Ergebnis 1 bis 6 von 6
  1. #1
    Stanley Jobson Avatar von Lidloses_Auge
    Registriert seit
    05.01.2007
    Beiträge
    750

    Standard Basis-Methoden des Social Engineering - Eine Zusammenfassung von Auge

    Ich poste meinen Text nocheinmal, da er durch das alte Backup nicht mehr hier verfügbar war...






    Die Welt ist übersäht mit Fehlern.
    Sie treffen jeden und überall.
    Machen keinen Halt vor wirtschaftlichen Entwicklungen, Kriegen und Krisen.
    Ob auf dem Schreibtisch des Regierenden, Top-Managern, oder auf großen Ansprachen - Fehler können leicht entstehen.
    Die Quelle aller Fehler ist aber meistens dieselbe: Der Mensch

    Er neigt zu Fehlentscheidungen , Irrtümern, und Prognosen, die keine sind.
    Die Ursache ist eine Stufe unserer Entwicklung, die uns zum Individuum macht, die Emotion.

    Beeinflussung findet um uns herum statt, zumeist intuitiv und subtil, um auf sein Gegenüber zu reagieren.
    Die Welt lebt von der Information, dessen Besitz zu großer Macht und Ansehen führen kann.
    Keine Methode ist daher sinnvoller, um an Informationen zu kommen, als die Schwachstellen des Menschen auszunutzen, und bei dem Punkt anzufangen, an dem die Selbstkontrolle des menschlichen Empfindens endet.
    Die Anwendungsfelder sind hierbei nahezu unendlich, hervorgerufen durch die vielen Faktoren, die unser tägliches Leben bestimmen, und immer wieder aufs neue auf die Entscheidungsfähigkeit einzelner Personen angewiesen sind.

    Zunächst sollte man generell ein psychologisches Gespür haben, redegewandt und rhetorisch begabt sein. Informationen fliegen einem in der Regel nicht zu, und um selbige zu bekommen benötigt man Ausdauer und viel Kreativität.
    Natürlich kann man den ganzen Prozess in einer Form einteilen und kategorisieren – Die folgende Auflistung soll nun einige Basismethoden aufzeigen:


    • Mimikri


    Mimikry ist eigentlich ein Begriff der Biologie, der ein Verhalten von Tierarten bezeichnet, die andere Arten nachahmen und zu imitieren versuchen.
    Beispiele für dieses Verhalten sind eine Reihe von Tiefseefischen, die mittels eines leuchtenden Fortsatzes auf dem Kopf, kleine Würmer oder Plankton nachahmen um Beute anzulocken, oder Schmetterlinge, dessen Muster auf den Flügeln, dem Feind vorgaukeln, es mit einem gefährlichen Tier zu tun zu haben.

    Um Informationen zu bekommen ist dieses Verhalten eine äußerst lukrative Goldgrube, da sie sich auf nahezu jeden Persönlichkeitstyp anwenden lässt.
    Zunächst sollte man sein Ziel beobachten, um etwas über seine Verhaltensweisen zu erfahren. Das geht nicht von heute auf morgen, und man sollte zunächst einfach eine lockere Kommunikation mit dem Ziel beginnen, und genau beobachten, wie diese Person redet, charakterlich erscheint, wie ihre Ansichten zur Welt generell sind aber natürlich auch Hobbies und das Privatleben. Mimikry bedeutet in diesem Fall nicht das bloße Kopieren des Gegenübers, welches möglicherweise als Respektlosigkeit interpretiert werden könnte, sondern eher das subtile Vorgehen sich der Persönlichkeit seines Gesprächspartners anzugleichen.

    Redewendungen und kleinere Zwangshandlungen sind ein wunderbarer Ansatz, um ins Vertrauen mit dem Gegenüber zu kommen.
    Der Mensch ist intuitiv so programmiert, er sich in einer gewohnten Umgebung wohlfühlt.
    Dies tritt, analog dazu, auch bei dem Wiederfinden seiner eigenen Ansichten, und Angewohnheiten, bei anderen Personen auf, und baut automatisch ein gewisses Basisvertrauen auf.
    Es hilft hierbei schon, Floskeln und Handlungen des Ziels geschickt zu wiederholen, und sich verstärkt auf die Gemeinsamkeiten zu konzentrieren.

