Pretexting – In eine andere Haut schlüpfen
Ehrlichkeit ist der Schlüssel zu einer guten Beziehung. Kannst du das vortäuschen, bist du ein gemachter Mann.
Richard Jeni
Es gibt immer wieder mal Zeiten, da wünschten wir, wir könnten jemand anderes sein. Ich wäre z.B. gerne ein bisschen schlanker und würde gerne besser aussehen. Auch wenn in der Medizin dafür noch keine Pille erfunden worden ist, existiert doch eine Lösung für dieses Dilemma: Sie heißt Pretexting.
Was ist Pretexting? Manche glauben, damit sei nur eine Story oder Lüge gemeint, die man während eines Social Engineering-Auftrags ausübt, aber diese Definition greift zu kurz. Unter Pretexting (etwa: Vortäuschung falscher Tatsachen) versteht man besser die Hintergrundstory, Kleidung, Frisur, Persönlichkeit und innere Haltung, die jene Person ausmacht, die Sie bei Ihrem Social Engineering-Audit darstellen wollen. Zum Pretexting gehört alles, was Sie sich für diese Person vorstellen können. Je solider diese vorgetäuschten Tatsachen vermittelt werden, desto glaubwürdiger sind Sie als Social Engineer. Oft ist es sogar so, dass Sie desto besser „rüberkommen“, je einfacher Ihr Pretext ist. Der Pretext ist sozusagen der Aufhänger, Vorwand oder die Idee, und mit Pretexting ist der gesamte Prozess gemeint, dies umzusetzen.
Das Pretexting wird – vor allem seit Aufkommen des Internets – deutlich häufiger für böse Zwecke genutzt. Ich habe mal ein T-Shirt gesehen, auf dem stand: „Das Internet – hier sind Männer noch Männer, Frauen sind Männer und Kinder sind FBI-Agenten, die dich erwischen wollen. So witzig dieser Spruch auch ist, darin steckt eine Menge Wahrheit. Im Internet können Sie alles Mögliche sein. Böswillige Hacker nutzen diese Chance schon jahrelang zu ihrem Vorteil, und das nicht nur im Zusammenhang mit dem Internet.
Beim Social Engineering ist es oft zwingend notwendig, eine Rolle spielen oder eine andere Person sein zu können, um ein Ziel erfolgreich zu erreichen. Chris Hadnagy als Person hat wahrscheinlich nicht so viel Einfluss wie ein Kollege vom Kundendienst oder der CEO einer großen Importorganisation. Wenn eine Social Engineering-Situation eintritt, muss man solche Skills unbedingt verfügbar haben, um seinen Pretext glaubhaft umsetzen zu können. Bei einer Diskussion, die ich mit dem weltbekannten Social Engineer Chris Nickerson zu diesem Thema hatte, sagte er etwas, das meines Erachtens den Nagel auf den Kopf trifft.
Nickerson stellte fest, dass es beim Pretexting nicht darum geht, „sich einen anderen Hut aufzusetzen“ oder eine Rolle zu spielen. Er meinte, es geht nicht darum, eine Lüge vorzuspielen, sondern diese Person wirklich zu werden. Sie werden mit jeder Faser Ihres Seins zu dieser Person, die Sie vorgeben zu sein: ihre Art zu sprechen und sich zu bewegen, die Körpersprache – Sie werden einfach zu dieser Person. Ich stimme dieser Betrachtungsweise von Pretexting zu. Wenn Leute sich einen Kinofilm anschauen, dann halten sie jenen für „den besten, den ich je gesehen habe“, bei dem die Schauspieler sie derart durch ihre Rollen verzaubert haben, dass sie nicht mehr von ihren dargestellten Charakteren getrennt wahrgenommen werden können.
Das habe ich selbst erlebt, als ich vor einigen Jahren mit meiner Frau den hervorragenden Film Legenden der Leidenschaft mit Brad Pitt sah. In diesem Streifen spielte er einen egoistischen Dummkopf, eine gequälte Seele, die eine Menge schlechter Entscheidungen traf. Er spielte seine Rolle dermaßen gut, dass meine Frau ihn als Schauspieler buchstäblich ein paar Jahre lang hasste. Was für ein guter Pretexter!
Für viele Social Engineers ist Pretexting deswegen problematisch, da viele einfach meinen, es reiche, sich entsprechend anzuziehen. Sicher, passende Kleidung ist hilfreich, doch Pretexting ist eher eine Wissenschaft. Die gesamte Rolle stellt Sie gewissermaßen in einem völlig anderen Licht dar als jene Person, die Sie sonst sind. Also müssen Sie als Social Engineer eine klare Vorstellung davon haben, was Pretexting wirklich ist. Dann können Sie den Pretext wirklich gut durchplanen und ausführen. Zum Schluss sorgen Sie dann noch für den guten Feinschliff. In diesem Kapitel wird es um genau diese Aspekte des Pretexting gehen. Zuerst erläutern wir ausführlich, was Pretexting wirklich ist. Anschließend geht es um die Umsetzung von Pretexting als Social Engineer. Um dann schließlich alles zusammenzuführen, werden in diesem Kapitel einige Storys untersucht, in denen Pretexting effektiv eingesetzt wurde.
Mit Pretexting bezeichnet man die Schaffung eines erfundenen Szenarios, um die Zielperson als Opfer dazu zu überreden, Informationen herauszurücken oder eine Aktion auszuführen. Dazu gehört mehr, als nur eine Lüge vorzugaukeln. In manchen Fällen schafft man dazu eine komplette Identität, mit der man sich dann die Informationen erschwindelt. Social Engineers nutzen Pretexting, um Menschen in bestimmten Jobs oder Rollen zu verkörpern, die sie selbst noch nie ausgeführt haben. Bei Pretexting gibt es keine Lösung, die man immer und überall einsetzen kann. Ein Social Engineer muss im Laufe seiner Karriere viele unterschiedliche Pretexte (Vorwände) entwickeln. Sie alle setzen eines gemeinsam voraus: Recherchen. Gute Techniken der Informationssammlung sorgen beim Pretexting für Sieg oder Niederlage. Denn es ist ja beispielsweise nutzlos, den perfekten Kundendienstmitarbeiter nachahmen zu können, wenn am Ziel gar kein externer Support vorkommt.
Pretexting wird nicht nur beim Social Engineering, sondern auch in anderen Lebensbereichen eingesetzt. Verkaufsabteilungen, öffentliche Redner, sogenannte Wahrsager, NLP-Experten (Neurolinguistisches Programmieren) und sogar Ärzte, Rechtsanwälte, Therapeuten u.ä. müssen alle mit einer gewissen Form des Pretexting arbeiten. Sie alle müssen ein Szenario schaffen, in dem die Menschen sich wohlfühlen und bereit sind, Informationen herauszurücken, die sie normalerweise unter Verschluss halten würden. Social Engineers und andere, die mit Pretexting arbeiten, unterscheiden sich hingegen in ihren jeweiligen Zielen. Ein Social Engineer muss ja wie gesagt diese Person für eine gewisse Zeit leben, nicht nur die Rolle spielen.
Solange der Audit- oder Social Engineering-Auftrag dauert, müssen Sie in dieser fremden Haut stecken. Ich schlüpfe wie viele meiner Kollegen „in eine fremde Haut“, und manche legen sie nicht einmal nach Feierabend ab. Überall, wo es erforderlich ist, sollten Sie den gewählten Vorwand auch wirklich leben. Überdies verfügen viele professionelle Social Engineers über viele unterschiedliche Online- Social-Media-, E-Mail- und andere Konten, um die Vielfalt ihrer Pretexte zu untermauern.
Ich habe mal die Radio-Ikone Tom Mischke zu diesem Thema interviewt, als ich an einem meiner Social Engineering-Podcasts arbeitete (siehe www.social-engineer.org/episode-002-pretexting-not-just-for-social-engineers/). Ein Radiomoderator muss beim Pretexting sehr bewandert sein, weil er der Öffentlichkeit immer nur jene Informationen preisgeben darf, die er will. Tom war darin so geübt, dass viele seiner Hörer das Gefühl hatten, sie würden ihn als Freund „kennen“. Er bekam Einladungen zu Hochzeiten, Geburtstagen und sogar Geburten. Wie gelang Tom dieses erstaunliche Pretexting?
Die Antwort lautet „Übung“. Er beschrieb, welch Unmengen er an Zeit und Aufwand fürs Üben treibt. Er erzählte mir, dass er seine „Aufführungen“ regelrecht plant und dann einübt: Er arbeitet mit der Stimme, die er dann braucht, setzt sich entsprechend hin und trägt womöglich auch die dazugehörige Kleidung. Eben gerade durch Einüben kommt ein guter Pretext zustande.
Dabei gilt es einen sehr wichtigen Aspekt zu berücksichtigen: Die Qualität des Pretext hängt direkt mit der vorab gesammelten Information zusammen. Je mehr, desto besser, und je relevanter die Information ist, desto einfacher wird es sein, den Pretext zu entwickeln und erfolgreich umzusetzen. Beispielsweise würde der klassische Vorwand, einen Kundendienstler zu spielen, definitiv scheitern, wenn Sie damit zu einer Firma laufen, die ihren technischen Support entweder betriebsintern geregelt oder an ein ganz kleines Unternehmen mit nur ein oder zwei Leuten ausgelagert hat. Wenn Sie Ihren Pretext anbringen wollen, sollte es für Sie so natürlich und einfach sein, wie Sie mit jemandem darüber sprechen, wer Sie wirklich sind.
