Social Engineering

Gruppe: Zirkler Thomas, Kerbl Harald, Steinbrenner Thomas, Gradinger Stefan, Preis Matthias

Begriffe

Social Engineering - Begriffsklärung, Geschichte und Personen

Social Engineering - als Begriff - existiert schon länger als man dies vermuten würde. Bereits 1945 tauchte er das erste Mal in dem von "Karl Popper" geschriebenen Buch "The Open Socety and Its Enemies" auf.
Doch was versteckt sich nun dahinter?

Generell kann man es als eine Form der Manipulation betrachten, bei der gezielt Personen und deren Umfeld analysiert, werden um so auf zwischenmenschlicher Basis auf diese Personen einzuwirken. Durch gezielte Beeinflussung und Täuschung versuchen Social Engineeers Zugriff auf vertrauliche Informationen bzw. kostenpflichtige Dienstleistungen zu erhalten ohne dafür authorisiert zu sein.

In den 1980er Jahren wurde der Grundstein für social engineering gesetzt. Phreaking lautet hier das Stichwort, hinter dem sich eine Subkultur versteckt, die sich mit der Manipulation von Telefonnetzen beschäftigt. Neben technischen Angriffen wurden auch Mittel des social engineerings angewendet, indem sich z.B. ein böswilliger Kunde als Operator ausgegeben hat, um so Zugriff auf vertrauliche Informationen zu erhalten.

Der wohl bekannteste Hacker, welcher durch social engineering zu einer Berühmtheit geworden ist, ist Kevin David Mitnick.
Am 6. August 1963 in Van Nuys (Kalifornien) geboren, wurde er durch diverse Einbrüche in Hochsicherheitsnetze der amerikanischen Regierung, Geheimdienste und des Militärs zu einer Legende. Viele dieser Einbrüche schreibt er dem social engineering zu, welches laut seiner Aussagen wesentlich effektiver ist, als jeglicher technischer Ansatz.
1988 (14 Monate) und 1995 (fast 5 Jahre) wurde Mitnick inhaftiert und kam erst 2000 wieder frei.
Heute ist Kevin "Condor" Mitnick einer der angesehensten Sicherheitsexperten weltweit und stellt sein Wissen - zumindest offiziell ;) - in den Dienst der guten Sache. Zuvor war er auch als Autor tätig und hat unter anderem mit "The Art of Deception: Controlling the Human Element of Security" große Erfolge gefeiert.

Ein anderer äußerst bekannter Social Engineerer ist Frank W. Abagnale, ein Scheckbetrüger, der vor allem Ende der 1960er und Anfang der 1970er Jahre sein Unwesen getrieben hat.
Nicht zuletzt erlangte er Berühmtheit durch den Hollywood Film "Catch Me If You Can", welcher eine Verfilmung seines Lebens darstellt in der er auch selbst als gerade der Polizist mitgewirkt hat, der ihn Heilig Abend 1969 in Frankreich verhaftete.
Durch geschickte Täuschung konnte er sich als Copilot bei Pan Am, Arzt und Rechtsanwalt tarnen ohne jemals diese Ausbildungen absolviert zu haben.

Computer- und Human-Based Social Engineering

Social Engineering kann noch unterteilt werden in Computer Based und Human Based. Beim ersten genannten werden benötigte Informationen mit technischen Hilfsmitteln, wie zum Beispiel manipulierten Internetseiten oder Popup-Fenstern mit Eingabefeldern besorgt. Bei der zweiten Art werden Informationen durch soziale Annäherung an Personen besorgt.

Reverse Social Engineering

Eine weitere Art des Social Engineering ist Reverse Social Engineering. Ziel des Angreifers ist hier, dass ihm die benötigte Information das Opfer selbst liefert. Er bringt das Opfer dazu die Information freiwillig und aktiv zu übermitteln.
Hier ein Beispiel: Der Angreifer hat Zugang zum Netzwerk, meldet sich beim Mitarbeit als neuer IT-Mitarbeiter, hinterläßt seine Telefonnummer, unterbricht die Leitung. Der Mitarbeiter meldet sich beim Angreifer, dieser hängt den Mitarbeiter ans Netz und meldet sich beim Opfer. Das Opfer hat jetzt volles Vertrauen zum Angreifer.

