Ergebnis 1 bis 6 von 6

Baum-Darstellung

  1. #1
    Oruv rh z Xrksvi Avatar von Atbash
    Registriert seit
    14.10.2008
    Beiträge
    104

    Standard Vorgehensweise eines Social Engineers [Teil 2]

    Hier die Fortführung des ersten Teils ' Vorgehensweise eines Social Engineers '
    Das Scriptum zu diesem Tut ist bei einem kleinen Brainstorming in einem heutigen Moment der Ruhe entstanden, also verbürge ich mich abermals nicht für Vollständigkeit, und möchte keine Absolutheitsansprüche erheben.

    Nun aber los zur...

    Phase IV - Vorortaktivität

    Die Waffen eines Social Engineers

    Hier gebe ich euch mal ein paar Taktiken wie man den Gegenüber so manipulieren kann, dass er a) gewünschte Informationen preisgibt, und b) diese Manipulation so weit wie möglich nicht mitbekommt.

    Dafür gibt es verschiedene Methoden:

    1. Unter Druck setzten
    2. Überzeugend wirken
    3. Überrumpelung
    4. Unwissenheit ausnutzen
    5. Mit erlangten Informationen arbeiten

    1. Unter Druck setzten

    Um sein Opfer unter Druck setzen zu können, benötigt man selbstverständlich eine gute Ausgangsposition.
    Hier bietet sich sehr gut das Vortäuschen von Autorität an.
    Man gibt sich als Leiter einer anderen Abteilung aus, oder als aufstrebender Teil der mittleren Managementebene.

    Logischerweise sollte man sich nicht als Firmenchef oder Lehrling präsentieren.

    Die gute Wahl der Position ist bei einer solchen Methode sehr wichtig, und mit ihr steht und fällt alles. Wenn man die Position zu niedrig wählt, dann wird man kaum die Ergebnisse erzielen können, wie mit höheren Positionen.
    Mit steigender Funktion, nimmt allerdings auch das Risiko entlarvt zu werden zu.
    Wenn man allerdings ersteinmal die richtige Rolle gewählt hat, kann die Attacke beginnen. Durch die gewählte Position kann man dem Opfer nun drohen, um an das Ziel zu gelangen. Dabei sollte man keine direkten Drohungen verwenden (wie zum Beispiel ' ... sonst sorge ich für Kündigung ... ') sondern eher sanftere Töne anspielen. (bspw. das Tragen einer Fehlermeldung in die höheren Ebenen.)

    Allerdings bietet sich auch die Möglichkeit durch Aufzeigen von vermeintlichen Folgen einer Zuwiderhandlung der Anweisungen.
    Solch ein Angriff kann auch von einer anderen Rolle aus geführt werden, wie zum Beispiel die eines Systemadministrators, der erklärt, dass die Sicherheit erheblich gefährdet ist wenn... .

    2. Überzeugend wirken

    Diese Methode benötigt (eigentlich ja wie alle SE-Angriffe) ein Mindestmaß an Kreativität, Schauspielvermögen, und schnellen Denkens.

    Wichtig ist die absolute Ruhe in Person sein zu können. Man muss mit absoluter Selbstverständlichkeit auf die Bühne treten. Mit seiner Persönlichkeit die Umgebenden so zu erdrücken, dass kein Platz für irgendwelche Zweifel an der Authentizität eurer Rolle übrig bleibt, ist die vollkommene Form einer überzeugenden Rolle.
    Für so ein Erdrücken bedarf es an Schnelligkeit und Redegewandheit, um dem Opfer keine Möglichkeit dafür zu geben tiefer über euch nachzudenken. Nach einer gewissen Weile hat das 'gegnerische' Gehirn höchstwahrscheinlich eure Rolle ohne weiteres Hinterfragen angenommen, und der Angriff ist geglückt.
    Eine Art dieser Methode ist im Folgenden noch extra beleuchtet...

    3. Die Überrumpelung

    Wie im Obrigen schon angeschnitten benötigt man soviel Schnelligkeit in der eigenen Aktion, um jede externe Reaktion zu unterbinden.
    Wichtig ist, dass dabei die Rolle, in die man geschlüpft ist, sehr überzeugend beim Opfer ankommt.
    Ich kann mich an eine Geschichte aus einem Buch von Kevin Mitnick errinnern, dabei geht es zu wie folgt.

    Ein geschickter SE infiltriert ein Casino. Er hat sich so gekleidet, wie er es bei den jungen Managern des Unternehmens bemerkt hat, und stolzierte so durch den internen Casinobereich.
    Nichtsahnend betritt er dann einen Raum der in Film und Fernsehen gern als ' the eye ' bezeichnet wird. Die Monitore für die Spielhallen waren darin zu beobachten. In diesem Raum eine komplette Meute von Sicherheitspersonal und jungen Untermanagern.
    Er betritt also nun den Raum, und wird verständlicherweise von allen Rauminsassen kritisch beäugt.

    // Hier ist wohl der Tod für jeden ungeübten Social Engineer...