Damit Sie sehen, wie Sie diese Fähigkeit einsetzen können, stellen wir im folgenden Abschnitt die Prinzipien des Pretexting vor. Anschließend wird gezeigt, wie Sie mit diesen Prinzipien tatsächlich einen soliden Pretext planen können.
4.2 Prinzipien und Planungsphasen beim Pretexting
Wie bei jedem Skill werden die Schritte für die Ausführung einer Aufgabe von bestimmten Prinzipien diktiert. Pretexting macht da keine Ausnahme. Im Folgenden bekommen Sie nun eine Liste der Pretexting-Prinzipien für Ihre Arbeit an die Hand. Allerdings ist das beileibe keine erschöpfende Auflistung aller möglichen Prinzipien. Sicher ist diese Liste noch ausbaufähig, aber die hier aufgeführten Richtlinien verkörpern die Essenz des Pretexting:
• Je mehr Sie recherchieren, desto größer sind die Erfolgschancen.
• Wenn Sie Ihre persönlichen Interessen integrieren, steigert das den Erfolg.
• Üben Sie bestimmte Dialekte, Sprach- oder Ausdrucksformen sowie Redensarten.
• Sehr oft kann man den Aufwand beim Social Engineering reduzieren, wenn man das Telefon nicht so wichtig nimmt. Aber als Social Engineer sollte die Nutzung des Telefons nicht den Aufwand reduzieren, den man in den Social Engineering-Auftrag steckt.
• Je einfacher der Pretext, desto größer die Erfolgswahrscheinlichkeit.
• Der Pretext sollte spontan wirken.
• Liefern Sie der Zielperson einen logischen Schluss oder Anschlussauftrag.
In den folgenden Abschnitten beschäftigen wir uns eingehend mit diesen Prinzipien.
4.2.1 Je mehr Sie recherchieren, desto besser sind die Erfolgschancen
Dieses Prinzip ist selbsterklärend, kann aber nicht oft genug wiederholt werden: Der Erfolgsgrad ist direkt mit Umfang und Gründlichkeit der Recherche verknüpft. Wie in Kapitel 2 erläutert, ist dies der Dreh- und Angelpunkt des erfolgreichen Social Engineering. Je mehr Informationen ein Social Engineer an der Hand hat, desto größer sind seine Chancen, einen funktionierenden Pretext zu entwickeln. Erinnern Sie sich noch an die Geschichte aus Kapitel 2 über meinen Mentor Mati Aharoni und wie er einen Top-Manager davon überzeugte, eine Website mit seiner „Online-Briefmarkensammlung“ zu besuchen? Auf den ersten Blick hätte man annehmen können, dass der Weg in diese Firma über Finanzen, Bankgeschäfte, Fundraising oder Ähnliches führen müsste, da es ja ein Finanzunternehmen war. Doch je mehr Mati recherchierte, desto klarer wurde, dass der Pretext auch jemand sein könnte, der eine Briefmarkensammlung verkauft. Weil er etwas über die privaten Interessen des Managers herausfand, fand er einen einfachen Weg in die Firma, was auch funktionierte.
Manchmal sind es genau diese kleinen Details, die einen Unterschied machen. Prägen Sie es sich gut ein: Keine Information ist irrelevant. Beim Sammeln der Informationen sollten Sie nach Storys, Gegenständen oder auch Aspekten persönlicher Art suchen. Wenn Sie herausfinden, womit sich die Zielperson privat beschäftigt oder womit sie emotional verbunden ist, haben Sie womöglich schon einen Fuß in der Tür. Wenn der Social Engineer feststellt, dass der CFO regelmäßig jährlich einem Forschungszentrum für Krebs bei Kindern eine erhebliche Summe spendet, dann wird es sehr wahrscheinlich mit einem Pretext klappen, der das Fundraising für solche Zwecke aufgreift – so herzlos das auch klingen mag.
Das Problem ist, dass böswillige Social Engineers bei ihren Pretexte ohne Skrupel auch Gefühle anzapfen. Nach den Angriffen auf die Twin Towers in New York City am 11. September 2001 nutzten viele heimtückische Hacker und Social Engineers die Verluste dieser Menschen, um Spenden in ihre eigenen Taschen zu scheffeln: Sie riefen über Websites und E-Mails zu Spenden auf und sprachen dabei alle mit einem weichen Herzen an. Nach den Erdbeben im Jahre 2010 in Chile und Haiti geschah das Gleiche: Viele arglistige Social Engineers entwickelten Websites und warben dann so dafür, als bekäme man dort Informationen über seismische Aktivitäten oder vermisste Personen. Die Sites wurden mit hinterhältigem Code versehen und die Computer der Besucher gehackt.
Noch offensichtlicher wird das nach dem Tod eines Film- oder Musikstars. Durch Suchmaschinenoptimierung (Search Engine Optimization, SEO) und Marketinggenies verbreiten die Suchmaschinen diese Storys in wenigen Stunden. Neben Marketingfachleuten nutzen auch heimtückische Social Engineers den erhöhten Besuch von Suchmaschinen, indem sie bösartige Sites freischalten, die eben diese SEO nutzen. Damit locken sie Menschen auf diese Sites und ernten dann Informationen oder infizieren deren Computer mit Viren.
Solche Leute nutzen das Unglück anderer aus – diese traurige Tatsache gehört zu dieser Welt, und das sind die dunklen Ecken, die wir leider in diesem Buch besuchen müssen. Als Social Engineering-Auditor kann ich die Gefühle eines Angestellten nutzen, um einer Firma zu zeigen, dass auch Menschen mit scheinbar guten Absichten Firmenmitarbeiter dazu verführen können, den Zugang zu wertvollen oder geschäftsgefährdenden Daten zu ermöglichen.
Alle diese Beispiele untermauern den immer gleichen Punkt: Je besser der Social Engineer seine Aufgabe der Informationssammlung und Recherche erledigt, desto besser ist auch seine Chance, ein Detail zu finden, das die Möglichkeiten eines erfolgreichen Pretext steigert.
4.2.2 Der Einbau persönlicher Interessen steigert den Erfolg
Wenn Sie eigene persönliche Interessen nutzen, um die Chancen für ein erfolgreiches Social Engineering zu steigern, hört sich das erst einmal sehr simpel an, aber es kann viel dafür bewirken, das Ziel davon zu überzeugen, wie glaubwürdig Sie sind. Nichts ruiniert eine gute Beziehung und das Vertrauen schneller als eine Person, die sich bei einem Thema auszukennen behauptet, und diese Aussage dann nicht einlösen kann. Wenn Sie als Social Engineer noch nie einen Serverraum gesehen und niemals einen Computer auseinandergenommen haben, dann stehen Ihre Chancen sehr schlecht, überzeugend die Rolle des Technikers zu verkörpern. Wenn Sie bei Ihrem Pretext Themen und Aktivitäten einbauen, die Sie selbst auch interessieren, haben Sie vieles an der Hand, was Sie ansprechen und einbringen können, und so die Möglichkeit, sowohl Ihr Auffassungsvermögen zu zeigen als auch Vertrauen zu vermitteln.
Durch guten Vertrauensaufbau können Sie sehr viel dafür bewirken, die Zielperson davon zu überzeugen, dass Sie auch wirklich die vorgegebene Person sind. Bestimmte Pretexte erfordern mehr Wissen als andere (z.B. Briefmarkensammler im Vergleich mit einem Atomforscher), um überzeugend zu wirken. Somit läuft es auch hier wieder auf eine gute Recherche hinaus. Manchmal reicht es für den Pretext, dass man sich die nötigen Kenntnisse auch durch Lektüre einiger Websites oder Bücher aneignen kann.
Egal wie Sie an dieses Faktenwissen kommen, Sie als Social Engineer müssen auch die Themen gut recherchieren, für die Sie sich persönlich interessieren. Nachdem Sie sich für eine Story, einen Aspekt, Dienst oder ein anderes Interessensgebiet entschieden haben, in dem Sie sich sehr gut auskennen oder in dem Sie zumindest unbefangen parlieren können, schauen Sie, ob Sie von dieser Perspektive aus arbeiten können.
Dr. phil. Tom G. Stevens stellt fest: „Es ist wichtig daran zu denken, dass Selbstvertrauen immer mit Aufgabe und Situation zusammenhängt. In verschiedenen Situationen haben wir auch ein jeweils unterschiedliches Maß an Selbstvertrauen.“ Diese Aussage ist sehr wichtig, denn Selbstvertrauen ist direkt damit verknüpft, wie andere Sie als Social Engineer wahrnehmen. Selbstvertrauen (solange es nicht übersteigert ist) schafft bei anderen Vertrauen und Übereinstimmung und sorgt dafür, dass andere sich auch wohlfühlen. Dafür ist es natürlich sehr wichtig, dass Sie einen Weg finden, mit Ihrer Zielperson Themen anzuschneiden, mit denen Sie selbst sich auch wohlfühlen und über die Sie selbstbewusst sprechen können.
1957 veröffentlichte der Psychologe Leon Festinger die Theorie der kognitiven Dissonanz. Diese Theorie besagt, dass die Menschen bestrebt sind, zwischen Glauben und Überzeugungen und im Grunde all ihren Wahrnehmungen und Erkenntnissen für Konsistenz zu sorgen. Wenn es zwischen innerer Einstellung und äußerem Verhalten Unstimmigkeiten gibt, will man etwas verändern, um diese Dissonanz zu eliminieren. Dr. Festinger stellt fest, dass zwei Faktoren sich auf die Stärke der Dissonanz auswirken:
• Die Anzahl der unstimmigen Überzeugungen
• Die Bedeutung jeder Überzeugung
Dann führt er aus, dass man auf dreierlei Wegen diese Dissonanz eliminieren kann (hier sollten alle Social Engineers die Ohren spitzen):
• Die Bedeutung der unstimmigen Überzeugungen reduzieren.
