Die Kunst der Täuschung

• 
  Social Engineering und Human Hacking als Gefahr für die IT-Sicherheit erkennen
  


• 
  Mit vielen unterhaltsamen und lehrreichen Beispielszenarien
  


• 
  Von einem der bekanntesten Hacker der Welt
  

Der legendäre Hacker Kevin Mitnick enthüllt in diesem Buch, wie die größte Schwachstelle in jedem IT-Sicherheitssystem für Angriffe genutzt werden kann - der Mensch.

Kevin Mitnick, einst der meistgesuchte Verbrecher der USA, saß fünf Jahre im Gefängnis, weil er in zahlreiche Netzwerke großer Firmen eingebrochen war. Dabei bediente er sich häufig nicht nur seiner umfassenden technischen Hacker-Kenntnisse, sondern überlistete praktisch jedes Sicherheitssystem, indem er sich Passwörter erschlich, in Mülltonnen nach sicherheitsrelevanten Informationen suchte und falsche Identitäten vorgaukelte.

In diesem Buch führt Mitnick führt den Leser in die Denk- und Handlungsweise des Social Engineering ein, beschreibt konkrete Betrugsszenarien und zeigt eindrucksvoll die dramatischen Konsequenzen, die sich daraus ergeben. Dabei nimmt Mitnick in vielen unterhaltsamen und lehrreichen Beispielen sowohl die Perspektive des Angreifers als auch des Opfers ein und erklärt damit sehr eindrucksvoll, wieso die Täuschung so erfolgreich war. Und noch wichtiger: wie man sich effektiv dagegen schützen kann.

