Inhaltsverzeichnis
In “Die Kunst des Human Hacking” behandelt Autor Christopher Hadnagy sehr facettenreich das Thema Social Engineering. Wer jetzt an ein weiteres Buch mit spannenden Hacker-Stories denkt, wird überrascht sein. Hadnagy, bekannt für das Social Engineering Framework und Sicherheitsberater, steigt sehr tief in die Materie rund um das Thema Social Engineering, Gesprächsführung und Kommunikation ein.
von Christopher Hadnagy
Zusammenfassung
Hadnagy gliedert das Buch im Wesentlichen in die notwendigen Schritte zum (erfolgreichen) Social Engineering ein und legt sein Framework im Anschluss an einige Fallstudien an: Der Informationssammlung, also das Beschaffen, Organisieren und Sondieren relevanter Informationen schreibt er eine sehr hohe Relevanz zu. Zwei weitere wichtige Schritte sind zum einen das Eilzitieren, also das Entlocken von (relevanten) Informationen während einer offensichtlich harmlosen Unterhaltung, sowie ein gutes Pretexting. Der Erfolg oder Misserfolg z.B. bei den vom Autor erwähnten Social Engineering Audits steht und fällt mit einem guten Pretexting, bei dem man durch Verhalten, Kleidung, Persönlichkeit o.Ä. quasi “in eine andere Haut schlüpft”.
Ein Kapitel widmet er sehr umfangreich psychologischen Prinzipien. Er greift dabei u.a. die alltäglichen kleinen psychologischen Tricks auf, die nicht nur von böswilligen Angreifen, sondern auch von Eltern, Kindern, Ärzten oder Lehrern verwendet werden. Eine zentrale Rolle spielen ferner Mikroexpressionen, also flüchtige Gesichtsausdrücke in Situationen von Freude, Angst oder Ärger. Diese Thematik wurde bereits in den 1970er-Jahren vom Psychologen Paul Ekman umfangreich erforscht. Ekman stand dem Autor nach eigenen Angaben während des Verfassens des Buches zur Seite und steuerte viele relevante Informationen bei. Auch Methoden zum Aufbau von Rapport oder dem Neuro-Linguistisches Programmieren (NLP) werden umfangreich erläutert.
Diese grundlegenden Skills und einige technische Tools führen dann zu Methoden, um andere zu überreden oder zu manipulieren, wobei dies nicht immer im negativen Sinne sein muss.
Schlussendlich legt Hadnagy seine dargestellten Methoden, die er in ein eigenes Framework “gegossen” hat, an vier Fallstudien an. Zwei entstammen dabei aus seinen eigenen Erfahrungen, die er bei Kunden gesammelt hat. Die beiden anderen Fallstudien entstammen zwei Geschichten von Kevin Mitnick, die auch im Buch “Die Kunst der Täuschung” nachzulesen sind. Der Autor analysiert die Fallstudien, beschreibt und erläutert die eingesetzten Methoden und warum diese funktionieren konnten.
Besonders Unternehmen legt er ans Herz, sich intensiv mit dem Thema zu beschäftigen und Mitarbeiter auf die Themen der Beeinflussung durch Social Engineering zu schulen. Hierbei sei es von höchster Relevanz, dass es nicht einfach mit einer Schulung pro Jahr getan ist, die von Mitarbeitern dann nicht wirklich verinnerlicht wird. Vielmehr müssen die Präventivmaßnahmen im Unternehmen gelebt und nicht nur in einer Leitlinie niedergeschrieben sein. Letztendlich ist es wichtig, möglichst viel über potentielle Angriffsvektoren zu wissen, um sich entsprechend gegen die wappnen zu können.
Fazit
Insgesamt handelt es sich bei “Die Kunst des Human Hacking” um ein wirklich sehr informatives Buch, dass aus meiner Sicht nicht nur für Verantwortliche in der IT-Security interessant ist. Auch andere Unternehmensverantwortliche oder Vertriebler finden hier viele interessante Ansatzpunkte, die einem teilweise so auch im alltäglichen Leben begegnen können.
Der Autor führt meines Erachtens den Leser sehr gut und praxisnah durch die Thematik, in deren Fokus fast immer die Kommunikation steht, und gibt Tipps, sich diese Fähigkeiten anzueignen. Viele umfangreiche Informationen findet ihr auch auf Hadnagys Webseite “Social-Engineer.com“.
[asa book]3826691679[/asa]
P.S.: Schaut auch in meiner Leseecke vorbei, wo ihr neben diesem Werk noch weitere lesenswerte Literatur findet.
Warum sagt er in dem Buch das es 5 Sinne gibt aber nur 3 die mit dem Denkmodi verknüpft sind?
Ich finde das buch ist Teilweise nicht gut erklärt.