Social Engineering for Fun, Profit and Science
Transcript of Social Engineering for Fun, Profit and Science
Social Engineering for Fun, Profit and Science
M. Sc. Matteo [email protected]
@pizzhax
https://cagnazzo.de
Definition Verfassungsschutz
Ausspionieren über das persönliche Umfeld, durch zwischenmenschlicheBeeinflussung bzw. durch geschickte Fragestellung, meist unterVerschleierung der eigenen Identität (Verwenden einer Legende). SocialEngineering hat das Ziel, unberechtigt an Daten, geheime Informationen,Dienstleistungen oder Gegenstände zu gelangen.
Umgangssprachlich
Gut Lügen und Betrügen um an kostenlose Dienstleistungen oder Informationen zu kommen
4
Social Engineering, more art than science?
Greitzer, Frank L., et al. "Analysis of unintentional insider threats deriving from social engineering exploits." Security and Privacy Workshops (SPW), 2014 IEEE. IEEE, 2014.
Wenig Methodik, im wissenschaftlichen Diskurs oft als „Hokus-Pokus“ abgetan
Einer der meist genutzten Initial Infection Vectors
Nutzer müssen aufwendig geschult werden, keine Patches.
Nutzer ohne technisches Hintergrundwissen zu schulen ist ein Problem
Click or Download
PERSONENBEZOGENER
KONTAKT
EINE FREMDEWEBSITE SOLL
BESUCHT WERDENDATEI/EN SOLLEN
HERUNTERGELADEN/ GEÖFFNET WERDEN
BESTIMMTEHANDLUNG SOLL
AUSGEFÜHRT WERDEN
Prince of Nigeria (419 Scam)
„An Old Swindle Revived“ – New York Times, 1898
Nigeria wird politischer und wirtschaftlicher Unruhen zum florierenden Scamming-Ort, ~1980
Prince of Nigeria (419 Scam)
„An Old Swindle Revived“ – New York Times, 1898
Nigeria wird politischer und wirtschaftlicher Unruhen zum florierenden Scamming-Ort, ~1980
Unzählige Variationen des Scams im Umlauf
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
Ladies and Gentlemen,I'm a rich prince from Nigeria and I amwithyou in an urgent matter! I have totalof1,040,000 US dollars, which i gladly donateto you ...please reply very quickly withyour personal informationso we cancontact to this e-mail. Thank you and Godbless you.
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
Recon
Vorlieben
Interessen
Aktivitäten
Kontakte
Gruppe
Orte
Einstellung
Orientierung
Anknüpfungspunkte
16
Benutzernamen analysierenBereits die Verwendung von gleichen Benutzernamen ist ein Sicherheitsrisiko.
23
Strava Case-Study
„Malicious“-Segment für einzelne Firmen erstellen
<trkpt lat="51.#####" lon="-6.#####"/> <time>2018-02-28T09:32:21Z</time>
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
USB – Universal Serial Error?
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
USB – Universal Serial Error?
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
USB – Universal Serial Error?
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
Shoulder Surfing
Einfache und Effektive aber räumlich sehr
beschränkte Möglichkeit an Informationen zu
kommen
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
Shoulder Surfing
Einfache und Effektive aber räumlich sehr
beschränkte Möglichkeit an Informationen zu
kommen
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
Shoulder Surfing
Einfache und Effektive aber räumlich sehr
beschränkte Möglichkeit an Informationen zu
kommen
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
Shoulder Surfing
Einfache und Effektive aber räumlich sehr
beschränkte Möglichkeit an Informationen zu
kommen
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
Shoulder Surfing
Einfache und Effektive aber räumlich sehr
beschränkte Möglichkeit an Informationen zu
kommen
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
Shoulder Surfing
Einfache und Effektive aber räumlich sehr
beschränkte Möglichkeit an Informationen zu
kommen
C
hris
Wojz
ech
ow
ski, I
nst
itut
für
Inte
rnet-
Sic
herh
eit (
ifis
)
Shoulder Surfing
Einfache und Effektive aber räumlich sehr
beschränkte Möglichkeit an Informationen zu
kommen