie.Social Engineering wird täglich von ganz normalen Leuten in alltäglichenSituationen eingesetzt. Wenn ein Kind versucht, im Supermarkt in denGang mit den Süßigkeiten zu gelangen, oder ein Angestellter seine Gehalts-erhöhung durchsetzen will, dann wird dabei mit Mitteln des Social Enginee-ring gearbeitet. Social Engineering gibt es auch bei Regierungen oder demMarketing kleiner Geschäfte. Leider ist es auch gegenwärtig, wenn Krimi-nelle, Trickbetrüger oder ähnliche Bösewichte andere hereinlegen, damit sieInformationen weitergeben, durch die sie für Straftaten angreifbar werden.Wie jedes Instrument ist auch Social Engineering nicht per se gut oder böse,sondern einfach zu vielerlei Zwecken einsetzbar.
19© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
20
Machen Sie sich bitte Gedanken zu folgenden Fragen, um diesen Punkt zuverdeutlichen:
� Haben Sie die Aufgabe bekommen, darauf zu achten, dass Ihre Firma sogut abgesichert ist wie irgend möglich?
� Sind Sie ein Sicherheitsfanatiker, der möglichst jede aktuelle Informati-on zu diesem Thema liest?
� Sind Sie ein professioneller Penetrationstester, der eingestellt wurde,um die Sicherheit Ihrer Kunden zu testen?
� Sind Sie Informatikstudent, der in seinem Hauptfach irgendeine Formder IT-Spezialisierung belegt?
� Sind Sie aktuell ein Social Engineer, der nach neuen und verbessertenIdeen sucht, die Sie in Ihrer Praxis einsetzen können?
� Sind Sie ein Konsument, der sich vor den Gefahren von Identitätsdieb-stahl und Betrug fürchtet?
Egal welche dieser Situationen zu Ihnen passt: Die in diesem Buch enthalte-nen Informationen eröffnen Ihnen, wie Sie die Fähigkeiten des Social Engi-neering nutzen können. Sie werfen auch einen Blick in die dunkle Welt desSocial Engineering und lernen, wie »böse Buben« ihre Fähigkeiten einsetzen,um sich Vorteile zu verschaffen. Mit dieser Grundlage erfahren Sie, wie manfür Angriffe mit Methoden des Social Engineering weniger verletzbar wird.
Eine Warnung vorab: Dieses Buch ist nichts für schwache Nerven. Es bringtSie in jene dunklen Ecken der Gesellschaft, wo die »Black Hats« (bösartigeHacker) das Sagen haben. Hier werden Bereiche des Social Engineering, indenen sich Spione und Trickbetrüger tummeln, aufgedeckt und eingehenderforscht. Dieses Buch untersucht Taktik und Tools, die aus James-Bond-Fil-men zu stammen scheinen. Außerdem wird anhand ganz normaler Alltags-situationen gezeigt, inwiefern es sich um komplexe Szenarien des SocialEngineering handelt. Am Ende deckt das Buch die Tipps und Tricks derInsider, der professionellen Social Engineers und eben auch der kriminellenProfis auf.
Ich wurde gefragt, warum ich mir vornehme, solche Informationen aufzu-decken. Die Antwort lautet schlicht: Die Bösewichte lassen sich nicht durchmoralische Grenzen oder vertragliche Beschränkungen stoppen. Sie lassennicht locker, wenn mal ein Versuch daneben geht. Bösartige Hacker ver-schwinden nicht einfach deswegen, weil Firmen es nicht gerne haben, dassihre Server infiltriert werden. Social Engineering, die Täuschung von Mitar-beitern und Internet-Betrug kommen heutzutage hingegen immer häufigervor. Während Software-Unternehmen lernen, wie sie ihre Programme stär-
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.1Warum dieses Buch so wertvoll ist
ken und härten, wenden sich Hacker und bösartige Social Engineers demschwächsten Teil der Infrastruktur zu: den Menschen. Sie sind nur vomReturn On Investment (ROI) motiviert: Kein Hacker, der etwas auf sich hält,wendet Dutzende Stunden auf, wenn er die gleichen Ergebnisse auch miteiner einfachen Attacke bekommt, die eine Stunde oder weniger dauert.
Letzten Endes läuft es traurigerweise darauf hinaus, dass man nie zu 100 %sicher sein kann – außer Sie ziehen bei allen elektronischen Geräten den Stöp-sel und wandern auf eine einsame Insel aus. Weil das nicht sonderlich prak-tisch ist und auch nicht viel Spaß macht, werden in diesem Buch Wege undMöglichkeiten erläutert, um besser über Angriffe informiert zu sein und siebesser erkennen zu können. Hier erfahren Sie, wie Sie sich dagegen schützenkönnen. Mein Motto lautet »Sicherheit durch Aufklärung«. Wenn manBescheid weiß, ist das einer der wenigen narrensicheren Wege, um sich gegendie steigenden Bedrohungen des Social Engineering und Identitätsdiebstahlsabzusichern. Von Kaspersky Labs, einem der führenden Anbieter von Antivi-ren- und Schutzsoftware, wird geschätzt, dass 2009 über 100.000 Malware-Kostproben durch soziale Netzwerke verbreitet wurden. In einem aktuellenBericht kommt Kaspersky zu der Einschätzung, dass »Angriffe gegen sozialeNetzwerke zehn Mal so erfolgreich sind« wie andere Angriffsarten.
Auch hier gilt die alte Hacker-Redewendung »Wissen ist Macht«. Je mehrWissen jeder Verbraucher und jede Firma über die Gefahren und Bedro-hungen des Social Engineering hat und je mehr jedes Angriffsszenario ana-lysiert wird, desto einfacher kann man sich davor schützen, diese Angriffeabschwächen oder gar stoppen. So kann man die Macht all dieses Wissenswirksam einsetzen.
1.1 Warum dieses Buch so wertvoll ist
Auf dem Markt gibt es viele Bücher über Sicherheit, Hacking, Penetrations-tests und sogar Social Engineering. Viele dieser Bücher liefern den Lesernwertvolle Informationen und Tipps und helfen ihnen dadurch. Auch wennall diese Informationen verfügbar sind, ist doch ein Buch nötig, das dieInformationen über Social Engineering in einem weiteren Schritt zusam-menfasst, diese Angriffe detailliert erklärt und sie von der bösartigen Seitedes Zaunes her beschreibt. Dieses Buch ist nicht bloß eine Sammlung coo-ler Stories, toller Hacks oder abgefahrener Ideen. Es stellt das weltweit ersteFramework für Social Engineering vor. Hier wird die gesamte Grundlagedessen analysiert und seziert, was einen guten Social Engineer ausmacht,praktische Ratschläge geboten, um diese »Skills« zu nutzen, damit die Leser
21© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
22
noch besser die größte Schwachstelle testen können: die menschliche Infra-struktur.
1.1.1 Das Layout
Dieses Buch greift Social Engineering auf einzigartige Weise auf. In seinerStruktur hält es sich eng an das umfassende Social Engineering-Frame-work, das unter www.social-engineer.org/framework zu finden ist. Die-ses Framework umreißt die Skills und Tools (materiell, mental undpersönlich), die man sich aneignen sollte, wenn man als exzellenter SocialEngineer gelten will.
In diesem Buch stellen wir zuerst ein thematisches Prinzip vor, das defi-niert, erklärt und analysiert wird. Anschließend zeigen wir dessen Einsatzanhand einer Sammlung wahrer Geschichten oder Fallstudien. Dies ist keinBuch mit Stories oder tollen Tricks, sondern ein Handbuch und Leitfadenfür die dunkle Welt des Social Engineering.
Im Buch verteilt finden Sie viele Internet-Links zu Stories oder Beschrei-bungen sowie auch zu Tools und anderen Aspekten, die mit den erläutertenThemen zusammenhängen. Außerdem erscheinen praktische Übungen,mit denen Sie dieses Framework für Social Engineering meistern und auchIhre alltägliche Kommunikation verbessern.
Diese Aussagen gelten vor allem dann, wenn Sie Sicherheitsspezialist sind.Wenn Sie dieses Buch lesen, hoffe ich, Ihnen einschärfen zu können, dassSicherheit nicht nur ein »Teilzeitjob« ist und definitiv nicht auf die leichteSchulter genommen werden darf. Da Kriminelle und bösartige Social Engi-neers in dieser Welt offenbar immer schlimmer werden, werden auch dieAngriffe auf Unternehmen und das persönliche Leben scheinbar immerheftiger. Natürlich will jeder sich schützen, das ist schon den Verkaufszah-len für Software und Geräte zum persönlichen Schutz zu entnehmen.Obwohl all diese Vorkehrungen wichtig sind, besteht der beste Schutz imWissen, dass »Sicherheit durch Aufklärung« erfolgt. Um die Auswirkungendieser Angriffe einzugrenzen, muss man einzig und allein wissen, dass sieexistieren, wie sie ausgeführt werden und verstehen, nach welchen gedank-lichen Prozessen jene Menschen arbeiten, die solche Dinge ausführen, undwelche Mentalität sie haben.
Wenn Sie über solche Kenntnisse verfügen und verstehen, wie bösartigeHacker denken, geht Ihnen ein Licht auf. Dieses sprichwörtliche Lichterhellt die bisher abgedunkelten Ecken und ermöglicht Ihnen, die dort lau-ernden Bösewichte zu erkennen. Wenn Sie vorab sehen können, auf welche
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.1Warum dieses Buch so wertvoll ist
Weise diese Angriffe erfolgen, können Sie Ihre eigenen täglichen Angele-genheiten und die Ihrer Firma darauf einstellen.
Natürlich widerspreche ich hier nicht dem, was ich bereits gesagt habe: Ichbin der festen Überzeugung, dass man nie hundertprozentig sicher seinkann. Sogar höchst geheime und bestens bewachte Geheimnisse könnenauf einfachste Weise gehackt werden – das ist alles schon passiert!
Schauen Sie sich die Story unter www.social-engineer.org/resources/book/TopSecretStolen.htm an, die aus einer Zeitung aus dem kanadischenOttawa stammt. Diese Geschichte ist deswegen so interessant, weil einigeDokumente in den falschen Händen gelandet sind. Dabei handelte es sichnicht um nebensächliche Unterlagen, sondern als Top Secret eingestufteVerteidigungsdokumente, in denen solche Dinge wie die Standorte vonSicherheitszäunen an der Canadian Forces Base (CFB) in Trenton, dem Lage-plan der militärischen Canadian Joint Incident Response Unit usw. aufge-führt waren. Wie konnte eine derartige Sicherheitslücke entstehen? DiePläne wurden in Papierkorb geworfen, und jemand hat sie im Müllcontainergefunden. Ein einfacher »Dumpster Dive« (Mülltonne durchwühlen) hättezu einer der schlimmsten Sicherheitslücken des Landes führen können.
Einfache und doch tödliche Angriffe werden täglich gestartet und machensich folgende Tatsachen zunutze: Viele wissen über mögliche Bedrohungeneinfach nicht Bescheid. Sie müssen sich bei den Passwortrichtlinien andersverhalten und auch bei der Art und Weise, wie sie mit dem Remote-Zugriffauf Server umgehen. Sie müssen sich im Umgang mit Bewerbungsgesprä-chen und Liefervorgängen anders verhalten und auch mit solchen Ange-stellten, die neu eingestellt oder gerade entlassen wurden. Doch ohne guteAufklärung ist man einfach nicht motiviert genug, diesbezüglich das eigeneVerhalten zu ändern.
Das Computer Security Institute führte 2003 gemeinsam mit dem FBI eineUntersuchung durch, die ergab, dass 77 % aller befragten Unternehmeneinen verärgerten Mitarbeiter als Quelle einer großen Sicherheitslückeangaben. Vontu (http://go.symantec.com/vontu/), die bei Symantec fürdie Verhinderung von Datenverlusten zuständige Abteilung, sagt, dass ineiner von 500 E-Mails vertrauliche Daten enthalten sind. Besonders hervor-zuheben sind aus diesem Bericht folgende Punkte (zitiert entsprechendnach http://financialservices.house.gov/media/pdf/062403ja.pdf):
� 62 % der befragten Mitarbeiter und Manager berichten, dass es in derFirma Vorfälle gegeben habe, bei denen Kundendaten so gefährdet wa-ren, dass sie für Identitätsdiebstahl hätten eingesetzt werden können.
23© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
24
� 66 % geben an, dass ihre Kollegen und nicht Hacker für die Privatsphä-re der Kunden das größte Risiko darstellen. Nur 10 % sagen, dass Ha-cker die größte Bedrohung seien.
� 46 % sagen, dass es für Mitarbeiter »leicht« bis »extrem leicht« sei, sen-sible Daten aus den Firmendatenbanken zu entfernen.
� 32 % (also einer von drei) sind keine internen Firmenrichtlinien be-kannt, wie Kundendaten geschützt werden sollen.
Diese Statistiken wirken wie ein Schlag vor den Kopf.
In späteren Kapiteln führen wir diese statistischen Angaben detaillierteraus. Die Zahlen verweisen auf einen schwerwiegenden Mangel in der Artund Weise, wie mit der Sicherheit selbst umgegangen wird. Wenn die Leuteaufgeklärt werden, hoffentlich bevor eine Sicherheitslücke auftaucht, dannkönnen sie ihr Verhalten ändern, um Verluste, Ärger und finanzielle Schä-den zu vermeiden.
Sunzi sagt: »Wenn du den Feind und dich selbst kennst, brauchst du denAusgang von Hundert Schlachten nicht zu fürchten.« Wie wahr diese Wortesind, aber Wissen ist nur die halbe Schlacht. Weisheit wird dadurch defi-niert, dass sich nicht mit reinem Wissen zufriedengibt, sondern dies in ent-sprechendes Verhalten umsetzt.
Dieses Buch ist am wirksamsten, wenn es als Handbuch oder Leitfadendurch die Welt der sozialen Angriffe, die soziale Manipulation und dasSocial Engineering genutzt wird.
1.1.2 Was zu erwarten ist
Dieses Buch deckt alle Aspekte, Tools und Skills ab, die von professionellenund bösartigen Social Engineers eingesetzt werden. Jedes Kapitel beschäf-tigt sich eingehend mit der Kunst und Wissenschaft einer speziellen Fähig-keit (Skill) der Social Engineers, um Ihnen zu zeigen, wie sie eingesetzt,erweitert und perfektioniert wird.
Der nächste Abschnitt dieses Kapitels, »Social Engineering im Überblick«,definiert das Social Engineering und welche Rolle es in der heutigen Gesell-schaft spielt. Außerdem werden die verschiedenen Arten eines Social Engi-neering-Angriffs vorgestellt und dazu andere Lebensbereiche, wo SocialEngineering auf nicht bösartige Weise eingesetzt wird. Ich werde aucherläutern, wie ein Social Engineer das Social Engineering-Framework nutzt,um ein Audit (Prüfung) zu planen oder seine eigenen Fähigkeiten zu erwei-tern.
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.1Warum dieses Buch so wertvoll ist
In Kapitel 2 geht’s dann ans Eingemachte. Die Erfassung und Sammlungvon Informationen ist die Grundlage eines jeden Social Engineering-Audits.Das Credo der Social Engineers lautet: »Ich bin nur so gut wie die Informa-tion, die ich mir beschaffen kann.« Ein Social Engineer mag alle Skills derWelt besitzen, aber wenn er über sein Ziel nicht Bescheid weiß, wenn ernicht jedes einzelne intime Detail erfasst hat, dann wird sein Vorhabenhöchstwahrscheinlich misslingen. Die Informationssammlung ist die Cruxdes gesamten Social Engineering überhaupt, obwohl ein geschickterUmgang mit Menschen und eine schnelle Reaktionsfähigkeit einem natür-lich helfen, aus gefährlichen Situationen herauszukommen. Oftmals gilt: Jemehr Informationen Sie sammeln, desto größer sind Ihre Chancen aufErfolg.
Die Fragen, die ich in diesem Kapitel beantworte, sind wie folgt:
� Welche Quellen kann ein Social Engineer nutzen?
� Welche Informationen sind nützlich?
� Wie kann ein Social Engineer diese Informationen erfassen, sammelnund organisieren?
� Wie technisch sollte ein Social Engineer werden?
� Wie viel Information reicht aus?
Nach der Analyse der Informationsbeschaffung kümmern wir uns in Kapi-tel 2 um das Thema Kommunikationsmodellierung. Dies ist eng mit derInformationssammlung verknüpft. Zuerst wird diskutiert, was Kommuni-kationsmodellierung ist und welche Wurzeln in der Praxis sie hat. Danngehen wir in diesem Kapitel die Schritte durch, die zur Entwicklung undzum Einsatz eines passenden Kommunikationsmodells erforderlich sind.Darin wird umrissen, wie ein Social Engineer dieses Modell gegen ein Zielanwendet, und welche Vorteile sich daraus ergeben, es für jeden Auftraganzuwenden.
In Kapitel 3 geht es ums Herauslocken von Informationen (Elicitation), demnächsten logischen Schritt im Framework. Es befasst sich sehr eingehenddamit, wie man Fragen stellt, um an Informationen und Passwörter zugelangen, und an weiteres Wissen über das Ziel und dessen Firma zu kom-men. Sie erfahren, wie man anderen gut und angemessen Informationenabluchst und wie wichtig dabei ein gut geplantes Vorgehen ist.
In diesem Kapitel erfahren Sie außerdem das wichtige Thema, wie man dieZielperson sozusagen mit Informationen »befüllt«, damit Ihre Fragenbereitwilliger akzeptiert werden. Wenn Sie sich in diesen Abschnitt einar-beiten, erkennen Sie eindeutig, wie wichtig es ist, ein hervorragender Frage-
25© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
26
steller zu werden. Diese Fähigkeit wird Ihnen nicht nur in IhrerSicherheitspraxis behilflich sein, sondern auch in Ihrem persönlichen All-tagsleben.
Kapitel 4 beschäftigt sich mit einem besonders wirkungsvollen Thema – esgeht um das sogenannte Pretexting (etwa: unter einem Vorwand Informatio-nen erschleichen). Dieses gravierende Thema ist einer der zentralen Punktefür viele Social Engineers. Zum Pretexting gehört, jene Rolle zu entwickeln,die der Social Engineer für seinen Angriff auf die Firma spielen wird. Wirdder Social Engineer ein Kunde, Lieferant, Kundendiensttechniker, neuerMitarbeiter sein oder eine ähnlich realistische und glaubwürdige Rolle spie-len? Zum Pretexting gehört nicht nur ein Handlungsablauf, sondern manmuss sich auch intensive Gedanken darüber machen, wie die Person aus-sieht, handelt, spricht oder sich bewegt. Welche Tools oder Kenntnisse sollsie haben? Dieses Bündel an Verhaltensweisen und Informationen mussman sich wirklich zutiefst aneignen, denn wenn man sich seiner Zielpersonnähert, muss man diese Person sein und darf nicht einfach eine Rolle spie-len. Hier werden folgende Fragen beantwortet:
� Was ist Pretexting?
� Wie entwickelt man einen Pretext (Vorwand)?� Welchen Prinzipien folgt ein erfolgreicher Pretext?
� Wie kann ein Social Engineer den perfekten Pretext planen und dannausführen?
Der nächste Schritt im Framework ist einer, der ganze Bücher füllen kann.Doch er muss vom Standpunkt eines Social Engineers diskutiert werden. InKapitel 5 werden einige sehr konfrontative Themen schonungslos disku-tiert, darunter das der autonomen Augenbewegungen. Was sagen die verschie-denen Profis zum Thema Augenbewegungen und wie kann ein SocialEngineer diese Informationen nutzen? Das Kapitel führt auch in die faszi-nierende Wissenschaft der Mikroexpressionen und seine Implikationen aufdas Social Engineering ein.
Kapitel 5 greift die Analyse der Recherchen weiter auf und liefert Antwortenauf diese Fragen:
� Ist es möglich, im Bereich der Sicherheit mit Mikroexpressionen zu ar-beiten?
� Wie könnte man das anstellen?� Welche Vorteile liefern Mikroexpressionen?
� Kann man sich selbst beibringen, diese Mikroexpressionen automatischwahrzunehmen und einzusetzen?
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.1Warum dieses Buch so wertvoll ist
� Welche Informationen liefern Mikroexpressionen, wenn man sich die-sen Bereich angeeignet hat?
Wahrscheinlich ist das Neurolinguistische Programmieren (NLP) eines deram heißesten diskutierten Themen aus Kapitel 5. Dieser Bereich ist für vieleweiterhin unklar, worum es bei NLP geht und wofür man es einsetzenkann. Kapitel 5 präsentiert eine kurze Geschichte von NLP und zeigt auf,warum NLP derartig kontrovers ist. Sie können selbst entscheiden, ob NLPbeim Social Engineering einsetzbar ist.
Kapitel 5 diskutiert außerdem einen der wichtigsten Aspekte des SocialEngineering, der persönlich oder am Telefon umgesetzt wird: wie man guteFragen stellt, die Antworten aufnimmt und dann weiter fragt. Vernehmun-gen und Befragungen sind zwei Methoden, die schon seit vielen Jahren vonpolizeilichen Ermittlern eingesetzt werden, um Kriminelle zu Geständnis-sen zu bewegen, und auch, um sogar die kniffligsten Fälle zu lösen. DieserTeil von Kapitel 5 setzt das in Kapitel 3 angeeignete Wissen praktisch um.
Außerdem erläutert Kapitel 5, wie man sofortigen Rapport aufbaut, alsoeinen Zustand der verbalen und nonverbalen starken Bezogenheit herstellt.Diese Fähigkeit können Sie auch im Alltag einsetzen. Das Kapitel endet miteiner Darstellung meiner eigenen persönlichen Recherchen über den»menschlichen Pufferüberlauf« (human buffer overflow): die Auffassung,dass der menschliche Geist sehr der Software ähnelt, die von Hackern jedenTag ausgenutzt wird. Indem er bestimmte Prinzipien anwendet, kann eingeschickter Social Engineer den menschlichen Geist überfluten und jedenbeliebigen Befehl injizieren.
So wie Hacker Overflows schreiben, um Software derart zu manipulieren,dass ein bestimmter Code ausgeführt wird, kann der menschliche Geistanhand bestimmter Instruktionen im Prinzip auch einen »Überlauf« erfah-ren, und dann können spezielle Anweisungen eingefügt werden. Kapitel 5ist eine umwerfende Lektion darüber, wie man mit einfachen Techniken dasDenken anderer meistert.
Viele Leute haben ihr Leben lang recherchiert, erforscht und bewiesen, wasandere beeinflusst. Beeinflussung ist ein mächtiges Instrument mit vielenFacetten. Zu diesem Zweck werden in Kapitel 6 die Grundlagen der Überre-dungskunst ausgeführt. Mit den in Kapitel 6 eingeführten Prinzipien wer-den Sie zu einem Meister der Überredungskunst.
Das Kapitel präsentiert eine kurze Ausführung über die verschiedenenArten der Überredung und bietet Beispiele, wie Sie diese Facetten beimSocial Engineering grundiert und wirkungsvoll einsetzen.
27© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
28
Doch die Ausführungen sind hier noch nicht zu Ende: Framing (etwa:jemanden durch gezielte Änderung der Perspektive hereinlegen) ist eben-falls heutzutage ein ganz heißes Eisen. Über den Einsatz von Framing gibtes viele verschiedene Ansichten, und in diesem Buch werden einige realeBeispiele gezeigt. Indem wir jedes einzelne Beispiel auseinandernehmen,gehen wir die gelernten Lektionen durch und zeigen auf, wie Sie einübenkönnen, bei sich selbst für ein Reframing zu sorgen und Framing als SocialEngineer auch im alltäglichen Umgang einzusetzen.
Ein umfassendes Thema beim Social Engineering ist Manipulation:
� Was ist der Zweck von Manipulationen?� Welche Anreize treiben Manipulatoren an?� Wie kann man Manipulationen beim Social Engineering einsetzen?
Kapitel 6 präsentiert, was ein Social Engineer über das Thema Manipulationwissen muss und wie man diese Fähigkeiten erfolgreich anwendet.
Kapitel 7 stellt die Tools vor, mit denen Social Engineering-Audits erfolgrei-cher werden. Von Geräten wie versteckten Kameras bis zu Software-Toolszur Informationsbeschaffung deckt jeder Abschnitt dieses Kapitels dieerprobten und bewährten Tools des Social Engineer ab.
Nachdem Sie das Framework fürs Social Engineering verstanden haben,werden in Kapitel 8 einige Fallstudien aus dem realen Leben erörtert. Ichhabe mich für zwei ausgezeichnete Berichte des weltweit bekannten SocialEngineers Kevin Mitnick entschieden. Ich analysiere diese Beispiele undmache dann Vorschläge, was Sie daraus lernen können und wie Sie jeneMethoden aus dem Social Engineering-Framework identifizieren, mitdenen er arbeitet. Außerdem erläutere ich, was aus seinen Angriffsvektorengelernt werden kann und wie man sie heutzutage einsetzt. Schließlichbringe ich auch einige persönliche Berichte ins Spiel und analysiere sieebenfalls.
Welcher Leitfaden für Social Engineering wäre vollständig ohne ein paarAusführungen darüber, wie man diese Art der Angriffe abschwächen undderen Auswirkungen mildern kann? Im Anhang finden Sie Infos darüber.Ich beantworte einige übliche Fragen zu diesem Thema und gebe prakti-sche Tipps, mit denen Sie sich und Ihre Organisation gegen diese Formbösartiger Angriffe sichern können.
Die vorangegangene Übersicht ist nur ein Vorgeschmack dessen, was Sieerwarten dürfen. Ich hoffe wirklich sehr, dass Sie so viel Freude an der Lek-türe dieses Buches haben, wie ich beim Schreiben. Social Engineering istmeine Leidenschaft. Ich bin überzeugt davon, dass es bestimmte Merkmale
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.2Social Engineering im Überblick
und Eigenschaften gibt, mögen sie erlernt oder angeboren sein, durch dieeiner zum hervorragenden Social Engineer wird. Ich kann auch die Über-zeugung unterschreiben, dass mit ausreichend Zeit und Energie jeder dieverschiedenen Aspekte des Social Engineering lernen und diese Skills dannpraktizieren kann, um ein kompetenter Social Engineer zu werden.
