CHRISTOPHER HADNAGYSocial Engineering – Deutsche Ausgabe

Eine Warnung vorab: Dieses Buch ist nichts für schwache Nerven. Es bringt Sie in jene dunklen Ecken der Gesellschaft, wo die Black Hats (bösartige Hacker) das Sagen haben. Hier werden Bereiche des Social Engineering, in denen sich Spione und Trickbetrüger tummeln, aufgedeckt und einge-hend erforscht. Außerdem wird anhand ganz normaler Alltagssituationen gezeigt, inwiefern es sich auch da oft um komplexe Szenarien des Social Engineering handelt. Am Ende deckt das Buch die Tipps und Tricks der Insider, der professionellen Social Engineers und eben auch der kriminel-len Profis auf.

Dieses Buch ist mehr als eine Sammlung cooler Stories, toller Hacks oder abgefahrener Ideen. Wissenschaftlich fundiert (dabei höchst unterhalt-sam), stellt es das weltweit erste Framework für Social Engineering vor, auf dessen Grundlage der Autor genau analysiert, geradezu seziert, was einen guten Social Engineer ausmacht. Mit praktischen Ratschlägen wird der Leser befähigt, skills zu entwickeln, die es ihm ermöglichen, die nachweis-lich größte Schwachstelle in IT-Sicherheitssystemen auf die Probe zu stellen: den Menschen.

Christopher Hadnagy ist Chefentwickler bei www.social-engineer.org, weltweit die erste Adresse, wenn es um Social Engineering geht. Der Autor kann auf fast fünfzehn Jahre einschlägiger Berufserfahrung zurück-blicken, in denen er sich mit den unterschiedlichsten Themen rund um die IT-Sicherheit beschäftigt hat, dabei u.a. für backtrack-linux oder zuletzt im Penetration Testing Team von Offensive Security tätig war.

DIE

KUN

ST D

ES H

UMAN

HAC

KIN

G

HADNAGY

www.mitp.de (D) €

29

,95

ISBN 978-3-8266-9167-6ISBN 978-3-8266-9167-6

Stichwortverzeichnis

Numerisch419 Scam 357-38-55-Regel 211

AAbagnale, Jr., Frank 32Ablenkung 298Aggressiver Ansatz

bei Verhören 194Aharoni, Mati 45

Briefmarkensammlung 45Programmabstürze 53

Aktives Zuhörenreflektierte Reaktion 207

Alibi ausdünnenbei Verhören 197

AlkoholElizitieren 100

Allgemeinwissen 214Alternative Route

im Verhör präsentieren 192Amazon-Logo 277Angestellter

verärgerter 37, 40Angriff

Dalai Lama 36identifizieren 420kostspieligster 32

AngriffsvektorTeensy HID 356

Angst 156Überraschung 156

Ängstlichkeit 202Angststörung

soziale 299Ankern 200Anreiz

finanzieller 308ideologischer 308

sozialer 310Anruferidentifikation

spoofen 358Anruferinformation

fälschen 120Ansatz, das Gesicht zu wahren

bei Verhören 195Anschlussauftrag 126Antwort

abschlägig bei Verhören 191Antwortzeit 189Arzt 41Asterisk 360Attraktivität

körperliche 265Audioaufzeichnung 336

an Handy senden 337Audit

Aspekte für 435besten Auditor wählen 436Social Engineering-Audits 431was dazu gehört und was nicht 434Ziele festlegen 432

Auditiver Denker 141Submodalitäten 143

Auditorbesten wählen 436

AufklärungSicherheit 21

Aufmerksamkeitder Zielperson 192

AufzeichnungsgerätAudio 335Gründe für Nutzung 335Video 335

Augebeim Verhör 188

Augenbewegungautonome 26

Auktion

449

Stichwortverzeichnis

450

Konsistenz 259Ausdruck der Gemütsbewegungen bei

dem Menschen und den Tieren (Dar-win) 148

Autorität 254legale 255organisatorische 255soziale 256Symbole 257

BBackTrack

BasKet 49Balmund, D.C.

