Die Kunst des Human Hacking PDF

Eine frühe Form des Social Engineering wurde in den 1980er Jahren mit Phreaking praktiziert. Das Grundmuster des Die Kunst des Human Hacking PDF Engineering zeigt sich bei fingierten Telefonanrufen: Der Social Engineer ruft Mitarbeiter eines Unternehmens an und gibt sich als Techniker aus, der vertrauliche Zugangsdaten benötigt, um wichtige Arbeiten abzuschließen.


Författare: Christopher Hadnagy.

Eine Warnung vorab: Dieses Buch ist nichts für schwache Nerven. Es bringt Sie in jene dunklen Ecken der Gesellschaft, wo die Black Hats (bösartige Hacker) das Sagen haben. Hier werden Bereiche des Social Engineering, in denen sich Spione und Trickbetrüger tummeln, aufgedeckt und eingehend erforscht. Außerdem wird anhand ganz normaler Alltagssituationen gezeigt, inwiefern es sich auch da oft um komplexe Szenarien des Social Engineering handelt. Am Ende deckt das Buch die Tipps und Tricks der Insider, der professionellen Social Engineers und eben auch der kriminellen Profis auf.

Dieses Buch ist mehr als eine Sammlung cooler Stories, toller Hacks oder abgefahrener Ideen. Wissenschaftlich fundiert (dabei höchst unterhaltsam), stellt es das weltweit erste Framework für Social Engineering vor, auf dessen Grundlage der Autor genau analysiert, geradezu seziert, was einen guten Social Engineer ausmacht. Mit praktischen Ratschlägen wird der Leser befähigt, skills zu entwickeln, die es ihm ermöglichen, die nachweislich größte Schwachstelle in IT-Sicherheitssystemen auf die Probe zu stellen: den Menschen.

Aus dem Inhalt:

  • Ein Blick in die Welt des Social Engineering
  • Informationssammlung
  • Was ist Elizitieren?
  • Pretexting – In eine andere Haut schlüpfen
  • Gedankentricks – Psychologische Prinzipien im Social Engineering
  • Beeinflussung – Die Macht der Überredung
  • Die Tools des Social Engineer
  • Fallstudien: Social Engineering unter der Lupe
  • Prävention und Schadensbegrenzung

Trotz ihrer scheinbaren Banalität gelingen mit der Methode immer wieder spektakuläre Datendiebstähle. Beim automatisierten Social Engineering, auch Scareware genannt, kommen spezielle Schadprogramme zum Einsatz, die den Nutzer verängstigen und so zu bestimmten Handlungen bewegen sollen. Eine bekannte Variante des Social Engineering ist das Phishing. Bei dieser unpersönlichen Variante werden fingierte E-Mails mit vertrauenserweckender Aufmachung an die potentiellen Opfer versendet. Inhalt dieser Nachrichten kann zum Beispiel sein, dass ein bestimmter Dienst, den man nutzt, eine neue URL hat und man sich auf dieser von nun an einloggen soll, wenn man ihn in Anspruch nehmen will. Hierbei beschafft sich der Angreifer z. Studentenvertretung einer Hochschule die Mailadressen der dort eingeschriebenen Studenten, um an diese gezielt eine Phishing-Mail einer lokal ansässigen Bank oder Sparkasse zu übersenden.

Hierbei wird der Müll des Opfers durchwühlt und nach Hinweisen und Anhaltspunkten über das soziale Umfeld gesucht. Diese können dann in einem darauf folgenden Anruf dazu verwendet werden, um das Vertrauen des Opfers zu erschleichen. Die Sicherheitsfirma Kaspersky Lab deckte auf, dass eine unbekannte Hackergruppe seit 2001 rund 500 Firmen mit USB Drops angegriffen hatte. Dabei erhielten zufällige Mitarbeiter infizierte USB-Sticks, deren Verwendung ihren PC infizierte und den Hackern Zugriff auf das interne Netzwerk der Firma gewährte. Die Abwehr von Social Engineering ist nicht einfach zu bewerkstelligen, da der Angreifer im Grunde positive menschliche Eigenschaften ausnutzt: Den Wunsch etwa, in Notsituationen unbürokratisch zu helfen oder auf Hilfe mit Gegenhilfe zu reagieren.

Generelles Misstrauen zu schüren, würde auch die Effektivität und die vertrauensvolle Zusammenarbeit in Organisationen negativ beeinflussen. Ist die Identität des Absenders einer E-Mail nicht sicher, sollte man stets misstrauisch sein. Bei Anrufen sollten auch scheinbar unwichtige Daten nicht sorglos an Unbekannte weitergegeben werden, da diese die so erhaltenen Informationen für weitere Angriffe nutzen können. Bei Antworten auf eine E-Mail-Anfrage sollten unter keinen Umständen persönliche oder finanzielle Daten preisgegeben werden, egal von wem die Nachricht zu kommen scheint. Keine Links aus E-Mails verwenden, die persönliche Daten als Eingabe verlangen.

Stattdessen die URL selbst im Browser eingeben. Bei Unklarheit über die Echtheit des Absenders diesen nochmals telefonisch kontaktieren, um die Authentizität der E-Mail zu überprüfen. Der US-Sicherheitsspezialist Bruce Schneier zweifelt angesichts der Komplexität und der möglichen Nebenwirkungen von präventiven Maßnahmen gegen Social Engineering sogar generell an deren Wert und schlägt stattdessen Strategien vor, die auf Schadensbegrenzung und schnelles Recovery bauen. Schulungen der Mitarbeiter sind zwar notwendig, aber nur begrenzt hilfreich, wie Studien an der US-Militärakademie West Point gezeigt haben. Eine effektivere Methode als punktuelle Schulungen gegen konkrete Bedrohungen ist die nachhaltige Ausbildung in digitaler Mündigkeit. So sollten Mitarbeiter und Bürger im Allgemeinen langfristig ein Gespür dafür entwickeln, wie, wo und wann sie Spuren im Internet hinterlassen. Dies setzt ein hohes Maß an Eigenverantwortung, Selbstreflexion und Selbstkontrolle voraus.

This entry was posted in Bücher-Reihen. Bookmark the permalink.