Die Prinzipien in diesem Buch sind nicht neu. Sie werden hier keine atem-beraubende Technologie vorfinden, die das Antlitz der Sicherheit für immerverändern wird. Es gibt keine magische Pille. Tatsächlich gibt es diese Prin-zipien schon, solange es Menschen gibt. Was dieses Buch aber tatsächlicheinzigartig macht: Es kombiniert all diese Fähigkeiten und Fertigkeiten aneiner Stelle. Hier bekommen Sie klare Anleitungen, wie man diese Skillspraktiziert, und auch jeweils Beispiele aus dem realen Leben dazu. Allediese Informationen helfen Ihnen dabei, ein fundiertes Verständnis allerangesprochenen Themen zu erlangen.
Am besten fangen wir hier nun mit den Grundlagen an, indem wir uns einefundamentale Frage stellen: »Was ist Social Engineering?«
1.2 Social Engineering im ÜberblickWas ist Social Engineering?
Diese Frage stellte ich einmal einer Gruppe von Sicherheitsfanatikern undwar erschrocken über deren Antworten:
»Beim Social Engineering belügt man andere, um Informationen zubekommen.«
»Mit Social Engineering ist gemeint, dass man ein guter Schauspieler ist.«
»Social Engineering bedeutet, dass man weiß, wie man gratis an allemöglichen Sachen kommt.«
Wikipedia definiert Social Engineering als »den Akt, Menschen zur Ausfüh-rung bestimmter Aktionen oder zur Preisgabe vertraulicher Informationenzu manipulieren. Das ist zwar ähnlich wie ein Trickbetrug oder einfacherBetrug, doch dieser Begriff wird üblicherweise auf eine Gaunerei oder Täu-schung zum Zwecke der Informationsbeschaffung, des Betrugs oder desZugriffs auf Computersysteme verwendet. In den meisten Fällen begegnetder Angreifer seinem Opfer nicht persönlich.«
Obwohl Social Engineering durch die Unmengen von Websites mit »Pizza gra-tis«, »Kaffee kostenlos« oder »Wie man Girls abschleppt« in Verruf geraten ist,berühren dessen verschiedene Aspekte viele Bereiche des Alltagslebens.
29© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
30
Webster’s Dictionary definiert social als »auf das Leben, Wohlergehen unddie Beziehung von Menschen in einer Gemeinschaft bezogen«. Engineering(wörtlich: Ingenieurswesen) wird dort definiert als »die Kunst oder Wissen-schaft, die Kenntnisse aus reinen Wissenschaften wie Physik oder Chemiepraktisch anzuwenden, z.B. in der Konstruktion von Motoren, Brücken,Gebäuden, Minen, Schiffen und Chemiefabriken bzw. geschickte oderkunstvolle Erfindung; kluges Taktieren.«
Wenn man diese beiden Definitionen kombiniert, sieht man schnell, dasses beim Social Engineering um die Kunst oder besser noch Wissenschaftgeht, wie man Menschen hinsichtlich bestimmter Aspekte ihres Lebensgeschickt und umsichtig in Aktion bringt.
Diese Definition erweitert den Horizont von Social Engineers überall. SocialEngineering wird im alltäglichen Leben dabei eingesetzt, wie Kinder ihreEltern dazu bringen, das zu tun, was sie wollen. So gehen Lehrer mit ihrenSchülern um, und wir finden es auch in der Art, wie Ärzte, Rechtsanwälteoder Psychologen ihren Patienten oder Klienten Informationen entlocken.Es wird definitiv bei der Strafverfolgung verwendet und kommt auch gar beiromantischen Treffen zum Einsatz – wir finden es also tatsächlich in jegli-cher menschlicher Interaktion: von Babys bis zu Politikern und auch allenZwischenstufen.
Ich treibe diese Definition gerne noch einen Schritt weiter voran und sage,dass mit der echten Definition des Social Engineering der Akt der Manipu-lation einer Person gemeint ist, eine Handlung auszuführen, die vielleichtim besten Interesse der »Zielperson« liegt – oder auch nicht. Damit kanndie Erlangung von Informationen gemeint sein oder auch der Zugang inbestimmte (gesperrte) Bereiche oder dass man die Zielperson dazu bewegt,eine bestimmte Aktion auszuführen.
Ärzte, Psychologen und Therapeuten nutzen beispielsweise oft Elemente,die ich als Social Engineering betrachte, um ihre Patienten zu bestimmtenHandlungen zu »manipulieren«, die gut für sie sind. Trickbetrüger hinge-gen nutzen Elemente des Social Engineering, um ihre Zielpersonen zuAktivitäten zu bringen, die zu einem Verlust führen. Obwohl es letztenEndes auf etwas völlig anderes hinauslaufen kann, ist das Vorgehen bei bei-dem doch sehr ähnlich. Ein Psychologe arbeitet beispielsweise mit einerReihe gut ausgeklügelter Fragen, um einen Patienten zu der Schlussfolge-rung zu bringen, dass eine Veränderung ansteht. Entsprechend wird einTrickbetrüger wohlformulierte Fragen nutzen, um sein Ziel in eine angreif-bare Position zu bringen.
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.2Social Engineering im Überblick
Beide gehen als Beispiele für Social Engineering in seiner reinsten Formdurch, aber Ziele und Resultate sind sehr unterschiedliche. Beim SocialEngineering geht es nicht einfach nur um das Beschwindeln von anderen,um Lügen oder darum, eine Rolle zu spielen. In einem Gespräch mit ChrisNickerson, einem bekannten Social Engineer aus der TV-Serie Tiger Team,sagte er mir: »Beim echten Social Engineering glaubt man nicht einfachnur, eine Rolle zu spielen, sondern für diesen Moment ist man diese Person,man ist diese Rolle – das ist dann wie das eigene Leben.«
Social Engineering ist nicht nur eine einzelne Aktion, sondern eine Samm-lung all der Fähigkeiten und Fertigkeiten, die im Framework erwähnt wer-den, die zusammengenommen dann die Aktion, den Skill und dieWissenschaft ausmachen, die ich als Social Engineering bezeichne. Ähnlichwie eine wundervolle Mahlzeit nicht nur aus einer Zutat besteht, sondernsich aus der sorgfältig abgewogenen Kombination, Mischung und Ergän-zung vieler Zutaten zusammensetzt. So stelle ich mir vor, sollte Social Engi-neering sein, und ein guter Social Engineer ist hier dann der Chefkoch.Einen Klacks Infos herauslocken, ein wenig Manipulation hineinrührenund einige gute Handvoll Pretexting – und zack! haben Sie eine hervorra-gende und perfekte Social Engineering-Mahlzeit.
Natürlich diskutiert dieses Buch einige dieser Facetten, aber der Schwer-punkt liegt hauptsächlich darin, was Sie von den Gesetzeshütern, den Politi-kern, den Psychologen und sogar Kindern lernen können, um IhreFähigkeiten bei Audits zu verbessern und sich dann auch entsprechend bes-ser selbst abzusichern. Zu analysieren, wie ein Kind seine Eltern manipu-liert, kann einem als Social Engineer hervorragende Erkenntnisse darüberliefern, wie der menschliche Geist funktioniert. Wenn man darauf achtet,wie ein Psychologe seine Fragen formuliert, stellt man fest, wie es ihmgelingt, dass sich Menschen bei ihm entspannen und beruhigen. Wennman durchschaut, wie ein polizeilicher Ermittler eine erfolgreiche Befra-gung durchführt, bekommt man eine klare Vorstellung davon, wie mandem Befragten bestimmte Informationen entlockt. Achtet man darauf, wieRegierungen und Politiker ihre Aussagen für optimale Wirkung formulie-ren, erkennt man, was funktioniert und was nicht. Wenn man analysiert,wie sich ein Schauspieler eine Rolle aneignet, öffnet einem das die Augenfür die erstaunliche Welt des Pretexting. Durch die Analyse der Forschun-gen und Arbeiten führender Autoritäten zum Thema Mikroexpressionenund Überredungskunst erfährt man, wie diese Techniken beim Social Engi-neering eingesetzt werden können. Wenn man einige der Motivatorenuntersucht, die von den besten Verkaufs- und Überredungsexperten der
31© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
32
Welt eingesetzt werden, lernt man, wie Rapport hergestellt wird, wie manandere beruhigt und einlullt und dann seine Schäfchen ins Trockene holt,also den Deal abschließt.
Wenn man dann die andere Seite dieser Medaille, also die Trickbetrüger, dieBetrugskünstler und Diebe untersucht und analysiert, lernt man, wie allediese Fähigkeiten zusammenfließen, um andere zu beeinflussen und sie ineine Richtung zu bringen, von der sie nie gedacht hätten, dass sie sie ein-schlagen würden.
Kombinieren Sie dieses Wissen mit dem Geschick von Schlossknackern, Spi-onen, die mit versteckten Kameras arbeiten, und professionellen Informati-onssammlern, und vor Ihnen steht ein Social Engineer mit echtem Talent.
Sie brauchen weder jede einzelne der angesprochenen Fähigkeiten beijedem Auftrag noch können Sie jede dieser Skills wirklich alle meistern.Wenn man hingegen versteht, wie diese Skills funktionieren und wann mansie einsetzen sollte, dann kann man die Wissenschaft des Social Enginee-ring meistern. Es stimmt, dass manche wie Kevin Mitnick ein natürlichesTalent dafür haben: Er konnte scheinbar jeden zu allem überreden. FrankAbagnale Jr. schien ein naturgegebenes Talent dafür zu besitzen, anderenach Belieben glauben zu machen, wer er ist. Victor Lustig hat das Unglaub-liche geschafft und tatsächlich einige Menschen davon überzeugt, das Rechtzu haben, den Eiffelturm verkaufen zu dürfen. Dieser Schwindel wurde nurvon seinem Schwindel bei Al Capone getoppt.
Diese Social Engineers und viele, die ihnen ähnlich sind, haben scheinbarein natürliches Talent oder ihnen fehlt die Angst, und so wagen sie sich anDinge, die die meisten von uns niemals in Erwägung ziehen würden. Lei-der verbessern in unserer heutigen Welt die bösartigen Hacker andauerndihre Skills, um andere Menschen zu manipulieren, und arglistige SocialEngineering-Angriffe nehmen immer mehr zu. DarkReading hat einenArtikel veröffentlicht (www.darkreading.com/database_security/secu-rity/attacks/showArticle.jhtml?articleID=226200272), in dem fest-gestellt wird, dass Sicherheitseinbrüche zwischen einer und 53 MillionenDollar pro Einbruch kosten. DarkReading zitiert Recherchen des Pone-mon Institute und stellt fest: »Ponemon fand heraus, dass Angriffe ausdem Internet, bösartiger Code und heimtückische Insider die kostspieligs-ten Angriffsarten sind und über 90 % der Kosten bei Cybercrimes proOrganisation und Jahr stellen: Ein webbasierter Angriff kostet 143.209Dollar, bösartiger Code kostet 124.083 Dollar und heimtückische Insider100.300 Dollar.« Dass heimtückische Insider es aufs Treppchen geschaffthaben, legt nahe, dass Unternehmen sich mehr über die Gefahren klar
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.2Social Engineering im Überblick
sein müssen, die ihnen von bösartigem Social Engineering drohen – sogarvon eigenen Angestellten.
Viele dieser Angriffe hätten vermieden werden können, wenn die Men-schen ausgebildet gewesen wären, denn dann hätten sie sich diesem Wis-sen gemäß verhalten können. Manchmal fällt es einem bereits wieSchuppen von den Augen, wenn man herausfindet, wie böse Buben denkenund handeln.
Ein Beispiel aus einem viel kleineren und persönlicheren Rahmen: Ich habeletztens einmal mit einer engen Freundin deren finanzielle Situation disku-tiert und dass sie sich Sorgen machte, betrogen zu werden oder einemHacker zum Opfer zu fallen. Im Verlauf des Gesprächs ging es auch darum,wie einfach es ist, Passwörter anderer Leute zu »raten«. Ich erzählte ihr,dass oft immer das gleiche Passwort für jedes Konto genommen wird, undsah, wie sie bleich wurde, als ihr klar wurde, dass sie das ja auch macht. Ichsagte ihr, dass die meisten Leute ganz einfache Passwörter nehmen, indenen der Name ihres Ehepartners vorkommt, der eigene Geburtstag oderHochzeitstag. Ich sah, wie noch mehr Blut aus ihren Wangen wich. Ich fuhrdamit fort, dass meist ganz, ganz einfache »Sicherheitsfragen« wie »IhrGeburtsname oder der Ihrer Mutter« genommen werden und wie leichtman solche Infos über das Internet oder ein paar geschwindelte Anrufe her-ausbekommt.