• Mehr übereinstimmende (konsonante) Überzeugungen einbauen, die die dissonanten Überzeugungen aufwiegen.
• Die dissonanten Überzeugungen ändern, damit sie nicht länger inkonsistent sind.
Wie nutzt ein Social Engineer diese Information? Agiert man beim Pretexting mit mangelhaftem Selbstvertrauen, aber der Pretext besagt eigentlich, dass man selbstbewusst wirken muss, sorgt das automatisch für Dissonanz. Diese Dissonanz lässt alle Alarmglocken schellen und richtet Barrieren auf, durch die Rapport, Vertrauen und ein Weiterkommen eingeschränkt oder unmöglich werden. Diese Barrieren wirken sich auf das Verhalten der Zielperson aus, denn diese muss nun ihr Gefühl der Dissonanz ausgleichen – was letzten Endes jede Wahrscheinlichkeit torpediert, dass Ihr Pretext funktioniert.
Um dem zu begegnen, können Sie beispielsweise mehr stimmige Überzeugungen einbauen, weil damit die unstimmigen ausgeglichen werden. Welche Erwartungen hat die Zielperson bezogen auf Ihren Pretext? Wenn Sie das wissen, können Sie Wahrnehmung und Gefühle der Zielperson mit Aktionen, Begriffen, Worten und inneren Einstellungen versorgen, die das Überzeugungssystem Ihres Gegenübers stärken und alle Ansichten überlagern, die Zweifel säen.
Natürlich kann ein geschickter Social Engineer auch unstimmige Überzeugungen so ändern, dass sie nicht mehr länger unstimmig sind. Wer über solches Geschick verfügt, darf sehr viel Macht sein eigen nennen, obwohl dies auch heikler und schwieriger ist. Es ist möglich, dass Ihr Aussehen oder Ihre Erscheinung nicht zu dem passt, was die Zielperson sich für Ihren Pretext vorstellt. Vielleicht erinnern Sie sich noch an die Fernsehserie Doogie Howser, M.D. Doogies Problem war, dass sein „Pretext“, ein hervorragender Arzt zu sein, nie passte, da er so jung war. Das war eine unstimmige (dissonante) Überzeugung, doch mit seinem Wissen und Handeln veränderte er das zu den stimmigen (konsonanten) Überzeugungen seiner „Zielpersonen“. So wie im vorigen Beispiel kann ein Social Engineer seinen Pretext an den Überzeugungen seiner Zielpersonen bezüglich ihrer inneren Einstellungen, Aktionen und vor allem ihres Vorwissens über den Pretext ausrichten.
Ein Beispiel davon erlebte ich letztens auf der Defcon 18 live. Ich gehörte zum Team, das die Social Engineering Capture the Flag auf der Defcon umsetzte. Wir sahen viele Wettbewerbsteilnehmer, die mit dem Pretext eines internen Mitarbeiters arbeiteten. Ein ungeschickter Social Engineer, der mit einem Einwand wie „Wie lautet denn Ihre Mitarbeiterkennnummer?“ konfrontiert wird, wird nervös und kann entweder nicht antworten oder legt einfach auf. Ein geschickter Social Engineer hingegen könnte diese dissonanten Überzeugungen für die Zielperson jeweils entsprechend „zurechtbiegen“. Dann hat er entweder einfach eine online gefundene Kennnummer angegeben oder mit einer anderen Methode die Zielperson davon überzeugt, dass die Information nicht benötigt wird. Somit sind deren eigene Überzeugungen wieder im Einklang.
Diese Punkte sind eher technische Antworten auf ein sehr einfaches Problem, aber Sie müssen verstehen, dass man nur begrenzt so tun kann als ob. Wählen Sie weise Ihren Weg.
4.2.3 Üben Sie bestimmte Dialekte und Redensarten
Man kann sich nicht mal eben auf die Schnelle aneignen, wie man mit einem anderen Dialekt spricht. Abhängig davon, wo Sie leben, kann es recht lange dauern, einen anderen Dialekt zu erlernen oder mit Akzent zu sprechen. Will man sich z.B. die gedehnte Redeweise der amerikanischen Südstaatler oder einen asiatischen Akzent aneignen, ist das sehr schwer, wenn nicht gar unmöglich. Ich war mal in einem Schulungsseminar einer internationalen Verkaufsorganisation, in dem eine Statistik zitiert wurde, dass 70 % der Amerikaner lieber jemandem mit britischem Akzent zuhören. Ich bin nicht sicher, ob diese Statistik stimmt, aber von mir kann ich sagen, dass mir dieser Akzent auch gut gefällt. Nach dem Seminar bekam ich mit, wie viele aus der Gruppe sich darin übten, ihre „cheerios“ und „hello guvnors“ möglichst britisch klingen zu lassen – ganz fürchterlich war das. Mein guter Freund Jon aus England wird immer sehr ärgerlich, wenn er hört, wie Amerikaner Zitate aus „Mary Poppins“ mit britischem Akzent imitieren. Wenn er dieser Truppe hätte zuhören müssen, wäre ihm gewiss der Kragen geplatzt.
Was ich bei diesem Seminar gelernt habe: Obwohl die Statistik vielleicht besagt, dass ein bestimmter Akzent für Verkaufszahlen besser sei, oder weil Sie vielleicht einen Social Engineering-Auftrag in den Südstaaten der USA oder in Europa haben, heißt das noch lange nicht, dass Sie sich schnell den Akzent aneignen können und dann gleich wirken „wie aus der Gegend“. Im Zweifel lieber bleiben lassen. Wenn Sie den Dialekt nicht perfekt hinkriegen, wenn es bei Ihnen nicht natürlich wirkt und Sie nicht glatt und reibungslos sprechen können, probieren Sie es gar nicht erst. Schauspieler nehmen sich Sprechtrainer und Unterricht, um zu lernen, wie man klar und deutlich in dem Akzent spricht, den sie verkörpern sollen. Der Schauspieler Christian Bale stammt aus Wales, aber rein durchs Zuhören findet man das kaum heraus. In den meisten seiner Filme klingt er überhaupt nicht britisch. Die Schauspielerin Gwyneth Paltrow eignete sich für den Film Shakespeare in Love einen sehr überzeugenden britischen Akzent an.
Die meisten Schauspieler arbeiten mit Dialekt-Coachs am perfekten Akzent. Weil die meisten Social Engineers sich einen solchen Dialekt-Coach nicht leisten können, gibt es viele Publikationen, aus denen Sie zumindest die Grundlagen eines solchen Akzents erlernen, z.B. Dialects for the Stage von Evangeline Machlin. Obwohl dieses Buch schon vor längerer Zeit erschien, sind darin ein paar tolle Tipps enthalten:
• Suchen Sie sich muttersprachliche Beispiele für den Akzent, den Sie lernen wollen, und hören Sie genau zu. Bücher wie Dialects for the Stage enthalten auf Kassette oder CD oft gesprochene Beispiele mit Akzent.
• Sprechen Sie diese Sprechbeispiele nach, um einzuüben, wie man wie diese Person redet.
• Wenn Sie sich eine gewisse Sicherheit angeeignet haben, nehmen Sie sich mal mit diesem Akzent sprechend auf, um sich selbst zu hören und Fehler zu korrigieren.
• Schaffen Sie ein Szenario und üben den neuen Akzent mit einem Partner.
• Wenden Sie Ihren Akzent öffentlich an, um zu merken, ob Sie für glaubwürdig gehalten werden.
Es gibt unzählige Dialekte und Akzente. Darum ist es für mich hilfreich, mir ein paar der Sätze, die ich sprechen will, auch phonetisch aufzuschreiben. So kann ich das lesend einüben und mir alles besser einprägen, damit mein Akzent natürlicher klingt.
Mit diesen Tipps meistert ein Social Engineer andere Dialekte oder wird darin zumindest geübter.
Auch wenn Sie sich andere Dialekte nicht hundertprozentig überzeugend aneignen können, sorgt es schon für einen Unterschied, wenn Sie Ausdrücke oder Redewendungen lernen, die in der Gegend verwendet werden, in der Sie tätig sind. Nehmen Sie sich mal Zeit dafür, dort anderen in der Öffentlichkeit zuzuhören. Dafür eignen sich Schnellrestaurants oder Einkaufspassagen gut oder auch andere Orte, wo die Menschen sich in Gruppen treffen und plaudern. Hören Sie genau auf Formulierungen oder Schlüsselwörter. Wenn Sie merken, welche in mehreren Gesprächen genutzt werden, sollten Sie probieren, so etwas in Ihren Pretext einzubauen, um glaubwürdiger zu wirken. Auch diese Übung benötigt natürlich Recherchen und Training.
4.2.4 Telefonnutzung sollte den Aufwand für den Social Engineer nicht reduzieren
In den letzten Jahren dominierte das Internet bestimmte, eher „unpersönliche“ Aspekte des Social Engineering, während früher das Telefon ein integraler Bestandteil des Social Engineering war. Wegen dieser Verschiebung geben sich viele Social Engineers nicht mehr so viel Mühe am Telefon, um wirklich erfolgreich zu sein.
Hier geht es nun darum zu zeigen, dass das Telefon immer noch eines der mächtigsten Werkzeuge des Social Engineer ist und wegen der unpersönlichen Natur des Internets nicht vernachlässigt werden sollte.