    Wie aus der Kanone geschossen windet sich der SE mit den Worten:
    "Schaut euch mal das Mädchen auf Kamera 14 an!"
    aus seiner eigentlich ausweglosen Situation. Und seine Rolle wird dazu auch noch sehr erfreulich angenommen. Nachdem man bei dem 'Mädchen auf Kamera 14' nichts weiteres entdecken konnte, bis auf ein paar Hirngespinste, die sich einige kurzzeitig einbildeten, wurde der SE ganz selbstverständlich in die Gruppe aufgenommen.
    Ich finde, dies ist ein Paradebeispiel wie man seinen Gegenüber mit seiner Aura sprichwörtlich überrollt.
    Es spricht für sich.

    4. Unwissenheit ausnutzen

    Eine Möglichkeit der SE-Attacke die natürlich nur in günstigen Umständen Anwendung finden kann.
    Bspw. Man merkt, oder weiß bereits, dass eine Person im Unternehmen ein absoluter Wissensverweigerer in der IT ist, dann bietet sich hier ein ideales Angriffsziel.
    Da das Opfer absolut nichts über das zu behandelnde Thema weiß, kann man ihm theoretisch ja auch alles auftischen was uns beliebt. Er muss es gezwungener Maßen annehmen. ( btw -> das ist ja auch das Ziel des Social Engineerings - Leute in eine Position zu drücken die für unsere Informationsgewinnung nützlich ist)
    Man kann falsche Tatsachen vortäuschen, und falsche Folgen aufzeigen. Die Möglichkeiten sind praktisch unbegrenzt.

    Kurz noch zur Authentizität... durch das Verwenden von Fachausdrücken gewinnt man an Anerkennung beim Opfer (was jedenfalls diesen Bereich angeht). Man sollte ihm bestmöglich die eigene Kompetenz demonstrieren, und ihm gleichzeitig seine eigene Unwissenheit unter die Nase reiben. (zum Beispiel durch unauffälliges Säufzen wenn er den Müll den ihr auftischt, wiedereinmal nicht verstanden hat...)
    Warum macht man ihn denn eigentlich so nieder?
    Ganz einfach, man drängt ihn in eine Rolle, die ihr im zuweisen könnt, und in diesem Fall sollte es so eine sein, in der er möglichst viel Respekt vor eurer Kompetenz hat. Somit hinterfragt er das Gesagte auch nicht beziehungsweise weniger. Bei diesem Rollenpressing, muss man allerdings aufpassen, dass das Opfer nicht zu sehr getriezt wird, da es sonst die Schotten dicht macht und euch nicht mehr ernst nimmt. Dabei spricht man von einer Kommunikationsblockade - Das Opfer fühlt sich persönlich angegriffen.

    5. Mit erlangten Informationen arbeiten

    Auch hierzu fällt mir noch eine Geschichte aus einem Buch von Kevin Mitnick ein.
    Dabei schnappt ein SE der sich in die Kantine eines Unternehmens eingeschlichen hat, den Spitznamen eines Mitarbeiters auf der sich schoneinmal mit dem Sicherheitsmann unterhalten hat, welcher zufällig gerade am Eingang zum internen Bereich steht.
    Im Verlauf der Geschichte geht er zu dem Sicherheitsmann, und fragt ihn ob er Jonny (mir fällt der richtige Name nicht mehr ein) gesehen hat oder ob er schon nach Hause gegangen ist, da er ihm noch 20$ leihen wollte. Wofür? Er will seine Freundin angeblich zum Essen ausführen.
    Der Sicherheitsmann teilt ihm mit, dass er leider schon weg sei, aber er könne ihm ja die 20$ leihen. Im Groben gefasst, gibt er ihm noch ein paar Tipps für Frauen unter Kumpels, und leiht im 40$, damit er der Freundin noch ein paar Blumen kaufen kann. Nach diesem kleinen Gespräch und der Gewinnung eines neuen Freundes, passiert der SE ohne weitere Nachfrage nach der Personalkarte (die eigentlich jeder beim Druchschreiten vorzeigen muss) ganz gemütlich das Tor zum Inneren der Organisation.

    In diesem Beispiel wird auf die authentische Rolle eines Kumpels gezählt, unter Verwendung einer ergatterten Information, ohne die das alles nicht möglich gewesen wäre.
    Ausserdem verdeutlicht es wie gefährlich vermeintlich harmlose Informationen in den Händen von gekonnten Social Engineers sein können.


    ____________________________

    So das war es ersteinmal von der kleinen Einführung in Sozialpsychologie.
    Falls mir zu dem Brainstorming noch etwas einfällt, werde ich es ergänzen, genauso wenn ihr mir mitteilt, was euch vielleicht noch so einfällt.

    Das Forum 'Social Engineering' hier auf [F-H] soll endlich das repräsentieren, für das es ja auch eigentlich steht.

    Tutorial by atbash
    so far

    [S] R34l L33t-H4(K3|2 bUDdY 4 m3

  2. Folgende Benutzer haben sich für diesen Beitrag bedankt:

    arealgamer (10.08.2010), B4n4n4 (16.02.2010), Brot1,2 (21.06.2010)

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •