#276 Social Engineering: Nicht gehackt, nur nett gefragt

#276 Social Engineering: Nicht gehackt, nur nett gefragt

vor 5 Tagen
1 Stunde 3 Minuten
0
0 0

Beschreibung

vor 5 Tagen

Social Engineering klingt erstmal nach ein bisschen
Tricksen am Telefon. In Wahrheit geht es um viel mehr. Es geht um
Vertrauen, Druck, Hilfsbereitschaft und um die unangenehme
Erkenntnis, dass nicht nur Software, sondern auch Menschen
angreifbar sind. Ein harmloser Support-Anruf, eine überzeugende
Geschichte, ein bekannt klingender Name und plötzlich werden
interne Informationen preisgegeben, die einzeln belanglos wirken,
zusammen aber den Weg für einen echten Angriff ebnen.


In dieser Episode sprechen wir darüber, wie Social
Engineering in der Praxis funktioniert. Wir starten mit einem
nachgesprochenen Fall aus dem DEF CON Social Engineering CTF und
zerlegen danach die Mechanik dahinter. Wir schauen auf Open
Source Intelligence (OSINT), auf typische Angriffsphasen,
psychologische Hebel wie Autorität, Zeitdruck und Social Proof
sowie auf moderne Fälle wie den Axios Supply Chain Angriff im
Open Source Umfeld. Außerdem geht es um Phishing, Voice Cloning,
Deepfakes, LinkedIn als Recherchequelle und die Frage, warum
interne Informationen noch lange keine Identität beweisen.


Wenn du verstehen willst, wie Angreifer nicht dein System
hacken, sondern eine berechtigte Person dazu bringen, es für sie
zu öffnen, dann ist diese Folge für dich. Und ja, vielleicht ist
das nächste freundlich klingende Support-Gespräch spannender, als
dir lieb ist.





Unsere aktuellen Werbepartner findest du auf
https://engineeringkiosk.dev/partners





Das schnelle Feedback zur Episode:


(top)  (geht
so)



Anregungen, Gedanken, Themen und Wünsche

Dein Feedback zählt! Erreiche uns über einen der folgenden
Kanäle …



EngKiosk Community:
https://engineeringkiosk.dev/join-discord 


LinkedIn:
https://www.linkedin.com/company/engineering-kiosk/


Email: stehtisch@engineeringkiosk.dev


Mastodon: https://podcasts.social/@engkiosk


Bluesky:
https://bsky.app/profile/engineeringkiosk.bsky.social


Instagram:
https://www.instagram.com/engineeringkiosk/




Unterstütze den Engineering Kiosk

Wenn du uns etwas Gutes tun möchtest … Kaffee schmeckt uns
immer 



Buy us a coffee:
https://engineeringkiosk.dev/kaffee




Links


Social Engineering - Winning SECTF call at DEF CON
25: https://www.youtube.com/watch?v=yhE372sqURU


Nation: The Ultimate Heist:
https://time.com/archive/6881425/nation-the-ultimate-heist/


Stanley Mark Rifkin:
https://en.wikipedia.org/wiki/Stanley_Mark_Rifkin


Kevin Mitnick:
https://de.wikipedia.org/wiki/Kevin_Mitnick


Buch “The Art of Deception: Controlling the Human Element
of Security”:
https://www.amazon.de/Art-Deception-Controlling-Element-Security/dp/076454280X/ref=sr_1_3


Darknet Diaries - EP 107: Alethe:
https://darknetdiaries.com/episode/107/


Fake-Teams-Update: So haben Angreifer den
axios-Maintainer ausgetrickst:
https://www.heise.de/news/Fake-Teams-Update-So-haben-Angreifer-den-axios-Maintainer-ausgetrickst-11246273.html


North Korea-Nexus Threat Actor Compromises Widely Used
Axios NPM Package in Supply Chain Attack:
https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package/?hl=en


Post Mortem: axios npm supply chain compromise:
https://github.com/axios/axios/issues/10636#issuecomment-4180237789




Sprungmarken

(00:00:00) Social Engineering live: Ein echter
Support-Anruf als Einstieg


(00:08:08) Auflösung: Das DEFCON Social Engineering CTF
erklärt


(00:09:26) Info/Werbung


(00:10:26) Auflösung: Das DEFCON Social Engineering CTF
erklärt


(00:12:58) Warum kleine Infos gefährlich sind: Flags, OSINT
und Vertrauen


(00:15:22) Eigene Erlebnisse mit Social Engineering im
Alltag


(00:19:36) Historischer Fall: Der größte Bankraub per
Social Engineering


(00:23:22) Moderne Angriffe: CEO-Fraud, Büro-Tricks und
offene Kantinen


(00:27:13) Axios Supply Chain Hack: Social Engineering
gegen Open Source


(00:34:45) Was Social Engineering im Kern ausmacht


(00:36:58) Typischer Ablauf eines Angriffs: Ziel, OSINT,
Story, Eskalation


(00:41:41) Psychologische Hebel: Autorität, Druck,
Hilfsbereitschaft


(00:46:52) Von Post-its zu Deepfakes: Was sich heute
verändert hat


(00:55:49) Schutzmaßnahmen für Alltag, Tools und
Prozesse


(01:01:23) Fazit: Internes Wissen ist nicht gleich
Identität



Hosts


Wolfgang Gassler
(https://gassler.dev) 


Andy Grunwald
(https://andygrunwald.com/)




Community

Diskutiere mit uns und vielen anderen Tech-Spezialist⋅innen
in unserer Engineering Kiosk Community unter
https://engineeringkiosk.dev/join-discord
15
15
Episode teilen
#276 Social Engineering: Nicht gehackt, nur nett gefragt
#276 Social Engineering: Nicht gehackt, nur nett gefragt

Close