Hi,
Dieses Tut beschäftigt sich mit Social Engineering.
Ich schreibe dieses Tut, da ich eigentlich kein Tut kenne ,dass sich mit Social Engineering beschäftigt!

1. Allgeimein
2. Per E-Mail
3. Per "Chat"
4. Per persönlichem Kontakt
5. Schluss


1.
Allgemein:
Social Engineering ist eine eignetlich besondere Art, um an Daten zu gelangen!
Meist benutzt man es allerdings nur um an Passwörter zu gelangen ,bzw. Zugriff auf etwas zu bekommen!
Für Social Engineering braucht man keine Programme etc.!
Das einzigste das man braucht, ist Verstand,Intilligenz,Überzeugunskraft,Kreativität ...

Wenn man es geschickt anwendet, kommt man sogut wie an alle Passwörter!

Hier werde ich ein paar Beispiele nennen, wie man Social Engineering anstellen kann!
Eurer Kreativität bleibt freien Raum ;)

2.
Per E-Mail:

So, stellt euch vor ihr wollt Zugang zu dem Ftp-Space einer Seite ,z.B. klaus.de!
Nun wollt ihr halt an das Passwort zu dem Ftp-Space!
Dazu müsst ihr erstmal herrausfinden ,wo er seinen Space lagert!
Bei tripod, beepworld, geocities müsste es eigentl.klar sein, da man dort ja andauernd ja so schöne Werbelinks, bzw. Werbebanner sieht!

Nun falls "Klaus" aber nicht bei Freewebspace-Anbietern seinen Space hat, könnt ihr:
1. Falls er Downloads anbietet ,euch was downloaden und dort steht ja dann immer z.b. ftp.klaus.de
2. Ihr geht zu Namenservern unter "Whois" und gibt dort die Domain der Seite ein!
    ->Nebenbei: Da wenn man keinen Freewebspace hat, muss man sich logischerweise den Space mieten!
                          Und da dies natürlich nicht kostenlos ist, muss der ,der den Space haben möchte, seine Kontodaten angeben und somit auch seinen Vornamen etc.!
Namenserver sind z.B.
- www.denic.de (für .de TopLevelDomains)
- www.nic.com (für .com TLD)
- www.internic.net/ (für mehrere Arten der TLD)

->>
Also nun habt ihr den Ftpspace-Anbieter, und ein paar Daten über "Klaus"!
Bei "Klaus.de" währe das Fun.de..

Bringt in der E-Mail am besten immer soviel Daten wie möglich rein, damit es möglichst glaubhaft klingt!
Wenn es auch möglich ist, meldet euch bei dem Webspace-Anbieter an, damit ihr das "Schema" der Mail kennt!

Nun die Mail:

---------------------------

"Lieber Klaus Nahr,

Da unser Web-Space von sogenannten "Hackern" leider beschädigt wurde, 
müssen wir nun kontrollieren ob auch Ihre Seite beschädigt wurde!
Dafür benötigen wir allerdings ihr Passwort zum Ftp-Zugang!
Bitte senden sie es an diese Adresse:
 fake@account.de

(Wir mussten leider auch eine neue Support E-Mail Adresse errichten, 
da auch diese von "Hackern" befallen wurde!)

Es wurden aber schon alle Sicherheitsmaßnahmen ergriffen, dass dies nicht noch einmal geschieht!
Wir bitten um ihr Verständis!

Fun.de - Webspace"

----------------------------

Den Fake-Account müsst ihr errichten, da ja das Passwort ja irgendwie, irgendwo hingeschickt werden muss!
Dafür reicht es leider nicht aus, dass ihr eine Anonyme-Email schickt!

So das wars erstmal zu dem Social Engineering per E-Mail!
Weiter gehts mit Punkt 2!


2.
Per "Chat":

Sagen wir diesmal ihr wollt an das Passwort eines E-Mail Account rankommen. (Die Person kennt ihr aber Real nicht)
Ihr habt auch schon alles ausprobiert, wie z.B. seinen Nick als Pw, 1234, abcd, halt die "Ich hab ein Sicheres Passwort"- Passwörter!
Das einzigste was euch noch bleibt ist die, ... sogenannte Sicherheitsfrage.
Die Frage lautet aber leider ,"Wie lautet der zweite Name meiner Mutter?"!
Das wisst ihr natürlich nicht, und ihr habt auch schon einiges ausprobiert ,wie Hildegard ,Angelika, Heidi, Lisbeth, Beate etc... 
Also müsst ihr natürlich irgendwie an diesen Namen kommen!
 
-> Der Chat hilft aus :)
Ihr kennt diese Person "virtuell", also wisst ihr bestimmt auch wann er/sie auch mal in den Chat kommt!
Oder ladet ihn/sie einfach dazu ein!

Also was tun, wenn die Person im Chat ist?
-> Ausfragen ;)

Zuerst fragt ihr die Person das übliche:
-Wie alt?
-Woher?
-Hobbies?

Und irgendwann wenn ihr euch schon ein bisschen "besser" kennt, fragst du sie/ihn wie sie heißt!
Dann sagt sie/er vielleicht : Britta!
Dann fragst du sie/ihn: Hast du auch einen zweitnamen?
Dann sagst sie/er vielleicht : Nee!
Dann fragst du sie/ihn: Jemand anderes aus deiner Familie?
Daraufhin sie/er : (entweder) Ja, meine Mutter (oder) Nein!
Wenn sie Ja sagt, dann fragst du sie/ihn wie der lautet, bei Nein fragst du sie ganz überrascht:

"Echt nicht, bei mir hat jeder einen zweitnamen!"
Und wenn sie dann immer noch Nein sagst, hast du leider Pech, und die Frage ist nur so gestellt und sie/er hat in wircklichkeit ein Passwort 
genommen, dass sie/er sich auch gut merken kann oder eins was z.B. wie "oasd7623" aussieht! (wo du natürlich nie drauf kommen würdest)
Wenn das der Fall sein könnte, kannst du ja noch länger mit ihr/ihm chatten, und so viele Infos über sie/ihn herrausfinden!
Und dann alle Daten bei der Sicherheitsfrage eintippen... und vielleicht klappt es!

Natürlich gibt es auch andere Sicherheitsfragen (wie auch z.B. wann wurde ich geboren),
aber auch diese wird man schätzt ich mal mit ein bisschen "Kontakt"
zu dieser Person "lösen" können! 


4.
Per persönlichem Kontakt:

Ihr habt also z.B. einen Freund ,der Nils heißt!
So Nils ist aber mit deiner Freundin fremd gegangen, und du willst es ihm heimzahlen ;)
Dieser "Freund" hat also eine Homepage ,die bei Tripod gehostet ist!

Was du machen kannst, um an das Pw ranzukommen:

1. Durchforste sein Zimmer, wenn er z.B. mal auf Toilette ist, nach möglichen Plätzten, 
wo Zettel, bzw. Passwörter aufbewahrt werden könnte -> z.B. unter der Tischunterlage, in der Schublade, in seinem Lieblingsbuch/CD..

2. Durchforste sein Pc, nach möglichen Ordnern, wo Passwörter versteckt sein könnten!
-> oder geh einfach mal unter Word,WordPad etc., auf "Datein" oder dort werden ja dann immer die 4 zuletzt benutzten Datein angezeigt!

3. Vielleicht weißt du ja sein Passwort zu seiner Mail-Adresse (hast vielleicht mal auf die Tasten geguckt, während er es eingegeben hat ;))
Wenn ja, dann kannst du dir ja das Passwort (bzw. ihm) zuschicken lassen, du guckst in seinem Postfach schnell nach und dann hättest du es!

4. Bei einer Sicherheitsfrage kannst du natürlich auch dein Glück versuchen, du kennst ja seine "Daten"!



5.
Schluss:

So, dass wars auch schon wieder!
Ich hoffe ihr habt was gelernt, und ich habe eurer Kreativität einen Ruck gegeben ;)

-Man kann auch leicht an Passwörter rankommen!- ;)

Falls noch Fragen offen sind:

www.learning-crew.com (Meldet euch im Forum)
mcschlumpf@learning-crew.com 

Written by: McSchlumpf...