transaktionales Modell 74Bandiera, Oriana 311Bandler, Richard 138, 178

Geschichten als direkte Instruktionen 227

BankkontoBlippy 63

Barankay, Iwan 311Bartlett, Frederic C. 104BasKet 49

Notizen 50Screenshot 50

BauchgefühlCommitment 258

Beeinflussbarkeit 295erhöhen 313

BeeinflussungAutorität 254bedingtes Zugeständnisse 248Commitment 258durch mangelnde Versorgung 251eigene Gefühle wahrnehmen 239flexibel sein 238fünf Säulen 232gemocht werden 263internen Dialog minimieren 238klare Ziele 233Knappheit 249Konditionierung 305Konsistenz 258mit sich selbst in Kontakt sein 239Rapport schaffen 234Spendenaufruf 248Umgebung beobachten 237Zugeständnisse in Raten 248Zugeständnisse kennzeichnen 247Zugeständnisse machen 247

Befehleingebetteter 226

Befragungstaktikprofessionelle 187

Benford, Robert 280Bericht

öffentlicher 64Berlo, David 73Berühren

sich 201Bewegung

konservative 286Beziehung

bewusste und unbewusste 179Framing 280

BitDefenderPasswortnutzung 362

Blickstoischer 162

Blippy 63Boehm, Stephan G. 169Boothman, Nicolas 268Bregler, Cristoph 224Bressert, Steve 246Briefmarkensammlung 45Bump Proof BiLock 334Bürogeräusche 120Butler, Judith 275

CCafé

Gespräch im 55Caller ID Spoofing 359Campeau, Robert

Kauf von Bloomingdale's 259Canadian Forces Base (CFB)

Sicherheitseinbruch 23Cathie Marsh Centre for Census and

Survey Information 282CeWL 367Chebat, Jean-Charles 302Cialdini, Robert B.

Experiment mit Pflegekräften 256Social Proof 268

CodeNLP 179

Commitment 258Bauchgefühl 258Informationen sammeln 260

Stichwortverzeichnis

Common User Password Profiler (CUPP) 365

Common User Passwords Profiler (CUPP) 67

Computer Security InstituteUntersuchung 23

Condon, WilliamKörpersprache 148Mikrobewegungen 148NLP 148

Counter-Terrorism UnitGebäudepläne 67

Covell, Michele 224Craig, Dr. K.D. 271Crandall, Christian 292

DDalai Lama 36DarkMarket

Master Splynter 38DarkReading

Sicherheitseinbrüche 32Darwin, Charles

Der Ausdruck der Gemütsbewegun-gen bei dem Menschen und den Tieren 148

Davis, Harry 264DeLozier, Judith 179

Der Reigen der Daimonen 179Turtles All the Way Down 179

Denkerauditive Submodalitäten 143auditiver 141kinästhetische Dinge berühren 145kinästhetische Submodalitäten 144kinästhetischer 141visuelle Submodalitäten 142visueller 141

Denkform 139FBI-Merkblatt 140Sinne 140

Denkmodus 141auditiver Denker 141

Submodalitäten 143Bedeutung 146beobachten 145dominierenden Sinn erkennen 144kinästhetischer Denker 141

Dinge berühren 145Submodalitäten 144

lauschen auf 145Stift-Übung 146visueller Denker 141

Submodalitäten 142Department of Homeland Security (DHS)

Elizitieren 96Department of Motor Vehicles (DMV) 370Der Reigen der Daimonen (DeLozier) 179Dialects for the Stage, Evangeline

Machlin 118Dialekt

üben 117Dialog

internen minimieren bei Beeinflussung 238

Diebstahldurch Angestellte 38

Direkter Ansatzbei Verhören 193

Dissonanzkognitive 115

Dokumentgeschreddertes 65

Dradis 51Duchenne, Guillaume-Benjamin 164Dumpster Diving 67

Tipps 67Dunn & Bradstreet-Berichte 64Dunn, Patricia 130

EEgoistischer Ansatz

bei Verhören 196Eidelman, Scott 292Eindruck

erster 268Einfachheit

beim Pretexting 121Eingebetteter Befehl 226

Negierungen nutzen 228Verwendung von Zitaten und Ge-

schichten 227Einschüchterung 296, 318Ekel 152Ekman, Dr. Paul 121

Facial Action Coding System (FACS) 149

Gefühle lesen 149Maureen O’Sullivan 148

451

Stichwortverzeichnis

452

Mikroexpressionen 137, 148Emotionen 149erkennen lernen 166

Wizards-Projekt 148Elizitieren 81

absichtlich falsche Aussagen treffen 97

ans Ego appellieren 96Department of Homeland Security

(DHS) 96gegenseitiges Interesse bekunden 97Gesichtsausdruck 88Informationen freiwillig

weitergeben 98Informationssammlung 82Kenntnisse unterstellen 99meistern 106National Security Agency (NSA) 82Preloading 89warum es funktioniert 83Wirkung von Alkohol 100Ziele 85

