Cryptography Reference
In-Depth Information
Abb. 17-3
So mancher Anwender benötigt ein Dutzend oder mehr Passwörter. Kein Wunder, dass sich
viele auf diese Weise behelfen.
Social Engineering
Als
Social Engineering
bezeichnet man einen Angriff, bei dem Mallory versucht,
durch Vorspiegelung falscher Tatsachen Sicherheitsvorkehrungen zu umgehen
(etwa an Alices geheimen Schlüssel zu kommen). Eine einfache Form des Social
Engineering besteht darin, dass Mallory einen Administrator der Firma Krypt &
Co. anruft und diesen unter einem Vorwand nach einem gültigen Passwort fragt.
Mallory kann sich auch als Reinigungskraft bei Krypt & Co. einstellen lassen
oder einfach nur mit dem notwendigen Maß an Selbstsicherheit in die Firma spa-
zieren und dort herumliegende CDs mitnehmen. Eine gute Quelle für interessante
Informationen ist oft auch der Altpapier-Container eines Unternehmens. Weitere
Methoden finden sich in [Eichle].
Social-Engineering-Angriffe gehören zum Standardrepertoire vieler Anbieter,
die Sicherheitsanalysen durchführen. Meist versucht der Angreifer zunächst, ins
Firmengebäude zu kommen, indem er sich eine vielfrequentierte Eingangstür vor-
nimmt und sich dort von einem freundlichen Mitarbeiter die Klinke in die Hand
geben lässt. Anschließend sucht der Angreifer nach ungesperrten PCs, schaut,
was der Drucker gerade ausdruckt, oder bittet als angeblicher Mitarbeiter der IT-
Abteilung vermeintliche Kollegen um ihre Mithilfe.
