Beliebte Techniken für SE

  • Hi!


    Hier mal ein kleiner Text zum Thema SE (Sozial Engineering).
    Hier mal eine nette Definition des Begriffes von Wiki:

    Social Engineering
    [Ë?sÉ?Ê?Ê?lÌ© Ë?É?ndÊ?ɪË?nɪÉ?ɹɪÅ?] (engl. eigentlich â??angewandte Sozialwissenschaftâ??, auch â??soziale Manipulationâ??) nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking ['hækɪÅ?] (vgl. Hacker).


    Jetzt einmal ein paar Techniken (frei benannt nach mir ;) )


    -)Mail-Scanning: Damit ist nichts anderes gemeint, als durch das versenden von Mails an den Betrieb Informationen über betriebsinterne Abläufe zu bekommen. Ist oft schon hilfreich gewisse Namen der leute zu wissen.


    -)local-sniffing: Nichts anderes, als mit zB versteckter Kamera vor Ort zu gehen, und versuchen möglichst unauffällig so viele Informationen wie nur geht zu bekommen. Schon alleine die Dienstkleidung der diversen Sparten und eine art "Lageplan" kann sehr wertvoll sein.


    -)Telefonanrufe: eines der wichtigsten Dinge überhaupt. So ist es zum Beispiel nachgewiesener Ma�en möglich, schon allein durch einen einzigen Anruf bei dem Mitarbeiter der dort abhebt, durch Verwendung von NLP Techniken ein kleines "Sicherheitsloch" zu schaffen.


    -)Infiltration: einfache, Technik. Man bewirbt sich zB beim Reinigungsdienst des Betriebes als Ferialpraktikant. Sammelt ganz in aller Ruhe alle Informationen, und haut wieder ab. Wer ganz sicher gehen will, macht das ganze mit gefälschten Papieren. Dadurch ist es unter anderem auch möglich zB Hardware-Keylogger anzubringen, ohne Verdacht zu erwecken.



    Solltet ihr noch mehr von Techniken dieser Art kennen, dann nichts wie her damit ;)



    Auf Wunsch kann ich mal ein POC für eine SE Attacke auf einen gro�en Betrieb posten. Zwar einiges an Arbeit aber naja, schadet nicht ;)

  • ja nur mit den Fake-Scripts würd ich aufpassen... Viele der IT-Beauftragten in den Betrieben sind schon speziell darauf geschult...
    Wenn man sowas wirklich erfolgreich durchziehen will, sollte man schon bisschen mehr Zeit und Aufwand rein stecken...
    Wenn nicht überall soviele Kiddys unterwegs sein würden, würde ich ja wie gesagt, ein POC posten... aber ich glaub ich warte noch auf 2nd Level..

  • Also wir setzen im Unternehmen ne selbst geschriebene Software ein die bei web.de
    Adressen die Routings verfolgt. Wenn jemand allerdings die Zugangsdaten von wem
    anders hat ...

  • eben.... deswegen meinte ich ja auch, dass man solche Aktionen heutzutage wirklich in gröÃ?erem AusmaÃ?e anlegen müsste...
    da ich in einem nicht unbedeutenden doch gro�en Betrieb arbeite, dessen Namen ich nicht nennen möchte, weis ich ja, auf was die alles schaun.
    Mal abgesehen davon sind bei uns im Betrieb 2 synchron laufende Rechenzentren involviert... nur um mal die Grö�e dar zu legen ;)
    zurück zum Thema... trotz allem würde eine SE Attacke funktionieren... das schwächste Glied ist immer der Mensch.. und der geht leichter zu programmieren wie ein Batch-Script wenn man weis wie ;)