Psychologische Grundlagen

http://www.kaishakunin.com/publ/Psychologischen_Grundlagen_des_Social_Engineerings.pdf
http://www.sans.org/reading_room/whitepapers/engineering/psychology_a_precious_security_tool_1409

Vorbereitung

Der Vorbereitungsteil einer Social Engineering Attacke besteht fast ausschließlich aus dem Sammeln von Informationen. Je mehr der Angreifer über sein Opfer weiß, desto einfacher kann er sein Ziel erreichen. Die Spanne der Informationen reicht dabei von persönlichen Hobbies bis hin zu beruflichen Themen bzw. Probleme. Die benötigten Informationen sind dabei oftmals nicht schwer zu finden. Die Schwierigkeit liegt hier eher darin, sich einen Überblick über die Informationen zu verschaffen als sie zu beschaffen.

Einige Informationsquellen könnten sein:

  • Foren, Newsgroups, Mailinglists
    • Gerade Administratoren und andere technik affine Personen verwenden gerne das Internet um nach Lösungen für ihre Probleme zu suchen. Daraus kann man auf eventuelle Schwachstellen in der IT Infrastruktur schließen oder auch einfach die generellen Interessen des Opfers herausgefunden werden.
  • Social Networks, Personen Suchmaschinen, Blogs, Twitter,…
    • Es ist nicht mehr nötig persönliche Informationen mühevoll von Bekannten und Freunden herauszufinden. Das Opfer stellt diese oftmals gerne selbst zur Verfügung.
  • Telefonnummer Listen, Email Kontakte
    • Vor allem Interessant in größeren Firmen, in denen das Opfer nicht alle Opfer kennen kann. Die Impersonation als Kollege wird so wesentlich erleichtert. Außerdem werden diese Listen oftmals nicht als vertraulich betrachtet. Es sollte also kein großes Problem diese zu erlangen.
  • Dumpster Diving
    • Bei den meisten Firmen immer noch effektiv. Viele sind jedoch dazu übergegangen sensible Informationen zu schreddern.
  • Kollegen, Freunde
    • Schwierig und nicht unproblematisch. Im schlimmsten Fall wird der Social Engineer verdächtig und das Opfer erfährt, dass er sich über ihn erkundigt hat.

Weiters verfügt ein Social Engineer über ein Sortiment von Uniformen und Ausweisen. Besonders beliebt sind hierbei Uniformen von Telekommunikationsfirmen sowie von Packetdiensten. Eine solche Uniform gibt dem Social Engineer die Berechtigung das Gelände zu betreten. Gerade Telekommunikationsfirmen schicken oft Außendienstmitarbeiter zu Firmen, um die dort installierten Anlagen zu überprüfen bzw. zu warten. Daraufhin ist ein Leichtes sich etwas in den Räumlichkeiten umzusehen.
Dies gilt hoffentlich natürlich nicht für Hochsicherheitszonen.

Angriffsformen

Es gibt 2 Arten von Angriffsformen die mit und die ohne technischen Hilfsmitteln

ohne Technischen Hilfsmitteln

Bei dieser Art des Social Engineering wird auf

  • Einschüchterung
  • Mitleid
  • Augenscheinliches internes Wissen
  • Soziale Kompetenz

gesetzt

Der „Hilfsbedürftige“

Der Angreifer gibt sich als neuer unbeholfener Mitarbeiter aus. In jeder Firma gibt es kollegiale Mitarbeiter, die gerne helfen. Da ist es leicht mit Aussagen wie „Oh ich bin erst seit kurzen hier und habe schon meine Benutzerdaten vergessen“ an Accounts von anderen zu kommen. Bei dieser Methode ist es unauffällig, wenn der Social Engineer nicht viel von den internen Abläufen weiß.

