lain disconnected


Forum

Social Engineering - Online -

Freies Forum.

Moderatoren: Kizuna, pegga, HoaX, Lerche

Social Engineering - Online -

Beitragvon ExileBlue » Do 17. Mai 2007, 16:59

Einige von euch kennen den Begriff "Social Engineering" vielleicht, er wird meistens im Bezug aufs Hacken angewendet, wobei man private Daten durch überlegtes Handeln einfach von einem Nutzer erfahren kann, oder direkt an seinen PC kommt.
Abwandlungen sind so kleine Tricks, wie zum Beispiel bei McDoof die leute zu verarschen, in dem man sagt, sie hätten was vergessen und man wollte sich diese Sachen jetzt abholen.
Da ich im Moment aber die Serie "Liar Game" aus Japan gucke, wo sehr viel auf diese Art erreicht wird, frage ich mich, ob es auch Möglichkeiten gibt, so etwas im Internet zu erreichen.
Beispiele wären dann ganz einfach Accountdaten um einfach mal kurz was laden zu können, diese dann aber einfach zu behalten... geht leichter als man so denkt.

In diesem Thread will ich die Möglichkeit für weitere Ideen eröffnen.
Insbesondere interessiert mich auch, wie man mit möglichst kurzem aufenthalt in einem fremden Chat viel erreichen kann.
Vorstellen kann ich mir, dass es bestimmt feste Typen gibt, die in einem Chat mehr vertrauen erwecken als andere, Jugendliche und so weiter.

Ich will im Moment nichts besonderes machen mit dem Wissen, mich interessierene einfach eure Ideen.
Ausserdem ist es für mich nur eine Erweiterung der sozialen Fähigkeiten, die man im täglichen Leben gut gebrauchen kann.
010000110110110001101111011100110110010100
100000011101000110100001100101001000000111
011101101111011100100110110001100100001011
000010000001101111011100000110010101101110
001000000111010001101000011001010010000001
101110011001010111100001110100
Benutzeravatar
ExileBlue
Distortion
Distortion
 
Beiträge: 122
Registriert: So 10. September 2006, 20:11

Beitragvon HoaX » Do 17. Mai 2007, 17:25

ich halte so eine manipulation für möglich. grade im wired laufen wir ständig auf menschen zu und das ohne vorbehalte.
ich selbst habe im rl solche tricks schon mit erfolg ausprobiert. (kleinigkeiten wie zb die schlange bei mc doof).

interessant wird das ganze wohl werden wenn die sich jetzt grade in den startlöchern befindlichen Online-Identitätssystemen raus kommen (eine at login manager der accounts verwaltet). damit wären alle meine sozialen daten und pws im inet in einer hand.
somit könnten vieleich individuen ausgeforcht und manipuliert werden.

genau so interessant die möglichkeiten die sich durch das sozial networking ergeben. riesige plattformen wie Xing oder studivz. bei letzterem gab es ja schon kritik das es viel zu viele sicherheitslücken gebe.

any way. bei der stätigen "versozialisierung" des wired könnte sowas möglich sein.

eigentlich ein schrecklicher gedanke wenn man bedenkt dass das beste am inets der soziale konntakt zu fremden ist.
Yeki Bud Yeki Nabud. Gheir as Khoda Hishkas nabud.

>>lain war das erste OS-tan<< O.o
Benutzeravatar
HoaX
Ego
Ego
 
Beiträge: 1530
Registriert: Do 25. Mai 2006, 16:50
Wohnort: Oldenburg/Emden

Beitragvon ExileBlue » Do 17. Mai 2007, 17:35

Stimmt schon, aber man muss bedenken, dass es im Internet wie überall im Leben ist, der stärkste gewinnt, dass soll zwar kein aufruf sein, alle anderen Menschen auszunutzen, aber wenn man selber sowas nicht tut, aber die Möglichlkeit sieht, werden andere sie nutzen.
Das bedeutet, dass man sich darauf vorbereiten muss.
Zudem kommt ja noch, dass ähnliches schon bei viren und abzocken umgesetzt wird, frage ist nur, ab wann es illigal ist und bis wohin es nur die Möglichkeit ist, seine Chancen ganz auszunutzen.

