rob00n
10.06.2007, 17:27
da hab ich doch auch no son dingens auffer platte xD
Der folgende Text dient nur der Bildung. Der Author übernimmt keinerlei
Verantwortung dafür was Individuen mit der Information anstellen.
Was ist Social Engineering?
Für einige mag "Social Engineering" ein Begriff sein, für andere nicht. Wie auch immer, dies hier ist eine Einleitung, und der erste Teil einer Serie von Tutorials über das Thema. Nur zur Info., ich habe dieses Zeug bei einer Privatdetektei in England gelernt, und werde in etwa das wiedergeben was mir in meinen Lehrgängen dort beigebracht wurde. Ich möchte nur noch hinzufügen daß diese Methoden auch wirklich von Behörden und dergleichen in der Praxis angewandt werden.
Celtic Hero, 08.2000.
Eine Erläuterung des Begriffes "Social Engineering"
"Social Engineering" ist Englisch. Übersetzt heißt es in etwa "Soziale Architektur" oder "Soziale Manipulation". Es bedeutet Irgendjemanden oder Irgendetwas dazu zu bringen dir das zu sagen was Du wissen möchtest, wobei Du meist die gewünschte Information nicht wissen solltest, z.B. Paßwörter, Kreditkartendetails, usw.
Dazu verwendet man unzählige Hilfsmittel, unter anderem das Telefon, den PC, die Post, uvm. Im Idealfall merkt das Subjekt noch nicht einmal daß es Dir etwas sagt das es nicht soll.
Wozu Social Engineering gut sein soll?
So einige Leutchen werden sich jetzt vielleicht fragen wozu das ganze gut sein soll. Ich werde es jetzt einmal schonend sagen. Wenn einer von euch der Meinung ist das Hacking so wie in Hollywood abläuft, von wegen gänzlich vom Computer aus, der sollte dieses hier mal lesen. Das Internet ist nicht wie in Shadowrun oder irgendein Gibson Roman, es gibt Grenzen wieweit man mit einem Computer kommen kann. Bruteforce Hacking ist lahm und unsicher (was für Lamerz). Automatisierte Codeknackerprogramme sind langsam und funktionieren bei neureren Systemen nicht mehr. Nicht alle Daten sind im Net oder Digital festgehalten, und einige Systeme sind so gut wie Einbruchsicher.
Es sei denn......
Man bekommt das Paßwort gesagt, oder man weiß genug über jemanden um zu wissen was für ein Paßwort er nehmen würde.
Social Engineering halt!
Social Enginnering in der Praxis.
Wie gesagt, in dieser Einleitung werden wir die Thematik nur grob anschneiden. Detaillierte Tutz werden aber folgen, aber hier der ungefähre Ablauf.
Man muß irgendeinen Anhaltpunkt haben. Eine Webaddresse kann vielleicht schon reichen, eine Name wäre besser. Man macht in der Regel Fake Anrufe, sprich wenn man irgendeine Info rauskriegen will tut man so als wäre man jemand der berechtigt ist diese Info zu haben. Es ist wichtig dabei daß man keine Rufnummer überträgt (absolut wichtig). Angenommen man möchte eine Bestätigung haben ob jemand wirklich da wohnt wo man meint. Man ruft an und tut so als wäre man UPS. Man sagt ein Paket wäre morgens geliefert worden, aber es war keiner da. Das Subjekt sagt vielleicht stimmt, oder es wäre da gewesen. Also man sagt es sei ein versichertes Paket und müßte von der bestimmten Person angenommen werden, du bräuchtest die Bestätigung das diese person da auch zu erreichen wäre. So, höchstwarscheinlich hast Du jetzt deine Antwort. Wir werden bald ins Detail gehen.
Nur als Bemerkung. Ein ehemaliger hacker in Kalifornien (weiß den Namen nicht mehr) verdient sein Unterhalt damit daß er Internetsicherheit für Firmen prüft. Eine Firma in den USA setzte eine Belohnung aus von $100,000 für denjenigen der es knacken könnte. Er brauchte 30 Minuten. Ein Kamerateam war dabei. Er suchte in Usenet-Gruppen nach dem Namen der Firma, und fand eine E-Mail Addresse soundso@firma.com.
In der Annahme daß viele Firmen ihren Angestellten die selbe E-Mail Addresse geben wie ihr Username rief er bei der Firma an. Er ließ sich mit dem Netzwerkadmin. verbinden, und erzählte ihm er wäre derundder Mitarbeiter mit demundden Usernamen. Er hätte gerade ein PC zuhause gekauft und wollte von zuhause aus ins Firmennetz, hätte sein Paßwort aber in der Firma. Det Admin. gab ihm das Paßwort und..... naja, ihr wißt schon.
