Dieser text dient nur der Weiterbildung. Der Autor übernimmt keinerlei Haftung für die eventuelle Anwendung dieser Information Social Engineering Okay, das letzte Mal haben wir so in etwa erklärt was Social Engineering ist. Diesmal wird es etwas detailierter. Ausrüstung Es gibt ein paar Sachen die man haben sollte. 1: Ein Telefon. Am besten kein ISDN, wegen Rufnummerübertragung. Handy's sind wohl demnach am geeignetesten. In England gibt es Vorwahlen damit absolut keine Rufnummer übertragen wird, egal von wo. Ob es die in Deutschland gibt weiß ich nicht. Am allerbesten ist natürlich die Phreakmethode mit einem Linemans Handset. 2: Ein Telefonbuchverzeichnis. Eine CD wie DeTeInfo ist wohl am besten. Es muß viele Suchkriterien verarbeiten können, wie Straße, Postleitzahl, usw. 3: Einen Computer. Viele Info's sind auch im Netz erhältlich, und letztendlich wollen wir unsere Info's doch auch zum hacken verwenden, oder? 4: Die Infoliste. Nach und nach solltet Ihr festhalten wo es die besten Infos gibt, um ein eigenes Verzeichnis bilden zu können. Methodik Sei natürlich und keine Panik kriegen Egal was Ihr macht, seid natürlich. Wenn Du sagst daß du Michael Mustemann aus Dortmund bist, und daß dein Geburtsdaum der 11.09.78 ist, dann stimmt das. Du bist die Person, also weißt du 100% wann du geboren wurdest. Wenn sich jemand weigert euch etwas zu sagen, z.B. weil euch das Passwort fehlt, dann legt nicht sofort auf. Das macht die Leute darauf aufmerksam daß es ein Trick war. Bedankt euch, sagt Ihr versucht es später noch mal. Besonders in Callcenter und ähnlichen kriegen die Angestellten hunderte Anrufe am Tag. Die sollen sich nicht ausgerechnet an euren erinnern. Denk nach Mach Dir darüber Gedanken wo es bestimmte Informatione gibt. Krankenkassen, Banken, Gemeinden, usw. Wähle immer die einfachste Route aus, usw.Wenn du sagst du rufst von einer großen Firma an, z.B. einer Bank, denk an die Hintergrundkulisse. Ein großes Büro macht eine menge Lärm, anders als dein Zimmer. Sei Vorsichtig In Social Enginering gehen wir davon aus daß wir es mit Idioten zu tun haben. Erwischt Du mal einen der doch Ahnung hat, dann viel Glück. Nichts funktioniert 100%ig. Beispiel Eins Der T-Online Anruf(Telekom) Okay, Ihr sucht eine T-Online Homepage. Im Verzeichnis, z.B. http://www.users.t-online.de/hack/ gint Ihr http://www.users.t-online.de/hack/.impressum.html So, da erscheint jetzt eine Seite mit persönlichen Daten des Seiteninhabers. Name, E-mail, Telefonnummer.(daß diese Info da ist wissen die wenigsten) Wir wollen jetzt den Namen, Addresse und Telefonnummer aufschreiben. So, jetzt haben wir eigentlich auch schon alles. In der Annahme das nur Idioten oder Leute die keine Ahnung haben T-Online benutzen (fast so schlimm wie AOL), schreiben wir jetzt eine E-Mail an das Subjekt. Wir ändern den Sehbaren Namen im E-Mail auf Service T-Online oder so, und schreiben dem Subjekt eine Nachricht daß er am nächsten Tag einen Anruf aus dem T-Online Servicecenter erhalten wird. Als Grund geben wir irgendeine Lüge an. Datenüberprüfung, z.B. eine unserer Datenbänke wurde gehackt oder so. Am nächsten Tag rufen wir dort dann auch an. In etwa, Hacker: Guten tag, T-Online Servicecenter, Johannes Meier am Apperat (such Dir einen normalen, schlichten Namen aus, und merke ihn Dir gut, ganz schön peinlich wenn das Subjekt wieder danach fragt, und Du ihn nicht mehr weißt. desto alltäglicher, desto unauffälliger, und schwerer zu merken). Spreche ich mit Herrn Mustermann? Herr Mustermann: Ja, am Apperat. Hacker: Herr Thomas Mustermann, Musterstraße 23, Musterstadt? Herr Mustermann: Genau, das bin ich. Hacker: So, wir hatten Ihnen gestern ein E-Mail geschickt, haben Sie das erhalten? Herr Mustermann: Ja/Nein. Hacker: Gut, es geht um folgendes. Wir haben erfahren daß eine Gruppe Hacker eine Reihe Paßwörter erhalten haben und jetzt möchten wir prüfen das Ihre nicht dabei ist, da die Nutzung ja ansonsten auf Ihre Rechnung geht. Herr Mustermann: haben Sie soetwas denn nicht abgespeichert? Hacker: nein, alle Zugangscodes werden Computergeneriert, um Misbrauch zu vermeiden. Herr Mustermann: Oh, okay, und jetzt. Hacker: Nun, Sie haben doch eine E-Mail oder einen Brief von uns erhalten wo ihr Loginname und Passwort draufsteht, oder. Herr Mustermann: Ja. - Wenn er Ihn sofort holt, okay. Wenn nicht, und er fragt ob er eine E-mail schicken darf oder zurückrufen kann, sagst du entweder: "Ich sitze in einem Callcenter, mich persönlich zu erreichen wäre etwas schlecht" oder man gibt ihn eine Telekom Testnummer (benutze eine Wardialler oder Scanner) die immer besetzt anzeigt, und ruft ihn später wieder an.- Hacker: Nun, könnten Sie mir bitte den Usernamen sagen... Herr Mustermann: HerrMustermann.. Hacker: M-A-N-M am ende, ist das richtig? Herr Mustermann: Ja. Hacker: Okay, und jetzt das passwort. Herr Mustermann: 12hhu675z Hacker:12hhu673z Herr Mustermann: Nein, 675z Hacker: Oh, danke. okay, ich überprüfe das jetzt eben....einen Moment... Oh, Ihre ist da nicht bei. Da können Sie ja erleichtert sein. Herr Mustermann: Oh, dann ist ja gut. Hacker: Okay, ich danke Ihnen vielmals und wünsche Ihnen noch einen schönen Tag. So, und schon hat man einen T-Online Zugangscode. Gut nicht. Natürlich variieren die Gespräche. Leute sind manchmal mistrauisch, also laber Sie mit irgendein techyzeug voll. Die verstehen sowieso nichts. Und wenn es einer wirklich nicht glaubt, na und. Er sitzt am anderen Ende des Telefons (du hast doch wohl hoffentlich die Rufnummerübertragung ausgemacht, oder?) Dies ist auf jeden Fall ein gutes Beispiel wie man es machen kann, also, bis zum nächsten mal. Habt Ihr fragen, postet sie im Forum. Ich werde sie beantworten so gut es geht. :: Information :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: Dieser Text hier stammt aus dem Tutorial Archiv des Login Club´s :: Visit: http://www.login-club.org | irc.euric.net 6667 #loginclub :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: ::