Ellbogen 201E-Mail

mit vertraulichen Daten 23Emotion

eigene beim Zuhören im Griff haben 206

Ekman, Dr. PaulMikroexpressionen 149

Makroexpressionen 147steuern 320von Verhalten entkoppeln 320

Emotionale Verbundenheit 113Emotionaler Ansatz

bei Verhören 194Empathie

bei Katastrophen 213Schalterangestellte in Bank 218Schlüssel zum Rapport 212Versicherungsagent 216

Endorsement 269Endziel

von Befragungen 197Energie

bei Kommunikation 88Ernten

von Informationen 47Eröffnungssatz 321Erster Eindruck

Bedeutung 268

ErwartungGesetz der Erwartung 225

EtikettierungFraming 291

FFacebook 58Facial Action Coding System (FACS) 149Fallstudie

Bedeutung 417Der selbstsichere CEO 383DMV-Hack 370Skandal im Vergnügungspark 393Sozialversicherungsbehörde

hacken 378SSA-Hack 378Top Secret 1 399Top Secret 2 408

Fantasiedes Zuhörers aktivieren 228

FarbeAssoziationen 303

FBIFormen des Denkens 139

Federal Trade Commission (FTC)Joel Winston 133Pretexting 130

FedEx-Logo 277Feedback

beim Zuhören geben 205Fehler

absichtliche 122Festinger, Leon

kognitive Dissonanz 115Finanzieller Anreiz 308Finger

tippen oder trommeln 202Fingerspitzen 202Flexibilität

für Beeinflussung 238Folter 292Form des Denkens 139

FBI-Merkblatt 140Sinne 140

FotoStandortlokalisierung per GPS 62

Fragegeschlossene 103offene 101Suggestivfragen 103

Stichwortverzeichnis

Vermutungsfragen 104zur Vorbereitung auf

Befragungen 197Framework

für Social Engineering 21Framing 273

Aufgaben 280Beziehung 280Etikettierung 291Folter 292im Alltag 275Markennamen 279Nutzung als Social Engineer 287Politik 274Protest 281Rasterangleichung 280Rastererweiterung 285Rastertransformation 286Rasterüberbrückung 282Rasterverstärkung 284Reality-TV 294Relevanz 281unterschwelliges 277visuelles 275Wahrnehmung 275

Framing-Effekt 273Frenzen, Jonathan 264Freundlichkeit

Rapport 236Fuß

beim Verhör 188Fuzzing 225

GGefühl

Bauchgefühl 258Beeinflussung 239

Gefühle lesen (Ekman) 149Gemocht werden 263

Halo-Effekt 265Marketingmechanismen 265Schönheit 265Tupper-Partys 264

Geschichteals direkte Instruktion 227Unterbewusstsein 227

Gesetz der Erwartung 225

Gesichteigenes berühren 202

GesichtsausdruckElizitieren 88Makroexpressionen 147Mikroexpressionen 147, 148

neurolinguistisches Hacking 170

spiegeln 169Täuschung aufdecken 149, 171

universelle 148Gespräch im Café 55Geste

Ängstlichkeit zeigen 202eigenes Gesicht berühren 202Fingerspitzen 202Haltung von Armen und Händen 201mit Fingern tippen 202Monotonie 202offene Handfläche 202spiegeln 200verankern 200

GestikulierenAnkern 200in verschiedenen Kulturen 198spiegeln 200zu starkes 203

Glück 164echtes und unechtes Lächeln 164

GoogleGoogle Dorks 59Operanden 59

Google Hacking for Penetration Testers (Johnny Long) 59

Gouldner, Alvinüber Reziprozität 241

GPS-TrackerDaten beurteilen 344

Grinder, John 138, 178Grundlinie

einer Zielperson bei Verhören 189Gruppe

von Zeichen bei Verhören 188

HHack

Der selbstsichere CEO 383Skandal im Vergnügungspark 393SSA-Hack 378Top Secret 1 399Top Secret 2 408