Wenn ein Social Engineer einen Angriff per Telefon plant, denkt er womöglich anders, da es übers Internet scheinbar besser geht. Hier gilt: Planen Sie auf jeden Fall den gleichen Aufwand ein, also die gleichen umfassenden und eingehenden Recherchen und Informationssammlungen und vor allem den gleichen Übungsumfang, wenn Sie Ihre Social Engineering-Angriffe per Telefon durchführen. Ich war mal bei einer Gruppe, die Telefonpräsentationen üben sollte. Wir erfassten die korrekten Methoden, den Tonfall, die Sprechgeschwindigkeit, die Tonlage und die zu verwendenden Wörter. Dann schrieben wir ein Drehbuch (mehr darüber gleich) und begannen eine Session. Der Erste führte seinen Anruf durch, erreichte jemanden telefonisch und geriet bereits bei den ersten paar Zeilen durcheinander. Weil ihm das vollkommen peinlich war und er Angst bekam, legte er einfach auf. Daraus sollten Sie sich folgende Lektion merken: Die Person auf der anderen Seite hat keine Ahnung, was Sie eigentlich sagen wollten, also können Sie auch nichts „durcheinanderbringen“. Durch Übungssessions lernen Sie, mit etwas Unvorhergesehenem umzugehen, was Sie selbst verursacht haben, weil Sie sich z.B. nicht ans Drehbuch gehalten haben und aus der Bahn geworfen wurden.
Wenn Sie nicht mit einer Gruppe gesegnet sind, mit der Sie üben oder diesen Skill verfeinern können, werden Sie kreativ: Probieren Sie mal, Ihre Freunde oder Familienmitglieder anzurufen, um zu sehen, wie gut Sie die manipulieren können. Eine andere Übungsmethode ist, sich selbst aufzunehmen, als würden Sie telefonieren, und sich diese Aufzeichnung anzuhören.
Ich persönlich finde, dass eine schriftliche Skizze sehr wichtig ist. Folgendes soll das verdeutlichen: Nehmen wir an, Sie müssen Ihre Telefongesellschaft oder ein anderes Versorgungsunternehmen anrufen. Vielleicht ist da etwas mit einer Rechnung schiefgelaufen oder Sie hatten ein Serviceproblem und wollen sich nun beschweren. Nachdem Sie den Sachverhalt erklärt und erwähnt haben, wie verärgert und enttäuscht Sie sind, merken Sie, dass der Firmenmitarbeiter für Sie absolut nichts machen kann. Trotzdem sagt er vielleicht etwas wie: „Unsere Firma XYZ steht für einen exzellenten Service. Habe ich damit Ihre Fragen für heute beantwortet?“ Wenn der Trottel am Telefon mal eine Sekunde nachgedacht hätte, was er da eigentlich sagt, hätte er gemerkt, wie dumm das ist, nicht wahr? Das passiert leichter, wenn man mit einem ausformulierten Skript arbeitet statt mit einem anpassungsfähigen Leitfaden. Mit einem solchen Leitfaden können Sie sich „kreative Freiheiten“ erlauben und sich im Gespräch frei bewegen, müssen sich aber nicht immer Sorgen machen, was als Nächstes kommen muss.
Wenn Sie den Pretext anhand des Telefons untermauern, gelangen Sie damit besonders schnell bei Ihrem Ziel in die Tür. Am Telefon kann der Social Engineer praktisch alles „spoofen“ oder vorschwindeln. Nehmen wir folgendes Beispiel: Ich rufe Sie an und tue so, als wäre ich in einem lebhaften Büro. Um hier meinen Pretext zu untermauern, spiele ich einfach die CD von Thriving Office (www.thrivingoffice.com) ab. Auf dieser Site werden Tracks angeboten, die z.B. „Busy“ oder „Very Busy“ heißen. Das sagen die Hersteller: „Auf dieser wertvollen CD hören Sie all die Geräusche, die man bei einer etablierten Firma zu hören erwartet, was für eine sofortige Glaubwürdigkeit sorgt. Das ist einfach, effektiv und funktioniert garantiert!“
Allein dieser Satz ist ein Beispiel für Social Engineering-Tugenden: „ … die man bei einer etablierten Firma zu hören erwartet“! Sie merken schon, dass diese CD darauf ausgerichtet ist, Erwartungen zu erfüllen und für Glaubwürdigkeit zu sorgen (zumindest in der Vorstellung der Zielperson, nachdem ihren Erwartungen Genüge getan wurde). Das baut automatisch Vertrauen auf.
Überdies ist es relativ einfach, Anruferinformationen zu fälschen. Dienste wie SpoofCard (www.spoofcard.com) oder eigene Lösungen sorgen dafür, dass ein Social Engineer das Ziel glauben lassen kann, er riefe aus der Firmenzentrale, dem Weißen Haus oder der Bank nebenan an. Mit diesen Diensten stellen Sie Ihre Nummer so ein, dass sie aus einem beliebigen Winkel der Welt zu stammen scheint.
Das Telefon ist ein todsicheres Tool für Social Engineers. Wenn er sich an dessen Nutzung gewöhnt und es mit ausgesuchtem Respekt behandelt, erweitert er damit sein Instrumentarium fürs Pretexting. Weil das Telefon ein derart wirkungsvolles Tool ist und seine Effektivität nicht verloren hat, sollten Sie die für einen Social Engineer-Auftrag lohnenswerte Zeit und Mühe investieren.
4.2.5 Je einfacher der Pretext, desto größer die Erfolgswahrscheinlichkeit
Das Prinzip „Je einfacher, desto besser“ kann man nicht überbewerten. Wenn zum Pretext so viele komplizierte Details gehören, dass Social Engineering misslingt, wenn man ein Detail vergisst, scheitert wahrscheinlich das ganze Vorhaben. Wenn man Spannungsbogen, Story, Fakten und Details einfach hält, steigert das die eigene Glaubwürdigkeit.
Dr. Paul Ekman, der renommierte Psychologe und Forscher im Bereich menschlicher Täuschung, verfasste 1993 einen Artikel unter der Überschrift „Misslungene Lügen“. Darin schreibt er u.a.,
dass nicht immer Zeit genug ist, den geplanten Kurs vorzubereiten, zu üben und sich alles einzuprägen. Auch wenn es im Vorfeld ausreichend Hinweise gegeben hat und sorgfältig eine falsche Linie ausgearbeitet wurde, ist der Lügner vielleicht nicht clever genug, alle Fragen vorwegzunehmen, die möglicherweise gestellt werden, und dann dafür jeweils seine Antworten zu bedenken. Auch Cleverness reicht womöglich nicht aus, da durch unvorhergesehene Änderungen der Umstände ein ansonsten effektiver Text sinnlos wird. Und auch wenn der Lügner nicht durch die Umstände gezwungen wird, seinen Text zu ändern, haben manche Lügner auch Probleme damit, sich an Text zu erinnern, den sie sich vorher eingeprägt haben. Dann können sie unter Umständen neue Fragen nicht schnell und konsistent beantworten.
Dieser sehr hervorstechende Punkt verdeutlicht, warum einfacher eben besser ist. Es ist fast unmöglich, sich einen Pretext einzuprägen, wenn er so komplex ist, dass man durch einen einfachen Fehler auffliegt. Der Pretext sollte natürlich und eingängig sein. Man sollte ihn sich leicht merken können, und wenn er sich für Sie natürlich anfühlt, dann wird es kein Problem für Sie sein, sich Fakten oder Aussagen zu merken, die schon im Vorfeld des Pretext verwendet wurden.
Um zu verdeutlichen, wie wichtig es ist, sich an alle kleinen Details zu erinnern, hier mal eine kleine Geschichte: Ich wollte mich mal im Verkaufsbereich ausprobieren. Zur Einarbeitung wurde ich einem Verkaufsleiter zugeordnet. Ich erinnere mich noch an meinen ersten Einsatz mit ihm. Wir fuhren zum Haus, und bevor er aus dem Wagen stieg, schaute er auf die Infokarte und sagte zu mir: „Denk dran, Becky Smith hat eine Anforderungskarte für eine Zusatzversicherung eingeschickt. Wir präsentieren ihr die XYZ-Police. Pass gut auf, dann lernst du alles.“
In den ersten drei Minuten des Verkaufsgesprächs nannte er sie erst Beth und dann Betty. Jedes Mal, wenn er einen falschen Namen aussprach, sah ich, wie sie ihre Haltung veränderte und dann ruhig „Becky“ entgegnete. Ich hatte das Gefühl, wir hätten ihr auch Goldbarren schenken können, und sie hätte abgelehnt. Sie war so abgestoßen von der Tatsache, dass er sich ihren Namen nicht merken konnte, dass sie kein Interesse hatte, sich irgendetwas anzuhören.
Dieses Szenario verdeutlicht sehr gut, dass man Fakten einfach und unkompliziert halten sollte.
Neben dem Einprägen der Fakten ist es gleichermaßen wichtig, die Details überschaubar zu halten. Ein einfacher Pretext erlaubt, dass die Story selbst wächst und die Zielperson ihre Vorstellungskraft nutzen kann, um die Lücken zu füllen. Versuchen Sie gar nicht erst, den Pretext besonders ausgeklügelt zu gestalten, und merken Sie sich vor allem die kleinen Details, die dafür sorgen, wie der Pretext wahrgenommen wird.
Noch ein interessanter Leckerbissen: Berühmte Kriminelle und Trickbetrüger nutzen eine populäre Taktik: Sie begehen absichtlich ein paar Fehler. Der Gedanke dahinter ist, dass niemand perfekt ist, und durch ein paar Fehler fühlen sich die Leute sozusagen heimischer. Doch geben Sie Acht, welche Fehler Sie für diese Taktik einfließen lassen, denn es lässt zwar das Gespräch natürlicher wirken, macht aber den Pretext komplexer. Nutzen Sie diesen Tipp sparsam, und egal, wie Sie sich beim Fortfahren entscheiden, halten Sie es unkompliziert.