Der „Moralische“

Bei diesem Vorgehen setzt der Angreifer auf das Gefühl, dass doch alle in einem Team sind und auch so handeln müssen. Verlangt er von einem Mitarbeiter die Ausführung einer bestimmten Handlung oder die Preisgabe von Informationen und das Opfer lenkt nicht ein, so versucht er ihn als nicht teamfähig oder egoistisch hinzustellen mit verschieden Sätzen wie zum Beispiel: “ Alles klar, dann muss ich Herrn „Boss“ sagen, das das Projekt halt nicht fertig wird.“

Erzeugen von Schuldgefühlen

Bei dieser Methode versucht der Angreifer beim Opfer starke Schuldgefühle hervorzurufen, indem er die Konsequenzen aufführt, die entstehen wenn er die gewünschte Handlung nicht ausführt oder die gewünschte Information nicht preisgibt. Oft werden hier auch persönliche Konsequenzen aufgeführt wie zum Beispiel: „ Ich weiß das sie das nicht dürfen, aber wenn sie das nicht machen, könnte ich meinen Job verlieren, genau jetzt wo ich ein Kind erwarte.“

Der „Insider“

Durch die richtige Wortwahl und geringen Maß an internen Wissen versucht der Angreifer das Gefühl zu vermitteln, das er zu diesen Unternehmen gehört, und dadurch alle Handlungen legitim sind.

Der „Fachchinese“

Alles was der Social Engineer sagt muss für das Opfer unverständliches Fachchinesisch sein. Dadurch wird der das Opfer verwirrt und weiß nicht um was es geht. Dadurch kann er den Wahrheitsgehalt nicht überprüfen und „gibt auf“. Der Angreifer kann jetzt alles Verlangen was er will, und der Verwirrte wird seine Anweisungen ausführen.

Der „Vorgesetzte“

Dieses Verfahren funktioniert vor allem in Unternehmen mit starker Hierarchie. Der Angreifer überzeugt das Opfer davon, dass seine Anweisungen von einer höheren Instanz kommen. Der Angegriffene hat meistens nicht den Mut diese Aussagen zu hinterfragen oder sie bestätigen zu lassen.

mit Technischen Hilfsmitteln

Bei den Technischen Hilfsmitteln bzw. Verfahren handelt es sich nicht um reine Social Engineering Techniken. Sie werden auch oft beim „normalen“ Hacken eingesetzt. Wobei hier die Techniken gezielt und auf das Opfer zugeschnitten werden.

Phishing

Beim Phishing wird meist über E-Mail nach Passwörtern oder ähnlichem gefragt. Hierbei wird oft ein gefälschter Link mitgesendet, der zu einer gefälschten Webseite führt. Diese Seite bzw. die E-Mail vermittelt den Anschein, dass es sich um eine legitime Anfrage handelt. Zum Beispiel eine Bank.

E-Mail-Anhänge

Oft werden Massen-E-Mails versandt mit Betreffe wie „Coole Bilder“ oder „I LOVE YOU“. Diese sollen den User verleiten, den Anhang zu öffnen. In diesen kann sich Maleware befinden.
Es ist für jeden viel verleitender, wenn sich der Betreff auf die Person bezieht. Zum Beispiel der User hat gerade einen BMW gekauft. Der Angreifer schickt ihm eine E-Mail mit dem Betreff „BMW SERVICE„ und schreibt einen plausiblen Text hinein. Die Wahrscheinlichkeit, dass der User den Anhang öffnet ist dadurch sehr hoch.

Popup-Fenster

Falls der Social Engineer bereits ein Trojanisches Pferd oder ähnliches installieren konnte, kann er gefälschte Anmeldemaske auf den Desktop des Opfers öffnen. Nach der Eingabe seines Benutzername und Passwort werden diese unbemerkt zum Angreifer gesendet.

