Die Informationsbeschaffung spielt eine entscheidende Rolle bei der Vorbereitung auf jeden professionellen Social-Engineering-Einsatz. Das Sammeln von Informationen ist die zeitaufwändigste und mühsamste Phase des Angriffszyklus, entscheidet aber oft maßgeblich über Erfolg oder Misserfolg des Einsatzes. Der professionelle
Social Engineer muss sich der folgenden Punkte bewusst sein:
- Werkzeuge zur Informationssammlung, die online frei verfügbar sind
- Online-Speicherorte, die wertvolle Daten beherbergen
- Software, die beim Auffinden und Zusammentragen der Daten hilft
- Der Wert oder Nutzen von scheinbar unbedeutenden Daten, die online gesammelt wurden, am Telefon oder persönlich
Wie man Informationen sammelt
Es gibt viele verschiedene Möglichkeiten, an Informationen über eine Organisation oder eine Person zu gelangen. Einige dieser Möglichkeiten erfordern technische Fähigkeiten, während andere die Soft Skills des Human Hacking erfordern. Einige Möglichkeiten können von jedem Ort mit Internetzugang aus genutzt werden. Andere wiederum können nur persönlich an einem bestimmten Ort durchgeführt werden. Es gibt Optionen, für die man nicht mehr braucht als eine Stimme, Optionen, für die man nur ein Telefon braucht, und wieder andere, für die ausgeklügelte Geräte erforderlich sind.
Ein Social Engineer kann viele kleine Informationen, die er aus verschiedenen Quellen gesammelt hat, zu einem nützlichen Bild der Schwachstellen eines Systems kombinieren. Informationen können wichtig sein, egal ob sie aus dem Büro des Hausmeisters oder des Geschäftsführers kommen; jedes Stück Papier, jeder Mitarbeiter, mit dem gesprochen wird, oder jeder Bereich, den der Social Engineer besucht, kann sich zu genügend Informationen summieren, um auf sensible Daten oder Unternehmensressourcen zuzugreifen. Die Lektion hier ist, dass jede Information, egal wie unbedeutend der Mitarbeiter sie zu sein glaubt, dazu beitragen kann, eine Schwachstelle für ein Unternehmen und einen Zugang für einen Social Engineer zu identifizieren.
„Traditionelle“ Quellen sind typischerweise offene, öffentlich zugängliche Informationsquellen, die keine illegalen Aktivitäten erfordern, um sie zu erhalten. „Nicht-traditionelle“ Quellen hingegen sind immer noch legale, aber weniger offensichtliche und oft übersehene Informationsquellen wie Dumpster Diving. Es ist möglich, dass solche Quellen Daten liefern können, die ein Sicherheitsprogramm des Unternehmens nicht berücksichtigen würde oder könnte. Schließlich gibt es auch illegale Wege, um an Informationen zu gelangen, wie z. B. Malware, Diebstahl und das Vortäuschen der Identität von Strafverfolgungs- oder Regierungsbehörden. Wie Sie sich vorstellen können, behandeln wir diese letzte Kategorie im Rahmenwerk mit Vorsicht. Wir unterstützen nur legale Aktivitäten, die im Rahmen eines sanktionierten Penetrationstests durchgeführt werden.
Recherche/Quellen
Beginnen Sie mit der Definition Ihres Erfolgsziels. Ein klares Ziel wird bestimmen, welche Informationen relevant sind und welche Sie ignorieren können. Danach ist das Sammeln von Informationen zur Unterstützung von Social-Engineering-Übungen fast dasselbe wie die Recherche für andere Zwecke. Dies gilt nicht nur für die Art der Informationen, sondern auch für die Art und Weise, wie Sie sie sammeln.
Informationsquellen sind nur durch die Relevanz der Informationen begrenzt, die sie legal zur Verfügung stellen können. Bei der Recherche für Social Engineering kann es vorkommen, dass Sie eine breite Palette von Quellen (technische oder physische) durchsehen, um aus jeder Quelle ein kleines Stückchen Information zu gewinnen. Diese Teile sind wie Puzzlestücke. Einzeln sehen sie nicht viel aus, aber wenn sie kombiniert werden, ergibt sich ein größeres, kohärenteres Bild. Eine detailliertere Untersuchung der Quellen finden Sie auf den Seiten zur technischen und physischen Informationsbeschaffung.
Bild
https://wall-street.com/better-information-gathering-professionals/