Lassen Sie mich dafür nun ein paar Beispiele anführen, die ich selbst verwendet oder bei Audits erlebt habe. Nach hervorragendem Elizitieren am Telefon hatte ein namenloser Social Engineer den Namen einer Müllentsorgungsfirma erfahren. Er warf seine Suchmaschine an und fand schnell ein nutzbares und druckfähiges Logo. Es gibt Dutzende Shops online oder um die Ecke, die Hemden oder Mützen mit solchen Logos bedrucken.
Nur wenige Minuten dauerte es, bis er auf einer Vorlage alles passend arrangiert hatte. Dann bestellte er ein Hemd und eine Baseballkappe mit dem Logo der Entsorgungsfirma. Wenige Tage später zog sich der Social Engineer die Sachen mit den Logos an, griff sich ein Klemmbrett und ging zur Sicherheitsschleuse der Zielfirma.
Er sagt: „Hi, ich bin Joe und komme von ABC Waste. Wir sind von Ihrer Einkaufsabteilung angerufen worden. Einer von uns soll mal vorbeikommen, um einen beschädigten Müllcontainer zu überprüfen. Morgen wird der Müll abgeholt, und wenn der Container nicht reparabel ist, muss ich einen neuen vorbeibringen lassen. Aber ich muss mir das eben mal vor Ort anschauen und checken.“
Ohne Gemütsregung sagte der Wachmann: „Okay, Sie brauchen diese Kennkarte, um aufs Gelände zu kommen. Fahren Sie eben hier durch und dann hinten ums Gebäude herum, dann sehen Sie die Container schon.“
Der Social Engineer besaß nun einen Freifahrtschein, um einen sehr langen und ausführlichen Dumpster Dive auszuführen, aber er wollte das Potenzial maximieren. Also pokerte er mit der nächsten Bemerkung richtig hoch. Mit Blick auf sein Klemmbrett sagte er: „Hier auf meinem Auftrag steht, dass es nicht um die Tonnen mit Speiseresten geht, sondern um die für Papier und Elektroschrott. In welchem Bereich finde ich die?“
„Ah, fahren Sie einfach den gleichen Weg, wie ich schon gesagt habe, und dann sind die in der dritten Gasse“, antwortete der Wachmann.
„Vielen Dank“, entgegnete Joe.
Ein einfacher Pretext, untermauert durch Kleidung und „Werkzeug“ (wie das Klemmbrett), und die für diese Story nötigen Sätze sind einfach zu merken, weil sie nicht kompliziert sind. Die Einfachheit und Detailarmut hat diesen Pretext tatsächlich glaubwürdiger gemacht, und es hat funktioniert.
Ein anderer, sehr oft verwendeter Pretext ist der mit dem Kundendienstmitarbeiter. Dafür braucht man nur ein Polohemd, Khakihosen und eine kleine Tasche mit Computerwerkzeug. Viele Social Engineers nutzen diese Taktik, um durch die Vordertür spazieren zu können, weil der „Kollege vom Kundendienst“ normalerweise ohne Aufsicht in alle Bereiche darf. Hier gelten die gleichen Regeln: Halten Sie Handlung bzw. Ablauf einfach, und dieser spezielle Pretext wird sehr glaubwürdig vermittelbar.
4.2.6 Der Pretext sollte spontan wirken
Dass ein Pretext spontan wirken soll, hängt mit dem Gedanken zusammen, lieber mit Gliederung oder Skizze zu arbeiten als mit einem ausformulierten Skript. So bleiben dem Social Engineer mehr Freiheiten, da er mit einem regelrechten Drehbuch zu robotermäßig wirkt. Auch gehört hier dazu, dass Elemente oder Handlungsaspekte eingebaut werden können, die den Social Engineer persönlich interessieren. Wenn Sie bei jeder Rückfrage oder Behauptung erst einmal angestrengt nachdenken müssen und dann nur ein „Ähh …“ kommt, weil Sie keine intelligente Antwort parat haben, ruiniert das Ihre Glaubwürdigkeit. Natürlich denken Leute oft nach, bevor sie sprechen, und es geht also nicht darum, sofort auf etwas parieren zu können, sondern darum, eine Antwort oder Begründung dafür zu haben, dass man keine hat. Ich wurde beispielsweise bei einem Telefonat nach etwas gefragt, auf das ich keine Antwort hatte. Ich sagte einfach: „Moment, ich kümmere mich grad drum.“ Dann drehte ich mich beiseite und tat so, als riefe ich nach einer Kollegin: „Jill, kannst du bitte eben mal Bill sagen, dass ich das Bestellformular für Konto XYZ brauche? Vielen Dank.“
Als „Jill“ mir dann die Unterlagen besorgt hatte, konnte ich die nötigen Daten nennen, und die Unterlagen wurden nie wieder benötigt.
Ich habe eine kleine Liste zusammengestellt, mit der Sie daran arbeiten können, spontaner zu werden:
• Denken Sie nicht darüber nach, wie Sie sich fühlen. Das ist ein wichtiger Aspekt, denn wenn Sie bei einem Pretext zu viel nachdenken, spielen Gefühle mit hinein, was dann für Angst, Nervosität oder Anspannung sorgen und zu Misserfolgen führen kann. Wenn Sie hingegen weder Nervosität oder Angst spüren, sondern eher zu begeistert sind, reißt Sie das u.U. auch zu Fehlern hin.
• Nehmen Sie sich selbst nicht zu ernst. Natürlich ist das auch generell eine gute Lebensweisheit, passt aber auch hervorragend zum Social Engineering. Als Sicherheitsprofi machen Sie einen ernsten Job in gravierenden Angelegenheiten. Aber wenn Sie nicht über Ihre Fehler lachen können, werden Sie möglicherweise zu gehemmt oder nervös, um mit den kleinen Schlaglöchern des Lebens fertigzuwerden. Ich spreche nicht davon, Sicherheit auf die leichte Schulter zu nehmen. Doch wenn in Ihrer Vorstellung ein potenzieller Fehler der Gipfel des Misserfolgs in Ihrem Leben ist, kann der dadurch entstehende Druck genau für das sorgen, was Sie eigentlich am meisten befürchten. Kleinere Fehler führen hingegen oft noch zu größerem Erfolg, wenn Sie in der Lage sind, mit dem Fluss der Ereignisse mitschwimmen zu können.
• Lernen Sie zu identifizieren, was relevant ist. Ich formuliere dieses Konzept auch gerne um: „Komm aus deinem Kopf raus und geh in die Welt!“ – auch ein hervorragender Rat. Ein Social Engineer versucht vielleicht, drei Schritte im Voraus zu planen, und verpasst in der Zwischenzeit wesentliche Details, durch die sein Pretext in die Binsen geht. Sorgen Sie dafür, dass Sie schnell das relevante Material und die Informationen um Sie herum erkennen, sei es die Körpersprache der Zielperson, was genau gesagt wird, oder ihre Mikroexpressionen (mehr darüber in Kapitel 5). Diese Informationen bauen Sie dann in Ihren Angriffsvektor ein.
Behalten Sie auch im Hinterkopf, dass die Leute schnell bemerken, wenn jemand nicht richtig zuhört. Wenn sie das Gefühl bekommen, dass sogar unwichtige Sätze auf taube Ohren stoßen, schreckt das viele Leute massiv ab. Wir alle hatten schon mal mit jemandem zu tun, dem es einfach egal zu sein schien, was wir sagen. Vielleicht hatte diese Person einen legitimen Grund, gedanklich abwesend zu sein, aber abweisend wirkt es trotzdem.
Achten Sie genau darauf, was Ihre Zielperson sagt. Passen Sie genau auf, damit Sie jene für sie wichtigen Details aufgreifen können. Vielleicht kriegen Sie zwischendurch auch etwas mit, das Ihnen beim Erfolg behilflich sein kann.
• Eignen Sie sich viel Erfahrung an. Dieses Konzept bezieht sich auf etwas, was Sie in diesem Buch wahrscheinlich noch vier Millionen Mal lesen werden: Übung! Machen Sie Ihre Erfahrungen durch Einüben, und Sie beugen einem Misserfolg beim Pretext vor. Praktizieren Sie Spontaneität bei Freunden und Familie und auch völlig Fremden ohne ein anderes Ziel im Hinterkopf zu haben, als spontan zu sein. Fangen Sie mit anderen Gespräche an, aber horchen Sie sie nicht wie ein Stalker aus – so ein einfacher kleiner Plausch kann viel dabei bewirken, dass Sie sich beim Spontansein wohlfühlen.
Diese Punkte sorgen beim Social Engineer definitiv für Vorteile, wenn es ums Pretexting geht. Wenn man die Fähigkeit hat, spontan zu wirken, ist das ein Geschenk. Weiter vorne in diesem Kapitel erwähnte ich mein Interview mit Tom Mischke, der bei Spontaneität einen interessanten Ansatz verfolgt: Er sagte, er wolle die Illusion von Spontaneität geben, verpackt in Übung und Vorbereitung. Er würde so viel üben, dass sein Pretext wie ein spontanes Auftreten von Humor und Talent wirkt.
4.2.7 Liefern Sie der Zielperson einen logischen Schluss oder Anschlussauftrag
Ob Sie es glauben oder nicht: Die Leute wollen gesagt bekommen, was sie machen sollen. Stellen Sie sich mal vor, Sie gehen zum Arzt. Er kommt rein, untersucht Sie, schreibt sich ein paar Sachen auf und sagt dann: „Okay, wir sehen uns in vier Wochen wieder.“ Das wäre inakzeptabel. Sogar wenn es schlechte Nachrichten sind, wollen die Leute den nächsten Schritt erfahren und was oder ob sie etwas machen sollen.