    Man unterscheidet hierbei zwischen der bewussten und der unbewussten Beeinflussung.
    Das mitteilen vom gemeinsamen Musikgeschmack, über ähnliche politischen Ansichten , bis hin zum Traumreiseziel, ist der bewussten Beeinflussung zuzuschreiben, da man das Ziel direkt zu einer Wertung „zwingt“ und weil die Kommunikation in ihrer wörtlichen Form generell ein sehr direkter Weg ist, die Information zu vermitteln.
    Die Unbewusste Beeinflussung beschreibt eher das Mitteilen seines eigenen Verhaltens, durch lockeres, freundliches Auftreten, Zuverlässigkeit und bei Bedarf auch den Anwendungen des Mimikry.

    Hat man es etwa mit einer gebildeten Person mittleren Alters zu tun, ist es unumgänglich auf Formalitäten zu achten, nicht respektlos zu erscheinen und besonders im Gebiet Rhetorik, Kraftwörter und Slangbegriffe zu vermeiden.

    Selbstverständlich ist dieser strikte Rahmen nicht immer vonnöten, sei es zum Beispiel in einem Konfliktgespräch mit einem Teenager:
    Vertrauen gewinnen kann der Sprecher eher durch das Zeigen von Verständnis für die Situation des Heranwachsenden. Anstatt also den sprichwörtlichen Teufel an die Wand zu malen, ist es nie verkehrt sich für das Umfeld der Person zu interessieren, dieses zu hinterfragen. Rhetorisch lässt sich auf subtile Art und Weise natürlich sehr gut Vertrauen gewinnen, allein durch benutzen derselben Wortwahl und Gestiken.


    Diese Form erfordert in der Regel eine längere Aufbauphase, da es beim Mimikry besonders auf das Vertrauen ankommen. Ist man zeitlich also nicht sehr eingeschränkt sollte man diese Methode unbedingt ausprobiert haben.


    • Hektik


    Sie begleitet uns durch das tägliche Alltagsleben, ganz gleich ob der Chef einen Stapel Arbeit bereit hält, oder der Lehrer umfangreiche Aufgaben stellt.
    Hektik ist dort, wo Arbeit und Zeitdruck aufeinandertreffen und Menschen in Hektik neigen dazu, mit Scheuklappen durch die Welt zu rennen und möglichst schnell ihre Arbeit beenden zu wollen.
    Den meisten Menschen, die in Hektik sind, begegnet man nur ungerne, doch in diesem Falle, wird er zum schwächsten Glied der Kette.
    Beispiel:
    Ein Unternehmen besitzt einige Räume, dessen Zugang nur durch Karten oder Schlüssel gewährleistet ist, die auch nur ranghöhere Mitarbeiter besitzen.
    Allerdings wäre es hochinteressant einen Blick ins Innere zu werfen, und man benötigt etwas Hilfe.
    Wenn man das Unternehmen kennt, weiß man auch, wer Zugang zu den entsprechenden Räumen hat. Ist dieser Mitarbeiter dann sogar noch relativ neu, wird er unsicherer sein, als seine Kollegen, die schon länger im Betrieb sind.
    Das wichtigste ist, den Moment abzupassen, wenn der Mitarbeiter eigentlich gar keine Zeit hat, und sowieso nur schnell etwas erledigen möchte.
    Hier greift man dann schnell ein:
    „Entschuldigen Sie, ich möchte Sie gar nicht lange stören. Ich müsste nur einmal kurz in den Serverraum .. den Mailclient neustarten.“
    So, oder anders, könnte man zum Beispiel dem Mitarbeiter begegnen.
    Wenn dieser wirklich keine Ambitionen hat sich großartig darum zu kümmern, und ihm die Arbeit über den Kopf wächst, wird er schnell den Raum aufsperren, und weiter seiner Arbeit nachgehen. Das ist keine Garantie, doch neigen Menschen in Hektik dazu ihre moralischen Verpflichtungen und Verantwortungen beiseite zu schieben.


