Atbash
17.02.2009, 23:10
Wenn man das SE-Forum so anschaut, könnte man meinen der Großteil kann sich unter dem eigentlichen Begriff Social Engineering garnichts Richtiges vorstellen.
Das ist allerdings schon Thema eines anderen Threads, ich möchte mich in diesem kleinen Tutorial ein wenig mit der Vorgehensweise eines Social Engineers beschäftigen.
Dies ist erstmal Teil [1], und soll die Anfäge für einen erfolgreichen SE-Angriff genauer darstellen. Wenn ihr vielleicht meint, dass solche Posts die verkommene SE-Section bereichern würden, könnte ich ja mal darüber nachdenken einen zweiten Teil zu machen. :)
So, jetzt aber ab in die Materie...
Vorgehen eines Social Engineers
Phase I - Informationsbeschaffung
Auch wenn die spezielle Vorgehensweise bei der Ausarbeitung eines Angriffes gegen eine Organisation stark von der Struktur des Opfers abhängig ist, beginnt man eigentlich immer erst einmal mit der Informationsbeschaffung.
Hierfür werden alle öffentlich zugänglichen und legalen Quellen nach Möglichkeit bis zur Gänze ausgeschöpft.
Beispiele dafür wären:
-> Internet - Informationsmedium Nr. 1
-> PR-Abteilung
-> Geschäftsberichte (bspw. Börsenberichte, Umsatzberichte etc.)
-> Zeitungsartikel und -archive
-> ggf. Firmenbesichtigungen
Diese erste Phase der Erkundung kann sehr viel Zeit in Anspruch nehmen, unter Umständen vergehen sogar Wochen mit der Recherche.
Ziel der Phase ist eine bestmögliche Durchleuchtung der Infrastruktur der Opferorganisation. Dazu gehören:
-> organisatorischer Aufbau
-> personeller Aufbau
-> Beziehungen zu Lieferanten/Partnern/Kunden/Supportfirmen
Je sorgfältier die erste Phase, desto schneller und reibungsloser die folgenden.
Phase II - tech. Informationsbeschaffung
In der zweiten Phase werden typische Footprintingmethoden angewendet...
Portscans, Whois-Abfragen... etc. pp.
Footprinting soll aber nun nicht Umstand dieses Topics werden, denn das gehört woanders rein.
Phase III - die ersten Angriffe
In der dritten Phase beginnen die eigentlichen SE-Attacken. Diese dritte Etappe kann umso genauer, und zielführener durchgeführt werden, desto sorgfältiger die ersten beiden Phasen ausgearbeitet wurden.
Der SE nutzt Fernkommunikationsmedien, wie Telefon, eMail, Post etc. um an weitere Informationen zu gelangen. Er schütz sich indem er die Identität eines Dritten annimmt (Lieferant, Kunde, Mitarbeiter etc. ... )
Es werden keine Passwörter, Benutzerkonten und das Übliche abefragt. Viel mehr geht es darum mehr über die internen Abläufe der Organisation erfahren.
-> Organisatorische Abläufe
-> Technische Abläufe
-> Fragen der Gebäudesicherheit
-> Marktstrategie des Unternehmens/der Organisation
usw.
Sollte der SE durch genannte Techniken noch nicht an die erhofften Informationen gekommen sein, beginnt Phase IV - Die Vorortaktivität.
...
so das war es erstmal von meiner Seite - ist ja auch schon spät :)
Ich hoffe dieses Einführungstut hat euch gefallen.
Über Feedback wäre ich natürlich sehr erfreut.
Des Weiteren erhebt dieses Tut natürlich keinerlei Absolutheitsansprüche - wenn etwas verbesserungspflichtig ist, einfach mitteilen, und es wird geändert.
Vielleicht gibt es ja noch eine Fortsetzung.
so far
atbash
Das ist allerdings schon Thema eines anderen Threads, ich möchte mich in diesem kleinen Tutorial ein wenig mit der Vorgehensweise eines Social Engineers beschäftigen.
Dies ist erstmal Teil [1], und soll die Anfäge für einen erfolgreichen SE-Angriff genauer darstellen. Wenn ihr vielleicht meint, dass solche Posts die verkommene SE-Section bereichern würden, könnte ich ja mal darüber nachdenken einen zweiten Teil zu machen. :)
So, jetzt aber ab in die Materie...
Vorgehen eines Social Engineers
Phase I - Informationsbeschaffung
Auch wenn die spezielle Vorgehensweise bei der Ausarbeitung eines Angriffes gegen eine Organisation stark von der Struktur des Opfers abhängig ist, beginnt man eigentlich immer erst einmal mit der Informationsbeschaffung.
Hierfür werden alle öffentlich zugänglichen und legalen Quellen nach Möglichkeit bis zur Gänze ausgeschöpft.
Beispiele dafür wären:
-> Internet - Informationsmedium Nr. 1
-> PR-Abteilung
-> Geschäftsberichte (bspw. Börsenberichte, Umsatzberichte etc.)
-> Zeitungsartikel und -archive
-> ggf. Firmenbesichtigungen
Diese erste Phase der Erkundung kann sehr viel Zeit in Anspruch nehmen, unter Umständen vergehen sogar Wochen mit der Recherche.
Ziel der Phase ist eine bestmögliche Durchleuchtung der Infrastruktur der Opferorganisation. Dazu gehören:
-> organisatorischer Aufbau
-> personeller Aufbau
-> Beziehungen zu Lieferanten/Partnern/Kunden/Supportfirmen
Je sorgfältier die erste Phase, desto schneller und reibungsloser die folgenden.
Phase II - tech. Informationsbeschaffung
In der zweiten Phase werden typische Footprintingmethoden angewendet...
Portscans, Whois-Abfragen... etc. pp.
Footprinting soll aber nun nicht Umstand dieses Topics werden, denn das gehört woanders rein.
Phase III - die ersten Angriffe
In der dritten Phase beginnen die eigentlichen SE-Attacken. Diese dritte Etappe kann umso genauer, und zielführener durchgeführt werden, desto sorgfältiger die ersten beiden Phasen ausgearbeitet wurden.
Der SE nutzt Fernkommunikationsmedien, wie Telefon, eMail, Post etc. um an weitere Informationen zu gelangen. Er schütz sich indem er die Identität eines Dritten annimmt (Lieferant, Kunde, Mitarbeiter etc. ... )
Es werden keine Passwörter, Benutzerkonten und das Übliche abefragt. Viel mehr geht es darum mehr über die internen Abläufe der Organisation erfahren.
-> Organisatorische Abläufe
-> Technische Abläufe
-> Fragen der Gebäudesicherheit
-> Marktstrategie des Unternehmens/der Organisation
usw.
Sollte der SE durch genannte Techniken noch nicht an die erhofften Informationen gekommen sein, beginnt Phase IV - Die Vorortaktivität.
...
so das war es erstmal von meiner Seite - ist ja auch schon spät :)
Ich hoffe dieses Einführungstut hat euch gefallen.
Über Feedback wäre ich natürlich sehr erfreut.
Des Weiteren erhebt dieses Tut natürlich keinerlei Absolutheitsansprüche - wenn etwas verbesserungspflichtig ist, einfach mitteilen, und es wird geändert.
Vielleicht gibt es ja noch eine Fortsetzung.
so far
atbash