Unter ,,Social Engineering`` versteht man das Sammeln von Informationen
durch das Vortäuschen falscher Tatsachen.
Dies kann auf verschiedenste Art und Weise geschehen. Am häufigsten geschieht
dies wohl per EMail. Dazu schreibt ein Angreifer eine EMail an die Benutzer
eines Systems, in der er sich als Administrator ausgibt und die User zu
bestimmten Handlungen auffordert, z.B. ihr Passwort auf einen bestimmten
Wert zu setzen oder ein bestimmtes Programm zu starten (Trojaner? siehe
Abschnitt 2.3).
Das dies eine reale Bedrohung darstellt, zeigt Abbildung 2.1.
Eine andere Methode, an Accountdaten zu gelangen, ist ebenfalls sehr vielversprechend: Per Telefon ruft der Angreifer User an und gibt sich als Systemverwalter aus. Mit etwas Geschick ist es meist kein Problem, dem Benutzer vertrauliche Informationen zu entlocken. Dies müssen nicht unbedingt Passwörter sein, einem Angreifer können auch Informationen über das Firmennetzwerk selbst sehr hilfreich sein, z.B. verwendete Betriebssysteme, Internetdienste, Hardware oder IP-Adressen, um nur einige relevante Parameter zu nennen. Mit diesem Wissen kann man dann andere Angriffsmethoden anwenden und der Angerufene wird niemals auf die Idee kommen, daß die Herausgabe seiner Informationen zu einem Angriff auf das Firmen-LAN geführt haben.
Diese Methode mag vielleicht auf den ersten Blick als sehr banal erscheinen, aber das Sicherheitsbewußtsein ist bei den meisten Anwendern kaum oder gar nicht vorhanden. Hinzu kommt, daß ein normaler Anwender überhaupt keine Vorstellung davon hat, daß viele Angriffe ohne die entsprechenden Informationen über ein Firmen-LAN nicht möglich wären. (Für den einen ist es nur eine IP-Adresse, für den anderen der Weg ins Firmennetz.)