    • Rhetorik und ihre Wirkung


    Es ist entscheidend, wie man mit Leuten kommuniziert, besonders wenn man Informationen erlangen will.
    Sind diese Informationen gar geheim, müssen ein paar Basics bereits vorhanden sein, damit man nicht in Schwierigkeiten gerät.

    -Aufregung ist auffällig. Möchten sie geheime Daten erschleichen, muss das Gespräch abgeklärt wirken. Verhaspelt man sich, oder gerät ins Stottern, wird der Gesprächspartner misstrauisch und verweigert sich dem Gespräch, oder ergreift sogar Maßnamen, die den Angreifer in große Schwierigkeiten bringen können.
    -Man sollte spontan sein. Ändert der Partner seine Meinung, oder beginnt unangenehme Fragen zu stellen, darf man um keine falsche Antwort verlegen sein, und so antworten, als wäre alles völlig legitim.

    Möchte man zum Beispiel das Passwort des Servers in Erfahrung bringen, ist es oft ein sinnvoller Ansatz, dem Gegenüber subtil mitzuteilen, dass man das Passwort ja eigentlich schon kennt, aber vergessen hat.
    Verbunden mit einer ruhigen und entspannten Stimmlage wird das Opfer vermutlich auch kein Misstrauen schöpfen.

    „Ich werde gerade schnell ein Backup für Herrn XY machen …. Wie war denn noch mal das Passwort? Ich kann mir so was nie merken.“

    Man muss dem Opfer also das Gefühl geben, dass man über alles Bescheid weiß, und sich nur noch einmal kurz vergewissern möchte.
    Dieses Spielchen lässt sich natürlich mit vielen Mitarbeitern wiederholen, falls die Methode anfangs nicht funktioniert.
    Gerade Satzfragmente wie „eben schnell“ oder „wie war doch gleich?“ entsprechen dem alltäglichen, unkomplizierten Umgangston, und wirken nicht befremdlich.


    • Der Herr und sein Hund


    Es kann passieren, dass die nette Schiene nicht funktioniert und man muss eine Spur drastischer vorgehen.
    Hier gelten die Stichworte Respekt und Dominanz, denn das Ziel dieses Weges ist es, Präsenz auszustrahlen, und so einfach an Informationen zu kommen.
    Um dies zu verdeutlichen, ein kleines Beispiel:

    An einer Bank gibt es mehrere Möglichkeiten Geld abzuheben.
    Zum einen gibt es Geldautomaten, Kassenautomaten und die Schalter, an denen die Mitarbeiter zu finden sind.
    Der Aspekt „Dominanz“ impliziert, dass man dementsprechend wirken muss.
    Ein Beispiel wäre die Rolle eines vielbeschäftigten Geschäftsmannes, der mit Aktenkoffer, Anzug und viel zu wenig Zeit die Filiale betritt.
    Ziel ist es, zunächst als sehr gestresst zu erscheinen, indem man genau darauf achtet, häufig auf die Uhr zu schauen, umherzulaufen oder eventuell sogar zu telefonieren, während man darauf wartet, dass man an der Reihe ist.
    Da das Abheben am Geldautomaten aber nicht das Ziel ist, denn eventuell ist es nicht die eigene Karte und man hat keine PIN, muss man sich so verhalten, als funktioniere etwas am Automaten nicht richtig, sodass man zu einem der Schalter muss, um Geld abzuheben.
    Schnell muss man sich entscheiden, an welchen Schalter man sich anstellt.
    Unerfahrene jüngere Angestellte sind hier geeigneter, da sie den Arbeitsablauf oft noch nicht gewohnt sind, und sich leichter einschüchtern lassen.
    Hat man den/die richtige/n Angestellte/n gefunden könnte man wie folgt vorgehen:

