Social Hacking
Author Unbekannt !
Ich habe hier mal ein (meiner Meinung nach) sehr gutes Tutorial hereinkopiert, welches ich gerade aus meiner (schier unendlichen) Tutorial-Sammlung gefischt habe. Allerdings habe ich dazu keine Informationen über den Author ... gefunden.
level 1: Was ist Social Hacking?
Auch Social Engineering gennant, ist Social Hacking eine Form des
Hackens, die praktisch ohne programmtechnisches Wissen
auskommt. Das soziale Umfeld des Opfers ist hier in erster Linie
Angriffspunkt dieser Methode.
level 2: Wie kommen Hacker an mein Passwort?
Tatsache ist, daß allzugerne Passwörter benutzt werden, die für
die betreffende Person eine besondere Bedeutung haben. Man nutzt
z.B. sehr gerne seinen eigenen Namen als Passwort. Doch Varianten
dieser Denkweise (meistens aus Bequemlichkeit) sind
ebenfalls zahlreich. Der Name der Ehefrau, das Geburtsdatum, Name
des Haustiers, Lieblingsfarbe oder Lieblingssong,
Telefonnummer, usw. Auf diese Weise kann man eine ganze Liste von
Möglichkeiten, die in Verbindung mit dem sozialen Umfeld des
Opfers stehen, durchgehen.
level 3: The High Art of Social Hacking
Die hohe Kunst des Social Hacking. Ist das Opfer dem Angreifer
nicht persönlich bekannt, so beschafft er sich Informationen
über sie oder ihn. Dies fängt mit dem Namen des Opfers an. Mit
Hilfe eines Telefonbuches oder einer Telefon-CD hat man
praktisch schon Adresse und Telefonnummer. Führt die betreffende
Person eine eigene HP, ist es ziemlich aufschlussreich, diese zu
durchforsten. Oftmals sind die Opfer durch Ihre Aktionen in Chat-Foren
oder Newsletters ziemlich unfreiwillige Imformationsquellen.
Gerne erzählen dann diese aus dem Nähkästchen, und bereits ihr
Hobby läßt Rückschlüsse zu.
Denken Sie nicht, daß es sich hier um Hacking für Arme handelt.
Selbst "No-Limit"- Hacker wie Kevin Midnick fanden in
dieser
Methode ein nützliches Hilfsmittel.
level 4: Aktives Social Hacking
Die bisher aufgeführten Vorgehensweisen sind alle ein Beispiel für
passives Social Hacking. Bei der aktiven Version springt der
Angreifer aus seinem Schattendasein hervor und verschüchtert
sein Opfer durch Angabe einer falschen Identität. Gewagt, aber
sehr
überzeugend. Lassen sie sich nicht einschüchtern, wenn plötzlich
das Telefon klingelt und sich der Administrator ihres
Internet-Providers meldet und dieser aus irgendwelchen
technischen Gründen Ihr Passwort benötigt. Diese haben es nämlich
nicht
nötig, nach Ihrem Passwort zu fragen, da diese bereits über
alle nötigen Zugangsrechte verfügen und solche Probleme intern
geregelt
werden.
Die Vorgabe, ein Mitarbeiter des entsprechenden Providers zu sein,
wird beispielsweise gern bei AOL verwendet. Outen Sie sich in
den jeweiligen Chat-Foren lauthals als Neuling, so dauert es
nicht lange, bis Sie entweder über E-mail oder noch innerhalb
des Chats
von einem angeblichen AOL-Mitarbeiter kontaktiert werden und
dieser die Herausgabe Ihres Passwortes einfordert...
Das Pretender Talent
Man muß schon wissen, wie man überzeugend wirkt, und ein
gewisses schauspielerisches Talent gehört auch dazu, um auf
diese
Weise erfolgreich zu hacken.
Ich wäre demjenigen "sehr" dankbar, der mir den Nickname des Authoren preisgeben würde!