Ein Beispiel ist zum Beispiel eine Email, die für längere Zeit im Net umher ging, in der wurde eine neue Methode vorgestellt, in der man 10 Euro an einem Paypal-Account zahlen muss, der dort auf dem ersten platz aufgelistet ist, nachdem man das getan hat, soll man sich selbst in die Liste eintragen und die Mail weiter schicken, den Bezahlten natürlich löschen. Enden tut es wie bei den bekannten Schneeballsystem, der der am meisten Mails mit seinem Paypal-Account verteilt, bekommt am meisten. Man muss nur genug Dumme finden.
Natürlich weiß ich nicht wie Erfolgreich das ganze ablief, aber es wurde bestimmt bei vielen das Interesse geweckt
010000110110110001101111011100110110010100
100000011101000110100001100101001000000111
011101101111011100100110110001100100001011
000010000001101111011100000110010101101110
001000000111010001101000011001010010000001
101110011001010111100001110100
Benutzeravatar
ExileBlue
Distortion
Distortion
 
Beiträge: 122
Registriert: So 10. September 2006, 20:11

Beitragvon HoaX » Do 17. Mai 2007, 18:38

in der hinsicht ist es schon im vollem gange.
wovor ich angst habe ist Social Engineering aus spass, macht oder sozialen grunden (zb rache oder mobbing).
soetwas könnte schlimme ausmasse nehmen.

allgemein ist letzterer beweggrund ja schon vertretten. da werden zb nacktphotos, videos, intime daten (manchmal echt, manchmal erfunden oder manipuliert) und konntaktadressen ins inet gestellt.
so zb der fall einer schülerin bei dem ihr gesicht auf ein pornobild gemorpht wurde und das photo dann über das inet alle ihre bekannten erreichte.
Yeki Bud Yeki Nabud. Gheir as Khoda Hishkas nabud.

>>lain war das erste OS-tan<< O.o
Benutzeravatar
HoaX
Ego
Ego
 
Beiträge: 1530
Registriert: Do 25. Mai 2006, 16:50
Wohnort: Oldenburg/Emden

Beitragvon ExileBlue » Do 17. Mai 2007, 18:47

Stimmt, solche fälle sind schon länger vorhanden. Schlimmer wirds nur noch, wenn da tiefere Ziele als eine blosstellung hinter liegen, zb das drohen mit noch mehr Bildern und anderen Aktionen und Sachen zu verlangen um das abzuwenden... vielleicht um durch diese geschädigte Person noch andere zu quählen.
Es ist einfach so, dass Leute die viel im Net hängen auch die Zeit haben um sich da mehr Gedanken zu zu machen als gesund is. Filme liefern ja auch immer neuen Stoff, um nicht mal den eigenen Kopf ansträngen zu müssen.
010000110110110001101111011100110110010100
100000011101000110100001100101001000000111
011101101111011100100110110001100100001011
000010000001101111011100000110010101101110
001000000111010001101000011001010010000001
101110011001010111100001110100
Benutzeravatar
ExileBlue
Distortion
Distortion
 
Beiträge: 122
Registriert: So 10. September 2006, 20:11

Beitragvon PunkDrummer » Do 17. Mai 2007, 19:00

Yaaa sowas ist bei uns auch passiert. Aber das ist ja im Prinzip das "normale" Mobbing, auf einer neuen Ebene.

Das mit dem Account-Manager ist allerdings bedenklich, deshalb werde ich sowas garantiert niemals benutzen.

Die Frage ist immer: auf wieviel falle ich herein? Ich hielt mich in der Hinsicht immer für recht unfehlbar, bin allerdings vor zwei Monaten auch um rund 200 Euro betrogen worden... ein Onlineshop, der keiner war. Reden wir nicht drüber, im Nachhinein hasse ich mich dafür, nicht voher gegoogelt zu haben.

Ein Problem bei unserer Gesellschaft ist definitiv dass die leichtesten Opfer das meiste Geld haben - 12jährige und Rentner, die keine Ahnung haben - wie sollen die sich wehren gegen normales Phishing, und erst recht Social Engineering?
"Was die Götter angeht, so ist es mir unmöglich, zu wissen, ob sie existieren oder nicht, noch, was ihre Gestalt sei. Die Kräfte, die mich hindern, es zu wissen, sind zahlreich, und auch ist die Frage verworren und das menschliche Leben kurz."
Benutzeravatar
PunkDrummer
Landscape
Landscape
 
Beiträge: 843
Registriert: Fr 7. Januar 2005, 19:59

Beitragvon HoaX » Do 17. Mai 2007, 19:37

zu den accountmanagern: http://www.elektrischer-reporter.de/
ersten beiden vids. vom intro nicht vergraulen lassen.

yop bei meinem bruder haben die sowas auch schon gemacht. ein chatkonntackt bat ihn seine daten in einer seite anzugeben.
ne woche später flatterte eine rechnung ins haus. wurde natürlich nicht bezahlt weil die firma schon beim verbraucherschutz bekannt war.


