Frage:
Rollen zum Spielen beim Einfahren in ein Wohngebäude
Vorac
2018-11-15 19:13:21 UTC
view on stackexchange narkive permalink

Menschen in ein großes RFID-geschütztes Wohngebäude zu folgen ist lächerlich einfach, da nicht jeder jeden kennt. Erst neulich wurde ich mit einem Gewehr hereingelassen (eine Luftgewehr, aber wie konnten sie das wissen).

Aber hilflos vor der Tür zu stehen und traurig auf das Schloss zu schauen, ist nicht das Beste Rolle zu spielen, da es Fragen wie "Wer bist du" oder "Wen besuchst du" anzieht.

Was ist ein angemesseneres Verhalten, wenn man darauf wartet, dass jemand eintritt?

Warten Sie, bis die Leute auf einen Rauch herauskommen, rauchen Sie mit ihnen, während Sie mit ihnen sprechen.Wenn sie wieder hineingehen, schließen Sie sich ihnen an.
"aber wie konnten sie es wissen" - Sie sind sich nicht sicher, wo Sie sich befinden, aber wenn Sie ein Luftgewehr kaufen und es ohne große Mühe herumtragen können, bedeutet dies wahrscheinlich, dass Sie sich an einem Ort befinden, an dem die Einheimischen wissen, wie Luftgewehre aussehenund du bist zufällig auf einen gestoßen.
Wenn jemand, der ein Gewehr trägt, versuchen würde, Ihnen in ein Gebäude zu folgen, würden Sie ihn dann herausfordern?
Was ist aus dem Drücken jedes Knopfes auf der Türklingel geworden?Jemand öffnet immer ...
@Damon Es hört sich so an, als würde OP nach einem Wohnhaus fragen.Wenn es so etwas wie eine Türklingel gibt, würde es wahrscheinlich eine Verbindung zum Gebäudemanagement herstellen, das vorsichtiger wäre als ein typischer Bewohner.
Bei @JustinLardinois in Nordamerika und Großbritannien sind die Tasten zumindest mit jeder Einheit verbunden, und das Management ist in keiner Weise beteiligt.
@schroeder Ich nehme an, es variiert je nach Region;Das ist in dem Teil Nordamerikas, in dem ich lebe, nicht üblich.
Neu, [relevante xkcd] (https://xkcd.com/2077/)
Sechs antworten:
schroeder
2018-11-15 19:29:08 UTC
view on stackexchange narkive permalink

Es gibt einige grundlegende Social-Engineering-Ansätze, die in den meisten Situationen funktionieren, nicht nur das Tailgating:

  • Dringlichkeit
  • Autorität
  • Neugier
  • Vorwand

Dringlichkeit

Seien Sie jemand mit einer bestimmten Aufgabe, die gerade ausgeführt werden muss. Die Klassiker sind ein Zusteller mit vollen Armen und jemand, der jemanden abholen will. Ein Familienmitglied, das nach einem älteren Bewohner suchen muss. Die Leute wollen hilfreich sein und glauben nicht, dass Sie lange genug da sind, um eine Bedrohung zu sein.

Autorität

Seien Sie jemand, den der Gatekeeper weder berechtigt noch begründet hat, abzulehnen. Feuerwehrmann, Versorgungsinspektor, Strafverfolgung, Gebäudesicherheit, Prozessserver. Viele Studien über Menschen, die mit einer gerechten Zwischenablage und einer Warnweste hereingelassen werden.

Neugier

Um jemandem nahe zu kommen, seien Sie so interessant, wie Sie es möchten mehr wissen. Verkleide dich als Clown, um ein Telegramm zu übermitteln.

Pretexting

Stellen Sie eine flache Beziehung her, die tiefer zu sein scheint. Rauchen mit Leuten draußen in der Pause ist klassisch. Die Raucher gehen davon aus, dass Sie auch Angestellter sind (warum sollten Sie sonst dort sein?)