453

Stichwortverzeichnis

454

Hacker 39bösartige 21Kollegen als Bedrohung der Sicher-

heit vs. 24Return On Investment (ROI) 21

Halo-Effekt 265Haltung

Ellbogen 201von Armen und Händen 201

Handbeim Verhör 188

Handflächeoffene 202

Handgeste 175, 201Handlungsablauf 420

entwickeln 431Hautfarbe

beim Verhör 188Hewlett-Packard

Pretexting-Beispiel 130Hören

Unterschied zu Lauschen 203Huckepack-Eintritt 312Hundeflüsterer 88

IICanStalkU.com 62Identitätsdieb 40Identitätsdiebstahl

zerrissener Scheck im Leihwagen 54Ideologischer Anreiz 308Incentive 307Indifferenter Ansatz

bei Verhören 195Indirekter Ansatz

bei Verhören 193Information

Wert von 420, 425Informationsbeschaffung

Online-Tools 347Informationssammlung

BasKet 49Dradis 51Elizitieren 82Firmen-Websites 58Kommunikationsmodell 80Observation 64öffentliche Berichte 64persönliche Websites 58Pretexting 111

Quellen 58Social-Media-Sites 58Suchmaschinen 59

InfrastrukturMenschen 21

Interessegegenseitiges 97

InternetPretexting 109

InterviewUnterschied zu Verhör 186

IP-Adresse 60

KKamera 335, 336Kampf um die Seele, Der (Sargant) 314Kaspersky Labs

soziale Netzwerke 21Katastrophenopfer 213Kenntnis

unterstellen 99Kinästhetischer Denker 141

Dinge berühren 145Submodalitäten 144

KitÖffnungswerkzeuge 328

KmartPlanogramm 300

Knappheit 249Dringlichkeit aufbauen 251durch Mangel Druck aufbauen 251Fleischwarenverkäufer 252gesellschaftliche Ereignisse 250Hauptkomponenten 250Ökonomie 251Restaurants 250

Kognitive Dissonanz 115Kollege

als Bedrohung der Sicherheit 24Kombinierter Ansatz

bei Verhören 195Komfortzone 146Kommunikation

Definition 69Formen 69Fragen 80für Social Engineers 75nonverbaler Anteil 69persönliche Energie 88persönliche Realitäten 70

Stichwortverzeichnis

Probleme 73Prozess 69Regeln 71Shannon-Weaver-Modell 72transaktionales Modell nach Bal-

mund 74USB-Stick akzeptieren 77verbaler Anteil 69Wahrnehmung 70

Kommunikationsmodell 71Botschaft 75Empfänger 75entwickeln 75Feedback 75für Informationssammlung 80Kanal 75nach Berlo 73Quelle 75

Kommunikationsmodellierung 69Konditionierung 297

Marketing 305Konfrontation

positive 189Konservative Bewegung 286Konsistenz 258

Auktionen 259Informationen sammeln 260Marketing 258Spielkasinos 259

Konversationgute Schulung 87natürlich sein 86nicht gierig werden 87Regeln der Kunst 86

Konzessionbei Verhandlungen 248Spendenaufruf 248

Kopfhaltungbeim Verhör 188

Körperhaltungbeim Verhör 188

KörperspracheCondon, William 148Mikrobewegungen 148

Kuliklicken 314

Kultureller HintergrundReziprozität 241

Kultureller UnterschiedGestikulieren 198

Kunst der Täuschung, Die 369Kurgan, Murgis 365

LLächeln

Duchenne, Guillaume-Benjamin 164echtes und unechtes 164

Lakoff, George 274Langer, Ellen

Gedankenlosigkeit 257Lauschen

Unterschied zu Hören 203Legale Autorität 255Leihwagen 54Li, Wen 169LinkedIn 58Lippen

beim Verhör 188Lockpicking 327

Bump Proof BiLock 334magnetische und elektronische

Schlösser 331Padlock Shims 333Tools 332

Loftus, Elizabeth 104Logischer Ansatz

bei Verhören 194Long, Johnny

Google Hacking for Penetration Tes-ters 59

Los Alamos-Wissenschaftler in China 100Luftwaffe

Training und Anreize 310Lustig, Viktor 32

MMachlin, Evangeline

Dialects for the Stage 118Machtlosigkeit 296Makroexpression 147Maltego 60, 68, 348Mangel

als Antriebsfeder für SE 36Manipulation 28

Ablenkung 298Anreize 307Beeinflussbarkeit 295Beeinflussbarkeit erhöhen 313beim Social Engineering 313Definitionen 295durch Farbassoziationen 303Einschüchterung 296Eröffnungssätze 321finanzielle Anreize 308