Wenn Sie sich als Social Engineer von Ihrer Zielperson verabschieden, soll sie möglicherweise etwas machen oder auch nicht, oder Sie haben das Gewünschte bereits bekommen und müssen nun einfach verschwinden. Wie dem auch sei, wenn Sie bei der Zielperson noch irgendwie für einen Ausklang sorgen oder eine Umsetzung mitgeben, bleibt sie nicht so in der Luft hängen.
Sie wollen ja auch nicht vom Arzt untersucht und ohne weiteren Kommentar nach Hause geschickt werden, und so können Sie auch nicht in ein Gebäude eindringen, sich dort als Techniker ausgeben und nach dem Klonen der Datenbank einfach mit keinem mehr reden – das fällt auf, und alle fragen sich, was denn da losgewesen ist. Vielleicht ruft sogar einer die „Kundendienstfirma“ an und fragt, ob er nun irgendwas zu beachten habe. Schlimmstenfalls haben Sie nun bei den Mitarbeitern für Aufmerksamkeit oder gar Verdacht gesorgt. Auf jeden Fall sollten Sie beim Gehen die jeweils Betroffenen nicht im Unklaren lassen. Es reicht schon, wenn Sie etwas sagen wie „Ich habe die Server gecheckt und das Dateisystem repariert. Das sollte in den nächsten paar Tagen für ca. 22 % mehr Geschwindigkeit sorgen.“ Dann fühlen sich die Zielpersonen, als hätten sie auch was „fürs Geld bekommen“.
Schwierig wird es für einen Social Engineer dann, wenn das Ziel erst nach seinem Verschwinden etwas machen soll. Wenn die Aktion für die Vollendung des Social Engineering-Audits wesentlich ist, sollten Sie da selber aktiv werden. In meinem Bericht über die Informationsermittlung bei der Handelskammer (siehe Kapitel 3) hätte ich der Zielperson sagen können, wenn sie mit mir per E-Mail in Kontakt bleiben soll: „Hier ist meine Karte. Könnten Sie mir bitte am Montag ein paar weitere Einzelheiten wegen XYZ mailen?“ Vielleicht wäre das auch passiert, aber vielleicht hätte diese Person mich auch komplett vergessen, nachdem sie in ihr Büro gegangen ist, und der Auftrag wäre misslungen. Da wäre es besser zu sagen: „Ich möchte wirklich gerne noch mehr Infos von Ihnen haben. Dürfte ich Sie am Montag vielleicht deswegen kurz anrufen oder Sie per Mail kontakten, um weitere Details zu bekommen?“
Natürlich sollten die angefragten Dinge auch zu Ihrem Pretext passen. Wenn Ihr Pretext darauf hinausläuft, Techniker zu sein, dürfen Sie den Leuten nicht sagen, was sie zu tun und zu lassen haben: Schließlich arbeiten Sie für sie. Wenn Sie ein UPS-Bote sind, verlangen Sie ja auch keinen Zutritt zum Serverraum.
Wie bereits erwähnt, könnte man seinen Pretext auch weiter perfektionieren, aber die in diesem Kapitel aufgeführten Schritte verleihen dem Social Engineer eine solide Grundlage, um einen absolut glaubhaften Pretext aufzubauen.
Sie fragen sich vielleicht, was nach der Auflistung dieser Prinzipien nun als Nächstes kommt. Wie kann ein Social Engineer einen gut recherchierten, glaubwürdigen, spontan wirkenden, einfachen Pretext aufbauen, der entweder telefonisch oder persönlich funktioniert und die gewünschten Resultate erbringt? Dazu kommen wir jetzt.
Um zu lernen, wie man einen erfolgreichen Pretext aufbaut, schauen wir uns ein paar Storys über Social Engineers an und wie sie ihre Pretexte aufgebaut haben. Am Ende wurden sie erwischt, und darum kennen wir ihre Storys nun.
4.3.1 Beispiel 1: Stanley Mark Rifkin
Stanley Mark Rifkin kann von sich behaupten, einen der größten Banküberfälle der amerikanischen Geschichte gemacht zu haben (er wird in einem hervorragenden Artikel unter www.social-engineer.org/wiki/archives/Hackers/hackers-Mark-Rifkin-Social-Engineer-furtherInfo.htm vorgestellt). Rifkin war ein Computer-Geek, der aus seinem kleinen Apartment heraus eine Computerberatungsfirma führte. Zu seinen Kunden gehörte eine Firma, die den Service für die Computer der Security Pacific Bank erledigte. Die Zentrale der Security Pacific National Bank in Los Angeles wirkte mit ihren 55 Etagen wie eine Festung aus Granit und Glas. Darin bewachten dunkel gekleidete Sicherheitskräfte den Eingangsbereich, und versteckte Kameras fotografierten die Kunden bei ihren Ein- und Auszahlungen.
Dieses Gebäude wirkte unangreifbar. Wie schaffte Rifkin es also, mit 10,2 Millionen Dollar zu verschwinden, ohne dabei mit einer Waffe herumzufuchteln und weder Dollars direkt anzurühren noch jemanden zu bedrohen?
Die Bankrichtlinien für Überweisungen schienen für Sicherheit zu sorgen. Geldtransfers wurden durch einen numerischen Code autorisiert, der täglich geändert wurde und den nur autorisiertes Personal in die Hände bekam. Er war in einem gesicherten Raum an die Wand gehängt, zu dem nur „autorisiertes Personal“ Zutritt hatte.
Aus dem bereits erwähnten Artikel:
Im Oktober 1978 stattete er Security Pacific einen Besuch ab, wo Mitarbeiter der Bank ihn leicht als Computerarbeiter erkannten. Er nahm den Fahrstuhl zum Stockwerk D, wo sich der Raum für die elektronische Geldüberweisung befand. Als umgänglicher und freundlicher junger Mann gelang es ihm, sich durch gutes Zureden Zutritt zum Raum zu verschaffen, wo jeden Tag der neue geheime Bankcode an der Wand hing. Rifkin prägte sich den Code ein und verließ das Gebäude, ohne Argwohn zu erregen.
Kurz darauf erhielten in diesem Raum tätige Angestellte einen Anruf von einem Mann, der sich Mike Hansen nannte, einem Mitarbeiter der internationalen Abteilung der Bank. Der Mann ordnete eine Routineüberweisung von Geldern auf ein Konto der Irving Trust Company in New York an – und lieferte die geheimen Codenummer, um die Transaktion zu autorisieren. Nichts an dem Transfer wirkte irgendwie ungewöhnlich, und die Überweisung von Security Pacific an die New Yorker Bank wurde ausgeführt. Was die Bankmitarbeiter nicht wussten, dass der Mann namens Mike Hansen in Wirklichkeit Stanley Rifkin war und den Sicherheitscode genutzt hatte, um die Bank um 10,2 Millionen Dollar zu berauben.
Über dieses Szenario kann man eine Menge sagen, aber für den Augenblick konzentrieren wir uns auf den Pretext. Denken wir einmal an die Details, um die er sich zu kümmern hatte:
• Er musste selbstsicher und locker sein, um keinen Verdacht zu erregen, während er sich in diesem Raum befand.
• Er musste über eine glaubwürdige Story verfügen, als er anrief, um den Geldtransfer zu veranlassen, und in der Lage sein, seine Story mit Details auszuschmücken.
• Er musste spontan genug sein, um auf Fragen parieren zu können, die möglicherweise gestellt wurden.
• Er musste auch geschmeidig genug sein, keinen Argwohn zu erwecken.
Dieser Pretext musste akribisch geplant werden und bis ins kleinste Detail durchdacht sein. Erst als er einen ehemaligen Kollegen traf, versagte sein Vorwand, und er wurde geschnappt. Als man ihn festnahm, waren die Menschen, die ihn kannten, verblüfft, und einige meinten auch: „Das kann gar nicht angehen, dass er ein Dieb sein soll. Mark lieben doch alle!“
Offensichtlich war sein Pretext solide. Er verfügte über einen wohldurchdachten und – sollte man meinen – auch gut eingeübten Plan. Er wusste, was er dort zu tun hatte, und spielte seine Rolle perfekt. Vor Fremden konnte er sehr gut schauspielern, doch alles flog auf, als er einen Kollegen traf, der ihn kannte. Als dieser dann einen Bericht in den Nachrichten sah, zählte er eins und eins zusammen und zeigte ihn an.
Erstaunlicherweise nahm Rifkin sich, während er noch auf Kaution war, nach dem gleichen Muster gezielt eine andere Bank vor, doch ein Maulwurf der Regierung hatte ihn hereingelegt. Er wurde erwischt und verbrachte acht Jahre im Gefängnis. Obwohl Mark ein „Bösewicht“ ist, lernen Sie aus seiner Story viel über Pretexting. Er hielt alles sehr einfach und arbeitete damit, was ihm vertraut war, um die Handlung gut aufzubauen.
Marks Plan war, das Geld zu stehlen und es in ein nicht nachverfolgbares Gut umzutauschen: Diamanten. Dafür musste er zuerst den Bankmitarbeiter geben, um das Geld zu stehlen, dann einen großen Diamantenhändler, um das Bargeld auf den Markt zu bringen, und schließlich die Diamanten verkaufen, um verwertbares und nicht nachverfolgbares Geld in die Taschen zu bekommen.
