Social Engineering

aus HaBo WiKi, der freien Wissensdatenbank von http://www.hackerboard.de
Wechseln zu: Navigation, Suche

Social Engineering (auch Social Hacking oder People Hacking) beschreibt eine Angriffsart zum Erlangen vertraulicher Informationen mittels sozialer Kontakte. Der Angreifer täuscht dem Opfer dabei eine bestimmte vertrauenswürdige Identität vor um an die gewünschten Informationen zu gelangen.


Grundsätzlich gliedert sich dieses Thema in 3 Bereiche: Human Based Social Engineering, Computer Based Social Engineering und Reverse Social Engineering.

Human Based Social Engineering

Bei dem Human Based Social Engineering handelt es sich um die eigentliche, klassische Form des Social Engineering. Hierbei nutzt der Angreifer direkte, soziale Konversation mit seinem Opfer, etwa per Telefon, um an die gewünschten Informationen zu gelangen. Oft gibt er sich dabei als ein Mitarbeiter einer anderen Abteilung, Manager, Reparaturdienst oder IT Support aus. Die wichtigen Hintergrundinformationen, die unerlässlich sind um glaubwürdig zu erscheinen, beschafft er sich z.B. von öffentlich ausgehängten Dienstplänen, der Webseite des Unternehmens, Türbeschriftungen, dem Help-Desk oder auch aus dem Müll ("trashing" oder "dumpster diving" genannt). Nicht selten finden sich im Firmenmüll Dinge wie veraltete interne Telefon-, Adress- oder Notizbücher, alte Dienst- oder Urlaubspläne, Kalender, Ausdrucke verschiedenster Dokumente, Handbücher oder Datenträger.


Computer Based Social Engineering

Das Computer Based Social Engineering wird hauptsächlich im Internet begangen. Hierbei wird über eine Webseite, Popup, Email oder andere technische Methoden versucht, dem User eine vertrauenswürdige Quelle zu suggerieren. Meist wird der User darüber aufgefordert bestimmte Login-Daten preiszugeben oder manipulierte Software zu downloaden. Beispiele hierfür sind gefälschte Webseiten bestimmter Dienstanbieter wie z.B. Freemail-Anbieter, Popups, die den User auffordern, sich aufgrund einer abgelaufenen Session, erneut einzuloggen oder gefälschte Emails aus vermeintlich vertrauenswürdigen offiziellen Quellen, die zur Angabe von bestimmten persönlichen Daten auffordern. (siehe auch Phishing)

Reverse Social Engineering

Beim Reverse Social Engineering verursacht der Angreifer ein Problem um anschließend als fiktive Autoritätsperson aufzutreten, die mit der Lösung dieses Problems beauftragt worden sei. Ziel dieser Aktion ist es, die Hilfsbereitschaft der betroffenen Opfer auszunutzen, die natürlich an einer möglichst schnellen Lösung des Problems interessiert sind. Überstürzt, ohne viel nachzudenken, werden dem Angreifer dabei bereitwillig alle Informationen geliefert, die er „zur Lösung des Problems“ benötigt. Auch hierfür sind wieder fundierte Hintergrundinformationen notwendig, um glaubwürdig erscheinen zu können.


Methoden und Leitlinien eines Social Hackers

Die Methoden eines Social Hackers lassen sich wie folgt zusammenfassen.

  • Recherchieren von Hintergrundinformationen
  • Vortäuschen einer Autoritätsperson
  • Auftreten als Problemlöser in der Not
  • Kommunikation im Fachjargon des Unternehmens
  • Vertrauensgewinnung des Opfers
  • Personen ohne Fachwissen zu sicherheitsgefährdenden Taten verleiten


Als generelle Leitlinien eines Social Hackers gelten folgende Punkte:

  • Sei professionell: Sei überzeugt von deiner Geschichte die du verkaufst. Erschaffe eine Illusion.
  • Sei ruhig: Lass sie glauben du bist einer von ihnen.
  • Kenne deine Zielperson: Weiß schon im Vorfeld wie die Person reagieren wird und richte deine Strategie danach aus.
  • Versuche nicht eine überlegene Person zu täuschen.
  • Plane den Rückzug: Geht etwas schief, erscheint etwas verdächtig, lass das "Kartenhaus" nicht einstürzen. Schütze deine Quellen, erstelle einen Notplan.
  • Sei eine Frau: Es ist bewiesen, dass Frauen am Telefon vertrauenswürdiger erscheinen. Nutze dies zu deinem Vorteil. Wenn nötig, lass dir von einer Frau helfen.
  • Manipuliere die Leichtgläubigen und Dummen.
  • Trete im Team auf: Sei nicht arrogant, benötigst du Hilfe von anderen, nimm sie in Anspruch.

Links und Literatur

http://www.heise.de/newsticker/meldung/15637

http://www.heise.de/newsticker/meldung/24127

http://www.tecchannel.de/news/themen/business/417836/

http://www.computerworld.com.au/index.php/id;1016567243;fp;16;fpid;0

http://www.amazon.de/exec/obidos/ASIN/3826609999/ref=ase_ithelpnet0f-21/028-8451936-5534941