Viele Leute geben solche Informationen in ihren Konten bei Blippy, Twitteroder Facebook an. Diese Freundin nutzte soziale Medien nun nicht sonder-lich intensiv, also fragte ich sie, ob sie der Meinung sei, dass sie solcheInformationen möglicherweise bei einigen Telefonaten angeben würde.Natürlich verneinte sie dies. Um zu verdeutlichen, wie bereitwillig anderepersönliche Informationen weitergeben, erzählte ich ihr, dass ich mal ineinem Restaurant ein Platzdeckchen gesehen hatte, auf dem ein 50-prozen-tiger Rabatt bei einem Golfplatz angeboten wurde – ein sehr attraktivesAngebot. Um dieses Angebot nutzen zu können, musste man nur seinenNamen, das Geburtsdatum und die Postadresse angeben und ein Passwortfür ein Konto, das dann eingerichtet und an die angegebene E-Mail-Adressegeschickt wird. (Mir war das überhaupt nur deswegen aufgefallen, weiljemand einen solchen Coupon unfertig ausgefüllt auf dem Tisch liegenge-lassen hatte.) Täglich werden Websites erstellt, um solche sensiblen Infor-mationen abzugreifen.
Ein Telefonat unter dem Vorwand einer Umfrage oder eine schnelle Recher-che im Netz kann ein Geburtsdatum oder einen Hochzeitstag ergeben, undgewappnet mit diesen Informationen erstelle ich mir eine Passwortliste für
33© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
34
einen Angriff. Außerdem bietet etwa ein Dutzend Sites detaillierte Auf-zeichnungen aller möglichen persönlichen Informationen über Personenan, und man bezahlt dafür gerade mal zwischen 9 und 30 US-Dollar.
Wenn man weiß, wie bösartige Social Engineers denken, wie Trickbetrügerauf Informationen reagieren und wie Schwindler alles Mögliche versuchen,wird einem bewusster, was um einen herum passiert.
Mit einem Team von Sicherheitsenthusiasten habe ich das Internet durch-forstet und Stories gesammelt, die viele unterschiedliche Aspekte des SocialEngineering zeigen. Diese Storys helfen dabei, eine zentrale Frage zu beant-worten: »Wie wurde Social Engineering in der Gesellschaft im Laufe derZeit eingesetzt?«. Außerdem erkennen wir, wo Social Engineering einzu-ordnen ist und wie es auf bösartige Weise eingesetzt wird.
1.2.1 Social Engineering und sein Platz in der Gesellschaft
Wie bereits angesprochen, trifft man in vielen Lebensbereichen auf Social Engi-neering, aber nicht überall ist es bösartig gemeint oder dient schlimmen Zwe-cken. Oftmals wird Social Engineering dafür eingesetzt, jemanden zumotivieren, eine Aktion auszuführen, die gut für ihn ist. Doch wie läuft das ab?
Denken Sie mal an Folgendes: John muss abnehmen. Er weiß, dass es umseine Gesundheit nicht gut bestellt ist und er etwas unternehmen muss.Johns Freunde sind ebenfalls übergewichtig. Sie machen sogar Witze darü-ber, zu dick zu sein, und sagen solche Sachen wie »Ich finde es toll, dass ichmir keine Gedanken über meine Figur machen brauche«. Einerseits ist diesein Aspekt des Social Engineering. Es ist ein Social Proof (man verhält sichlieber so, wie man annimmt, dass die eigene Umgebung es gut findet) oderKonsens, bei dem das, was man als akzeptabel erachtet, vom eigenenUmkreis bestimmt wird. Weil Johns enger Umkreis Übergewicht für ver-tretbar hält, ist es für John einfacher, das ebenfalls zu akzeptieren. Dochwenn einer dieser Freunde abnehmen würde und dabei nicht in Urteile ver-fällt, was besser oder schlechter ist, sondern zur Hilfe motiviert würde,dann existiert die Möglichkeit, dass Johns Einschätzung übers Gewicht sichändern könnte, und vielleicht bekommt er auch den Eindruck, dass Abneh-men gut und möglich ist.
Das ist die Essenz des Social Engineering. So erkennen Sie klar und deut-lich, wie Social Engineering in die Gesellschaft und das Alltagsleben passt.Die folgenden Abschnitte präsentieren ein paar Beispiele für Social Engi-neering, Betrugsmaschen (Scams) und Manipulationen und eine Analyse,wie sie funktionieren.
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.2Social Engineering im Überblick
Der 419 Scam
Der 419 Scam, besser bekannt unter dem Namen Nigeria-Scam, hat sich zueiner Epidemie ausgewachsen. Sie finden darüber einen Artikel im Archivunter www.social-engineer.org/wiki/archives/ConMen/ConMen-Scam-NigerianFee.html (oder unter http://de.wikipedia.org/wiki/Vorschuss-betrug#Nigeria-Scam).
Im Prinzip wird eine E-Mail (oder bis vor kurzem noch ein Brief) versendet,in der die Zielperson informiert wird, sie sei für ein sehr lukratives Geschäftauserwählt worden und brauche dafür nur ein wenig Unterstützung zu leis-ten. Wenn das Opfer dabei behilflich ist, dem Absender des Briefes einegroße Summe aus einem ausländischen Bankkonto zu entnehmen, dannstellt dieser einen Anteil dieser Summe für die Zielperson in Aussicht.Nachdem die Zielperson eingewilligt hat und »sich registriert«, entstehtunerwartet ein Problem, durch das eine Gebühr fällig wird. Nachdem dieseGebühr von der Zielperson beglichen wurde, erscheint ein neues Problem,auch dieses wieder gebührenpflichtig. Jedes Problem ist »das letzte« undnur noch »eine abschließende Gebühr« ist nötig, aber das kann sich übermehrere Monate hinziehen. Das Opfer kriegt niemals irgendwelches Geldzu sehen und verliert bei diesem Prozess zwischen 10.000 und 50.000 US-Dollar. Was diese Betrugsmasche so erstaunlich macht, ist, dass in der Ver-gangenheit von offiziellen Dokumenten, Unterlagen, Briefköpfen undsogar persönlichen Treffen berichtet wurde.
Kürzlich ist auch eine Variante dieses Scams aufgetaucht, bei der die Opfer tat-sächlich einen echten Scheck zugesandt bekommen haben. Die Betrüger ver-sprechen eine große Geldsumme und erwarten im Gegenzug für ihre Mühennur einen kleinen Anteil. Wenn die Zielperson die Anweisung einer (ver-gleichsweise) geringen Summe von 10.000 Dollar veranlasst, dürfen sie dieDifferenz behalten, wenn der versprochene Scheck eintrifft und eingelöst wird.Das Problem ist, dass der übersandte Scheck betrügerisch ist, also ungedecktist, und wenn das Opfer ihn einlösen will, dann bekommt es noch Strafen undGebühren für diesen Betrug aufgedrückt – in manchen Fällen, nachdem dasOpfer sein Geld bereits an die Trickbetrüger überwiesen hat.
Dieser Scam ist so erfolgreich, weil er mit der Gier der Opfer spielt. Werwürde nicht 10.000 Dollar einsetzen, um 1 Million Dollar oder auch nur100.000 Dollar zu verdienen? Die meisten schlauen Leute wären dazubereit. Wenn diese Leuten es mit offiziellen Dokumenten, Ausweisen, Emp-fangsbestätigungen und sogar richtigen Büros mit »behördlichem Perso-nal« zu tun bekommen, dann schlucken sie den Köder und legen sichrichtig ins Zeug, um diesen Deal abzuschließen. Bei dieser Betrugsmasche
35© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
36
spielen großes Engagement und Konsistenz eine ebenso große Rolle wie dieVerbindlichkeit. Ich diskutiere diese Attribute in den späteren Kapiteln ein-gehender, und wenn wir dieses Thema wieder aufgreifen, dann werden Sieverstehen, warum dieser Scam so erfolgreich ist.
Die Macht des Mangels
Der unter www.social-engineer.org/wiki/archives/Governments/Govern-ments-FoodElectionWeapon.html abgelegte Artikel greift das sogenanntePrinzip des Mangels auf.
Mit Mangel oder Knappheit ist hier gemeint, dass man darauf hinweist,etwas, das andere brauchen oder gerne haben würden, sei nur begrenzt ver-fügbar, und um das zu bekommen, muss man eine gewisse Einstellunghaben oder eine bestimmte Aktion durchführen. Sehr oft wird daserwünschte Verhalten nicht einmal angesprochen, sondern so vermittelt,dass gezeigt wird, wie jemand belohnt wird, der sich »korrekt« verhält.
In dem Artikel geht es um die Verwendung von Lebensmitteln, um in Süd-afrika Wahlen zu gewinnen. Wenn eine Gruppe oder Person nicht den»richtigen« Anführer unterstützt, werden die Lebensmittel knapp, und Jobswerden den Leuten wieder weggenommen und jenen zugeteilt, die dieSache der Mächtigen mehr unterstützen. Wenn die Leute ein solches Ver-halten beobachten, dauert es nicht lange, bis sie »auf Spur« gebracht wer-den. Dies ist eine sehr böswillige und verletzende Form des SocialEngineering, aber nichtsdestotrotz eine Art, von der man lernen kann. Es istoft der Fall, dass die Menschen etwas wollen, das knapp ist, und sie werdenalles daran setzen, es zu bekommen, wenn ihnen glaubhaft vermittelt wird,dass bestimmte Handlungen für sie nachteilig sind bzw. sie durch andereHandlungen mehr vom Gewünschten bekommen. Was bestimmte Fällesogar noch schlimmer macht, ist wie im vorigen Beispiel, dass eine Regie-rung etwas Lebensnotwendiges nimmt, es »verknappt« und so nur fürAnhänger und Befürworter verfügbar macht – eine bösartige, aber sehreffektive Manipulationstaktik.
Der Dalai Lama und das Social Engineering
In einem interessanten Artikel unter www.social-engineer.org/wiki/archives/Spies/Spies-DalaiLama.html wird detailliert ein Angriff aufden Dalai Lama im Jahre 2009 beschrieben.
Eine chinesische Hackergruppe wollte auf die Server und Dateien des Netz-werks zugreifen, das dem Dalai Lama gehörte. Welche Methoden kamen beidiesem erfolgreichen Angriff zum Einsatz?
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.2Social Engineering im Überblick
Die Angreifer überzeugten das Personal im Büro des Dalai Lamas davon,bösartige Software auf ihren Server herunterzuladen und zu öffnen. DieserAngriff ist interessant, weil hier sowohl ein technologischer Hack als auchSocial Engineering zusammentreffen.
Der Artikel stellt fest: »Die Software wurde laut Sicherheitsforscher RossAnderson, Professor für Security Engineering am University of CambridgeComputer Laboratory, an E-Mails angehängt, die vorgeblich von Kollegenoder Kontaktpersonen aus der Pro-Tibet-Bewegung stammen. So steht es inder Montagsausgabe der Washington Times. Die Software stahl Passwörterund andere Informationen, durch die Hacker Zugriff auf das E-Mail-Systemdes Büros und auf Dokumente bekamen, die auf den Computern gespei-chert waren.«
Dabei wurde Manipulation eingesetzt, aber auch solch bekannte Angriffs-vektoren wie Phishing (bei dieser Technik werden E-Mails mit verlockendenNachrichten und Links oder Dateien verschickt, die geöffnet werden sollen,um mehr Informationen zu bekommen; oft führen diese Links oderDateien zu bösartigen Nutzlasten) und Exploits (die Ausbeutung vonbekannten Sicherheitsschwachstellen). Dieser Angriff funktioniert bei gro-ßen Firmen und auch bei Regierungen und wurde dort auch schon erfolg-reich umgesetzt. Dieses Beispiel ist nur eines aus einem großen Pool vonBeispielen, wo besagte Vektoren zu massiven Schäden geführt haben.
Diebstahl durch Angestellte
Mit dem Thema Diebstahl durch Angestellte kann man ganze Bände füllen,vor allem vor dem Hintergrund solch erschütternder Statistiken wie z.B.www.social-engineer.org/wiki/archives/DisgruntledEmployees/Dis-gruntledEmployees-EmployeeTheft.html. Hier gaben über 60 % derbefragten Angestellten zu, dass sie bereits Daten in der einen oder anderenForm von ihren Arbeitgebern entwendet haben.
Sehr oft werden diese Daten dann an Konkurrenten verkauft (so geschehenin dieser Story eines Angestellten von Morgan Stanley: www.social-engi-neer.org/wiki/archives/DisgruntledEmployees/DisgruntledEmployees-MorganStanley.html). Bei anderen Gelegenheiten stehlen Angestellte Zeitoder andere Ressourcen, und in vielen Fällen können verärgerte Angestelltegroße Schäden verursachen.
Ich sprach einmal mit einem Kunden über dessen Firmenrichtlinien zurEntlassung von Angestellten, z.B. die Deaktivierung von Zugangskarten, dieLöschung von Netzwerkzugängen und die Eskortierung der entlassenen
37© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
38
Angestellten aus dem Gebäude. Die Firma war der Ansicht, dass alle »zurFamilie gehörten« und dass solche Richtlinien nicht umsetzbar seien.