455

Stichwortverzeichnis

456

Gefühl der Machtlosigkeit 296Huckepack-Eintritt 312ideologische Anreize 308immaterielle Strafen verteilen 318Konditionierung 297, 305Kuli klicken 314Motrin-Rückruf 297Musikschleifen 302Neubewertung erzwingen 316Nötigung 313Ohnmachtsgefühl 317Planogramm 300positiv Erwähnenswertes 320positive 319Privilegien verlieren 318Produktplatzierung 301Schuldgefühle 318Sekten 316soziale Angststörung 299soziale Anreize 310starke emotionale Reaktionen auslö-

sen 296Umgebung der Zielperson steuern

295Umgebung kontrollieren 315Unterstellungen 321Vergangenheitsform bei Negativem

322Ziele 313Zielperson einschüchtern 318Zweifel säen 296

Markenname 279Marketing

finanzielle Anreize 308ideologische Anreize 308Kampagne soziale Angststörung 299Konditionierung 305Konsistenz 258soziale Anreize 310

Master SplynterDarkMarket 38

Matherly, John 59Mehrabian, Albert 211Menschlicher Pufferüberlauf 222

eingebettete Befehle 226Fuzzing 225

MetasploitMeterpreter 355

Meterpreter 355

Michon, Richard 302microsoft.com

PDF-Dateien 59Mikrobewegung 148Mikroexpression 147

Angst 156Dr. Paul Ekman 137

Emotionen 149Ekel 152Glück 164Grenzen 168selbst erkennen 166Social Engineers 169spiegeln 169stoischer Blick 162Täuschung aufdecken 149, 171Traurigkeit 161Überraschung 159Verachtung 154Wut 150

Millan, Cesar 88Mischke, Tom 111Mitnick, Kevin 28, 32

Die Kunst der Täuschung 369DMV-Hack 370SSA-Hack 378Zulassungsstelle hacken 370

Mizrahi, Avi 61Monotonie

bei Gesten 202Morgan Stanley

Diebstahl durch Angestellte 37Morgan, Scott 292Moriarty, Thomas 262Motrin-Rückruf 297Moulton, Scott

Portscans 61Mularski, J. Keith 39Müll 65

geschredderte Dokumente 65Tipps fürs Dumpster Diving 67wertvolle Dinge 54

Mundbeim Verhör 188

Musikschleife 302

NNational Security Agency (NSA)

Elizitieren 82Negierung

nutzen 228

Stichwortverzeichnis

Netzwerksoziales 311

Neubewertungerzwingen 316

Neuer Codedes NLP 179

Neurolinguistisches Hacking 170Neurolinguistisches Programmieren

(NLP) 27Nickerson, Chris 31

Pretexting 110Nigeria-Scam 35NLP

Ankern 200Bandler, Richard 138, 178Bateson, Gregory 178beim Social Engineering nutzen 180Beziehung

bewusste und unbewusste 179Codes 179Condon, William 148DeLozier, Judith 179Geschichte 178Grinder, John 138, 178Meta-Modell 178neuer Code 179Planet NLP 183Satzstruktur 181Skripte des neuen Codes 180Spiegeln 200Sprache 181Stimme 181ultimative Stimme 182Wahrnehmungsfilter 179Zustand 179

NMAP-Portscans 60Nonverbale Kommunikation 69Nötigung 313

OO’Sullivan, Dr. Maureen 148Observation 64Öffentlicher Bericht 64Öffentlicher Server 60Öffnungswerkzeug 326

Harken 330Kit 328Padlock Shims 333Praxis 330Schlagschlüssel 332Shove Knife 332

Ohnmachtsgefühl 317Ökonomie

Knappheitsprinzip 251Online-Tool

Maltego 348Social Engineer Toolkit (SET) 351zur Infobeschaffung 347

orbicularis oculi (Muskel)beim Lächeln 164

Organisatorische Autorität 255

PPadlock Shim 333Paller, Ken A. 169Passwort

Liste für Angriff 34Studie von BitDefender 362

Passwort-Profiler 67, 362CeWL 367Common User Password Profiler

(CUPP) 365Pawlow, Iwan 141, 297Penetrationstester 39

Programmabstürze 53Person

in Notlage 79Personalvermittler 40Persönliche Kultur

des Sicherheitsbewusstseins 422Persönliche Realität

Kommunikation 70Persönliches Interesse

Pretexting 114Pharmafirma

Reziprozität 240Phishing

mit Social Engineering Toolkit (SET) 352

Phishing-E-Mail 76Pick 327Pitt, Brad 110Planet NLP 183Planogramm 300Politik 274Politiker