Baiting

Für Baiting-Angriffe hinterlässt der Angreifer eine mit Malware verseuchte Diskette, CD/DVD oder einen USB-Stick an einem Platz, bei dem er davon ausgehen kann, dass das Medium dort gefunden wird. Zu diesen Plätzen zählen z.B. Toiletten, Aufzüge, Parkplätze oder Kantinen. Über eine geeignete Beschriftung versucht er einen seriösen Eindruck zu schaffen. Nun muss er nur noch warten, bis das Opfer das Medium findet und an seinen Computer anschließt. Dies ist ziemlich wahrscheinlich. Gefördert wird dies noch, indem er das Medium als vertraulich kennzeichnet und mit einem Titel versieht, der die Neugier des Opfer fördert (z.B. Gehaltsabrechnungen).

Abwehrmaßnahmen

Ein gewisses Maß an Sicherheit ist auf den ersten Blick leicht zu erreichen. Doch so einfach ist es nicht. Social Engineering muss aus zwei verschiedenen Blickrichtungen betrachtet werden. So müssen neben den technischen auch die psychologischen Aspekte mit einbezogen werden.

Zu den ersten Maßnahmen auf technischer Ebene gehören z.B.:

  • Identifikation aller Personen, die das Gebäude betreten
  • Anschaffung eines Aktenvernichters
  • Sicherung vertraulicher Daten
  • Absicherung des Netzwerks (z.B. WLAN)
  • Vergabe von sicheren Passwörtern

Trotz aller technischen Maßnahmen, ist der beste Schutz die Awareness-Bildung des Personals und des Managements.
Dafür sind in der Regel die Durchführung von Schulungen und die Einführung einer Security-Policy notwendig. Eine umfassende Policy kann den Entscheidungsdruck des Personals minimieren, wenn es mit Anfragen konfrontiert wird, die Social Engineering-Attacken ähneln.
Hier wird aber auch deutlich, wie schwer sein kann, Social Engineering-Attacken zu verhindern. So sind viele der ausgenutzten Eigenschaften für den Geschäftsbetrieb erwünscht. Hilfsbereitschaft, Kundenfreundlichkeit und Vertrauen ineinander sind eine wichtige Grundlage für Teamarbeiten und den Umgang mit Geschäftspartnern; sie können aber auch für Social Engineering-Attacken genutzt werden.

Um sich gegen Social Engineering-Attacken wehren zu können, muss der Mitarbeiter erst einmal selbst wissen, welche Informationen in welchem Umfang weitergegeben werden dürfen und welche nicht. Gleichzeitig muss er wissen, wie sehr er einem Kunden entgegenkommen darf ohne dabei sensible Daten weiterzugeben. Ebenso muss er sich sicher sein können, die Rückendeckung seines Chefs zu besitzen auch wenn er im Zweifelsfall den Wunsch eines wichtigen Kunden abweist. Sollte der Mitarbeiter hinter einem Anruf eine Attacke vermuten, so muss ihm bewusst sein, wie er seine Gegenüber legitimieren kann, wenn dies nicht auf dem normalen Weg möglich ist.
Zu derartigen Methoden gehören z.B.:

  • Namen des Anrufers buchstabieren lassen
  • Nummer für einen Rückruf verlangen
  • Grund für die Anfrage verlangen
  • Autorisierende Stelle für die Anfrage verlangen (mit dem Ziel diese zu verifizieren)
  • Identifikation verlangen (z.B. durch Passwort)