1;Cover;1 2;Social Engineering;6 3;Inhalt;7 4;Vorwort;9 5;Einleitung;11 5.1;Der Anfang;11 5.2;Vom Phone Phreak zum Hacker;12 5.3;Ich werde Social Engineer;14 5.4;Schlussbemerkung;15 6;Vorbemerkung;17 7;Kapitel 1: Das schwächste Glied der Kette;21 7.1;Der menschliche Faktor;21 7.2;Ein klassischer Fall von Täuschung;22 7.2.1;Der Code wird geknackt;23 7.2.2;Da gibt es dieses Schweizer Konto ...;23 7.2.3;Auf der Zielgeraden;24 7.3;Worin liegt die Bedrohung?;25 7.3.1;Wachsende Besorgnis;25 7.3.2;Betrügerische Praktiken;26 7.4;Vertrauensmissbrauch;26 7.4.1;Unser nationaler Charakter;27 7.4.2;Die Arglosigkeit der Organisationen;27 7.5;Terror und Täuschung;28 7.6;Über dieses Buch;29 8;Kapitel 2: Scheinbar harmlose Daten;35 8.1;Der versteckte Wert der Informationen;35 8.2;CreditChex;36 8.2.1;Privatdetektiv bei der Arbeit;38 8.2.2;Trickanalyse;41 8.3;Kopfjagd auf Ingenieure;42 8.3.1;Trickanalyse;46 8.4;Mehr wertlose Infos;47 8.5;Schutzmaßnahmen;48 9;Kapitel 3: Der direkte Angriff: Einfach fragen!;51 9.1;Ein Quickie am Verteilerkasten;51 9.1.1;Die Nummer, bitte;51 9.1.2;Trickanalyse;52 9.2;Junger Mann auf der Flucht;52 9.3;Draußen vor der Tür;54 9.3.1;Bei Anruf Betrug;54 9.3.2;Stevies Schwindel;55 9.4;Gasangriff;56 9.4.1;Die Geschichte von Janie Acton;56 9.4.2;Art Sealys Rechercheprojekt;57 9.4.3;Trickanalyse;58 9.5;Schutzmassnahmen;59 10;Kapitel 4: Vertrauen aufbauen;61 10.1;Vertrauen: Der Schlüssel zur Täuschung;61 10.1.1;Die Geschichte von Doyle Lonnegan;64 10.1.2;Trickanalyse;65 10.2;Variationen eines Themas: Kartenfang;65 10.2.1;Überraschung, Dad!;65 10.2.2;Trickanalyse;67 10.3;Das Handy für einen Cent;68 10.3.1;Trickanalyse;70 10.4;Wir hacken bei der Regierung;71 10.5;Das System anzapfen;72 10.5.1;Trickanalyse;73 10.6;Schutzmaßnahmen;73 10.6.1;Schützen Sie Ihre Kunden;73 10.6.2;Kluges Vertrauen;74 10.6.3;Was gehört in Ihr Intranet?;75 11;Kapitel 5: Darf ich Ihnen helfen?;77 11.1;Netzwerkausfall;77 11.1.1;Die Story des Angreifers;80 11.1.2;Trickanalyse;82 11.2;Kleine Hilf
e für die Neue;84 11.2.1;Trickanalyse;86 11.3;Nicht so sicher wie gedacht;87 11.3.1;Die Geschichte von Steve Cramer;87 11.3.2;Die Geschichte von Craig Cogburne;90 11.3.3;Jetzt noch schnell rein;92 11.3.4;Trickanalyse;94 11.4;Schutzmaßnahmen;96 11.4.1;Fortbilden, Ausbilden und Weiterbilden ...;96 11.4.2;Wie man vertrauliche Informationen bewahrt;97 11.4.3;Berücksichtigen Sie die Quelle;98 11.4.4;Keiner sollte vergessen werden;99 12;Kapitel 6: Können Sie mir helfen?;101 12.1;Der Auswärtige;101 12.1.1;Jonglieren mit Jones;101 12.1.2;Eine Geschäftsreise;102 12.1.3;Trickanalyse;103 12.2;Die Sicherheit der Hinterzimmer;104 12.2.1;Das habe ich schon mal im Kino gesehen;104 12.2.2;Die Telefongesellschaft austricksen;105 12.3;Der achtlose Computermanager;107 12.3.1;Radiowellen;107 12.3.2;Danny, der Lauscher;107 12.3.3;Sturm auf die Burg;110 12.3.4;Ein Job für Insider;112 12.3.5;Trickanalyse;114 12.4;Schutzmaßnahmen;115 13;Kapitel 7: Gefälschte Sites und gefährliche Anhänge;117 13.1;Das hier kostet Sie überhaupt nichts!;117 13.1.1;Es kam aus der Email;118 13.1.2;Wie erkenne ich bösartige Software?;119 13.2;Botschaft von einem Freund;120 13.3;Variationen eines Themas;121 13.3.1;Frohe Weihnachten ...;121 13.3.2;Trickanalyse;124 13.4;Varianten der Variation;125 13.4.1;Bei diesem Link werden Sie gelinkt;125 13.4.2;Seien Sie wachsam;127 13.4.3;Virenbändiger;129 14;Kapitel 8: Der Einsatz von Sympathie, Schuld und Einschüchterung;131 14.1;Ein Besuch im Studio;131 14.1.1;Die Geschichte von David Harold;132 14.1.2;Trickanalyse;133 14.2;Mach das sofort;134 14.2.1;Dougs Geschichte;134 14.2.2;Lindas Geschichte;134 14.2.3;Trickanalyse;136 14.3;Mr. Biggley braucht das dringend!;136 14.3.1;Scotts Geschichte;137 14.3.2;Trickanalyse;138 14.4;Was die Sozialversicherungsbehörde über Sie weiß;139 14.4.1;Keith Carters Geschichte;140 14.4.2;Trickanalyse;142 14.5;Ein einfacher Anruf;143 14.5.1;Peters Geschichte;145 14.5.2;Trickanalyse;147 14.6;Die Polizeirazzia;148 14.6.1;Bitte den Durchsuchungsbef