Reziprozität 240Portscan 60

europäische Gesetzeslage 61Positive Konfrontation 189Positive Manipulation 319

457

Stichwortverzeichnis

458

Positive Verstärkung 267Sättigung 267

Präsupposition 226Prävention

Audit-Ziele festlegen 432aus Social Engineering-Audits

lernen 431bei SE-Angriffen 419den besten Auditor wählen 436Handlungsabläufe entwickeln 431persönliche Kultur des Sicherheitsbe-

wusstseins schaffen 422Skripts entwickeln 431Social Engineering-Angriffe identifi-

zieren 420Software aktualisiert halten 429was zum Audit gehört und was nicht

434Wert von Informationen wissen 425

Preloadingbei Kinofilmen 89Elizitieren 89Personen aufschließen 92Steakdinner 90

PretextingAnschlussauftrag 126Beispiele

Hewlett-Packard 130Stanley Mark Rifkin 127

Beschreibung 109Definition 111Dialekte und Redensarten üben 117Einfachheit 121Einsatzgebiete 111emotionale Verbundenheit 113Federal Trade Commission (FTC) 130Informationssammlung 111Internet 109logischer Schluss 126persönliche Interessen ausnutzen 114Prinzipien 112Recherchen 113rechtliche Probleme 133Requisiten 134Scams nach Katastrophen 114Spontaneität 124Telefonnutzung 119Tod von Film- oder Musikstars 114Tools 134

Primärsinnbeim Verhör 188

Privilegienverlieren 318

Produktplatzierung 301Profiling-Software 67Progressive Umweltbewegung 286Pronomen

Verwendung in Verhören 189Protest

Framing 281Psychologe 41Puffer

Definition 223Pufferüberlauf 138

menschlicher 222eingebettete Befehle 226Fuzzing 225

Pyramidenmethode 102

QQuelle

zur Informationssammlung 58

RRabattcoupon 308Rapport 94

aktives Zuhörenreflektierte Reaktion 207

an Körpersprache anpassen 220an Stimm- und Sprechmuster anpas-

sen 220äußere Erscheinung 210authentischer Wunsch, Menschen

kennenzulernen 210Bedürfnisse anderer erfüllen 215Beeinflussung 234Definition 209Empathie 212Freundlichkeit 236guter Zuhörer 211gutes Allgemeinwissen 214im gleichen Tempo atmen 219Neugierde 214schnell aufbauen 209sich selbst bei Gesprächen heraushal-

ten 212testen 221weitere Techniken 219Wirkung auf andere 211

Rasterangleichung 280Rastererweiterung 285

Stichwortverzeichnis

Rastertransformation 286Rasterüberbrückung 282Rasterverstärkung 284Rasul, Imran 311Reaktion

emotionale 296reflektierte 207

Reaktionszeitauf Fragen 189

Reality-TV 294Recherche

für Pretexting 113Recherchedienst 64Rechtsanwalt 41Redensart

üben 117Referenzrahmen 275Reflektierte Reaktion 207Regel

7-38-55-Regel 211für Kommunikation 71

Regierung 41Relevanz

Framing 281Requisit

für Pretexting 134Return On Investment (ROI)

bei Hackern 21Reverse Shell 355Reziprozität 240

ansprechen, was man haben will 243etwas weggeben 241Gefühl der Verpflichtung schaffen

242Gouldner, Alvin 241Pharmafirmen 240Politiker 240unterschiedliche kulturelle Hinter-

gründe 241Zugeständnisse machen 247

Rifkin, Stanley Mark 127Route

alternative im Verhör 192Router

Suche nach 59Rusch, Jonathan R. 256

SSargant, William 314Satzstruktur 181

SchadensbegrenzungAudit-Ziele festlegen 432aus Social Engineering-Audits lernen

431bei SE-Angriffen 419den besten Auditor wählen 436persönliche Kultur des Sicherheitsbe-

wusstseins schaffen 422Skripts entwickeln 431Social Engineering-Angriffe identifi-

