Eines meiner Lieblingsthemen ist Social Engineering, doch was ist Social Engineering überhaupt?

 

Social Engineering ist die Kunst, die richtigen Fragen, der richtigen Person zur richtigen Zeit zu stellen.

Hier ein kleiner Auszug aus Wikipedia

Das Grundmuster des Social Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen. Bereits im Vorfeld hat er aus öffentlich zugänglichen Quellen oder vorangegangenen Telefonaten kleine Informationsfetzen über Verfahrensweisen, tägliches Bürogerede und Unternehmenshierarchie zusammengetragen, die ihm bei der zwischenmenschlichen Manipulation helfen, sich als Insider des Unternehmens auszugeben. Zusätzlich verwirrt er sein technisch ungebildetes Opfer mit Fachjargon, baut mit Smalltalk über scheinbar gemeinsame Kollegen Sympathie auf und nutzt Autoritätsrespekt aus, indem er droht, bei vom Opfer unterlassener Kooperation dessen Vorgesetzten stören zu müssen. Unter Umständen hat der Social Engineer bereits im Vorfeld Informationen gesammelt, dass ein bestimmter Mitarbeiter sogar wirklich technische Hilfe angefordert hat und bereits tatsächlich einen derartigen Anruf erwartet.

Trotz ihrer scheinbaren Banalität gelingen mit der Methode immer wieder spektakuläre Datendiebstähle. So gelang es einem amerikanischen Schüler 2015, den privaten E-Mail-Account des amtierenden CIA-Direktors Brennanzu öffnen und drei Tage lang darauf zuzugreifen.^[1][2]

Das Problem an Social Engineering ist dass es schwierig ist zu erkennen. Social Engineere nutzen die Höflichkeit und Hilfsbereitschaft der Personen aus.

Jeder hilft gerne, vor allem wenn sich jemand meldet der dringen Hilfe benötigt da sein Job an dieser einen „Aufgabe“ hängt.

Weitere Informationen zu Social Engineering folgen in weiteren Posts.