Leider gab es dann mal den Tag, als ein Angestellter, nennen wir ihn »Jim«,entlassen werden musste. Er gehörte zu den höheren Rängen des Unter-nehmens. Die Entlassung lief gut, man trennte sich einvernehmlich, undJim sagte, dass er Verständnis habe. Das Einzige, was das Management rich-tig gemacht hatte, war, ihn kurz vor Feierabend zu feuern, um peinlicheMomente und Ablenkungen zu vermeiden. Man schüttelte sich die Hände,und dann stellte Jim die verhängnisvolle Frage: »Kann ich mich noch ebeneine Stunde an meinen Schreibtisch setzen, um alles aufzuräumen und einpaar private Bilder vom Computer zu nehmen? Bevor ich dann gehe, werdeich meine Schlüsselkarte an den Sicherheitsdienst übergeben.«
Weil man sich bei diesem Meeting gut fühlte, stimmten alle zu, und mantrennte sich scherzend und mit einem Lächeln auf den Lippen. Dann gingJim in sein Büro, packte seine persönlichen Sachen in einen Karton, zog dieBilder und andere Daten von seinem Computer, ging ins Netzwerk undlöschte elf Server voller Daten: Buchhaltungsunterlagen, Gehaltsabrechnun-gen, Rechnungen, Bestellungen, Aufzeichnungen über zeitliche Abläufe,Bilder und Grafiken und vieles mehr – alles gelöscht innerhalb wenigerMinuten. Jim gab wie versprochen seine Schlüsselkarte ab und verließruhig das Gebäude, ohne Beweise zu hinterlassen, dass er derjenige war, derdiesen Angriff initiiert hatte.
Am nächsten Tag bekam ich einen Anruf des Eigentümers, der mir dieKatastrophe beschrieb, die sein Exangestellter hinterlassen hatte. DerKunde hoffte zwar auf eine Wunderwaffe gegen den Schaden, aber er hattekeine andere Wahl, als zu versuchen, möglichst viel forensisch wieder her-zustellen und mit den Backups anzufangen, die aber leider über zweiMonate alt waren.
Ein aufgebrachter Angestellter, der nicht überprüft und überwacht wird,kann verheerender sein als ein Team entschlossener und fähiger Hacker.Der Diebstahl durch Angestellte beläuft sich allein in den USA auf schät-zungsweise etwa 15 Milliarden US-Doller.
Diese Stories werfen die Frage auf, welche unterschiedlichen Kategorienvon Social Engineers es wohl gibt und wie man sie klassifizieren kann.
DarkMarket und Master Splynter
2009 wurde eine Story über eine Untergrundgruppe namens DarkMarketruchbar, dem sogenannten eBay für Kriminelle. Diese hermetisch abge-
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.2Social Engineering im Überblick
schlossene Gruppe handelte mit gestohlenen Kreditkartennummern undTools für Identitätsdiebstahl und auch allem, was man braucht, um z.B.Zugangsberechtigungen usw. zu fälschen.
Ein FBI-Agent namens J. Keith Mularski ging undercover und infiltriertedie DarkMarket-Site. Nach einer Weile wurde Agent Mularski zu einemAdministrator der Site. Obwohl viele versuchten, ihn zu diskreditieren,blieb er über drei Jahre als Admin der Site am Ball.
In dieser Zeit musste Mularski wie ein böswilliger Hacker leben, sprechen,handeln und denken. Er gab vor, ein böswilliger Spammer zu sein, undbrachte genug Wissen mit, um diese Masche glaubhaft zu vermitteln. SeinPretexting und seine Fähigkeiten als Social Engineer zahlten sich aus, weilAgent Mularski DarkMarket als der berüchtigte Master Splynter infiltrierte.Nach drei Jahren war er wesentlich daran beteiligt, einen weitreichendenRing auszuheben, der sein Geld mit Identitätsdiebstahl verdiente.
Die dreijährige Social Engineering-Operation führte zu 59 Festnahmen undverhinderte Bankbetrügereien im Rahmen von über 70 Millionen US-Dol-lar. Dies ist nur ein Beispiel dafür, wie die Skills eines Social Engineers auchfür gute Zwecke eingesetzt werden können.
1.2.2 Verschiedene Typen von Social Engineers
Wie bereits ausgeführt, kann Social Engineering vielerlei Formen anneh-men. Es kann böswillig oder freundlich sein, damit kann etwas aufgebautoder auch zerstört werden. Bevor wir uns dem Kern dieses Buches zuwen-den, schauen wir uns die verschiedenen Arten der Social Engineers an undumreißen sie kurz:
� Hacker: Die Hersteller von Software werden immer geschickter darin,Software zu schaffen, die gehärtet oder schwerer zu knacken ist. WennHacker auf mehr und mehr gehärtete Software treffen und wenn Soft-ware- und Netzwerkangriffsvektoren wie das Remote Hacking immerschwieriger werden, wenden sich die Hacker dem Social Engineeringzu. Oft nutzen sie eine Mischung aus Hardware und persönlichen Skillsund setzen Social Engineering in aller Welt sowohl bei großen Angriffenals auch in kleineren Einbrüchen ein.
� Penetrationstester: Weil ein echter Penetrationstester (auch als Pentesterbekannt) von seiner Natur her sehr offensiv ist, muss diese Kategorie di-rekt nach den Hackern folgen. Echte Penetrationstester lernen die Skills,die auch böswillige Hacker nutzen, und setzen sie ein, um die Sicherheitihrer Kunden wirklich gewährleisten zu können. Penetrationstester sind
39© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
40
Leute, die vielleicht die Skills eines böswilligen Black Hat haben, aberdiese Informationen niemals zum eigenen Vorteil nutzen oder um dasZiel zu schädigen.
� Spione: Für Spione ist Social Engineering sozusagen ihre Art zu leben.Sie setzen oft jeden Aspekt des Social Engineering-Frameworks ein(wird in diesem Kapitel später noch angesprochen), und in dieser Wis-senschaft sind sie Experten. In aller Welt lernen Spione, wie sie ihre Op-fer so beschwindeln können, dass sie sie für jemand halten, der sie inWahrheit nicht sind. Außerdem bauen Spione oft auf Glaubwürdigkeit,indem sie ein wenig oder auch gar sehr viel über das Business oder dieRegierung wissen, die sie per Social Engineering hintergehen wollen.
� Identitätsdiebe: Mit Identitätsdiebstahl ist gemeint, dass persönliche In-formationen wie Name, Bankkontonummer, Adresse, Geburtsdatumund Sozialversicherungsnummer ohne Wissen des Eigentümers ver-wendet werden. Diese Straftat reicht vom Anziehen einer Uniform (sie-he der »Hauptmann von Köpenick«) bis zur Verkörperung einer Person,um deutlich ausgefeiltere Scams umsetzen zu können. Identitätsdiebesetzen viele Aspekte des Social Engineering ein, und im Laufe der Zeitfühlen sie sich immer mehr ermutigt und werden dem von ihnen verur-sachten Leiden gegenüber immer indifferenter.
� Verärgerte Angestellte: Wenn ein Mitarbeiter auf seinen Arbeitgebersauer ist, entsteht häufig ein feindseliges Verhältnis. Oft ist dies eineeinseitige Situation, da der Angestellte üblicherweise das Ausmaß seinerVerstimmung verbergen will, um seine Stelle nicht aufs Spiel zu setzen.Doch je verärgerter er wird, desto einfacher kann er vor sich Handlun-gen rechtfertigen, die mit Diebstahl, Vandalismus und anderen Strafta-ten zu tun haben.
� Trickbetrüger: Scams oder Betrugsmaschen gründen sich auf die Gierder Menschen oder andere Prinzipien und ziehen damit Begehrlichkei-ten an, »eine schnelle Mark zu machen«. Betrugskünstler oder Hoch-stapler haben sich meisterhaft die Fähigkeit angeeignet, andere zu »le-sen« und kleinste Hinweise zu erkennen, denen sie entnehmen, ob je-mand ein gutes Opfer abgibt. Sie sind außerdem auch sehr geschicktdabei, Situationen zu schaffen, die sich dem Opfer als unschlagbare Ge-legenheiten präsentieren.
� Personalvermittler: Anwerber und Personalvermittler müssen ebenfallsviele Aspekte des Social Engineering meistern. Sie müssen nicht nur Eli-citation (das Entlocken von Informationen) meistern, sondern auch vieleder psychologischen Prinzipien des Social Engineering, und sind darumsehr bewandert darin, Menschen zu durchschauen und auch zu verste-hen, was andere motiviert. Oftmals muss ein Personalvermittler nicht
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.2Social Engineering im Überblick
nur den Jobsuchenden berücksichtigen und ihn zufriedenstellen, son-dern auch den Jobanbieter.
� Verkaufspersonal: Ähnlich wie Personalvermittler oder »Headhunter«müssen auch Verkäufer viele Skills im Umgang mit Menschen meis-tern. Viele Verkaufsgurus sagen, dass ein guter Verkäufer keine Leutemanipuliert, sondern sein Geschick nutzt, um die Bedürfnisse der ande-ren herauszufinden, und anschließend danach schaut, ob er sie erfüllenkann. In der Kunst des Verkaufens kommen viele Fähigkeiten und Fer-tigkeiten zusammen, z.B. Informationssammlung, Entlocken von per-sönlichen Angaben (Elicitation), Beeinflussung, psychologische Prinzi-pien und auch viele andere soziale Fähigkeiten.
� Regierungen: Die Regierungen werden nicht oft als Social Engineers be-trachtet, aber sie nutzen Social Engineering, um die von ihnen ausgege-benen Botschaften zu kontrollieren und auch die Menschen, die sie re-gieren. Viele Regierungen arbeiten mit Social Proof, Autorität und Ver-knappung, um zu gewährleisten, dass ihre Bürger unter Kontrolle sind.Diese Art von Social Engineering ist nicht immer negativ, weil einige dervon den Regierungen vermittelten Botschaften zum Guten der Men-schen weitergegeben werden, und wenn man bestimmte Elemente desSocial Engineering einsetzt, werden diese Botschaften möglicherweiseansprechender und allgemeiner akzeptiert.
� Ärzte, Psychologen und Rechtsanwälte: Obwohl die Personen in diesenBerufszweigen scheinbar nicht in die gleiche Kategorie der anderen So-cial Engineers passen, setzen sie die gleichen Methoden ein, wie sie vonanderen Gruppen dieser Liste verwendet werden. Sie müssen in ihrenTaktiken dem Gegenüber Informationen entlocken, es korrekt befragenund aushorchen sowie viele, wenn nicht gar alle psychologischen Prinzi-pien des Social Engineering einsetzen, um ihre »Ziele« (Klienten) in dieRichtung zu manipulieren, die sie einschlagen sollen.
Ungeachtet des Einsatzfeldes finden Sie scheinbar überall Social Enginee-ring oder einen Aspekt davon. Darum halte ich an der Überzeugung fest,dass es sich beim Social Engineering um eine Wissenschaft handelt. Es gibtregelrechte Gleichungen, die jemanden dazu befähigen, Elemente des SocialEngineering zu »addieren«, um zum Ziel zu gelangen. Im Beispiel einesTrickbetrügers sieht die Gleichung wie folgt aus: Pretexting + Manipulation+ die Neigung zur Gier = für Social Engineering geeignete Zielperson.
Bei jeder Situation ist es am schwierigsten zu wissen, welche Elemente hierfunktionieren werden, aber das Geschick besteht darin zu lernen, wie mandiese Elemente nutzt. Dies war die gedankliche Grundlage hinter der Ent-wicklung des Social Engineering-Frameworks. Dieses Framework hat die
41© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
42
Art und Weise revolutioniert, wie Social Engineering analysiert wird. Daserläutern wir im nächsten Abschnitt.
1.2.3 So nutzen Sie das Social Engineering-Framework
Durch eigene Erfahrungen und Recherchen habe ich versucht, die Ele-mente zu umreißen, die einen Social Engineer ausmachen. Jedes dieser Ele-mente definiert einen Teil der Gleichung, die letzten Endes denvollständigen Social Engineer ergibt. Diese Aspekte sind nicht in Steingemeißelt, denn von seinem ursprünglichen Zustand bis zum heutigen Tagist das Framework im Wachsen und Gedeihen begriffen.
Der Zweck dieses Frameworks ist, allen Interessierten genug Informatio-nen an die Hand zu geben, um auf diese Skills aufzubauen. Das Frameworkist nicht als vollständige und umfassende Ressource für alle Informationenaus jedem Kapitel gedacht. Der Abschnitt von Kapitel 5, in dem es umMikroexpressionen geht, basiert beispielsweise auf Forschungen der bestenKöpfe dieser Sparte und meinen eigenen Erfahrungen, solche Informatio-nen einzusetzen. Es ist keineswegs dazu gedacht, die 50 Jahre Forschungs-arbeit solch hervorragender Geister wie Dr. Paul Ekman zu ersetzen.