zieren 420Software aktualisiert halten 429was zum Audit gehört und was

nicht 434Wert von Informationen wissen 425

Scheckzerrissener 54

Schlagschlüssel 332Schlangenspitze 327Schloss 326

elektronisches 331Funkionsweise 326magnetisches 331öffnen 326

Schlossöffnungmagnetische und elektronische

Schlösser 331Padlock Shims 333Tools 332üben 328

Schlusslogischer 126

Schredder 65Schuldgefühl 318Schulungsprogramm

für Sicherheitsbewusstsein 420Sekte

Manipulation 316Selbstvertrauen

situatives 115Server

öffentlicher 60Suche nach 59

Shannon, Claude 71Shannon-Weaver-Modell 72

Bestandteile 72Shodan-Suchmaschine 59Shove Knife 332Sicherheit

Bewusstseinskultur schaffen 420durch Aufklärung 21

459

Stichwortverzeichnis

460

Hacker vs. Kollegen als Bedrohung der Sicherheit 24

schwerwiegende Mängel 24Sicherheitsbewusstsein 420

Kultur schaffen 420Sicherheitslücke

in Software patchen 430Sinn

Denkmodus 141dominierenden erkennen 145dominierender 144körperlicher 140

Formen des Denkens 139Submodalität 141

Sinneswahrnehmunggesteigerte 237

Skitka, Linda 292Skizze 120Skript 361

neuer Code 180zur Prävention und Schadensbegren-

zung entwickeln 431Slaney, Malcolm 224Smart, Jamie 233Smartphone

standortbasierte Informationen 62Snow, David 280

Rasterverstärkung 284Social Engineer

Arbeit mit Skripten 361Ärzte 41Denken wie ein 53Hacker 39Identitätsdiebe 40Kommunikation 75Mikroexpressionen nutzen 169Penetrationstester 39Personalvermittler 40Psychologen 41Rechtsanwälte 41Regierungen 41Spione 40Tools 325Trickbetrüger 40verärgerte Angestellte 40Verkaufspersonal 41verschiedene Typen 39Werkzeuge 338

Social Engineer Toolkit (SET) 351Social Engineering

Angriffe identifizieren 420Aspekte für Audits 435

Auditziele 432aus Audits lernen 431besten Auditor wählen 436Definition 29, 30Einsatzmöglichkeiten 19Macht des Mangels 36Manipulation 28Tools 325

Öffnungswerkzeuge 326was zum Audit gehört und was

nicht 434Werkzeuge 338Zwecke des Frameworks 42

Social Engineering Toolkit (SET)Phishing 352Web Attack Vector 354

Social Engineering-Framework 22Social Media 61

Blippy 62Facebook 62LinkedIn 62MySpace 62PleaseRobMe 62Twitter 62

Social Proof 268Candid Camera 271Definition 34Gleichartigkeit 272Lachen vom Band 270Schmerztoleranz 271Trinkgeld 270Ungewissheit 272

Social Security Administration (SSA) 378Social-Media-Site 58Software

Maltego 68Patches 430Profiling-Software 67Updates 429Upgrades 420

Sozial (Definition) 30Soziale Angststörung 299Soziale Autorität 256Sozialer Anreiz 310Soziales Netzwerk 311Sozialversicherungsnummer

illegale Nutzung 131Recherchedienste 64

Spanner 327Spendenaufruf

Beeinflussung 248

Stichwortverzeichnis

Spiegeln 200von Mikroexpressionen 169

SpielkasinoKonsistenz 259

Spion 40Spontaneität 124SpoofApp 360SpoofCard 120, 359Spoofen

Anruferidentifikation 358Sprache

in NLP 181SpyHawk SuperTrak GPS TrackStick 340Standortbasierte Information 62Stevens, Tom G.

situatives Selbstvertrauen 115Stimme

beim Verhör 188NLP 181ultimative 182

Stoischer Blick 162Strafe

immaterielle verteilen 318Submodalität 141Suchmaschine 59

Google 59Shodan 59

Symbolder Autorität 257

Sympathisierender Ansatzbei Verhören 194

TTäuschung

aufdecken 171Handgesten 175Verhaltensänderungen 175Widersprüche 172, 174

Teensy HID 356Telefonnutzung 119Telephone Records and Privacy Protection

Act von 2006 131Terrorbekämpfung

Framing 274The Real Hustle, TV-Show 85Themenentwicklung 190Thriving Office 120Tomkins, Silvan 148Tool

Anruferidentifikation spoofen 358Asterisk 360

AufzeichnungsgerätAudio 335Video 335

GPS-Tracker 339Kamera 335Online-Informationsbeschaffung 347

Maltego 348Passwort-Profiler 362Pretexting 134Skript 361Social Engineer Toolkit (SET) 351SpoofApp 360SpoofCard 359SpyHawk SuperTrak GPS Track