Sollte dadurch keine eindeutiges Ergebnis zustande kommen, so kann eine höhere Stelle mit einbezogen werden. Ist dies nicht möglich, dann ist ein klares Nein durch den Mitarbeiter sinnvoll. Dies ist leichter zu rechtfertigen, wenn es durch entsprechende Policies gedeckt wird. Damit die Mitarbeiter Social Engineering-Angriffe erkennen und verhindern können, ist es außerdem wichtig, die entsprechenden Angriffstechniken zu kennen und die Mitarbeiter dafür zu sensibilisieren. Auch kann es hilfreich sein, die Schwächen des Mitarbeiters herauszuarbeiten, damit dieser in einer Angriffssituation bewusst damit umgehen kann. Mit Hilfe gewisser Gesprächstechniken kann der Mitarbeiter die Situation weiter entschärfen. Hat ein er das Gefühl Opfer bzw. Ziel einer Attacke geworden zu sein, so sollte er auch andere Kollegen und seine Vorgesetzten informieren.
Die Policies sollten grundsätzlich realistisch und in sich konsistent sein. Über einen einfachen Zugang z.B. Intranet wird sichergestellt, dass sie für jedermann verfügbar sind. Durch ständige Änderungen ist es jedoch auch notwendig, die Sensibilisierungmaßnahmen mit entsprechenden Schulungen zu untermauern.
Zur Schaffung einer Policy gehört unter anderem auch die Klassifizierung der Daten. So wird geregelt, wie mit diesen umgegangen wird, worüber gesprochen, was kopiert oder per E-Mail versendet werden darf. Auch der Umgang mit Datenträgern wie USB-Sticks, CD/DVDs usw. wird darin explizit geregelt.
Die Sensibilisierung der Mitarbeiter kann einen Großteil des zur Verfügung stehenden Budget beanspruchen. So empfiehlt Ing. Johannes Mariel, CSO des Bundesrechenzentrums, je Euro, der in die IT-Sicherheit investiert wird, nur 15 Cent in die Technik zu stecken. Der Rest verteilt sich auf den Security-Betrieb (20 Cent), die Sicherheits-Organisation (25 Cent) und mit dem deutlich größten Anteil auf die Sensibilisierungsmaßnahmen (40 Cent) der Mitarbeiter.

Es folgen nun Beispiele für Richtlinien und Maßnahmen um Social Engineering-Angriffe zu vermindern.

Der Arbeitsplatz

Leider ist der Post-It Zettel am Bildschirm bzw. unter der Tastatur immer noch die unangefochtene Nummer 1 der Sicherheitslücken. Zettel am Bildschirm sind jedoch nicht die einzige Gefahrenquelle. Papier-Schreibunterlagen sind der Liebling eines jeden Social Engineer. Vielmals werden die benutzten Blätter nicht abgetrennt und ordnungsgemäß vernichtet sondern einfach nach hinten geklappt. Selbst bei abgerissenen Zetteln hilft der alte „mit dem Bleistift leicht über das Blatt schraffieren“ Trick erschreckend oft. Auf den zweiten Blick birgt ein Arbeitsplatz jedoch einen wahren Fundus an Informationen für Angriffe. Was haben Schreibutensilien, Fotos, Bilder, Fachbücher-Titel/Autoren, Kalender, Beschriftungen auf Geräten und Figuren/Stofftierchen auf dem Schreibtisch gemeinsam? Sie beinhalten zum Großteil das verwendete Benutzerpasswort. Der Mensch, so klug er auch sein mag, ist oft berechenbare als man annimmt. Das Monitormodell lautet „SyncMaster“, zehn Stellen, zwei mehr als es die Richtlinien vorschreiben, perfekt. Nur durch ein geschultes Sicherheitsbewusstsein der Mitarbeiter und entsprechende Richtlinien, können diese Fehler eingedämmt werden.