Kombinationen

Aber diese funktionieren in Kombination noch besser. Ein Feuerwehrmann in schrecklicher Eile. Ein Clown, der behauptet, er sei auf der letzten Firmenfeier gewesen (und kenne einige wichtige Namen). Je mehr Kombinationen Sie kombinieren können, desto effektiver ist der Prozess - eine Autoritätsperson, die in Eile etwas Interessantes tut und behauptet, eine bereits bestehende Beziehung zu haben. Wenn Sie darüber hinausgehen oder sich zu sehr anstrengen, wird es jedoch nach hinten losgehen.

Sie sagen also, ein rauchender Clown mit einer Feueraxt auf dem Rücken und einer Polizeimütze auf dem Kopf hütet 6 Pakete mit einem darüber liegenden Cliboard, der das Gebäude betreten will, um nach seiner älteren Mutter zu sehen, weil er sich Sorgen macht, dass es eine gibtGasleck würde nicht funktionieren?Ich denke, ich muss dann alles zurückschicken.
* "Viele Studien über Menschen, die mit einer gerechten Zwischenablage und einer Warnweste hereingelassen werden." * - Für die meisten großen Gebäude, in denen ich gearbeitet / gelebt habe, müsste man nur sagen: "Ich bin hier, umArbeiten Sie an der Klimaanlage (oder Heizung) "und sie rollen den roten Teppich für Sie aus.
Ich vermute, Kombinationen sind eine schlechte Idee.Sie möchten vermeiden, dass die Marke zu genau nachdenkt.Jedes der Beispiele scheint ein normales Individuum zu sein, und ein fauler Denkfleck lässt sie herein. Ich denke, Sie haben Recht mit dem letzten Satz, dass Kombinationen nach hinten losgehen können, aber ich denke, die Schwelle für die Verringerung Ihrer Erfolgschancen ist niedriger.
Das ist eine gute Antwort.Ich würde auch "soziale Unbeholfenheit" hinzufügen, da die Leute es vermeiden werden, mit Ihnen zu interagieren, wenn sie denken, dass es unangenehm wäre.Sie könnten beispielsweise warten, bis sich jemand dem Tor nähert, und dann mit ihm eintreten, während Sie ununterbrochen auf Ihrem Handy sprechen - die meisten Menschen möchten nicht unterbrechen.
@John das ist definitiv etwas, das Sie kombinieren können.Ein Mann mit Weste und Zwischenablage (oder Anzug und Zwischenablage, je nach Ort) am Telefon mit einem selbstbewussten Nicken in Richtung des Wachmanns beim Betreten wäre ziemlich solide.
"Sei jemand, dem der Torhüter kein Recht oder Grund hat, sich zu weigern."Genauer gesagt, sie glauben, kein Recht zu haben, sich zu weigern.Ein Prozessserver hat keine besonderen Rechte, um die Sicherheit zu umgehen.Selbst ein Polizist, der keine besondere Situation hat, hat kein Recht, die Einreise zu verlangen.
Es gab eine überraschende Anzahl von Zustellern, die der Sicherheit irgendwie auszuweichen schienen und ohne Probleme an unserer Rezeption auftauchten.Schließlich fand ich heraus, dass sie dem Sicherheitsbeamten an unserem Zugangstor Süßigkeiten gaben, um sie passieren zu lassen, damit sie den Burger / die Pizza / was auch immer liefern können, ohne darauf warten zu müssen, dass jemand sie durchlässt.Unser CEO war nicht glücklich.
Es ist erwähnenswert, dass es immer eine Chance gibt, dass jemand gegen die Norm verstößt und Sie daran hindert, eine Untersuchung durchzuführen. Wenn Sie sich als Beamter (nicht unbedingt als Polizist) ausgeben, könnten Sie einer schwerwiegenden strafrechtlichen Anklage ausgesetzt sein.
Das Rauchen ist immer das einfachste (wenn Sie rauchen).Ich bin seit vier Monaten an meinem Arbeitsplatz und unterhalte mich regelmäßig mit Kollegen, mit denen ich nicht direkt zusammenarbeite und mit denen ich noch nie gesprochen habe. Nun, ich nehme an, sie sind sowieso Kollegen, und sie nehmen an, ichbin einer.Keiner von uns hat jemals nachgesehen (soweit ich weiß).
Als langjähriger Ex-Pizzaboten kann ich bestätigen, dass es kein Gebäude gibt, in das man nicht gelangen kann, wenn man eine Pizzaschachtel in der Hand hält und wie auf einer Mission geht.Ich habe das getan, um ein paar Mal bei Konzerten hinter die Bühne zu kommen.
Ja, [schlagen Sie sie mit einem unbestreitbaren Kombinationsschlag] (https://i.stack.imgur.com/9Wbev.jpg) - süß, nicht einschüchternd, Raucher, gefährliche Tätowierungen, nass - und müssen offensichtlich aus der Kälte herauskommen, spricht aber nicht die Sprache.Sie sind sicher so verwirrt, dass sie dich in ihr Testament schreiben werden.Ich: "Das ist großartig, du hast alles, was du brauchst, außer was es braucht, um in das Gebäude zu gelangen."
* Viele Studien von Leuten, die mit einer gerechten Zwischenablage und einer Warnweste hereingelassen wurden * → In den Videos dieser Jungs gibt es gute Beispiele: https://www.youtube.com/watch?v=GyvRamX1VyA.
Anders
2018-11-16 15:54:01 UTC
view on stackexchange narkive permalink

