Podcast
Podcaster
Beschreibung
vor 5 Tagen
Social Engineering klingt erstmal nach ein bisschen
Tricksen am Telefon. In Wahrheit geht es um viel mehr. Es geht um
Vertrauen, Druck, Hilfsbereitschaft und um die unangenehme
Erkenntnis, dass nicht nur Software, sondern auch Menschen
angreifbar sind. Ein harmloser Support-Anruf, eine überzeugende
Geschichte, ein bekannt klingender Name und plötzlich werden
interne Informationen preisgegeben, die einzeln belanglos wirken,
zusammen aber den Weg für einen echten Angriff ebnen.
In dieser Episode sprechen wir darüber, wie Social
Engineering in der Praxis funktioniert. Wir starten mit einem
nachgesprochenen Fall aus dem DEF CON Social Engineering CTF und
zerlegen danach die Mechanik dahinter. Wir schauen auf Open
Source Intelligence (OSINT), auf typische Angriffsphasen,
psychologische Hebel wie Autorität, Zeitdruck und Social Proof
sowie auf moderne Fälle wie den Axios Supply Chain Angriff im
Open Source Umfeld. Außerdem geht es um Phishing, Voice Cloning,
Deepfakes, LinkedIn als Recherchequelle und die Frage, warum
interne Informationen noch lange keine Identität beweisen.
Wenn du verstehen willst, wie Angreifer nicht dein System
hacken, sondern eine berechtigte Person dazu bringen, es für sie
zu öffnen, dann ist diese Folge für dich. Und ja, vielleicht ist
das nächste freundlich klingende Support-Gespräch spannender, als
dir lieb ist.
Unsere aktuellen Werbepartner findest du auf
https://engineeringkiosk.dev/partners
Das schnelle Feedback zur Episode:
(top) (geht
so)
Anregungen, Gedanken, Themen und Wünsche
Dein Feedback zählt! Erreiche uns über einen der folgenden
Kanäle …
EngKiosk Community:
https://engineeringkiosk.dev/join-discord
LinkedIn:
https://www.linkedin.com/company/engineering-kiosk/
Email: stehtisch@engineeringkiosk.dev
Mastodon: https://podcasts.social/@engkiosk
Bluesky:
https://bsky.app/profile/engineeringkiosk.bsky.social
Instagram:
https://www.instagram.com/engineeringkiosk/
Unterstütze den Engineering Kiosk
Wenn du uns etwas Gutes tun möchtest … Kaffee schmeckt uns
immer
Buy us a coffee:
https://engineeringkiosk.dev/kaffee
Links
Social Engineering - Winning SECTF call at DEF CON
25: https://www.youtube.com/watch?v=yhE372sqURU
Nation: The Ultimate Heist:
https://time.com/archive/6881425/nation-the-ultimate-heist/
Stanley Mark Rifkin:
https://en.wikipedia.org/wiki/Stanley_Mark_Rifkin
Kevin Mitnick:
https://de.wikipedia.org/wiki/Kevin_Mitnick
Buch “The Art of Deception: Controlling the Human Element
of Security”:
https://www.amazon.de/Art-Deception-Controlling-Element-Security/dp/076454280X/ref=sr_1_3
Darknet Diaries - EP 107: Alethe:
https://darknetdiaries.com/episode/107/
Fake-Teams-Update: So haben Angreifer den
axios-Maintainer ausgetrickst:
https://www.heise.de/news/Fake-Teams-Update-So-haben-Angreifer-den-axios-Maintainer-ausgetrickst-11246273.html
North Korea-Nexus Threat Actor Compromises Widely Used
Axios NPM Package in Supply Chain Attack:
https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package/?hl=en
Post Mortem: axios npm supply chain compromise:
https://github.com/axios/axios/issues/10636#issuecomment-4180237789
Sprungmarken
(00:00:00) Social Engineering live: Ein echter
Support-Anruf als Einstieg
(00:08:08) Auflösung: Das DEFCON Social Engineering CTF
erklärt
(00:09:26) Info/Werbung
(00:10:26) Auflösung: Das DEFCON Social Engineering CTF
erklärt
(00:12:58) Warum kleine Infos gefährlich sind: Flags, OSINT
und Vertrauen
(00:15:22) Eigene Erlebnisse mit Social Engineering im
Alltag
(00:19:36) Historischer Fall: Der größte Bankraub per
Social Engineering
(00:23:22) Moderne Angriffe: CEO-Fraud, Büro-Tricks und
offene Kantinen
(00:27:13) Axios Supply Chain Hack: Social Engineering
gegen Open Source
(00:34:45) Was Social Engineering im Kern ausmacht
(00:36:58) Typischer Ablauf eines Angriffs: Ziel, OSINT,
Story, Eskalation
(00:41:41) Psychologische Hebel: Autorität, Druck,
Hilfsbereitschaft
(00:46:52) Von Post-its zu Deepfakes: Was sich heute
verändert hat
(00:55:49) Schutzmaßnahmen für Alltag, Tools und
Prozesse
(01:01:23) Fazit: Internes Wissen ist nicht gleich
Identität
Hosts
Wolfgang Gassler
(https://gassler.dev)
Andy Grunwald
(https://andygrunwald.com/)
Community
Diskutiere mit uns und vielen anderen Tech-Spezialist⋅innen
in unserer Engineering Kiosk Community unter
https://engineeringkiosk.dev/join-discord
Weitere Episoden
1 Stunde 14 Minuten
vor 1 Woche
1 Stunde 13 Minuten
vor 2 Wochen
59 Minuten
vor 3 Wochen
1 Stunde 13 Minuten
vor 1 Monat
1 Stunde 26 Minuten
vor 1 Monat
Kommentare (0)
Melde Dich an, um einen Kommentar zu schreiben.