Obwohl zu seinen Pretext keine ausgefeilten Kostüme oder Sprachmuster gehörten, musste er überzeugend die Rollen eines Bankangestellten und eines Großhändlers für den An- und Verkauf der Diamanten spielen. Er wechselte bei diesem Raubzug drei, vier oder vielleicht fünf Mal die Rollen, und es gelang ihm so gut, dies umzusetzen, dass er fast alle hereinlegen konnte.
Mark kannte seine Zielpersonen und ging das Szenario mit allen bereits beschriebenen Prinzipien an. Natürlich kann man nicht stillschweigend dulden, was er gemacht hat, aber seine Talente beim Pretexting sind bewundernswert. Wenn er seine Talente für einen guten Zweck eingesetzt hätte, wäre er heute vielleicht eine bedeutende öffentliche Person, ein Verkäufer oder Schauspieler.
4.3.2 Beispiel 2: Hewlett-Packard
2006 veröffentlichte Newsweek einen sehr interessanten Artikel (www.social-engineer.org/resources/book/HP_pretext.htm). Im Prinzip stand darin, dass Patricia Dunn, die Vorsitzende von Hewlett-Packard, ein Team von Sicherheitsspezialisten eingestellt hatte. Dieses Team hatte dann Privatermittler beauftragt, die sich über Pretexting Telefonaufzeichnungen besorgten. Diese angeheuerten Profis kamen tatsächlich in die Firma und spielten die Rollen von HP-Vorstandsmitgliedern und Pressemitarbeitern. All dies, um ein vermutetes Informationsleck innerhalb von HP zu ermitteln.
Ms. Dunn wollte die Telefonberichte von Vorstandsmitgliedern und Reportern (nicht jene der HP-Abteilungen, sondern die privaten Festnetz- und Handyberichte dieser Personen), um zu bestätigen, wo ihrer Ansicht nach die undichte Stelle sei. In dem Artikel steht:
Am 18. Mai zündete Dunn in der HP-Zentrale im kalifornischen Palo Alto ihre Bombe. Sie hatte die undichte Stelle gefunden. Nach Aussage von Tom Perkins, einem der anwesenden Geschäftsführer von Hewlett-Packard, stellte Dunn das Überwachungsschema vor und wies auf den Geschäftsführer, der das Vergehen begangen haben sollte. Der gab zu, Informationen an CNET weitergegeben zu haben. Dieser Geschäftsführer, dessen Identität noch nicht bekanntgegeben wurde, entschuldigte sich. Aber dann sagte er zu seinen Kollegen: „Das hätte ich Ihnen doch auch alles selbst gesagt. Warum haben Sie mich nicht einfach gefragt?“ Er wurde anschließend gebeten, den Vorstandsraum zu verlassen, und kam dem Perkins zufolge auch nach.
Was diesen Bericht so bemerkenswert macht, wird als Nächstes im Zusammenhang mit Pretexting aufgeführt:
Der HP-Fall wirft ein ganz spezielles Licht auf die fragwürdigen Taktiken, die von Sicherheitsberatern eingesetzt werden, um persönliche Informationen zu erfassen. HP räumte in einer internen, von dessen externen Ratgeber an Perkins gesendeten E-Mail ein, dass HP über eine kontroverse Praxis namens „Pretexting“ an die Datenspur kam, um den Geschäftsführer zu enttarnen, der die Daten an CNET weitergegeben hat. Diese E-Mail liegt Newsweek vor. Zu diesem Vorgehen gehört der Federal Trade Commission (US-amerikanische Kartellbehörde) zufolge „die Vortäuschung falscher Tatsachen“, um an die persönlichen, nicht-öffentlichen Informationen eines Menschen zu gelangen: Telefonberichte, Nummern von Bank- und Kreditkartenkonten, Sozialversicherungsnummern u.Ä.
Üblicherweise – z.B. im Fall einer Telekommunikationsfirma – rufen die sogenannten Pretexter an und geben sich fälschlicherweise als Kunden aus. Weil die Firmen selten mit Passwörtern arbeiten, braucht ein Pretexter u.U. nicht mehr als die Postanschrift, die Kontonummer und eine herzerweichende Bitte, um an die Kontodetails zu kommen. Der Website der Federal Trade Commission zufolge verkaufen Pretexter diese Informationen an Personen, die von ansonsten legitimen Privatdetektiven, Kreditgebern, potenziellen Prozessführern und argwöhnischen Ehepartnern bis zu solchen reichen, die Kapital zu stehlen versuchen oder sich auf betrügerische Weise Kredite erschleichen wollen. Pretexting, so stellt die Site der FTC fest, „verstößt gegen das Gesetz“. Die FTC und verschiedene Generalstaatsanwälte haben gegen Pretexter, die föderale und Landesgesetze über Betrug, Falschdarstellungen und unfairen Wettbewerb verletzt haben, juristische Maßnahmen aufgefahren. Einer der Geschäftsführer von HP ist Larry Babbio, der Präsident von Verizon, der gegen Pretexter verschiedene Gerichtsverfahren angestrengt hat.
(Wenn Sie darüber Näheres erfahren wollen, finden Sie den Telephone Records and Privacy Protection Act von 2006 unter http://frwebgate.access.gpo.gov/cgi-bin/getdoc.cgi?dbname=109_cong_bills&docid=f:h4709enr.txt.pdf.)
Am Ende wurde nicht nur gegen Dunn, sondern auch gegen die von ihr beauftragten Berater Anklage erhoben. Vielleicht fragen Sie: „Wie kann das sein, weil die doch eingestellt und vertraglich beauftragt wurden, diese Tests auszuführen?“
Um diese Frage zu beantworten, werfen Sie einen Blick darauf, welche Wege beschritten und welche Informationen beschafft wurden. Die Berater ermittelten Namen, Adressen, Sozialversicherungsnummern, Telefonverbindungsprotokolle und -abrechnungen sowie weitere Informationen über die Vorstandsmitglieder von Hewlett-Packard und den Reportern. Sie haben wirklich die Sozialversicherungsnummer verwendet, um für einen der Reporter ein Onlinekonto einzurichten und sich darüber dann Aufzeichnungen seiner Privatgespräche besorgt.
Auf Seite 32 eines vertraulichen Dokuments von Hewlett-Packard an dessen Anwälte und das interne juristische Personal (www.social-engineer.org/resources/book/20061004hewlett6.pdf) wird eine Kommunikation zwischen Tom Perkins und den Mitgliedern des HP-Vorstands aufgelistet, die etwas Licht in die verwendeten Pretexte bringt. Diese Taktiken kamen u.a. zum Einsatz:
• Sie gaben sich als zur Telefongesellschaft gehörig aus, um illegal Aufzeichnungen der Telefonate zu erhalten.
• Die Identitäten der überwachten Personen wurden benutzt und gespooft, um Aufzeichnungen ihrer Privatgespräche zu bekommen.
• Onlinekonten bei den Fernmeldegesellschaften wurden anhand von Sozialversicherungsnummern und anderen Informationen unter illegal erworbenen Namen generiert, um auf deren Anrufaufzeichnungen zugreifen zu können.
Am 11. September 2006 sandte das United States House of Representatives Committee on Energy and Commerce einen Brief an Ms. Dunn (eine Kopie findet sich unter www.social-engineer.org/resources/book/20061004hewlett6.pdf) und forderte darin die von ihr erfassten Informationen an. In der Anfrage wurden die folgenden erlangten Informationen aufgelistet:
• Alle öffentlichen und nicht-öffentlichen Telefonnummern
• Kreditkartenabrechnungen
• Kundennamen und Adressinformationen
• Rechnungen der Energie- und Versorgungsunternehmen
• Nummern von Pagern
• Handynummern
• Sozialversicherungsnummern
• Kreditauskünfte
• Postfachinformationen
• Informationen über Bankkonten
• Kapitalauskünfte
• Andere Verbraucherinformationen
Alle diese Informationen wurden über eine Grauzone des professionellen Social Engineering beschafft: Aber waren diese Handlungen ethisch und moralisch einwandfrei, auch wenn man die Ermittler extra dafür eingestellt hat? Viele professionelle Social Engineers würden nicht soweit gehen. Aus diesem sehr wichtigen Fall können Sie die Lektion lernen, dass Sie als professioneller Social Engineer möglicherweise die Methoden und das Denken böswilliger Social Engineers nachahmen müssen, aber sich nie vollständig auf deren Niveau herablassen sollten. Das Problem bei diesen Beratern war, dass man sie autorisiert hatte, Pretexting, Social Engineering und Audits bei Hewlett-Packard durchzuführen. Sie waren hingegen nicht autorisiert, mit Methoden des Social Engineering AT&T, Verizon, die Versorgungsunternehmen usw. anzugehen. Beim Einsatz von Pretexting müssen Sie alles genau vorab skizzieren und planen, damit Sie genau wissen, an welche juristischen Grenzen Sie möglicherweise gelangen und welche Schwellen Sie nicht übertreten dürfen.
Diese Story über Hewlett-Packard eignet sich für eine Diskussion über Richtlinien, Kontrakte und die Festlegung der Grenzen dessen, was Sie als Social Engineering-Auditor anbieten wollen, aber diese Themen gehören nicht zum Kontext dieses Kapitels. Wenn Sie die in diesem Kapitel bisher angesprochenen Prinzipien einsetzen, bewahrt Sie das vor Entscheidungen, durch die Sie Ärger vermeiden können.
Die Gefahr des böswilligen Pretexting ist die Bedrohung durch Identitätsdiebstahl, wodurch es zu einem absolut zulässigen Teil eines Social Engineering-Pentests wird. Wenn Sie testen, prüfen und verifizieren, dass Angestellte Ihrer Kunden nicht auf die Methoden von bösartigen Social Engineers hereinfallen, kann das sehr viel dahingehend bewirken, dass Sie vor erfolgreichen Pretextern geschützt sind.