Stellen Sie sich in einiger Entfernung vor die Tür und sprechen Sie mit Ihrem Telefon. Schauen Sie nicht auf die Tür, schauen Sie nicht auf die Person, die kommt, um sie zu öffnen, sehen Sie nicht so aus, als wollten Sie hineinkommen. Bitten Sie nicht darum, hereingelassen zu werden. Lassen Sie die Person einfach die Tür öffnen und durchgehen. Dann gehen Sie in der letzten Sekunde, bevor es sich schließt und sperrt, ruhig durch und sprechen immer noch mit Ihrem Telefon.

Wenn Sie ein Kostüm oder eine Warnblende tragen, werden Sie ... gut sichtbar. An manchen Orten braucht man vielleicht das Kostüm und die Ausrede, um hineinzukommen. Aber an vielen Orten reicht es völlig aus, sich wie ein unvergesslicher Niemand einzumischen. Kleide dich wie du gehörst, frag nicht, geh einfach.

Als Haftungsausschluss sollte ich beachten, dass ich keine Berufserfahrung damit habe. Aber ich benutze es die ganze Zeit, um in mein Büro zu gelangen, wenn ich mein RFID-Tag vergesse.

"Ich benutze es die ganze Zeit, um in mein Büro zu gelangen, wenn ich mein RFID-Tag vergesse" - ich hoffe, Ihr Büro verarbeitet keine vertraulichen Informationen.
Abgesehen von der Ethik ist dies eine gute praktische Lösung.Am Telefon zu sein und so auszusehen, als ob Sie dazu gehören, ist der Schlüssel.
Richard
2018-11-17 00:57:02 UTC
view on stackexchange narkive permalink

Wie Sie bereits gesagt haben, besteht das Hauptelement darin, nicht so auszusehen, als würden Sie darauf warten, dass Ihre Marke eintrifft. Was Sie brauchen, ist eine Requisite , die visuell anzeigt, warum Sie vor der Tür stehen.

Nützliche Requisiten (die Ihre Anwesenheit erklären würden) umfassen:

  • Zigarette oder E-Zigarette.
  • Lunch-Bag (s).
  • Kaffee (n) von einem örtlichen Händler.
  • Box

Ein oder zwei sperrige Gegenstände (einer in jeder Hand) sind besonders nützlich, da dies erklären würde, warum Sie nicht nach einem Pass greifen können.

Story-Zeit. Ich arbeitete für eine Firma, die Zugangspässe hatte. Ein örtlicher Hoodlum kaufte sich einen billigen Anzug und versuchte, die Heckklappe in den Seiteneingang zu schließen. Er wurde von einem Mitarbeiter gemäß den Unternehmensrichtlinien gestoppt. Der Hoodlum machte es dreist, indem er ihn fragte: "War es, weil er schwarz war?" und der Mitarbeiter entschuldigte sich sofort . Der Hoodlum verlangte den Namen seines Managers (damit er sich beschweren konnte) und erhielt noch ausführlichere Entschuldigungen.

