Mal ein kurzer Einschub:
Gegen die ungewollte Verbreitung von persönlichen Daten hilft oft Informationshygiene. "Alles was man sagt(postet) kann und wird gegen einen verwendet werden", das sieht man schon in schlechten Polizeifilmen.
Man sollte zB seinen richtigen Namen nie einfach so angeben. Gleiches gilt auch für Wohnort und Telefonnummer. Wenn man jemandem in einem Forum sowas zukommen lassen möchte, gibt es ja pns und ähnliches.
Politische Meinungen sind vielleicht nicht mal so kritisch, vor allem, wenn man keine extremen Ansichten hat.
Zum Thema selbst:
Social Engineering ist eine Kunst. Zumindest sehe ich das so. Es geht dabei auch nicht unbedingt darum, von jemandem peinliche Fotos oder Daten zu erlangen, nur um ihn zu erpressen. Das ist, gelinde gesagt, so simpel, dass es jedes Kind tun kann. (jaja, natürlich muss man an die Daten schon rankommen, was danach kommt ist allerdings nicht schwer)
Wirklich interessant sind subtile Manipulationen. Das mit der Schlange im McDoof zum Beispiel. Auch die altbewährte Methode durch Anrufe Accountdaten zu bekommen ist, imho, social engineering, weil man dazu (wie oben schon erzählt wurde) nicht nur köpfchen sondern soziale Kompetenz braucht. Man muss sein Gegenüber einschätzen können. Das heißt, dass man zunächst den Charakter grob erfassen muss (und das in wenigen Minuten!), um dann Schwächen auszunutzen. (Beispiel Telefonstreich: Wenn ich merke, dass da jemand mit viel technischem Wissen sitzt, dann muss ich mir was besseres einfallen lassen, als nur Standardsprüche. Wenn da jemand sitzt, der von dem Worten Account, IP- Adresse usw eingeschüchtert wird, dann drück ich ein bisschen auf die Tränendrüse und sage, dass ich ein so unerfahrener Nutzer bin und doch bitte eine Ausnahme gemacht werden soll. )
Die ganze Sache ist also relativ schwierig und ich halte es (je nachdem, wo man sie einsetzt) für relativ gefährlich. Im McDoof (um beim Beispiel mit dem Schlangestehen zu bleiben) ist das natürlich nicht gerade schlimm und niemand wird dabei verletzt.
Betreibt man die Sache allerdings im großen Stil und wird erwischt, dann kann das schon mal teuer werden und man landet u.U im Gefängnis.
Was hilfreich ist (hat Exile Blue schon angesprochen) ist es, die Mechanismen zu durchschauen und sich selber nicht zu leicht in die Karten schauen zu lassen. Man muss nicht gleich "exploits" betreiben, nur weil man es kann.
Social skills zu erwerben ist vermutlich ziemlich charakterabhängig und Leute mit Charme und Geschick werden es natürlich immer leichter haben, Kindern Lollies abzuschwatzen, aber es ist für jeden erlernbar.
(Eine meiner Lieblingsszenen aus Gilmore Girls hierzu: Emily (die Mutter) läd Lorelai (ihre Tochter) und Luke (Loerlais Freund) zum Abendessen ein. Sie mag Luke nicht besonders und zeigt dies auch. Aber sie sagt nicht ein schlechtes Wort über ihn, sondern verpackt alles in Ton, Mimik und Kontext. Am Ende "muss" er sich bei ihr bedanken (sie hat ihn eingeladen und sie hat ihn ja nicht verjagt oder rausgeworfen), obwohl sie ihn indirekt beleidigt hat. Das so ad hoc und mit ganz viel Sahne obendrauf zu machen, damit keiner ihr schleches Benehmen vorwerfen kann, ist nicht gerade einfach!)
Ein echtes Beispiel für so einen "exploit" durch social engineering habe ich sogar parat (ist so wirklich passiert:)
Person A(ndreas zB) verkauft an Person B(runo) aus Irland über Ebay eine seltene CD (also ist relativ viel Geld im Spiel). Nachdem Bruno das Geld aus dem Ausland überweisen müsste und das teuer ist, nimmt Bruno telefonisch Kontakt mit Andreas auf und schlägt vor, dass ein Freund von Bruno, nämlich Christian, der sowieso oft in Dland unterwegs ist, das Geld vorbeibringt. Damit spart sich Bruno also hohe Gebühren.
Nun ruft eine Woche später Bruno Andreas wieder an und erzählt, dass er Schulden bei Christian hat und deswegen Andreas einen Scheck zukommen lässt, den er Christian bitte aushändigen soll. Immer noch ahnt Andreas nicht, was sich anbahnt und sagt weiter brav dem netten Iren zu.
Einige Zeit später ruft Bruno Andreas wieder an: die Sache mit dem Bezahlen der Schulden wird wohl nichts. Er bitte deshalb Andreas, ihm per Western Union sein Geld (das sich noch unangetastet auf Andreas' Konto befindet), abzüglich dem Betrag für die ersteigerte Ware, zukommen zu lassen, weil er es dringend braucht. Andreas sagt wiederum zu und überweist das Geld per WU, damit Bruno es in Irland am nächsten Tag Cash auf die Kralle bekommt. Bruno versichert natürlich, alle anfallenden Gebühren auch zu tragen, damit Andreas keine Kosten entstehen. Klingt ja ganz nett.
Das Ende vom Lied: Andreas bekommt 4 Wochen später einen Anruf seiner Bank, die ihm verkündet, dass er auf seinem Konto ein riesen Minus hat, weil ein Auslandsscheck zurückgenommen wurde (12 Monate lang möglich). Der Andreas hat nun gar keine Ersparnisse mehr und riesen Schulden bei seiner Bank.
Die Polizei, die gleich konsultiert wurde, fragt, ob es sich um Kunden aus Irland oder Nigeria handelt, da eine Trickbetrügerbande aus Nigeria der Polizei schon wohl bekannt ist, die über Ebay Leuten das Geld aus der Tasche zieht.
Autsch. Keine Chance, das Geld zurückzubekommen.
Soviel von mir zum Thema social skills und social engineering. Viel Spaß mit meiner Logorrhoe
"Wenn das Mädchen wusste was/wo es ist und der Junge nicht, dann Tippe ich auf den G-Punkt!"