ehl!;148 14.6.2;Die Polizei wird ausgetrickst;148 14.6.3;Spuren verwischen;150 14.6.4;Trickanalyse;151 14.7;Der Spieß wird umgedreht;152 14.7.1;Ein Abschluss in Unehren;152 14.7.2;Anmelden zum Ärgern;153 14.7.3;Der hilfreiche Registrator;154 14.7.4;Trickanalyse;155 14.8;Schutzmaßnahmen;155 14.8.1;Schutz der Daten;156 14.8.2;Über Passwörter;156 14.8.3;Eine zentrale Anlaufstelle;157 14.8.4;Schützen Sie Ihr Netzwerk;157 14.8.5;Tipps für betriebsinterne Weiterbildung;158 15;Kapitel 9: Der umgedrehte Clou;161 15.1;Die Kunst der freundlichen Überredung;161 15.1.1;Die Geschichte von Vince Capelli;165 15.1.2;Trickanalyse;168 15.2;Umleitung für Polizisten;169 15.2.1;Erics Tricks;170 15.2.2;Die Schaltstelle;171 15.2.3;Ein Anruf beim Amt;172 15.2.4;Trickanalyse;173 15.3;Schutzmaßnahmen;175 16;Kapitel 10: Durch das Firmentor;179 16.1;Wachpersonal - peinlich vorgeführt;179 16.1.1;Die Geschichte des Wachmannes;179 16.1.2;Die Geschichte von Joe Harper;182 16.1.3;Trickanalyse;185 16.2;Dumpster Diving;186 16.2.1;Müll gegen Moneten;188 16.2.2;Trickanalyse;189 16.3;Der beschämte Boss;190 16.3.1;Die Bombe wird scharf gemacht;191 16.3.2;Eine Überraschung für George;191 16.3.3;Trickanalyse;192 16.4;Eine Empfehlung zur Beförderung;193 16.4.1;Anthonys Geschichte;194 16.4.2;Trickanalyse;196 16.5;Ein Kiebitz bei Kevin;198 16.5.1;Trickanalyse;199 16.6;Schutzmaßnahmen;199 16.6.1;Schutz nach Feierabend;199 16.6.2;Angemessener Umgang mit Abfall;200 16.6.3;Abschied von Angestellten;201 16.6.4;Vergessen Sie niemanden;203 16.6.5;Sichern Sie Ihre IT!;204 17;Kapitel 11: Die Kombination von Social Engineering und Technologie;205 17.1;Hacken hinter Gittern;205 17.1.1;Anruf bei Ma Bell;208 17.1.2;Auf der Suche nach Gondorff;209 17.1.3;Uhrenvergleich!;210 17.1.4;Trickanalyse;211 17.2;Ein geschwinder Download;212 17.3;Leichtes Geld;213 17.3.1;Bar auf die Kralle;214 17.3.2;Herausforderung angenommen;216 17.4;Das Wörterbuch als Angriffswerkzeug;218 17.4.1;Der Passwort-Angriff;219 17.4.2;Schneller als gedach
t;221 17.4.3;Trickanalyse;223 17.5;Schutzmaßnahmen;224 17.5.1;Sag einfach nein;224 17.5.2;Saubermänner;225 17.5.3;Sag es weiter: Schütze deine Passwörter;226 18;Kapitel 12: Angriffe auf den Neuen im Betrieb;229 18.1;Der hilfreiche Wachmann;229 18.1.1;Elliots Standpunkt;230 18.1.2;Bills Story;230 18.1.3;Trickanalyse;233 18.2;Ein Patch für den Notfall;234 18.2.1;Ein hilfreicher Anruf;234 18.2.2;Trickanalyse;235 18.3;Die Neue;235 18.3.1;Kurt Dillons Geschichte;237 18.3.2;Trickanalyse;239 18.4;Schutzmaßnahmen;240 18.4.1;Täusche die Unachtsamen;240 18.4.2;Vorsicht vor Spyware;242 19;Kapitel 13: Clevere Betrügereien;245 19.1;Die irreführende Rufidentifikation;245 19.1.1;Lindas Anruf;246 19.1.2;Jacks Geschichte;246 19.1.3;Trickanalyse;248 19.2;Variation: Der Präsident der Vereinigten Staaten ruft an;248 19.3;Die unsichtbare Angestellte;250 19.3.1;Shirley greift an;251 19.3.2;Trickanalyse;252 19.4;Die hilfsbereite Sekretärin;252 19.5;Vor dem Verkehrsgericht;253 19.5.1;Der Trick;254 19.5.2;Trickanalyse;256 19.5.3;Samanthas Rache;257 19.5.4;Vergeltung;258 19.5.5;Trickanalyse;259 19.6;Schutzmaßnahmen;259 20;Kapitel 14: Industriespionage;263 20.1;Variationen einer Intrige;263 20.1.1;Sammelklagen;263 20.1.2;Petes Angriff;265 20.1.3;Trickanalyse;266 20.2;Der neue Geschäftspartner;266 20.2.1;Jessicas