Das „Zeichen“ half ihm dann, Laptops aus der Konferenzsuite zu nehmen und sie auf die Rückseite zu laden ein nicht markierter Van.

Moral der Geschichte? Social Engineering erfordert lediglich Vertrauen

0112
2018-11-18 06:39:36 UTC
view on stackexchange narkive permalink

Kaufen Sie eines davon: doordash bag

Schauen Sie gehetzt und klopfen Sie an das Fenster / die Tür, bis Sie jemand hereinlässt. Sobald Sie drinnen sind, fragen Sie nach einem zufälligen Namen und Habe einen Screenshot der Doordash-App auf deinem Handy. (Am besten mit dem Namen)

Wenn Sie sich ehrgeizig fühlen:

Werden Sie ein legitimer Mitarbeiter von doordash (es ist nicht schwierig), und bestellen Sie dann Essen zu diesem Gebäude von Ihnen selbst mit Anweisungen, um jemanden zu finden, der spezifisch für das Unternehmen ist, auf das Sie abzielen.

Lassen Sie den "Kunden" spezifische Anweisungen hinterlassen, wo er sich im Gebäude befindet. "Ich bin in der fernöstlichen Ecke im Besprechungsraum. Zeigen Sie dies einfach der Rezeptionistin und sagen Sie ihr, dass [der CEO] gesagt hat, Sie einzulassen." Wenn Sie auf weitere verschlossene Türen stoßen, zeigen Sie dies die Nachricht an die Rezeption und fragen Sie, ob sie Ihnen helfen können: "Könnten Sie mir helfen, dieses Zimmer zu finden?" "Mein Telefon hat keine Daten mehr. Haben Sie WLAN, bei dem ich mich anmelden könnte?" usw. usw.

Ich kann sehen, dass dies funktioniert, aber wenn Sie "ein legitimer Mitarbeiter von Doordash werden", würde das Sie nicht nachvollziehbarer machen, nachdem eine schändliche Aktivität entdeckt wurde, für die Sie Zugang erhalten haben?
@JamesBradbury Sie werden kein Angestellter, Sie bekommen nur genug Zeug, um überzeugend genug auszusehen, wie eine Uniform oder eine Tasche.Sie können nicht zurückverfolgt werden, wenn Sie nicht im Unternehmen sind.Es geht darum, den Schein zu wahren.
@JamesBradbury das ist sicherlich ein Risiko, wenn Sie nicht verfolgt werden möchten.Für einen gemieteten Pentest kann dieser Ansatz jedoch sinnvoller sein.
@0112 Ich halte es für eine sehr kluge Idee, "ein legitimer Angestellter von Doordash zu werden", aber es kann den Pentester einer gesetzlichen Haftung aussetzen (https://www.nytimes.com/1997/02/17/opinion/revisiting-the-food-lion-case.html).Ich vermute, dass "Doordash" oder ähnliche Unternehmen schnell müde werden, mit Sicherheitsverletzungen in Verbindung gebracht zu werden.
@emory Alle guten Punkte.
Teun Vink
2018-11-18 02:48:17 UTC
view on stackexchange narkive permalink

Menschen sind von Natur aus hilfreich. Wenn Sie sich einer Tür mit vollen Händen nähern, beispielsweise mit einer riesigen Geschenkverpackung, werden die Leute dazu ermutigt, die Tür für Sie zu öffnen, ohne dass Fragen gestellt werden

Baldrickk
2018-11-19 17:21:51 UTC
view on stackexchange narkive permalink

Wohngebäude? "vorgeben", ein Händler zu sein - in vielen Fällen benötigen Sie nicht einmal ein Kostüm oder einen gefälschten Ausweis.

Ich kenne eine Reihe von Wohngebäuden in meiner Gegend, in denen an einem Wochentag vor 12:00 Uhr Durch Drücken der Taste TRADE auf der Zugangsabdeckung wird nur die Tür geöffnet.

Sofortiger Zugriff und keine List. Natürlich hängt es vom Gebäude ab, aber ob es eine solche Zugangsoption gibt ...



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...