    Sie: Hallo, wie kann ich Ihnen Helfen?
    Ich: Ich habe folgendes Problem und hoffe sie können mir da schnell helfen.
    Ich benutze nur Online-Banking bei diesem Konto und habe daher meine PIN vergessen und brauche jetzt dringend Bargeld von diesem Konto.
    Sie: Sie können auch Geld am Kassenautomaten abheben und können zusätzlich eine neue Karte beantragen. Denn wenn sie den PIN vergessen haben, ist es das einzige was wir für sie machen können.
    Ich: Entschuldigen sich mich einen Moment (Mein Handy Klingelt)
    Ich: Ja bitte!
    Nein
    OK
    Ich bin noch bei der Bank, das geht hier aber schnell
    Ok, warte du schon beim Anwalt auf mich.
    Ich: Tut mir leid, dann würde ich gerne eine neue Karte beantragen
    und Geld vom Kassenautomaten abheben.
    Sie: Ok, dann folgen sie mir bitte, mein Kollege füllt mit ihnen zusammen
    die Formulare aus.
    Ich: Können Sie dann für mich das mit den Kassenautomaten erledigen?
    Sie: Ja klar.

    Das Ausfüllen der Formulare für eine neue Karte ist nicht notwendig, und man sollte es nur so erscheinen lassen, um kein Misstrauen zu erregen.
    Es wäre denkbar, dass die Angestellte persönliche Informationen wie den Personalausweis benötigt. An dieser Stelle könnte man wieder das Schema „Hektik“ anwenden, und ein wichtiges weiteres Telefonat vortäuschen, und genervt und eilig wirken, so kann man den/die Mitarbeiter/in einschüchtern, sodass man einige Prozeduren umgehen kann.
    Während der Gespräche sollte man sehr selbstsicher und authentisch wirken, sodass man vertrauenswürdig, und zugleich dominant erscheint.
    Mit etwas Glück erreicht man anschließend das Ziel, wenn der/die Mitarbeiter/in das Geldabheben gewähren lässt.
    Das Ausfüllen der Formulare für die neue EC-Karte kann man dann schnell beenden, mit der Ausrede, das man zu einem dringendem Meeting muss.
    Bei dieser Methode wird deutlich, dass man verschiedene Methoden kombinieren kann, um sein Ziel zu erreichen. In diesem Falle „Dominanz“ und „Hektik“.


    • Wie dreht man den Spieß um?


    Gerne wendet man selbst Methoden des Social Engineering an, um Schwächen von Personen auszunutzen und Informationen zu bekommen.
    Doch was passiert, wenn man selbst ins Visier gerät?
    Dies kann bereits bei einem Verkaufsgespräch geschehen, wenn man als „unwissender“ Bürger Beratung bezüglich zukunftsträchtiger Anlagefonds oder Anleihen sucht.
    In diesem Fall sucht sich der Berater die Schwachstellen, und erzählt, wie viel Gewinn man doch machen könnte bei einem so „sicheren und stabilen“ Angebot.
    „Der Fond ist zwar in den letzten Monaten gefallen, aber Untersuchungen haben gezeigt, dass die Lage sich wieder stabilisiert. Dieser Fond hat ein sehr großes Wachstumspotenzial.“
    Diese Sätze kennt man häufig, und wenn der Berater nichts taugt, ist das Geld auch schnell weg – zum einen in der Provision des Beraters und zum anderen im Schuldenloch.
    Zu Lehman Brothers Zeiten waren Kunden die nicht Bescheid wussten ein gefundenes Fressen für die ausgebildeten Rhetoriker. AD-Kunden wurden sie genannt, „Alt und doof“.

    Wie wendet man also das Blatt? Man muss über die Materie bescheid wissen.
    Geht man in ein Gespräch und merkt, dass der Berater nur verkaufen möchte, ist es zum Beispiel möglich, ahnungslos zu tun und nur das beste für sein Kapital zu wollen.
    Man analysiert die Strategie so lange, bis man weiß, wie der Berater sein Geschäft machen möchte, und zeigt dann sein wahres Gesicht. Man hat den Berater längst durchschaut, sich im Kopf bereits imaginäre Notizen gemacht und holt dann zum Rückschlag aus: „Sie sagten dass der Fond […] , ich habe recherchiert und die Risiken sind beträchtlich höher, wie sie es darstellten. […]“
    Man überrumpelt die Zielperson, und macht sich selbst als Opfer unattraktiv.