Stick 340Top Secret-Fallstudie 1 399Top Secret-Fallstudie 2 408Tostitos-Logo 278Transaktionales Kommunikationsmodell

nach Balmund 74Traurigkeit 161Trickbetrüger 40Trinkgeld

Social Proof 270Tupperware-Party 264Turtles All the Way Down (DeLozier) 179

UÜben

als Grundvoraussetzung beim SE 339Übereinstimmung 268Überraschung 159

Angst 156Übertreibender Ansatz

bei Verhören 196Ultimative Stimme 182Umgebung

beobachten für Beeinflussung 237der Zielperson kontrollieren 315der Zielperson steuern 295

Umweltbewegungprogressive 286

Unterschiedzwischen Hören und Lauschen 203

Unterschwelliges Framing 277Unterstellung

bei positiver Manipulation 321Update

von Software 430USB-Stick

akzeptieren 77

461

Stichwortverzeichnis

462

VVerachtung 154Verärgerter Angestellter 37, 40Vergangenheit

Zeitform bei Negativem 322Verhalten

Änderungen 175von Emotionen entkoppeln 320

Verhöraggressiver Ansatz 194Alibi ausdünnen 197alternative Route präsentieren 192Ansatz, das Gesicht zu wahren 195Augen 188direkter Ansatz 193egoistischer Ansatz 196emotionaler Ansatz 194Endziel 197Fragen zur Vorbereitung 197Grundlinie der Zielperson 189Haltung von Armen und Händen 201Hände/Füße 188Handgesten 201Hautfarbe 188indifferenter Ansatz 195indirekter Ansatz 193kombinierter Ansatz 195Kopfhaltung 188Körperhaltung 188logischer Ansatz 194Merkblatt des amerikanischen Vertei-

digungsministeriums 193Mund/Lippen 188Primärsinn 188Stimme 188sympathisierender Ansatz 194übertreibender Ansatz 196Unterschied zu Interview 186Worte 188

Verkäuferund Social Engineers 47

Verkaufspersonal 41Vernehmung 138Verpflichtung

Reziprozität 242Verstärkung

positive 267Verteidigungsministerium

amerikanisches Handbuch für Ver-höre 193

Vertrauliche Datenin E-Mails 23

Verwendungvon Pronomen 189

Videoaufzeichnung 336Visueller Denker 141

Submodalitäten 142Vontu

vertrauliche Daten in E-Mails 23

WWahrnehmung

Framing 275Wahrnehmungsfilter 179warm lead 47Weaver, Warren 71Web Attack Vector

mit Social Engineering Toolkit (SET) 354

WebsiteICanStalkU.com 62Lockpicking 327mit persönlichen Informationen 34öffentliche Berichte 64öffentliche Server 60persönliche 58PleaseRobMe.com 62Recherchedienste 64Schlösser öffnen 327Social Media 61Suchmaschinen 59von Firmen 58www.social-engineer.org 22zur Informationssammlung 34

WerkzeugPicks 327Spanner 327

Westbury, Chris 237Who’s Your Daddy (WYD) 67Whois 60Widerrede

bei Verhören 191Widerspruch 172Winston, Joel 133Withgott, Margaret 224Wizards-Projekt 148Wong, Kelvie 49Wort

beim Verhör 188Wut 150

Stichwortverzeichnis

ZZeichen

bei Verhören 188Zeitform

der Verben 189Verwendung in Verhören 189Wechsel 189

ZielBeeinflussung 231für Audits 432Überredung 231

ZielpersonAufmerksamkeit bekommen 192beim Sprechen nicht unterbrechen

205einschüchtern 318Grundlinie bei Verhören 189

Zinbarg, Richard E. 169Zitat

als direkte Instruktion 227Zögern 174Zugeständnis 247

bedingtes 248in Raten 248kennzeichnen 247Reziprozität 247

ZuhörenAblenkungen 204angemessen reagieren 206Aufmerksamkeit 204eigene Emotionen im Griff haben

206Feedback geben 205Gegenüber nicht unterbrechen 205Hinweise aufs Hören 205reflektierte Reaktion 207

Zulassungsstelle hacken 370Zuschauereffekt 268Zustand 179Zweifel

säen 296zygomaticus major (Muskel)

beim Lächeln 164

463

http://www.mitp.de/9167