Najo, mit entsprechender Vorbereitung kannst Du da aber so ziemlich alle kriegen... Einfaches Beispiel: Such Dir eine Webseite aus, auf welcher die Mailadresse des Chefs und die der Buchhaltung aufgeführt ist. Standardmässig kannste dann direkt von Windows-Kisten ausgeben, welche die Dateiendungen ausgeblendet haben. Schreibste den Chef einmal an wegen irgendeinem Blödsinn (Produktanfrage, was weiss ich), kriegst damit erstmal die Signatur und Zeugs zurück. Die kann man dann wiederverwenden in der Mail an die Buchhaltung, dort wird noch ein "PDF" angehängt (
R54784.pdf.exe - ausgeblendete Dateiendungen + passendes Icon für die exe (Adobe?)
) und schon wird ein Schuh draus.
Dazu noch in der Mail so ein Spruch wie "Bitte dringend überprüfen!" und schon geht's los... Schreibt der Chef verfallen die meisten sowieso instant in blinden Aktionismus (grade bei kleineren Firmen). Bei grösseren Firmen müsste man schon eher wissen, wer Abteilungsleiter (etc.) ist, darf ja auch nicht "zu" weit oben sein (Vorstand mailt halt weniger oft mit dem Praktikanten, etc.). Unterm Strich ist das sowieso alles nur Spielchen mit der Psyche... Panikmache ist immer ganz weit vorn ("Jetzt dringend handeln! Sparkassen-Konto ist in Gefahr!"), alternativ halt der Nigerianische Prinz der ein paar Millionen zu verschenken hat, etc. ...
Deswegen ist Social-Engineering auch so ein dickes Ding - ohne sowas, wäre das meiste völlig albern, wenn es aber "reale" Kontakte sind, dann hört das denken dann meist recht schnell auf. Das meiste ist eh nur irgendein "Müll" (solange man ein bisschen "denkt" gibt es da auch keinen Schaden), wirklich gefährlich sind eher diese Spearphishing-Geschichten, da diese halt extrem zielgerichtet sind. King-Phisher (Opensource) und Konsorten werden z.B. ganz gern für interne Tests genutzt, von einigen großen Anbietern (z.B. Sophos, etc.) kann man sowas auch einfach "anmieten". Auch sowas sollte man meiner Meinung nach in regelmässigen Abständen machen, aber.... a) kostet Geld, b) Leute werden blossgestellt (wenn auch nicht öffentlich, die Scham wird hoch sein), c) wenn die Leute es beim x-ten mal bei der gleichen dummen Testmail verhunzen, wird früher oder später eine Schulung fällig und wenn das auch nicht hilft, ggf. sogar ein Gespräch mit dem Chef. Anders bringt es ja auch nichts, wenn man Unsummen für den ganzen Kram rausschmeisst (HW/SW/Schulungen/etc.) und sich die Leute einfach an nix halten, bringt also nix, einfach nur teuer Kram einzukaufen, ggf. muss man dann auch intern mal... mh... "umstrukturieren" (formulieren wir es mal etwas seichter
).
EDIT: Damit es dem Thread doch noch gerecht wird... Chipmangel... Weihnachten... Kauft lieber schnell noch alle neue Rechner und Zeugs, bevor es in 1-2 Jahren nix mehr davon gibt!