2005 gab Joel Winston, der stellvertretende Direktor der Federal Trade Commission (FTC), Abteilung für finanzielle Verfahren, dem Private Investigator Magazine (einem Fachblatt für Privatdetektive) ein Interview. Sein Büro ist für die Regulierung und Überwachung von Pretexting-Einsätzen zuständig (lesen Sie diesen interessanten Artikel unter www.social-engineer.org/resources/book/ftc_article.htm).
Die zentralen Punkte dieses Interviews sind folgende:
• Pretexting ist der FTC zufolge die Erlangung jeglicher Information von einer Bank oder einem Verbraucher, nicht nur finanzieller Art, unter Verwendung von Betrug, Täuschung oder irreführenden Fragen.
• Bereits erlangte Informationen zu nutzen, um zu bestätigen, dass ein Ziel ein Ziel ist, auch unter Vortäuschung falscher Tatsachen, ist der FTC-Definition für Pretexting zufolge legal – außer der Social Engineer nutzt diese Info, um Informationen von einer finanziellen Institution zu bekommen.
• Wenn man an Handyrechnungen oder solche für gebührenpflichtige Nummern durch irreführende Geschäftspraktiken gelangt, wird das als illegales Pretexting betrachtet.
Die Website der FTC liefert einige Klarheit und weitere Informationen über dieses Interview:
• Es ist illegal, wenn jemand falsche, fiktive oder betrügerische Feststellungen oder Dokumente nutzt, um Kundeninformationen von einer finanziellen Institution oder direkt vom Kunden einer solchen Institution zu bekommen.
• Es ist illegal, wenn jemand gefälschte, nachgemachte, verlorene oder gestohlene Dokumente nutzt, um Kundeninformationen von einer finanziellen Institution oder direkt vom Kunden einer solchen Institution zu erlangen.
• Es ist illegal, jemanden zu befragen, um die Informationen über einen anderen Kunden zu erhalten, und dabei falsche, fiktive oder betrügerische Aussagen nutzt oder das anhand von falschen, fiktiven oder betrügerischen Dokumenten bzw. gefälschten, nachgemachten, verlorenen oder gestohlenen Dokumenten macht.
Obwohl finanzielle Institutionen der Schwerpunkt der FTC sind, erinnern einen diese vorgestellten Richtlinien daran, was in den USA als illegal eingeschätzt wird. Professionelle Social Engineers sollten also jeweils über die Gesetzeslage in ihrem Staat Bescheid wissen, um sie nicht zu verletzen. 2006 machte sich die FTC daran, den Abschnitt 5 des FTC Act zu erweitern, um explizit ein Gesetz einzubauen, das den Einsatz von Pretexting zur Beschaffung von Telefonunterlagen verbietet.
Die Pretexting-Affäre bei Hewlett-Packard fand ihren Abschluss darin, dass einer der Privatdetektive der Konspiration und des föderalen Identitätsdiebstahls angeklagt wurde – sehr gravierende Vorwürfe!
Damit er weiterhin legales Pretexting macht, muss der professionelle Social Engineer eine Reihe von Recherchen durchführen und außerdem einen klar definierten und unterzeichneten Plan aufstellen, welche Pretexte ggf. eingesetzt werden.
Trotz der erwähnten juristischen Probleme gehört ein solider Pretext zu den schnellsten Wegen, um in eine Firma zu gelangen. Pretexting ist für sich genommen schon ein Talent, und, wie Sie diesem Kapitel entnehmen können, geht’s dabei nicht (nur) darum, eine Perücke und eine Brille aufzusetzen und sich als jemand anderes auszugeben.
4.3.4 Weitere Tools fürs Pretexting
Es gibt noch weitere Tools, um einen Pretext auszubauen.
Requisiten sorgen dafür, eine Zielperson von der Realität Ihres Pretexts zu überzeugen, z.B. Magnetschilder für Ihr Fahrzeug, passende Uniformen oder Bekleidungen, Werkzeug oder anderes Handgepäck und am wichtigsten: eine Visitenkarte.
Wie mächtig diese Visitenkarten sind, erfuhr ich kürzlich, als ich beruflich nach Las Vegas flog. Meine Laptoptasche wird normalerweise geröntgt, dann noch mal durchleuchtet und schließlich auf der Suche nach Sprengstoffstaub oder Ähnlichem abgewischt. Ich gehöre zu den Leuten, die sich von diesen zusätzlichen Sicherheitsvorkehrungen nicht sonderlich gestört fühlen, denn sie verhindern, dass ich am Himmel in die Luft gesprengt werde, und das macht mich glücklich.
Und doch habe ich gemerkt, dass ich 90 Prozent der Zeit zusätzliche Aufmerksamkeit von der zuständigen Bundesbehörde für Verkehrssicherheit bekomme. Gerade bei dieser Reise hatte ich vergessen, meine Dietriche, den RFID-Scanner, vier zusätzliche Festplatten, Schlagschlüssel (siehe Kapitel 7) und Unmengen von Ausrüstung fürs Hacking von Funknetzen aus meiner Laptoptasche zu nehmen. Als die Tasche durch den Scanner transportiert wurde, hörte ich die Dame, die das Gerät bediente, sagen: „Was ist denn das da?“
Sie rief einen ihrer Kollegen, der dann auch auf den Bildschirm starrte und meinte: „Keine Ahnung, was das alles für Kram ist.“ Er schaute sich dann um, sah mich lächeln und sagte: „Gehört Ihnen das?“
Ich ging mit ihm an den benachbarten Tisch, wo er meinen RFID-Scanner und die große Tasche mit den Dietrichen auspackte. Dann fragte er: „Warum haben Sie all diese Sachen mit, und was ist das überhaupt?“
Ich hatte da nichts geplant, aber im letzten Moment beschloss ich den folgenden Schachzug: Ich zog eine Visitenkarte heraus und sagte: „Ich bin Sicherheitsprofi und habe mich auf die Überprüfung von Netzwerken, Gebäuden und Personen auf Sicherheitslücken spezialisiert. Diese Geräte brauche ich beruflich.“ Mit diesen Worten gab ich ihm eine Visitenkarte, die er sich etwa fünf Sekunden anschaute und anschließend sagte: „Ah, ausgezeichnet. Danke für die Erklärung.“
Er packte meine Sachen alle wieder ordentlich in die Tasche, zog den Reißverschluss zu und ließ mich weitergehen. Normalerweise spaziere ich dann durch die Sprengstoffprüfung, diese kleine Maschine, mit der Staub untersucht wird, und werde abgetastet, aber dieses Mal bekam ich nur ein Danke und durfte gleich weitergehen. Ich begann zu analysieren, was ich anders als sonst gemacht hatte. Der einzige Unterschied war, dass ich ihm eine Visitenkarte gegeben hatte. Zugegeben, meine Visitenkarte ist nicht eines der Sonderangebote für 9,99 Dollar von einem Online-Druckdienst, aber ich war auch erstaunt, dass meine Behauptungen von einer Visitenkarte scheinbar mit einer Art Berechtigung oder Erlaubnis untermauert wurden.
Bei meinen nächsten vier Flügen packte ich absichtlich alle möglichen „Hacking“-Geräte in meine Taschen und steckte mir dazu eine Visitenkarte in die Jacke. Jedes Mal, wenn meine Tasche untersucht und ich nach dem Inhalt befragt wurde, zog ich die Karte heraus. Und jedes Mal entschuldigte man sich bei mir, packte ordentlich die Sachen wieder ein und ließ mich weitergehen.
Stellen wir uns vor, meine berufliche Erfahrung sei Pretext. Kleine Details messen dem, was ich sage, so viel Gewicht bei, dass ich berechtigt, vertrauenswürdig und anständig erscheine – und alles nur wegen einer Karte, die den Leuten sagt, dass alle meine Äußerungen richtig sind. Unterschätzen Sie nicht die Macht einer Visitenkarte! Doch ein Warnhinweis: Wenn man sich eine labberige und armselig wirkende Visitenkarte besorgt, sorgt das womöglich für den gegenteiligen Effekt. Eine Visitenkarte, die man „gratis“ bekommen hat mit Werbung auf der Rückseite, verleiht einem professionellen Pretext kein zusätzliches Gewicht. Und doch gibt es keinen Grund, 300 Dollar für eine einmal verwendete Visitenkarte auszugeben. Viele Druckereien bieten online kleine Mengen sehr schöner Karten für weniger als 100 Dollar an.
Dieses Kapitel sollte auch aus dem Grund sehr ernst genommen werden, weil Pretexting oft der erste Schritt der professionellen Identitätsdiebe ist. Weil es der Identitätsdiebstahl in letzter Zeit in der Verbrecherbranche unter die ersten Plätze geschafft hat, müssen sich Verbraucher, Firmen und Sicherheitsprofis unbedingt damit auskennen und es identifizieren können. Als Sicherheits-Auditor müssen Sie Ihre Kunden über diese Bedrohungen aufklären können und sie auf mögliche Schwachstellen testen.
Neben den ausführlichen Erörterungen über Pretexting und realen Beispielen dazu wurden in diesem Kapitel durchgehend die psychologischen Prinzipien aufgefrischt, die sich auf die verschiedenen Aspekte des Pretexting auswirken. Der logische nächste Stopp im Framework deckt genau das ab: die mentalen Fähigkeiten eines professionellen Social Engineers, durch die er zu einem Meister der Bewusstseinskontrolle wird und deutliche Vorteile bei seinem Erfolg bekommt.