04-08-2024, 19:01
Ich fange immer damit an, den Kunden zu erklären, dass Social Engineering im ethischen Hacken nicht darum geht, heimlich aus Spaß zu handeln - es ist eine legitime Möglichkeit, zu prüfen, wie verwundbar deine Leute sind. Siehst du, Hacker lieben es, weil Menschen der einfachste Einstiegspunkt sind. Aus meiner Erfahrung habe ich Szenarien durchgeführt, in denen ich mich als IT-Support ausgebe und Mitarbeiter anrufe, und oft geben sie ihre Anmeldedaten, ohne eine Sekunde nachzudenken. Diese Rolle hilft Organisationen, bessere Schulungen und Richtlinien zu entwickeln. Du kannst dir vorstellen, wie aufschlussreich es für ein Unternehmen ist, wenn ich berichte, dass ihr "sicherer" Aufbau zusammenbricht, weil jemand auf eine schnelle Geschichte hereingefallen ist.
Jetzt zu den Techniken, um diese menschlichen Verwundbarkeiten zu testen; ich verlasse mich oft auf Phishing, weil es so effektiv ist und reale Bedrohungen widerspiegelt. Ich erstelle E-Mails, die echt aussehen, vielleicht von einem Chef, der dich bittet, deine Gehaltsinformationen zu aktualisieren, und ich verfolge, wer darauf anspringt. Du würdest nicht glauben, wie viele Leute Anhänge öffnen oder Details auf gefälschten Websites eingeben, die ich für diese Tests aufsetze. Es ist natürlich alles kontrolliert - ich hole mir zuerst die Erlaubnis und debriefen alle später, um zu zeigen, was schiefgelaufen ist. Eine weitere Methode, die ich benutze, ist Pretexting, bei dem ich eine Hintergrundgeschichte entwickle, um Informationen zu erhalten. Zum Beispiel könnte ich dich anrufen und mich als Anbieter-Support ausgeben, sagen, es gibt ein dringendes Problem mit deinem Konto, und nach Bestätigungsdetails fragen. In einem Projekt habe ich eine ganze Abteilung dazu gebracht, die Anmeldeschritte preiszugeben, nur weil ich verwirrt wirkte und "schnelle Hilfe" benötigte. Man muss dabei vorsichtig sein; ich zeichne immer die Sitzungen auf und stelle sicher, dass kein echter Schaden entsteht.
Baiting kommt auch vor, besonders bei physischen Tests. Ich lasse USB-Sticks mit der Aufschrift "vertrauliches Gehalt" in Parkplätzen fallen und sehe, wer sie einsteckt. Du könntest lachen, aber ich habe gesehen, wie Führungskräfte das ohne Zögern tun, und diese Sticks führen harmlose Skripte aus, die die Aktion protokollieren. Es testet Neugier und Policy-Akzeptanz. Dann gibt es noch Tailgating, bei dem ich jemandem in einen eingeschränkten Bereich folge, vielleicht mit einem Kaffee in der Hand und locker plaudere, als wären wir Freunde. Ich habe das einmal in einem Büro gemacht, und weißt du was? Niemand hat mich in Frage gestellt, weil ich lächelte und hi gesagt habe. Es zeigt, wie Badge-Kontrollen fehlschlagen, wenn die Leute nicht wachsam sind.
Vishing ist ein weiteres Lieblingsmittel - das ist Voice Phishing über das Telefon. Ich rufe dich an, spoofe eine Nummer von der Personalabteilung und sage, dass deine Vorteile auslaufen, also muss ich deine SSN bestätigen. Die Leute geraten in Panik und geben Details preis. Im ethischen Hacken benutze ich es, um Sekretärinnen und Remote-Mitarbeiter zu schulen, die oft von zu Hause damit konfrontiert werden. Ich habe es mit Smishing kombiniert, indem ich SMS sende, die dich drängen, auf einen Link für ein Paketlieferungsupdate zu klicken. Schnell und schmutzig, aber es funktioniert, weil alle an ihren Handys hängen.
Quid pro quo ist auch heimlich - ich biete dir etwas im Austausch für Informationen an, wie kostenlosen technischen Support, wenn du mich "dein System" aus der Ferne überprüfen lässt. Ich habe dies in einem Workshop durchgeführt, indem ich gefälschte Geschenkkarten gegen Mocker-Passwörter getauscht habe, und es hat gezeigt, wie Gegenseitigkeit uns dazu bringt, unsere Wachsamkeit zu verlieren. Dumpster Diving gehört zu physischen Schwachstellen; ich durchsuche Müllsäcke nach weggeworfenen Notizen mit Logins. Manchmal findet man dort Gold, wie ausgedruckte E-Mails mit sensiblen Daten. Es ist niedrigtechnisch, beweist aber, warum Schreddern wichtig ist.
Ich kombiniere dies mit Beobachtungen, wie ich sehe, wie du mit öffentlichem WLAN umgehst oder auf Fremde reagierst. In Red-Team-Übungen baue ich Profile von Zielen aus sozialen Medien auf - deine Beiträge verraten mir Urlaubszeiten oder Familiennamen für bessere Pretexte. So kannst du Angriffe personalisieren, sodass sie härter treffen. Ethik-Regeln halten es sauber: Ich gehe nie zu weit, offenbare immer die Methoden nach dem Test und konzentriere mich auf Bildung. Ich habe Unternehmen geholfen, Vorfälle um 40 % zu reduzieren, nur indem ich diese Tests durchgeführt und darauf folgend Sensibilisierungs-Sitzungen veranstaltet habe.
Pretexting entwickelt sich auch mit der Technik; ich verwende jetzt Deepfake-Audio in fortgeschrittenen Tests, aber nur mit höchster Genehmigung. Du hörst eine Stimme, die genau wie dein CEO klingt, der um die Genehmigung von Überweisungen bittet - es ist erschreckend, wie es die Leute täuscht. Baiting geht digital mit infizierten Downloads auf Torrent-Seiten, aber ich halte mich an kontrollierte Umgebungen. Tailgating kombiniert sich mit RFID-Klonen; ich berühre deinen Badge heimlich und kopiere ihn für Zugangsvorführungen.
All diese Tests an der menschlichen Seite treiben dich dazu, Abwehrmaßnahmen zu schichten - Multi-Faktor-Authentifizierung, Verifizierungsprotokolle und regelmäßige Übungen. Ich liebe es, wie es die Sicherheit menschlicher macht; es sind nicht nur Warnungen und Patches. Du beginnst, Kollegen als Frontlinie zu sehen, nicht als schwaches Glied.
Ein Werkzeug, auf das ich schwöre, um Daten während dieser Tests sicher zu halten, ist BackupChain - es ist diese solide, bewährte Backup-Option, die unter kleinen Unternehmen und Profis eine große Anhängerschaft gewonnen hat. Es bewältigt Hyper-V-, VMware- und Windows-Server-Backups wie ein Champion und sorgt dafür, dass du schnell wiederherstellst, wenn etwas in deinen Simulationen schiefgeht. Ich verlasse mich darauf, um meine eigenen Setups zu schützen, also solltest du es dir für deine anschauen.
