SC305: Social Engineering Practitioner

Agenda:

• Vertiefung sozialer Skills und psychologischer Techniken zur Beeinflussung von Verhalten
  
  

• Praxisübungen zu Befragungs- und Interviewtechniken (Übungen zur strukturieren Gesprächsführung)
  
  

• Aufbau und Betrieb glaubhafter Sockpuppets für autorisierte Tests
  
  

• COA (Course of Action): Erstellen und Dokumentieren von Angriffsplänen inkl. Threat Modeling und Operational Security
  
  

• OSINT-Workflows mit KI-unterstützten Diensten: Automatisierung, Verifikation und Quellenkritik
  
  

• Spearphishing Simulationen: Crafting, Delivery und Auswertung in einer autorisierten Testumgebung (Test Infrastruktur/Simulationsmailserver)
  
  

• Physische Übungen: Lock Picking, Tailgating Szenarien, RFID Spoofing mit Flipper Zero (Ausgabe eines Flipper Zero pro Teilnehmer; erste Anwendungsübungen und sichere Konfigurationen)
  
  

• SMS- und Call Spoofing: Demonstration in abgesicherter Laborumgebung, Erkennungsmerkmale und Abwehrmaßnahmen (keine unautorisierte Nutzung)
  
  

• Deepfake Workflow (offensive & forensische Perspektive): Erzeugen von realistischen Sprach- und Stimm-Deepfakes auf lokalen Systemen inklusive Einbindung in Meeting-Software
  
  

• Auswertung der Übungen: Metriken, Reporting und Empfehlungen für Stakeholder
  
  

• Abschluss: Erstellung eines rechtskonformen, reproduzierbaren Testplans mit Awareness und Remediation Empfehlungen

Ziele:

• Praktische Befähigung zur Durchführung professionell dokumentierter Social‑Engineering‑Tests (Planung, Durchführung, Reporting)
• Erlernen von OSINT‑Methoden inklusive sinnvoller Nutzung von KI‑Diensten zur effizienten und verifizierten Informationsgewinnung
• Einsatz und sichere Konfiguration von Flipper Zero in typischen Arbeitsszenarien sowie erste, sichere Programmieransätze
• Fähigkeit, in rechtlich abgesicherten Trainingsumgebungen synthetische Deepfake‑Samples zu erzeugen
• Fähigkeit, autorisierte Phishing‑Simulationskampagnen zu planen und umzusetzen, die der Sensibilisierung und Sicherheitsvalidierung dienen
• Stärkung der persönlichen Handlungskompetenz: Teilnehmende werden durch realistische Szenarien an die Grenzen ihrer Komfortzone geführt, lernen Reflexion und Deeskalation und erhalten Methoden zur Selbstschutz‑ und Team‑Nachbesprechung

Zielgruppe:

Der Kurs SC305 Social Engineering Practitioner richtet sich an:

• IT-Sec-Management
• Penetration Tester
• Red und Blue Teamer
• Sicherheitsberater und Incident Response Teams

Voraussetzungen:

Um dem Lerntempo und den Inhalten des Workshops SC305 Social Engineering Practitioner gut folgen zu können, empfehlen wir die vorherige Teilnahme am Kurs SC300 Social Engineering Basics oder gleichwertige Kenntnisse.

Beschreibung:

Der Aufbaukurs SC305 Social Engineering Practitioner verbindet vertiefende theoretische Inputs mit einem hohen Anteil an praktischen Übungen. Jeder Teilnehmende erhält einen Flipper Zero zur Verwendung in Kursübungen und als Einstieg in die tägliche Arbeit; es werden erste Anwendungsfälle, sichere Konfigurationen und einfache Programmierungen vermittelt. Die OSINT‑Sessions behandeln automatisierte Recherchepipelines, Datenaggregation und Verifikationsstrategien unter Nutzung von KI‑Services.

Phishing‑Übungen und Deepfake‑Laborversuche werden ausschließlich in autorisierten, isolierten Testumgebungen durchgeführt oder nur im Rahmen schriftlicher Einwilligungen und klar definiertem Scope — Ziel ist die Stärkung von Erkennungs‑, Abwehr‑ und Forensik‑Fähigkeiten, nicht die Befähigung zu unautorisierten Angriffen. Gleichzeitig trainiert der Kurs realistische Rollenspiele und Szenarien, die Teilnehmende bewusst an den Rand ihrer persönlichen Komfortzone bringen — begleitet durch Debriefings, ethische Reflexion und Maßnahmen zur psychischen Sicherheit.

Im Kurspreis inkludierte Goodies:
VM für Social Engineering, Lock-Picking-Set, Flipper Zero

Praktische Übungen & Equipment (Auszug)
• Flipper Zero (Grundeinrichtung, erste sichere Skripte)
• OSINT‑Lab mit KI‑Unterstützung (Verifikation, Priorisierung, Quellenkritik)
• Phishing‑Simulationslabor (Test‑Mailserver, Monitoring, Reporting)
• Deepfake‑Lab (Erzeugen kontrollierter Samples für Detection‑Übungen und Awareness)
• SMS/Call‑Spoofing‑Demonstration (Labor)
• Physische Hacking‑Station: Lock‑Picking, RFID‑Tests, Tailgating‑Szenarien
• Reporting‑Workshop: Erstellung eines rechtlich abgesicherten Testberichts und Handlungsempfehlungen

Rechtliches & Ethikhinweis
Alle praktischen Arbeiten sind an strikte rechtliche und ethische Vorgaben gebunden. Erzeugung oder Verbreitung synthetischer Inhalte sowie Live‑Spoofing werden nur in kontrollierten, autorisierten Umgebungen durchgeführt; unautorisierte Angriffe werden nicht gelehrt oder gefördert. Teilnehmer erlernen zudem die erforderliche Dokumentation, Einwilligungsprozesse und Compliance‑Vorgaben für legale Testaufträge.

Lernkontrolle / Zertifikat
Praktische Abschlussaufgabe: Entwicklung und Präsentation eines vollständigen, rechtskonformen Social‑Engineering‑Testplans inklusive Test‑Scope, Methodik, Risikomanagement und Reporting. Bei erfolgreichem Abschluss erhalten Teilnehmende ein Zertifikat sowie eine individuelle Best‑Practice‑Checkliste.