Wenn Sie sich das Framework durchlesen, werden Sie sehen, dass Sie durchEinsatz der vielen Skills darin nicht nur Ihre Sicherheitspraxis erweitern,sondern auch Ihre geistige Haltung, wie man sich Sicherheit verschafft, wieman umfassender kommuniziert und wie man versteht, wie Menschendenken.
Werfen Sie einen Blick ins Inhaltsverzeichnis des Buches, um eine klareVorstellung über das Framework zu bekommen, oder gehen Sie ins Internetzu www.social-engineer.org/framework. Auf den ersten Blick mag dasFramework einschüchternd wirken, doch in diesem Buch finden Sie eineAnalyse aller Themen und sind dann in der Lage, diese Skills anzuwenden,zu erweitern und aufzubauen.
Wissen ist Macht – soviel steht fest. In diesem Sinne ist Aufklärung undInformation die beste Verteidigung gegen die meisten Social Engineering-Angriffe. Sogar bei jenen, gegen die man sich nicht hundertprozentig mitWissen schützen kann, bleibt man aufmerksam, wenn man Details dieserAngriffe kennt. Mit der Schulung erweitern Sie Ihre eigenen Skills und blei-ben wachsam.
Neben der Schulung brauchen Sie allerdings auch Praxis. Dieses Buch istnicht für die einmalige Lektüre als Handbuch gedacht, sondern eher als
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
1.2Social Engineering im Überblick
Leitfaden zum Selbststudium. Sie können jeden Abschnitt üben und aneigene Bedürfnisse anpassen. Das Framework ist progressiv in dem Sinne,dass es vorstellt, wie ein Social Engineering-Angriff angelegt ist. JederAbschnitt des Frameworks diskutiert das nächste Thema in der Reihenfolge,in der ein Social Engineer diesen Skill bei seinen Aktivitäten oder Planungs-phasen nutzen wird.
Das Framework zeigt, wie Angriffe entworfen werden. Nachdem der Angriffgeplant ist, kann man die erforderlichen Skills studieren, ausbauen undüben, bevor man sich an die Umsetzung macht.
Nehmen wir beispielsweise an, dass Sie ein Social Engineering-Audit beieiner Firma planen, die überprüfen will, ob Sie in deren Serverraum gelan-gen und Daten stehlen könnten.
Vielleicht nehmen Sie sich als Angriffsplan vor, so zu tun, als wären Sie einKundendiensttechniker, der den Serverraum betreten muss. Dafür könnenSie Informationen sammeln, vielleicht sogar einen Dumpster Dive durch-führen.
Dann könnten Sie unter dem Vorwand, dieser Techniker zu sein, mit ver-steckter Kamera arbeiten und die korrekte Sprache und sprachliche sowieäußerliche Hinweise einsetzen, wie Sie agieren, klingen und aussehen müs-sen, um als Techniker durchzugehen.
Wenn Sie herausgefunden haben, welche Firma Ihr Kunde mit dem techni-schen Support beauftragt hat, können Sie darüber auch weitere Informatio-nen sammeln. Wen schickt Ihr Kunde normalerweise bei einemServiceauftrag hin? Wie heißen die Angestellten, mit denen die Firmenmit-arbeiter dann zu tun haben? Der Angriff muss umfassend und sorgfältiggeplant werden.
Dieses Buch ist allerdings auch nicht nur für solche Leute, die Audits durch-führen. Viele Leser sind neugierig darauf, um was für Angriffe es sich han-delt – nicht weil sie eine Firma, sondern sich selbst schützen wollen. Wenneinem nicht bewusst ist, wie ein böswilliger Social Engineer denkt, rückteinen das sofort ein ganzes Stück näher daran, gehackt zu werden.
Auch Studierende im Bereich Sicherheit haben das Framework verwendet.Die Informationen im Framework umreißen einen realistischen Pfad fürdiese Vektoren oder Methoden des Angriffs, und so werden die Leser in dieLage versetzt, sie gründlich zu studieren.
Generell helfen diese Informationen Ihnen dabei, Ihre kommunikativenFähigkeiten im Alltagsleben zu verbessern und zu erweitern. Wenn Sie wis-
43© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Kapitel 1Ein Blick in die Welt des Social Engineering
44
sen, wie man die Mimik eines Menschen lesen muss, oder wie man Fragenso formuliert, dass das Gegenüber sich entspannt und gerne antwortet,erweitert das Ihre Fähigkeiten, mit Ihrer Familie und Ihren Freunden zukommunizieren. Es hilft Ihnen dabei, ein guter Zuhörer zu werden undsich über die Gefühle anderer Menschen bewusster zu werden.
Wenn Sie die Körpersprache der Menschen, ihre Mimik und ihren Tonfall»lesen« können, verbessert das außerdem Ihre Fähigkeiten, ein effektiverKommunikator zu sein. Wenn Sie verstehen, wie Sie sich selbst und dieMenschen schützen können, die Ihnen lieb und wert sind, wertet Sie dasebenfalls auf und macht Ihnen Ihre Umwelt bewusster.
1.3 Zusammenfassung
Wie bei jedem Buch sind auch die hier enthaltenen Informationen nurnützlich und sinnvoll, wenn Sie sie einüben und ausprobieren. Je mehr Siedavon praktizieren, desto erfolgreicher eigenen Sie sich diese Skills an.
Ich habe bereits erwähnt, dass Social Engineering dem Kochen ähnelt.Indem Sie die richtigen Zutaten in der passenden Menge mischen, bekom-men Sie eine leckere und spannende Mahlzeit. Wenn Sie das erste Mal einGericht kochen, wird es vielleicht versalzen oder hat gar keinen Geschmack,aber dann werfen Sie auch nicht gleich das Handtuch: Sie probieren weiter,bis es Ihnen gelingt. Das Gleiche gilt fürs Social Engineering. Manche dererforderlichen Skills liegen Ihnen persönlich mehr, und andere sind eherschwierig für Sie.
Wenn ein bestimmtes Thema schwer verständlich ist oder Sie partout kei-nen Zugang dazu finden, sollten Sie nicht aufgeben oder glauben, dass Siees nicht lernen können. Jeder kann sich diese Skills mit dem richtigen Ein-satz und Engagement aneignen.
Behalten Sie auch stets im Hinterkopf, dass wie bei einem echten Rezeptviele »Zutaten« zu einem Social Engineering-Auftritt gehören. Die ersteZutat ist wahrscheinlich erst dann sinnvoll, wenn Sie schon ein wenig mehrin die Thematik eingestiegen sind. Bestimmte Skills (wie z.B. der »mensch-liche Pufferüberlauf« aus Kapitel 5) werden erst dann nachvollziehbar undsinnvoll, wenn Sie andere im Buch angeführten Skills gemeistert haben.
Doch bleiben Sie einfach weiterhin in Übung und achten Sie gewissenhaftdarauf, für jene Themen weitere Recherchen anzustrengen, die Ihnenunklar sind. Nun fangen wir mit dem Kochen an: Ihr »Rezept« beginnt imnächsten Kapitel mit der ersten Zutat: dem Sammeln von Informationen.
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
Numerisch419 Scam 357-38-55-Regel 211
AAbagnale, Jr., Frank 32Ablenkung 298Aggressiver Ansatz
bei Verhören 194Aharoni, Mati 45
Briefmarkensammlung 45Programmabstürze 53
Aktives Zuhörenreflektierte Reaktion 207
Alibi ausdünnenbei Verhören 197
AlkoholElizitieren 100
Allgemeinwissen 214Alternative Route
im Verhör präsentieren 192Amazon-Logo 277Angestellter
verärgerter 37, 40Angriff
Dalai Lama 36identifizieren 420kostspieligster 32
AngriffsvektorTeensy HID 356
Angst 156Überraschung 156
Ängstlichkeit 202Angststörung
soziale 299Ankern 200Anreiz
finanzieller 308ideologischer 308
sozialer 310Anruferidentifikation
spoofen 358Anruferinformation
fälschen 120Ansatz, das Gesicht zu wahren
bei Verhören 195Anschlussauftrag 126Antwort
abschlägig bei Verhören 191Antwortzeit 189Arzt 41Asterisk 360Attraktivität
körperliche 265Audioaufzeichnung 336
an Handy senden 337Audit
Aspekte für 435besten Auditor wählen 436Social Engineering-Audits 431was dazu gehört und was nicht 434Ziele festlegen 432
Auditiver Denker 141Submodalitäten 143
Auditorbesten wählen 436
AufklärungSicherheit 21
Aufmerksamkeitder Zielperson 192
AufzeichnungsgerätAudio 335Gründe für Nutzung 335Video 335
Augebeim Verhör 188
Augenbewegungautonome 26
Auktion
449© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
450
Konsistenz 259Ausdruck der Gemütsbewegungen bei
dem Menschen und den Tieren (Dar-win) 148
Autorität 254legale 255organisatorische 255soziale 256Symbole 257
BBackTrack
BasKet 49Balmund, D.C.
transaktionales Modell 74Bandiera, Oriana 311Bandler, Richard 138, 178
Geschichten als direkte Instruktionen 227
BankkontoBlippy 63
Barankay, Iwan 311Bartlett, Frederic C. 104BasKet 49
Notizen 50Screenshot 50
BauchgefühlCommitment 258
Beeinflussbarkeit 295erhöhen 313
BeeinflussungAutorität 254bedingtes Zugeständnisse 248Commitment 258durch mangelnde Versorgung 251eigene Gefühle wahrnehmen 239flexibel sein 238fünf Säulen 232gemocht werden 263internen Dialog minimieren 238klare Ziele 233Knappheit 249Konditionierung 305Konsistenz 258mit sich selbst in Kontakt sein 239Rapport schaffen 234Spendenaufruf 248Umgebung beobachten 237Zugeständnisse in Raten 248Zugeständnisse kennzeichnen 247Zugeständnisse machen 247
Befehleingebetteter 226
Befragungstaktikprofessionelle 187
Benford, Robert 280Bericht
öffentlicher 64Berlo, David 73Berühren
sich 201Bewegung
konservative 286Beziehung
bewusste und unbewusste 179Framing 280
BitDefenderPasswortnutzung 362
Blickstoischer 162
Blippy 63Boehm, Stephan G. 169Boothman, Nicolas 268Bregler, Cristoph 224Bressert, Steve 246Briefmarkensammlung 45Bump Proof BiLock 334Bürogeräusche 120Butler, Judith 275
CCafé
Gespräch im 55Caller ID Spoofing 359Campeau, Robert
Kauf von Bloomingdale's 259Canadian Forces Base (CFB)
Sicherheitseinbruch 23Cathie Marsh Centre for Census and
Survey Information 282CeWL 367Chebat, Jean-Charles 302Cialdini, Robert B.