    Dies kann man auf viele Situationen anpassen und ist eine wirksame Möglichkeit sich selbst zu schützen, allerdings nicht ganz ohne Mühen und Vorwissen.



    Fazit:

    Die hier aufgezeigten Methoden zum erfolgreichen Manipulieren und Kontrollieren von Verhaltensmustern sind essentiell und sehr nützlich, gerade aus dem Grund, dass sie sich ohne Probleme kombinieren lassen.
    All das geht nicht in kurzer Zeit, nach dem Motto: „Ich lerne mal eben dies … und das .. und mache dann .. „ sondern erfordert viel Zeit und Übung.
    Es gibt unzählige weitere Strategien, die denen hier aufgeführten ähneln.
    Eventuell wird es weitere Texte zu diesem Thema geben.

    Mit freundlichen Grüßen
    Lidloses_Auge

  2. Folgende Benutzer haben sich für diesen Beitrag bedankt:

    23Carat (24.07.2010), 3rr0r (25.07.2010), B4n4n4 (16.02.2010), Barny (25.08.2010), BlackCobra (05.05.2010), BlackWolf (03.07.2010), Brot1,2 (21.06.2010), D4NiK (04.06.2010), Luckaffe (31.05.2010), Marex (25.09.2010), mr. unnamed (28.07.2010), nrxpro (05.04.2010), passporttoo (22.04.2010), R60 (25.02.2010), Razzorhead (13.05.2010), TheBeginner (31.03.2010), treibius (17.03.2010), ultimate1337 (31.03.2010), w00tage (08.03.2010), ZEL0S (17.05.2015), ZeroOwner² (25.11.2010)

  3. #2
    Anfänger Avatar von BlackCobra
    Registriert seit
    04.08.2008
    Beiträge
    807

    Standard

    schöner Text. Hast du den selbst geschrieben? wenn ja wo ist der thx button

  4. #3
    we can make the world stop Avatar von maoshe
    Registriert seit
    13.06.2007
    Beiträge
    2.089

    Standard

    danke für den hinweis, lukszi - auf den haben wir offenbar vergessen^^
    (ง ͠° ͟ل͜ ͡°)ง
    Zitat Zitat von Southpark
    ICH FAPP GRAD MAN
    Zitat Zitat von Southpark
    mein SCHPERMA isch AGGRESSIV

  5. #4
    -=Cookies=- Avatar von moppelito
    Registriert seit
    17.07.2009
    Beiträge
    347

    Standard

    wow^^ n1
    wär das nicht ein Text für NovuSec? unter dem Stichwort:


    Becouse there is no patch for human stupidity!
    ???
    Mit dem Wissen steigt die Verantwortung

    [spoiler]
    <?php echo $ip; ?> Das ist wie wenn du am Frühstuckstisch sagen würdest Mama gib mir mal die X rüber!

  6. #5
    Stanley Jobson Avatar von Lidloses_Auge
    Registriert seit
    05.01.2007
    Beiträge
    750

    Standard

    Zitat Zitat von lukszi Beitrag anzeigen
    schöner Text. Hast du den selbst geschrieben? wenn ja wo ist der thx button
    Ja, den habe ich bereits vor einer Weile geschrieben.
    Der THX Button sollte bald wieder auftauchen, hängt mit dem alten Backup zusammen.

    moppelito: Ich habe auch schon überlegt, ob ich es dort posten soll, da es ja thematisch nicht ganz in die Reihe passt. Mal schauen.

  7. #6
    Social Engineering Profi. Avatar von treibius
    Registriert seit
    25.06.2009
    Beiträge
    132

    Standard

    Find ich gut wobei hier der Aspekt mit der Hektik sehr groß ist!
    Daumen Hoch
    Gebeugt erst zeigt der Bogen seine Kraft.
    Franz Grillparzer

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •