Layer 8 – Faktor Mensch
Social Engineering findet nicht nur hinter der Tastatur statt. Unser Autor dringt seit Jahren durch geschicktes Manipulieren von Menschen mithilfe psychologischer Tricks und Kenntnisse in Firmengebäude ein – selbst in gut gesicherte. Natürlich nur im Auftrag und zu Testzwecken.
Der Mensch ist von Natur aus freundlich und hilfsbereit – auch wenn man das manchmal kaum glauben mag. Diese Freundlichkeit und Hilfsbereitschaft spiegeln jedoch meine Erfahrungen der letzten acht Jahre wider, bei denen ich diese positiven Eigenschaften ausgenutzt habe, um durch Social Engineering in unzählige Unternehmen und Organisationen wie Banken, Forschungseinrichtungen und Rechenzentren zu gelangen. Dieser Beitrag beschreibt das Vorgehen und die Einfachheit mancher Angriffe, die es mir unter anderem ermöglicht haben, selbst in hoch abgesicherte Infrastrukturen einzudringen. Wer befürchtet, dass Social Engineering, also die Manipulation von Menschen, immer funktionieren wird, dem soll dieser Artikel Wege zeigen, wie man den Faktor Mensch und das daraus resultierende Risiko minimiert und dabei freundlich und hilfsbereit bleibt.
Information Gathering: das Ziel kennen
Informationen sind das neue Gold, das gilt auch oder besonders beim Social Engineering. In einer ersten Phase werden so viele Informationen wie möglich gesammelt – über das Unternehmen, über Mitarbeiter, bevorstehende Events, das Verhalten der Mitarbeiter und den Slang des Unternehmens, über die Unternehmenskultur und vieles mehr. In dieser ersten Phase geht es darum, sich ein Bild über das Unternehmen zu machen, ein Gefühl zu bekommen, wie es tickt.