Gerade war eine Pressekonferenz der Jungs von Social-Engineer.org (aktuell down), die auf der Defcon den Social Engineering CTF Contest abhalten. Sie konnten nicht zu sehr ins Detail gehen, da der Contest noch einen weiteren Tag geht – allerdings kann man bereits jetzt absehen, dass Social Engineering noch immer sehr einfach ist.
Insgesamt haben sie zwischen 50 und 70 Einzelpersonen in großen Unternehmen (wie Google, Microsoft, Pepsi, BP oder Shell) angerufen, nur 3 hätten sie sofort abgewiesen und aufgelegt.
Die anderen Opfer hätten den Anrufern zahlreiche Infos gegeben, etwa die jeweiligen Versionen der Browser, Adobe, Office, Outlook usw – de Regeln des Contests verboten zwar das Fragen nach sensiblen Daten (wie Passwörter, Social Security Nummer usw), allerdings haben die Veranstalter keinen Zweifel, dass die Opfer auch diese herausgegeben hätten.
Mich hat eigentlich nur überrascht, dass Social Engineering noch immer so gut funktioniert – der Contest geht noch einen Tag, morgen dann mehr.

Geschrieben von: Mo am31. Juli 2010.