das mit dem mobbing ist echt bedenklich.
auch nicht zu vergessen. der volkssport leute googlen.
indireckt habe ich dadurch heraus gefunden das eine bekannte/r längere zeit in der pychatrie war. ich bin so vernünftig das keinem zu erzählen aber kp was andere damit anstellen.

möglich wäre es auch über foren, chatrooms, profile usw eine art psychologiches profil von jemndem zu erstellen. wenn ich bedenke was ich schon alles an gedanken und gefühlen öffentlich gemacht habe.
dadürch könnte man viel gezielter menschen manipulieren. man kann so an sensibelste und intimste daten wie politiche meinungen, vorlieben, abneigungen oder stimmungslage einer person kommen.
Yeki Bud Yeki Nabud. Gheir as Khoda Hishkas nabud.

>>lain war das erste OS-tan<< O.o
Benutzeravatar
HoaX
Ego
Ego
 
Beiträge: 1530
Registriert: Do 25. Mai 2006, 16:50
Wohnort: Oldenburg/Emden

Beitragvon hiro » Fr 18. Mai 2007, 10:43

Mal ein kurzer Einschub:
Gegen die ungewollte Verbreitung von persönlichen Daten hilft oft Informationshygiene. "Alles was man sagt(postet) kann und wird gegen einen verwendet werden", das sieht man schon in schlechten Polizeifilmen.
Man sollte zB seinen richtigen Namen nie einfach so angeben. Gleiches gilt auch für Wohnort und Telefonnummer. Wenn man jemandem in einem Forum sowas zukommen lassen möchte, gibt es ja pns und ähnliches.
Politische Meinungen sind vielleicht nicht mal so kritisch, vor allem, wenn man keine extremen Ansichten hat.

Zum Thema selbst:
Social Engineering ist eine Kunst. Zumindest sehe ich das so. Es geht dabei auch nicht unbedingt darum, von jemandem peinliche Fotos oder Daten zu erlangen, nur um ihn zu erpressen. Das ist, gelinde gesagt, so simpel, dass es jedes Kind tun kann. (jaja, natürlich muss man an die Daten schon rankommen, was danach kommt ist allerdings nicht schwer)

Wirklich interessant sind subtile Manipulationen. Das mit der Schlange im McDoof zum Beispiel. Auch die altbewährte Methode durch Anrufe Accountdaten zu bekommen ist, imho, social engineering, weil man dazu (wie oben schon erzählt wurde) nicht nur köpfchen sondern soziale Kompetenz braucht. Man muss sein Gegenüber einschätzen können. Das heißt, dass man zunächst den Charakter grob erfassen muss (und das in wenigen Minuten!), um dann Schwächen auszunutzen. (Beispiel Telefonstreich: Wenn ich merke, dass da jemand mit viel technischem Wissen sitzt, dann muss ich mir was besseres einfallen lassen, als nur Standardsprüche. Wenn da jemand sitzt, der von dem Worten Account, IP- Adresse usw eingeschüchtert wird, dann drück ich ein bisschen auf die Tränendrüse und sage, dass ich ein so unerfahrener Nutzer bin und doch bitte eine Ausnahme gemacht werden soll. )

Die ganze Sache ist also relativ schwierig und ich halte es (je nachdem, wo man sie einsetzt) für relativ gefährlich. Im McDoof (um beim Beispiel mit dem Schlangestehen zu bleiben) ist das natürlich nicht gerade schlimm und niemand wird dabei verletzt.
Betreibt man die Sache allerdings im großen Stil und wird erwischt, dann kann das schon mal teuer werden und man landet u.U im Gefängnis.

Was hilfreich ist (hat Exile Blue schon angesprochen) ist es, die Mechanismen zu durchschauen und sich selber nicht zu leicht in die Karten schauen zu lassen. Man muss nicht gleich "exploits" betreiben, nur weil man es kann.
Social skills zu erwerben ist vermutlich ziemlich charakterabhängig und Leute mit Charme und Geschick werden es natürlich immer leichter haben, Kindern Lollies abzuschwatzen, aber es ist für jeden erlernbar.
(Eine meiner Lieblingsszenen aus Gilmore Girls hierzu: Emily (die Mutter) läd Lorelai (ihre Tochter) und Luke (Loerlais Freund) zum Abendessen ein. Sie mag Luke nicht besonders und zeigt dies auch. Aber sie sagt nicht ein schlechtes Wort über ihn, sondern verpackt alles in Ton, Mimik und Kontext. Am Ende "muss" er sich bei ihr bedanken (sie hat ihn eingeladen und sie hat ihn ja nicht verjagt oder rausgeworfen), obwohl sie ihn indirekt beleidigt hat. Das so ad hoc und mit ganz viel Sahne obendrauf zu machen, damit keiner ihr schleches Benehmen vorwerfen kann, ist nicht gerade einfach!)