Experiment mit Pflegekräften 256Social Proof 268
CodeNLP 179
Commitment 258Bauchgefühl 258Informationen sammeln 260
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
Common User Password Profiler (CUPP) 365
Common User Passwords Profiler (CUPP) 67
Computer Security InstituteUntersuchung 23
Condon, WilliamKörpersprache 148Mikrobewegungen 148NLP 148
Counter-Terrorism UnitGebäudepläne 67
Covell, Michele 224Craig, Dr. K.D. 271Crandall, Christian 292
DDalai Lama 36DarkMarket
Master Splynter 38DarkReading
Sicherheitseinbrüche 32Darwin, Charles
Der Ausdruck der Gemütsbewegun-gen bei dem Menschen und den Tieren 148
Davis, Harry 264DeLozier, Judith 179
Der Reigen der Daimonen 179Turtles All the Way Down 179
Denkerauditive Submodalitäten 143auditiver 141kinästhetische Dinge berühren 145kinästhetische Submodalitäten 144kinästhetischer 141visuelle Submodalitäten 142visueller 141
Denkform 139FBI-Merkblatt 140Sinne 140
Denkmodus 141auditiver Denker 141
Submodalitäten 143Bedeutung 146beobachten 145dominierenden Sinn erkennen 144kinästhetischer Denker 141
Dinge berühren 145Submodalitäten 144
lauschen auf 145Stift-Übung 146visueller Denker 141
Submodalitäten 142Department of Homeland Security (DHS)
Elizitieren 96Department of Motor Vehicles (DMV) 370Der Reigen der Daimonen (DeLozier) 179Dialects for the Stage, Evangeline
Machlin 118Dialekt
üben 117Dialog
internen minimieren bei Beeinflussung 238
Diebstahldurch Angestellte 38
Direkter Ansatzbei Verhören 193
Dissonanzkognitive 115
Dokumentgeschreddertes 65
Dradis 51Duchenne, Guillaume-Benjamin 164Dumpster Diving 67
Tipps 67Dunn & Bradstreet-Berichte 64Dunn, Patricia 130
EEgoistischer Ansatz
bei Verhören 196Eidelman, Scott 292Eindruck
erster 268Einfachheit
beim Pretexting 121Eingebetteter Befehl 226
Negierungen nutzen 228Verwendung von Zitaten und Ge-
schichten 227Einschüchterung 296, 318Ekel 152Ekman, Dr. Paul 121
Facial Action Coding System (FACS) 149
Gefühle lesen 149Maureen O’Sullivan 148
451© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
452
Mikroexpressionen 137, 148Emotionen 149erkennen lernen 166
Wizards-Projekt 148Elizitieren 81
absichtlich falsche Aussagen treffen 97
ans Ego appellieren 96Department of Homeland Security
(DHS) 96gegenseitiges Interesse bekunden 97Gesichtsausdruck 88Informationen freiwillig
weitergeben 98Informationssammlung 82Kenntnisse unterstellen 99meistern 106National Security Agency (NSA) 82Preloading 89warum es funktioniert 83Wirkung von Alkohol 100Ziele 85
Ellbogen 201E-Mail
mit vertraulichen Daten 23Emotion
eigene beim Zuhören im Griff haben 206
Ekman, Dr. PaulMikroexpressionen 149
Makroexpressionen 147steuern 320von Verhalten entkoppeln 320
Emotionale Verbundenheit 113Emotionaler Ansatz
bei Verhören 194Empathie
bei Katastrophen 213Schalterangestellte in Bank 218Schlüssel zum Rapport 212Versicherungsagent 216
Endorsement 269Endziel
von Befragungen 197Energie
bei Kommunikation 88Ernten
von Informationen 47Eröffnungssatz 321Erster Eindruck
Bedeutung 268
ErwartungGesetz der Erwartung 225
EtikettierungFraming 291
FFacebook 58Facial Action Coding System (FACS) 149Fallstudie
Bedeutung 417Der selbstsichere CEO 383DMV-Hack 370Skandal im Vergnügungspark 393Sozialversicherungsbehörde
hacken 378SSA-Hack 378Top Secret 1 399Top Secret 2 408
Fantasiedes Zuhörers aktivieren 228
FarbeAssoziationen 303
FBIFormen des Denkens 139
Federal Trade Commission (FTC)Joel Winston 133Pretexting 130
FedEx-Logo 277Feedback
beim Zuhören geben 205Fehler
absichtliche 122Festinger, Leon
kognitive Dissonanz 115Finanzieller Anreiz 308Finger
tippen oder trommeln 202Fingerspitzen 202Flexibilität
für Beeinflussung 238Folter 292Form des Denkens 139
FBI-Merkblatt 140Sinne 140
FotoStandortlokalisierung per GPS 62
Fragegeschlossene 103offene 101Suggestivfragen 103
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
Vermutungsfragen 104zur Vorbereitung auf
Befragungen 197Framework
für Social Engineering 21Framing 273
Aufgaben 280Beziehung 280Etikettierung 291Folter 292im Alltag 275Markennamen 279Nutzung als Social Engineer 287Politik 274Protest 281Rasterangleichung 280Rastererweiterung 285Rastertransformation 286Rasterüberbrückung 282Rasterverstärkung 284Reality-TV 294Relevanz 281unterschwelliges 277visuelles 275Wahrnehmung 275
Framing-Effekt 273Frenzen, Jonathan 264Freundlichkeit
Rapport 236Fuß
beim Verhör 188Fuzzing 225
GGefühl
Bauchgefühl 258Beeinflussung 239
Gefühle lesen (Ekman) 149Gemocht werden 263
Halo-Effekt 265Marketingmechanismen 265Schönheit 265Tupper-Partys 264
Geschichteals direkte Instruktion 227Unterbewusstsein 227
Gesetz der Erwartung 225
Gesichteigenes berühren 202
GesichtsausdruckElizitieren 88Makroexpressionen 147Mikroexpressionen 147, 148
neurolinguistisches Hacking 170
spiegeln 169Täuschung aufdecken 149, 171
universelle 148Gespräch im Café 55Geste
Ängstlichkeit zeigen 202eigenes Gesicht berühren 202Fingerspitzen 202Haltung von Armen und Händen 201mit Fingern tippen 202Monotonie 202offene Handfläche 202spiegeln 200verankern 200
GestikulierenAnkern 200in verschiedenen Kulturen 198spiegeln 200zu starkes 203
Glück 164echtes und unechtes Lächeln 164
GoogleGoogle Dorks 59Operanden 59
Google Hacking for Penetration Testers (Johnny Long) 59
Gouldner, Alvinüber Reziprozität 241
GPS-TrackerDaten beurteilen 344
Grinder, John 138, 178Grundlinie
einer Zielperson bei Verhören 189Gruppe
von Zeichen bei Verhören 188
HHack
Der selbstsichere CEO 383Skandal im Vergnügungspark 393SSA-Hack 378Top Secret 1 399Top Secret 2 408
453© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
454
Hacker 39bösartige 21Kollegen als Bedrohung der Sicher-
heit vs. 24Return On Investment (ROI) 21
Halo-Effekt 265Haltung
Ellbogen 201von Armen und Händen 201
Handbeim Verhör 188
Handflächeoffene 202
Handgeste 175, 201Handlungsablauf 420
entwickeln 431Hautfarbe
beim Verhör 188Hewlett-Packard
Pretexting-Beispiel 130Hören
Unterschied zu Lauschen 203Huckepack-Eintritt 312Hundeflüsterer 88
IICanStalkU.com 62Identitätsdieb 40Identitätsdiebstahl
zerrissener Scheck im Leihwagen 54Ideologischer Anreiz 308Incentive 307Indifferenter Ansatz
bei Verhören 195Indirekter Ansatz
bei Verhören 193Information
Wert von 420, 425Informationsbeschaffung
Online-Tools 347Informationssammlung
BasKet 49Dradis 51Elizitieren 82Firmen-Websites 58Kommunikationsmodell 80Observation 64öffentliche Berichte 64persönliche Websites 58Pretexting 111
Quellen 58Social-Media-Sites 58Suchmaschinen 59
InfrastrukturMenschen 21
Interessegegenseitiges 97
InternetPretexting 109
InterviewUnterschied zu Verhör 186
IP-Adresse 60
KKamera 335, 336Kampf um die Seele, Der (Sargant) 314Kaspersky Labs
soziale Netzwerke 21Katastrophenopfer 213Kenntnis
unterstellen 99Kinästhetischer Denker 141
Dinge berühren 145Submodalitäten 144
KitÖffnungswerkzeuge 328
KmartPlanogramm 300
Knappheit 249Dringlichkeit aufbauen 251durch Mangel Druck aufbauen 251Fleischwarenverkäufer 252gesellschaftliche Ereignisse 250Hauptkomponenten 250Ökonomie 251Restaurants 250
Kognitive Dissonanz 115Kollege
als Bedrohung der Sicherheit 24Kombinierter Ansatz
bei Verhören 195Komfortzone 146Kommunikation
Definition 69Formen 69Fragen 80für Social Engineers 75nonverbaler Anteil 69persönliche Energie 88persönliche Realitäten 70
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
Probleme 73Prozess 69Regeln 71Shannon-Weaver-Modell 72transaktionales Modell nach Bal-
mund 74USB-Stick akzeptieren 77verbaler Anteil 69Wahrnehmung 70
Kommunikationsmodell 71Botschaft 75Empfänger 75entwickeln 75Feedback 75für Informationssammlung 80Kanal 75nach Berlo 73Quelle 75
Kommunikationsmodellierung 69Konditionierung 297
Marketing 305Konfrontation
positive 189Konservative Bewegung 286Konsistenz 258
Auktionen 259Informationen sammeln 260Marketing 258Spielkasinos 259
Konversationgute Schulung 87natürlich sein 86nicht gierig werden 87Regeln der Kunst 86
Konzessionbei Verhandlungen 248Spendenaufruf 248
Kopfhaltungbeim Verhör 188
Körperhaltungbeim Verhör 188
KörperspracheCondon, William 148Mikrobewegungen 148
Kuliklicken 314
Kultureller HintergrundReziprozität 241
Kultureller UnterschiedGestikulieren 198
Kunst der Täuschung, Die 369Kurgan, Murgis 365
LLächeln
Duchenne, Guillaume-Benjamin 164echtes und unechtes 164
Lakoff, George 274Langer, Ellen
Gedankenlosigkeit 257Lauschen
Unterschied zu Hören 203Legale Autorität 255Leihwagen 54Li, Wen 169LinkedIn 58Lippen
beim Verhör 188Lockpicking 327
Bump Proof BiLock 334magnetische und elektronische
Schlösser 331Padlock Shims 333Tools 332
Loftus, Elizabeth 104Logischer Ansatz
bei Verhören 194Long, Johnny
Google Hacking for Penetration Tes-ters 59
Los Alamos-Wissenschaftler in China 100Luftwaffe
Training und Anreize 310Lustig, Viktor 32
MMachlin, Evangeline
Dialects for the Stage 118Machtlosigkeit 296Makroexpression 147Maltego 60, 68, 348Mangel
als Antriebsfeder für SE 36Manipulation 28
Ablenkung 298Anreize 307Beeinflussbarkeit 295Beeinflussbarkeit erhöhen 313beim Social Engineering 313Definitionen 295durch Farbassoziationen 303Einschüchterung 296Eröffnungssätze 321finanzielle Anreize 308
455© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
456
Gefühl der Machtlosigkeit 296Huckepack-Eintritt 312ideologische Anreize 308immaterielle Strafen verteilen 318Konditionierung 297, 305Kuli klicken 314Motrin-Rückruf 297Musikschleifen 302Neubewertung erzwingen 316Nötigung 313Ohnmachtsgefühl 317Planogramm 300positiv Erwähnenswertes 320positive 319Privilegien verlieren 318Produktplatzierung 301Schuldgefühle 318Sekten 316soziale Angststörung 299soziale Anreize 310starke emotionale Reaktionen auslö-
sen 296Umgebung der Zielperson steuern
295Umgebung kontrollieren 315Unterstellungen 321Vergangenheitsform bei Negativem
322Ziele 313Zielperson einschüchtern 318Zweifel säen 296
Markenname 279Marketing
finanzielle Anreize 308ideologische Anreize 308Kampagne soziale Angststörung 299Konditionierung 305Konsistenz 258soziale Anreize 310
Master SplynterDarkMarket 38
Matherly, John 59Mehrabian, Albert 211Menschlicher Pufferüberlauf 222
eingebettete Befehle 226Fuzzing 225
MetasploitMeterpreter 355
Meterpreter 355
Michon, Richard 302microsoft.com
PDF-Dateien 59Mikrobewegung 148Mikroexpression 147
Angst 156Dr. Paul Ekman 137
Emotionen 149Ekel 152Glück 164Grenzen 168selbst erkennen 166Social Engineers 169spiegeln 169stoischer Blick 162Täuschung aufdecken 149, 171Traurigkeit 161Überraschung 159Verachtung 154Wut 150
Millan, Cesar 88Mischke, Tom 111Mitnick, Kevin 28, 32
Die Kunst der Täuschung 369DMV-Hack 370SSA-Hack 378Zulassungsstelle hacken 370
Mizrahi, Avi 61Monotonie
bei Gesten 202Morgan Stanley
Diebstahl durch Angestellte 37Morgan, Scott 292Moriarty, Thomas 262Motrin-Rückruf 297Moulton, Scott
Portscans 61Mularski, J. Keith 39Müll 65
geschredderte Dokumente 65Tipps fürs Dumpster Diving 67wertvolle Dinge 54
Mundbeim Verhör 188
Musikschleife 302
NNational Security Agency (NSA)
Elizitieren 82Negierung
nutzen 228
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
Netzwerksoziales 311
Neubewertungerzwingen 316
Neuer Codedes NLP 179
Neurolinguistisches Hacking 170Neurolinguistisches Programmieren
(NLP) 27Nickerson, Chris 31
Pretexting 110Nigeria-Scam 35NLP
Ankern 200Bandler, Richard 138, 178Bateson, Gregory 178beim Social Engineering nutzen 180Beziehung
bewusste und unbewusste 179Codes 179Condon, William 148DeLozier, Judith 179Geschichte 178Grinder, John 138, 178Meta-Modell 178neuer Code 179Planet NLP 183Satzstruktur 181Skripte des neuen Codes 180Spiegeln 200Sprache 181Stimme 181ultimative Stimme 182Wahrnehmungsfilter 179Zustand 179