Geschichte;266 20.2.2;Die Geschichte von Sammy Sanford;271 20.2.3;Trickanalyse;273 20.3;Bockspringen;275 20.3.1;Hausaufgaben machen;275 20.3.2;Vorbereitung eines Opfers;278 20.3.3;Trickanalyse;279 20.4;Schutzmaßnahmen;280 20.4.1;Sicherheit außerhalb der Firma;280 20.4.2;Wer bist Du?;282 21;Kapitel 15: Informationssicherheit: Sensibilisierung und Training;285 21.1;Sicherheit durch Technologie, Training und Prozeduren;285 21.2;Wie machen sich Angreifer die menschliche Natur zunutze?;286 21.2.1;Autorität;287 21.2.2;Zuneigung;287 21.2.3;Revanchieren;288 21.2.4;Konsequenz;288 21.2.5;Soziale Bestätigung;289 21.2.6;Mangel;289 21.3;Die Erstellung von Trainings- und Sensibilisierungsprogrammen
;290 21.3.1;Ziele;290 21.3.2;Die Einführung des Trainings- und Sensibilisierungsprogramms;291 21.3.3;Trainingsstruktur;293 21.3.4;Trainingsinhalte;294 21.4;Tests;297 21.5;Fortdauernde Sensibilisierung;297 21.6;Was ist für mich drin?;299 22;Kapitel 16: Empfohlene Firmenrichtlinien zur Informationssicherheit;301 22.1;Was ist eine Sicherheitsrichtlinie?;302 22.1.1;Schritte zum Entwickeln eines Programms;302 22.1.2;Die Verwendung dieser Richtlinien;305 22.2;Datenklassifikation;305 22.2.1;Kategorien und Definitionen der Klassifizierung;306 22.2.2;Terminologie von Klassifikationsdaten;308 22.3;Verfahren zur Verifikation und Autorisierung;309 22.3.1;Anfragen einer vertrauten Person;309 22.3.2;Anfragen einer nicht-verifizierten Person;309 22.3.3;Stufe 1: Verifikation der Identität;310 22.3.4;Stufe 2: Verifikation des Angestelltenstatus;312 22.3.5;Stufe 3: Prüfung des Wissensbedarfs;313 22.4;Managementrichtlinien;314 22.4.1;Richtlinien zur Datenklassifikation;314 22.4.2;Informationsweitergabe;315 22.4.3;Telefonadministration;320 22.4.4;Verschiedenes;324 22.5;Richtlinien zur Informationstechnologie;331 22.5.1;Allgemeines;331 22.5.2;Help Desk;332 22.5.3;Computeradministration;335 22.5.4;Computeroperationen;347 22.6;Richtlinien für alle Angestellten;349 22.6.1;Allgemeines;349 22.6.2;Computernutzung;353 22.6.3;Verwendung von Emails;358 22.6.4;Telefonnutzung;360 22.6.5;Verwendung von Faxgeräten;361 22.6.6;Verwendung von Voice Mail;362 22.6.7;Passwörter;364 22.7;Richtlinien für Telearbeiter;367 22.8;Richtlinien für die Personalabteilung;368 22.9;Richtlinien für physische Sicherheit;371 22.10;Richtlinien für Empfangspersonal;373 22.11;Richtlinien für die Arbeitsgruppe Sicherheitsvorfälle;375 23;Kapitel 17: Sicherheit auf einen Blick;377 23.1;Identifizierung eines Sicherheitsangriffs;377 23.1.1;Der Zyklus des Social Engineering;377 23.1.2;Übliche Methoden des Social Engineerings;378 23.1.3;Warnzeichen für einen Angriff;379 23.1.4;Allgemeine Angriffsziele;379 23.1.5;Faktoren, die ein
en Angriff begünstigen;380 23.2;Verifikation und Datenklassifikation;380 23.2.1;Verfahren zur Prüfung der Identität;380 23.2.2;Verfahren zur Prüfung des Angestelltenstatus;381 23.2.3;Verfahren zum Feststellen der Informationsberechtigung;381 23.2.4;Kriterien zur Bestimmung von Nicht-Angestellten;382 23.2.5;Datenklassifikation;382 23.2.6;Bearbeitung einer Anfrage nach Informationen;384 23.2.7;Bearbeitung einer Anfrage nach Handlungen;385 24;Quellenangaben;387 24.1;Kapitel 1;387 24.2;Kapitel 2;387 24.3;Kapitel 16;387 24.4;Kapitel 17;387 25;Danksagungen;389 25.1;Von Kevin Mitnick;389 25.2;Von Bill Simon;394 25.2.1;Numerisch;397 25.2.2;A;397 25.2.3;B;397 25.2.4;C;397 25.2.5;D;398 25.2.6;E;398 25.2.7;F;398 25.2.8;G;398 25.2.9;H;399 25.2.10;I;399 25.2.11;J;399 25.2.12;K;399 25.2.13;L;399 25.2.14;M;399 25.2.15;N;399 25.2.16;O;400 25.2.17;P;400 25.2.18;R;400 25.2.19;S;400 25.2.20;T;401 25.2.21;U;401 25.2.22;V;402 25.2.23;W;402 25.2.24;Z;402 26;Index;397