Zu diesen Richtlinien könnten zählen:

  • Keine selbstklebenden Zettelchen mit Zugangsdaten auf/unter dem Schreibtisch bzw. der PC-Hardware.
  • Beim Verlassen des Arbeitsplatzes und sei es nur für wenige Minuten, ist der Bildschirm zu sperren.
  • Vertrauliche Dokumente müssen bei Abwesenheit verschlossen aufbewahrt werden.
  • In Meetingräumen sind alle schriftlichen Aufzeichnungen zu entfernen. Hierzu zählen auch Flipcharts, Whiteborads und dergleichen.
  • Mobiltelefone, PDAs und betriebsinterne Telefone (Festnetz- und Schnurlostelefone) sind mit einem Passwort zu schützen.
  • Die Mitnahme von Daten und vertraulichen Dokumenten ist, falls nicht explizit anders geregelt, verboten.

Passwörter

Passwörter sind im Grunde wie Unterhosen.
Man sollte sie:

  • nicht für jeden gut sichtbar liegen lassen
  • regelmäßig wechseln
  • nicht an andere/fremde Personen verleihen

Zudem kann man sagen: je länger desto besser! ;-)

Da jedes System mit Passwörtern gesichert werden muss, ist es von hoher Bedeutung, gut durchdachte Richtlinien für diese zu erstellen.

  • Einfache Passwörter sind ein No-go. Neben den Top 500 schlechtesten Passwörtern aller Zeiten (nachzulesen unter http://www.whatsmypass.com/the-top-500-worst-passwords-of-all-time) fallen auch Namen, Kfz-Kennzeichen, Geburtstage und alle unter „Der Arbeitsplatz“ aufgezeigten Beispiele in diese Kategorie.
  • Mindestens acht Zeichen, besser zehn, bestehend aus Buchstaben (Groß- und Kleinschreibung), Zahlen und Sonderzeichen.
  • Passwörter dürfen nicht notiert werden. Damit man sich komplexe Passwörter einfach merkt, gibt es eine recht simple Lösung. Man merkt sich einen Satz, beispielsweise „Jeden Montag freue ich mich auf das Wochenende!“ und verwendet die ersten Buchstaben jedes Wortes. Aus dem Satz wird folglich „JMfimadW!“. Die Sicherheit kann man zudem erhöhen, wenn man einzelne Buchstaben durch Zahlen oder Sonderzeichen ersetzt. Das könnte dann so aussehen: „JMf1m@dW!“.Will man dem Fass die (Sicherheits-) Krone aufsetzen, greift man zusätzlich zur Leetspeak und aus 9 werden 14 Zeichen:„_||V|f1m@d\A/!“.
  • Herstellerseitige Passwörter (z.B. das Router-Passwort) müssen vor dem Produktiveinsatz geändert werden.
  • Für verschiedene Anwendungen sollten auch unterschiedliche Passwörter benutzt werden.
  • Passwörter die zur Anmeldung an das Firmennetzwerk dienen, dürfen nicht für private Anmeldevorgänge (z. B. eBay-Account) benutzt werden.
  • Die Eingabe von Passwörtern sollte immer unbeobachtet erfolgen, Stichwort „Shoulder surfing“.
  • Die Entropie des neuen Passwortes muss vom alten stark abweichen.
  • Passwörter sollten ein Ablaufdatum besitzen (i. d. R. 90 Tage).
  • Produktivpasswörter dürfen niemals in „Passwordcheck-Tools“ (https://passwortcheck.datenschutz.ch) eingegeben werden. Um dennoch einen Anhaltspunkt über die Stärke des Passwortes zu erhalten, empfiehlt es sich ein Passwort mit ähnlicher Entropie zu überprüfen.

Gebäude Zugang

Was nützten einem die modernsten Zutrittskontrollsysteme, wenn der Angreifer noch schnell seine Hand/seinen Fuß oder ein Stück Pappe in die Tür klemmen kann, bevor diese ins Schloss fällt?