Ein echtes Beispiel für so einen "exploit" durch social engineering habe ich sogar parat (ist so wirklich passiert:)
Person A(ndreas zB) verkauft an Person B(runo) aus Irland über Ebay eine seltene CD (also ist relativ viel Geld im Spiel). Nachdem Bruno das Geld aus dem Ausland überweisen müsste und das teuer ist, nimmt Bruno telefonisch Kontakt mit Andreas auf und schlägt vor, dass ein Freund von Bruno, nämlich Christian, der sowieso oft in Dland unterwegs ist, das Geld vorbeibringt. Damit spart sich Bruno also hohe Gebühren.
Nun ruft eine Woche später Bruno Andreas wieder an und erzählt, dass er Schulden bei Christian hat und deswegen Andreas einen Scheck zukommen lässt, den er Christian bitte aushändigen soll. Immer noch ahnt Andreas nicht, was sich anbahnt und sagt weiter brav dem netten Iren zu.
Einige Zeit später ruft Bruno Andreas wieder an: die Sache mit dem Bezahlen der Schulden wird wohl nichts. Er bitte deshalb Andreas, ihm per Western Union sein Geld (das sich noch unangetastet auf Andreas' Konto befindet), abzüglich dem Betrag für die ersteigerte Ware, zukommen zu lassen, weil er es dringend braucht. Andreas sagt wiederum zu und überweist das Geld per WU, damit Bruno es in Irland am nächsten Tag Cash auf die Kralle bekommt. Bruno versichert natürlich, alle anfallenden Gebühren auch zu tragen, damit Andreas keine Kosten entstehen. Klingt ja ganz nett.

Das Ende vom Lied: Andreas bekommt 4 Wochen später einen Anruf seiner Bank, die ihm verkündet, dass er auf seinem Konto ein riesen Minus hat, weil ein Auslandsscheck zurückgenommen wurde (12 Monate lang möglich). Der Andreas hat nun gar keine Ersparnisse mehr und riesen Schulden bei seiner Bank.
Die Polizei, die gleich konsultiert wurde, fragt, ob es sich um Kunden aus Irland oder Nigeria handelt, da eine Trickbetrügerbande aus Nigeria der Polizei schon wohl bekannt ist, die über Ebay Leuten das Geld aus der Tasche zieht.
Autsch. Keine Chance, das Geld zurückzubekommen.


Soviel von mir zum Thema social skills und social engineering. Viel Spaß mit meiner Logorrhoe :grin:
"Wenn das Mädchen wusste was/wo es ist und der Junge nicht, dann Tippe ich auf den G-Punkt!"
Benutzeravatar
hiro
Love
Love
 
Beiträge: 629
Registriert: Mi 4. Februar 2004, 21:05

Beitragvon PunkDrummer » Fr 18. Mai 2007, 11:15

Autsch. Das muss man erstmal durchschauen (die Sache mit dem Auslandsscheck). Der fehler von Andreas war da wohl definitiv an fremden Transaktionen so blauäugig teilzunehmen.
Das Problem ist ja dass er von dem Moment in der Falle sitzt wo er den Scheck bekommen hat... er hätte statt per WU zu bezahlen höchstens den Scheck zurückschicken können, seh ich das richtig?

Zu der Gilmore-Girls-Szene sag ich nur: Death Note.
"Was die Götter angeht, so ist es mir unmöglich, zu wissen, ob sie existieren oder nicht, noch, was ihre Gestalt sei. Die Kräfte, die mich hindern, es zu wissen, sind zahlreich, und auch ist die Frage verworren und das menschliche Leben kurz."
Benutzeravatar
PunkDrummer
Landscape
Landscape
 
Beiträge: 843
Registriert: Fr 7. Januar 2005, 19:59

Beitragvon hiro » Do 24. Mai 2007, 12:29

War zu dem Zeitpunkt scheinbar leider nicht mehr möglich. Bis ins kleinste Detail weiß ich das ganze auch nicht, ich nehme aber an, dass es eben nicht mehr möglich war.

*sich jetzt wieder ans Packen macht und dabei Padam Padam singt*
"Wenn das Mädchen wusste was/wo es ist und der Junge nicht, dann Tippe ich auf den G-Punkt!"
Benutzeravatar
hiro
Love
Love
 
Beiträge: 629
Registriert: Mi 4. Februar 2004, 21:05

Nächste

Zurück zu Sonstige Themen

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 9 Gäste

cron