Social Engineering.
Der folgende Text dient nur der Bildung. Der Author übernimmt keinerlei
Verantwortung dafür was Individuen mit der Information anstellen.
Was ist Social Engineering?
Für einige mag "Social Engineering" ein Begriff sein, für andere nicht. Wie auch immer, dies hier ist eine Einleitung, und der erste Teil einer Serie von Tutorials über das Thema. Nur zur Info., ich habe dieses Zeug bei einer Privatdetektei in England gelernt, und werde in etwa das wiedergeben was mir in meinen Lehrgängen dort beigebracht wurde. Ich möchte nur noch hinzufügen daß diese Methoden auch wirklich von Behörden und dergleichen in der Praxis angewandt werden.
Celtic Hero, 08.2000.
Eine Erläuterung des Begriffes "Social Engineering"
"Social Engineering" ist Englisch. Übersetzt heißt es in etwa "Soziale Architektur" oder "Soziale Manipulation". Es bedeutet Irgendjemanden oder Irgendetwas dazu zu bringen dir das zu sagen was Du wissen möchtest, wobei Du meist die gewünschte Information nicht wissen solltest, z.B. Paßwörter, Kreditkartendetails, usw.
Dazu verwendet man unzählige Hilfsmittel, unter anderem das Telefon, den PC, die Post, uvm. Im Idealfall merkt das Subjekt noch nicht einmal daß es Dir etwas sagt das es nicht soll.
Wozu Social Engineering gut sein soll?
So einige Leutchen werden sich jetzt vielleicht fragen wozu das ganze gut sein soll. Ich werde es jetzt einmal schonend sagen. Wenn einer von euch der Meinung ist das Hacking so wie in Hollywood abläuft, von wegen gänzlich vom Computer aus, der sollte dieses hier mal lesen. Das Internet ist nicht wie in Shadowrun oder irgendein Gibson Roman, es gibt Grenzen wieweit man mit einem Computer kommen kann. Bruteforce Hacking ist lahm und unsicher (was für Lamerz). Automatisierte Codeknackerprogramme sind langsam und funktionieren bei neureren Systemen nicht mehr. Nicht alle Daten sind im Net oder Digital festgehalten, und einige Systeme sind so gut wie Einbruchsicher.
Es sei denn......
Man bekommt das Paßwort gesagt, oder man weiß genug über jemanden um zu wissen was für ein Paßwort er nehmen würde.
Social Engineering halt!
Social Enginnering in der Praxis.
Wie gesagt, in dieser Einleitung werden wir die Thematik nur grob anschneiden. Detaillierte Tutz werden aber folgen, aber hier der ungefähre Ablauf.
Man muß irgendeinen Anhaltpunkt haben. Eine Webaddresse kann vielleicht schon reichen, eine Name wäre besser. Man macht in der Regel Fake Anrufe, sprich wenn man irgendeine Info rauskriegen will tut man so als wäre man jemand der berechtigt ist diese Info zu haben. Es ist wichtig dabei daß man keine Rufnummer überträgt (absolut wichtig). Angenommen man möchte eine Bestätigung haben ob jemand wirklich da wohnt wo man meint. Man ruft an und tut so als wäre man UPS. Man sagt ein Paket wäre morgens geliefert worden, aber es war keiner da. Das Subjekt sagt vielleicht stimmt, oder es wäre da gewesen. Also man sagt es sei ein versichertes Paket und müßte von der bestimmten Person angenommen werden, du bräuchtest die Bestätigung das diese person da auch zu erreichen wäre. So, höchstwarscheinlich hast Du jetzt deine Antwort. Wir werden bald ins Detail gehen.
Nur als Bemerkung. Ein ehemaliger hacker in Kalifornien (weiß den Namen nicht mehr) verdient sein Unterhalt damit daß er Internetsicherheit für Firmen prüft. Eine Firma in den USA setzte eine Belohnung aus von $100,000 für denjenigen der es knacken könnte. Er brauchte 30 Minuten. Ein Kamerateam war dabei. Er suchte in Usenet-Gruppen nach dem Namen der Firma, und fand eine E-Mail Addresse soundso@firma.com.
In der Annahme daß viele Firmen ihren Angestellten die selbe E-Mail Addresse geben wie ihr Username rief er bei der Firma an. Er ließ sich mit dem Netzwerkadmin. verbinden, und erzählte ihm er wäre derundder Mitarbeiter mit demundden Usernamen. Er hätte gerade ein PC zuhause gekauft und wollte von zuhause aus ins Firmennetz, hätte sein Paßwort aber in der Firma. Det Admin. gab ihm das Paßwort und..... naja, ihr wißt schon.
Social Engineering.