Die Amerikaner benutzen hierfür den Begriff „tailgating“. Eine genauso beliebte Methode ist das „piggybacking“, was man mit „eine Person auf dem Rücken tragen“ übersetzen kann. Ein autorisierter Mitarbeiter passiert die Zutrittskontrolle. Der Angreifer gibt nun vor seinen Ausweis im Büro vergessen zu haben oder hat einen hohen Schachtelturm in seinen Händen. Wer kann da schon ein „Wären Sie bitte so nett und könnten mir die Tür aufhalten?“ mit einem kalten und herzlosen „Nein“ beantworten? Ein sicherheitsbewusster Mitarbeiter kann es.

Privates Umfeld

Ein Social Engineer versucht auch im privaten Umfeld Kontakt zu seinen Zielpersonen zu bekommen. Dies geschieht mittlerweile recht häufig über soziale Netzwerke wie Facebook, StudiVZ oder MySpace. In der realen Welt sucht sich der Angreifer Veranstaltungen mit einer entspannten oder besser noch ausgelassenen Stimmung aus. Hierzu zählen Partys und Volksfeste, da es sich hier meist um Feierlichkeiten handelt, bei denen Menschen sehr redselig sind. In einigen Fällen ist ein direkter Kontakt gar nicht nötig, da Informationen auch indirekt über Freunde und Bekannte in Erfahrung gebracht werden können. Das Belauschen von Gesprächen sei an dieser Stelle auch noch erwähnt. Um die geschilderten Risiken zu minimieren, ist es notwendig, dass jeder Mitarbeiter weiß, worüber er sprechen darf und worüber nicht. Ein Angestellter, der nicht weiß, welche Informationen vertraulich oder geschäftskritisch sind, wird dies auch im privaten Umfeld ohne weiteres preis geben.

Audit

Bei einem Audit handelt es sich um eine Überprüfung der aktuellen Sicherheitslage welche auch Social Engineering Techniken nutzt. Sie sollte regelmäßig durchgeführt werden, wenn möglich von verschiedenen Firmen. Da jede Sicherheitsfirma andere Angriffsmöglichkeiten verwendet, werden durch den Anbieterwechsel teilweise Schwachstellen entdeckt, die bei vorhergehenden Audits übersehen wurden. Auch zwischenzeitlich neu eingestellte Mitarbeiter werden erst bei einer erneuten Durchführung miteinbezogen.

Betriebsklima

Ein gutes Betriebsklima macht es einem Angreifer schwer bis unmöglich in eine Firma einzudringen. So ist ein Mitarbeiter, der einen schwerwiegenden Fehler jederzeit bei seinem Chef „beichten“ kann und nicht mit schweren Konsequenzen rechnen muss, nicht mehr erpressbar. Auch ein Angriff, der mit der Drohung „die nicht Kooperation einem Vorgesetzten mitteilen zu müssen“ läuft dadurch ins Leere. Durch ein gut funktionierendes Team mit einem starken Zusammenhalt, wird die Methode des „Moralischen“ nur schwer durchführbar. Bei einer regen Kommunikation innerhalb der Teammitglieder, können sich die einzelnen Mitglieder besser einschätzen und enttarnen so viele Tricks schon im Vorfeld.

Literatur

https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/g/g05/g05042.html
http://www.sicherheitskultur.at/social_engineering.htm#psycho
http://www.sans.org/reading_room/whitepapers/engineering/
http://www.zdnet.de/sicherheits_analysen_risikofaktor_mensch_die_kunst_des_social_engineering_story-39001544-39152145-1.htm
http://www.hacking-lab.com/misc/downloads/Social_Engineering_V2.0.pdf
http://www.securityfocus.com/infocus/1527
http://e-government.adv.at/2008/pdf/Mariel_e-GovernmentKonferenz_20080529.pdf
https://www.bsi.bund.de/cae/servlet/contentblob/766532/publicationFile/43479/Vortrag_Informationssicherheit_und_Wirtschaftsspionage_pdf.pdf
https://www.sicher-im-netz.de/files/documents/unternehmen/Fibel_Faktor_Mensch.pdf

page revision: 31, last edited: 11 Nov 2009 18:43
Edit Tags History Files Print Site tools + Options
Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License