Kostenlose Pizza

Ich habe ein sehr nettes Video gefunden, wo gezeigt wird, wie man mit Hilfe von Social Engineering an eine kostenlose Pizza kommt.

Dies ist natürlich nur eine Möglichkeit von vielen, wie man an Kostenloses kommt.

Offene W-LAN Netze

Ich habe mir vor ca. einem Monat das T-Mobile G1 zugelegt und das App G-MoN (G-MoN ist ein W-LAN-Scanner für Android Geräte) installiert. Hab mich dann auf’s Rad gesetzt und bin ein bischen „WarRiden“ gegangen. Nachdem ich die wichtigsten Straßen meiner Ortschaft abgefahren habe und wieder zu Hause an meinem Rechner saß, musste ich festellen, dass die meisten Haushalte ihr Netz nur mit WEP gesichert haben, oder gar komplett offen betreiben.

Ist es denn wirklich so, dass die meisten privat Nutzer von W-LAN so unwissend sind? Jeder mit einer halbwegs kriminellen Ader und etwas Ahnung könnte dies schnell für seinen Vorteil nutzen.

Wie denkt ihr darüber?

Kategorien:Sicherheit Schlagwörter: , , , , , , , ,

Social Engineering – Teil 1

Dies ist eine kleine Sammlung von Strategien und Möglichkeiten, wie so genannte Social Engineers ihre Opfer betrügen. Um sich davor schützen zu können, sollte man natürlich vorher wissen, wie Betrüger vorgehen. Seht dieses nicht als Tutorial an, sonder eher Verhütungsmaßnahme 😉

Was ist Social Engineering?

Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen.[Quelle]

Pretexting

Das so genannte Pretexting gehört mit zu den ältesten SE (Social Engineering) Praktiken und wird oft über ein Telefongespräch praktiziert. Hierbei wird dem Opfer ein erfundenes Szenario vorgespielt, um diesem Informationen zu entlocken oder dazu zu bringen irgendwelche Aktionen auszuführen. Um das Vertrauen des Opfers zu erlangen, informiert sich der Angreifer vorher. D.h. er besorgt sich z.B. auf irgendeine Weise persönliche Daten eines realen Kunden. Anhand dieser Informationen (z.B. das Geburtsdatum oder die Sozialversicherungsnummer) gibt sich der Angreifer als der reale Kunde aus, um das Opfer z.B. Informationen über seinen Bankstatus zu entlocken.

Phishing

Das Phishing ist im Gegensatz zum Pretexting unpersönlich. Anstatt via Telefongespräch an geheime Informationen zu gelangen, wird hierbei oft über E-Mail dem Opfer vorgetäuscht, man sei jemand anderes. Das Opfer bekommt eine E-Mail mit der Aufforderung, eine bestimmte Seite zu besuchen, die der originalen Seite exakt ähnelt, und dort seine Logindaten einzugeben, da es aus Sicherheitsgründen gemacht werden muss. Hat das Opfer auf der vermeintlich seriösen Seite seine Logindaten eingegeben, ist der Angreifer auch schon in Besitz der Daten.

Vishing

Beim Vishing wird, ähnlich wie beim Phishing, das Opfer aufgefordert geheime Daten z.B. Passwörter preiszugeben. Das Opfer bekommt eine E-Mail mit der Aufforderung seine Bank telefonisch zu kontaktieren. Viele Unternehmen benutzen hier Sprachdialogsysteme, um ihren Kunden zu helfen. Ein simples Beispiel eines Sprachdialogsystems: Sie rufen bei einer Hotline an, eine Stimme meldet sich und sagt, dass man die „1“ wählen soll, wenn man seinen Kontostand abfragen möchte oder die „2“, wenn ich weitere Informationen. Das Opfer ruft die Nummer, welche in der E-Mail enthalten ist, an und das Sprachdialogsystem meldet sich. Nun wird man aufgefordert, um sich zu Authentifizieren, seinen PIN und sein Passwort zu nennen.

Dumpster Diving

Das so genannte Dumpster Diving wird vom Angreifer verwendet, um an Informationen seines potentiellen Opfers zu gelangen. Hierbei wird der Müll des Opfers nach Merkmalen oder anderen für den Angreifer interessanten Informationen durchsucht. Diese Praktik wird oft mit dem Pretexting verwendet.

Road Apple

Beim Road Apple wird die Neugier des Opfers ausgenutzt. Hat man ein Opfer und dessen Namen, braucht man nichts weiter machen, als z.B. eine CD zu erstellen, auf der sich eine Bestimmte Malware befindet, die sich nach dem Einlegen in den PC automatisch installiert. Die CD wird dann mit dem Namen des Opfers beschriftet und z.B. auf den Schreibtisch oder auf dem Grundstück des Opfers platziert. Findet das Opfer diese CD, möchte dieser im Idealfall wissen, was sich auf der CD mit seinem Namen befindet und legt diese in seinen PC.

Weitere Möglichkeiten sind in kürze in „Social Engineering – Teil 2“ zu fínden.

Tutorial: WPA Verschlüsselung „knacken“

In Ergänzung zu diesem Beitrag, sollte sich noch jeder dieses Tutorial anschauen. SemperVideo.de zeigt hier, dass es auch recht zügig geht, ein WPA geschütztes Netz zu knacken, wenn ein zu einfaches Passwort gewählt wurde.

Kategorien:Netzfund, Sicherheit Schlagwörter: , , , ,

Tutorial: WEP Verschlüsselung „knacken“

August 25, 2009 1 Kommentar

Auf SemperVideo.de habe ich ein sehr nettes Tutorial gefunden, wie schnell und einfach es doch ist, eine WEP Verschlüsselung zu knacken. Dieses möchte ich jedem ans Herz legen, der sein Netz immer noch mit WEP verschlüsselt hat.

Kategorien:Netzfund, Sicherheit Schlagwörter: , , , ,

WarDriving-Forum steht zum Verkauf

August 25, 2009 1 Kommentar

WarDriving-ForumAus persönlichen Gründen steht seit gestern die Domain WarDriving-Forum.de und das Forum zum Verkauf. Der Betreiber weisst aber darauf hin, dass er die Seite nur unter bestimmten Vorraussetzungen verkaufen möchte:

  • Das Forum wird nicht an gewerbetreibende verkauft, die aus den Mitgliedsdaten Profit schlagen wollen.
  • Das Forum sollte der Community weiterhin kostenlos zur Verfügung stehen.

Laut eigenen Angaben gibt es ca. 40000 Seitenaufrufe und 1000 MB Traffic pro Tag.

Außerdem wird darauf hingewiesen, dass das Forum durch „www.yatow.de“ gesponsort wird und somit keine laufenden Kosten für eventuelle neue Betreiber anfallen werden.

Wer also interesse an diesem Projekt hat, der sollte sich auf der Seite registrieren und den Administrator kontaktieren.

Kategorien:Allgemeines Schlagwörter: , , , ,