NMAP-Portscans 60Nonverbale Kommunikation 69Nötigung 313
OO’Sullivan, Dr. Maureen 148Observation 64Öffentlicher Bericht 64Öffentlicher Server 60Öffnungswerkzeug 326
Harken 330Kit 328Padlock Shims 333Praxis 330Schlagschlüssel 332Shove Knife 332
Ohnmachtsgefühl 317Ökonomie
Knappheitsprinzip 251Online-Tool
Maltego 348Social Engineer Toolkit (SET) 351zur Infobeschaffung 347
orbicularis oculi (Muskel)beim Lächeln 164
Organisatorische Autorität 255
PPadlock Shim 333Paller, Ken A. 169Passwort
Liste für Angriff 34Studie von BitDefender 362
Passwort-Profiler 67, 362CeWL 367Common User Password Profiler
(CUPP) 365Pawlow, Iwan 141, 297Penetrationstester 39
Programmabstürze 53Person
in Notlage 79Personalvermittler 40Persönliche Kultur
des Sicherheitsbewusstseins 422Persönliche Realität
Kommunikation 70Persönliches Interesse
Pretexting 114Pharmafirma
Reziprozität 240Phishing
mit Social Engineering Toolkit (SET) 352
Phishing-E-Mail 76Pick 327Pitt, Brad 110Planet NLP 183Planogramm 300Politik 274Politiker
Reziprozität 240Portscan 60
europäische Gesetzeslage 61Positive Konfrontation 189Positive Manipulation 319
457© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
458
Positive Verstärkung 267Sättigung 267
Präsupposition 226Prävention
Audit-Ziele festlegen 432aus Social Engineering-Audits
lernen 431bei SE-Angriffen 419den besten Auditor wählen 436Handlungsabläufe entwickeln 431persönliche Kultur des Sicherheitsbe-
wusstseins schaffen 422Skripts entwickeln 431Social Engineering-Angriffe identifi-
zieren 420Software aktualisiert halten 429was zum Audit gehört und was nicht
434Wert von Informationen wissen 425
Preloadingbei Kinofilmen 89Elizitieren 89Personen aufschließen 92Steakdinner 90
PretextingAnschlussauftrag 126Beispiele
Hewlett-Packard 130Stanley Mark Rifkin 127
Beschreibung 109Definition 111Dialekte und Redensarten üben 117Einfachheit 121Einsatzgebiete 111emotionale Verbundenheit 113Federal Trade Commission (FTC) 130Informationssammlung 111Internet 109logischer Schluss 126persönliche Interessen ausnutzen 114Prinzipien 112Recherchen 113rechtliche Probleme 133Requisiten 134Scams nach Katastrophen 114Spontaneität 124Telefonnutzung 119Tod von Film- oder Musikstars 114Tools 134
Primärsinnbeim Verhör 188
Privilegienverlieren 318
Produktplatzierung 301Profiling-Software 67Progressive Umweltbewegung 286Pronomen
Verwendung in Verhören 189Protest
Framing 281Psychologe 41Puffer
Definition 223Pufferüberlauf 138
menschlicher 222eingebettete Befehle 226Fuzzing 225
Pyramidenmethode 102
QQuelle
zur Informationssammlung 58
RRabattcoupon 308Rapport 94
aktives Zuhörenreflektierte Reaktion 207
an Körpersprache anpassen 220an Stimm- und Sprechmuster anpas-
sen 220äußere Erscheinung 210authentischer Wunsch, Menschen
kennenzulernen 210Bedürfnisse anderer erfüllen 215Beeinflussung 234Definition 209Empathie 212Freundlichkeit 236guter Zuhörer 211gutes Allgemeinwissen 214im gleichen Tempo atmen 219Neugierde 214schnell aufbauen 209sich selbst bei Gesprächen heraushal-
ten 212testen 221weitere Techniken 219Wirkung auf andere 211
Rasterangleichung 280Rastererweiterung 285
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
Rastertransformation 286Rasterüberbrückung 282Rasterverstärkung 284Rasul, Imran 311Reaktion
emotionale 296reflektierte 207
Reaktionszeitauf Fragen 189
Reality-TV 294Recherche
für Pretexting 113Recherchedienst 64Rechtsanwalt 41Redensart
üben 117Referenzrahmen 275Reflektierte Reaktion 207Regel
7-38-55-Regel 211für Kommunikation 71
Regierung 41Relevanz
Framing 281Requisit
für Pretexting 134Return On Investment (ROI)
bei Hackern 21Reverse Shell 355Reziprozität 240
ansprechen, was man haben will 243etwas weggeben 241Gefühl der Verpflichtung schaffen
242Gouldner, Alvin 241Pharmafirmen 240Politiker 240unterschiedliche kulturelle Hinter-
gründe 241Zugeständnisse machen 247
Rifkin, Stanley Mark 127Route
alternative im Verhör 192Router
Suche nach 59Rusch, Jonathan R. 256
SSargant, William 314Satzstruktur 181
SchadensbegrenzungAudit-Ziele festlegen 432aus Social Engineering-Audits lernen
431bei SE-Angriffen 419den besten Auditor wählen 436persönliche Kultur des Sicherheitsbe-
wusstseins schaffen 422Skripts entwickeln 431Social Engineering-Angriffe identifi-
zieren 420Software aktualisiert halten 429was zum Audit gehört und was
nicht 434Wert von Informationen wissen 425
Scheckzerrissener 54
Schlagschlüssel 332Schlangenspitze 327Schloss 326
elektronisches 331Funkionsweise 326magnetisches 331öffnen 326
Schlossöffnungmagnetische und elektronische
Schlösser 331Padlock Shims 333Tools 332üben 328
Schlusslogischer 126
Schredder 65Schuldgefühl 318Schulungsprogramm
für Sicherheitsbewusstsein 420Sekte
Manipulation 316Selbstvertrauen
situatives 115Server
öffentlicher 60Suche nach 59
Shannon, Claude 71Shannon-Weaver-Modell 72
Bestandteile 72Shodan-Suchmaschine 59Shove Knife 332Sicherheit
Bewusstseinskultur schaffen 420durch Aufklärung 21
459© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
460
Hacker vs. Kollegen als Bedrohung der Sicherheit 24
schwerwiegende Mängel 24Sicherheitsbewusstsein 420
Kultur schaffen 420Sicherheitslücke
in Software patchen 430Sinn
Denkmodus 141dominierenden erkennen 145dominierender 144körperlicher 140
Formen des Denkens 139Submodalität 141
Sinneswahrnehmunggesteigerte 237
Skitka, Linda 292Skizze 120Skript 361
neuer Code 180zur Prävention und Schadensbegren-
zung entwickeln 431Slaney, Malcolm 224Smart, Jamie 233Smartphone
standortbasierte Informationen 62Snow, David 280
Rasterverstärkung 284Social Engineer
Arbeit mit Skripten 361Ärzte 41Denken wie ein 53Hacker 39Identitätsdiebe 40Kommunikation 75Mikroexpressionen nutzen 169Penetrationstester 39Personalvermittler 40Psychologen 41Rechtsanwälte 41Regierungen 41Spione 40Tools 325Trickbetrüger 40verärgerte Angestellte 40Verkaufspersonal 41verschiedene Typen 39Werkzeuge 338
Social Engineer Toolkit (SET) 351Social Engineering
Angriffe identifizieren 420Aspekte für Audits 435
Auditziele 432aus Audits lernen 431besten Auditor wählen 436Definition 29, 30Einsatzmöglichkeiten 19Macht des Mangels 36Manipulation 28Tools 325
Öffnungswerkzeuge 326was zum Audit gehört und was
nicht 434Werkzeuge 338Zwecke des Frameworks 42
Social Engineering Toolkit (SET)Phishing 352Web Attack Vector 354
Social Engineering-Framework 22Social Media 61
Blippy 62Facebook 62LinkedIn 62MySpace 62PleaseRobMe 62Twitter 62
Social Proof 268Candid Camera 271Definition 34Gleichartigkeit 272Lachen vom Band 270Schmerztoleranz 271Trinkgeld 270Ungewissheit 272
Social Security Administration (SSA) 378Social-Media-Site 58Software
Maltego 68Patches 430Profiling-Software 67Updates 429Upgrades 420
Sozial (Definition) 30Soziale Angststörung 299Soziale Autorität 256Sozialer Anreiz 310Soziales Netzwerk 311Sozialversicherungsnummer
illegale Nutzung 131Recherchedienste 64
Spanner 327Spendenaufruf
Beeinflussung 248
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
Spiegeln 200von Mikroexpressionen 169
SpielkasinoKonsistenz 259
Spion 40Spontaneität 124SpoofApp 360SpoofCard 120, 359Spoofen
Anruferidentifikation 358Sprache
in NLP 181SpyHawk SuperTrak GPS TrackStick 340Standortbasierte Information 62Stevens, Tom G.
situatives Selbstvertrauen 115Stimme
beim Verhör 188NLP 181ultimative 182
Stoischer Blick 162Strafe
immaterielle verteilen 318Submodalität 141Suchmaschine 59
Google 59Shodan 59
Symbolder Autorität 257
Sympathisierender Ansatzbei Verhören 194
TTäuschung
aufdecken 171Handgesten 175Verhaltensänderungen 175Widersprüche 172, 174
Teensy HID 356Telefonnutzung 119Telephone Records and Privacy Protection
Act von 2006 131Terrorbekämpfung
Framing 274The Real Hustle, TV-Show 85Themenentwicklung 190Thriving Office 120Tomkins, Silvan 148Tool
Anruferidentifikation spoofen 358Asterisk 360
AufzeichnungsgerätAudio 335Video 335
GPS-Tracker 339Kamera 335Online-Informationsbeschaffung 347
Maltego 348Passwort-Profiler 362Pretexting 134Skript 361Social Engineer Toolkit (SET) 351SpoofApp 360SpoofCard 359SpyHawk SuperTrak GPS Track
Stick 340Top Secret-Fallstudie 1 399Top Secret-Fallstudie 2 408Tostitos-Logo 278Transaktionales Kommunikationsmodell
nach Balmund 74Traurigkeit 161Trickbetrüger 40Trinkgeld
Social Proof 270Tupperware-Party 264Turtles All the Way Down (DeLozier) 179
UÜben
als Grundvoraussetzung beim SE 339Übereinstimmung 268Überraschung 159
Angst 156Übertreibender Ansatz
bei Verhören 196Ultimative Stimme 182Umgebung
beobachten für Beeinflussung 237der Zielperson kontrollieren 315der Zielperson steuern 295
Umweltbewegungprogressive 286
Unterschiedzwischen Hören und Lauschen 203
Unterschwelliges Framing 277Unterstellung
bei positiver Manipulation 321Update
von Software 430USB-Stick
akzeptieren 77
461© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
462
VVerachtung 154Verärgerter Angestellter 37, 40Vergangenheit
Zeitform bei Negativem 322Verhalten
Änderungen 175von Emotionen entkoppeln 320
Verhöraggressiver Ansatz 194Alibi ausdünnen 197alternative Route präsentieren 192Ansatz, das Gesicht zu wahren 195Augen 188direkter Ansatz 193egoistischer Ansatz 196emotionaler Ansatz 194Endziel 197Fragen zur Vorbereitung 197Grundlinie der Zielperson 189Haltung von Armen und Händen 201Hände/Füße 188Handgesten 201Hautfarbe 188indifferenter Ansatz 195indirekter Ansatz 193kombinierter Ansatz 195Kopfhaltung 188Körperhaltung 188logischer Ansatz 194Merkblatt des amerikanischen Vertei-
digungsministeriums 193Mund/Lippen 188Primärsinn 188Stimme 188sympathisierender Ansatz 194übertreibender Ansatz 196Unterschied zu Interview 186Worte 188
Verkäuferund Social Engineers 47
Verkaufspersonal 41Vernehmung 138Verpflichtung
Reziprozität 242Verstärkung
positive 267Verteidigungsministerium
amerikanisches Handbuch für Ver-höre 193
Vertrauliche Datenin E-Mails 23
Verwendungvon Pronomen 189
Videoaufzeichnung 336Visueller Denker 141
Submodalitäten 142Vontu
vertrauliche Daten in E-Mails 23
WWahrnehmung
Framing 275Wahrnehmungsfilter 179warm lead 47Weaver, Warren 71Web Attack Vector
mit Social Engineering Toolkit (SET) 354
WebsiteICanStalkU.com 62Lockpicking 327mit persönlichen Informationen 34öffentliche Berichte 64öffentliche Server 60persönliche 58PleaseRobMe.com 62Recherchedienste 64Schlösser öffnen 327Social Media 61Suchmaschinen 59von Firmen 58www.social-engineer.org 22zur Informationssammlung 34
WerkzeugPicks 327Spanner 327
Westbury, Chris 237Who’s Your Daddy (WYD) 67Whois 60Widerrede
bei Verhören 191Widerspruch 172Winston, Joel 133Withgott, Margaret 224Wizards-Projekt 148Wong, Kelvie 49Wort
beim Verhör 188Wut 150
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
Stichwortverzeichnis
ZZeichen
bei Verhören 188Zeitform
der Verben 189Verwendung in Verhören 189Wechsel 189
ZielBeeinflussung 231für Audits 432Überredung 231
ZielpersonAufmerksamkeit bekommen 192beim Sprechen nicht unterbrechen
205einschüchtern 318Grundlinie bei Verhören 189
Zinbarg, Richard E. 169Zitat
als direkte Instruktion 227Zögern 174Zugeständnis 247
bedingtes 248in Raten 248kennzeichnen 247Reziprozität 247
ZuhörenAblenkungen 204angemessen reagieren 206Aufmerksamkeit 204eigene Emotionen im Griff haben
206Feedback geben 205Gegenüber nicht unterbrechen 205Hinweise aufs Hören 205reflektierte Reaktion 207
Zulassungsstelle hacken 370Zuschauereffekt 268Zustand 179Zweifel
säen 296zygomaticus major (Muskel)
beim Lächeln 164
463© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167
© des Titels »Die Kunst des Human Hacking« (ISBN 9783826691676) 2011 by mitp-Verlags GmbH & Co. KG, Frechen.
Nähere Informationen unter: http://www.mitp.de/9167