PSYCHOTRICKS VON BETRÜGERN IM UNTERNEHMENSKONTEXT.
WAS SIE AUS DIESEM ARTIKEL MITNEHMEN:
Funktionsweise von Social Engineering
Tipps und Tricks im Umgang mit Social Engineering
Gratis Ratgeber "Security Awareness ist nicht nur E-Learning und Phishing Test: 63 ultimative Awareness Hacks" zum Download
Viele Unternehmen sind der Meinung, dass nicht ausreichend geschützte IT-Systeme der größte Verursacher von Sicherheitsschwachstellen und den damit verbundenen Schäden sind.
Allerdings fallen auch immer wieder Unternehmen dem sogenannten Social Engineering zum Opfer: Das kann sicherlich auch eine Infektion mit Schadsoftware wie z.B. einer Ransomware zur Folge haben, jedoch steht diese Methode nicht nur in Verbindung mit technischen Lösungen.
SICHERHEITSSCHWACHSTELLE MENSCH.
Social Engineering, auch Social Hacking, beschreibt sämtliche Methoden, die auf der direkten Kommunikation mit und Manipulation von Menschen basieren.
Mit diversen Taktiken ist es das Ziel das Vertrauen einer Person aus einem Unternehmen zu gewinnen, damit diese Person wichtige Daten wie beispielsweise Login-Namen und Passwörter preisgibt.
Ein Social Engineer (Betrüger) setzt dabei stets auf Glück, falsches Vertrauen und Leichtsinnigkeit seiner Opfer. Um an diese Opfer zu kommen nutzen die Betrüger:innen verschiedene Kommunikationswege, um Social Engineering anwenden zu können. Mögliche Kommunikationskanäle sind zum Beispiel persönlich, telefonisch, postalisch, digital per E-Mail oder via Messenger Dienste wie Facebook.
WELCHE METHODEN GIBT ES BEIM SOCIAL ENGINEERING?
Im Wesentlichen unterteilt man die Betrugsversuche in zwei Varianten. Zum einen gibt es Massenbetrügereien und zum anderen gezielte Betrugsmaschen.
MASSENBETRUGSVERSUCH (PHISHING)
Es ist nicht unüblich, dass meistens eine E-Mail, aber auch SMS, mit tausenden von Empfängern versendet wird, die die Empfänger:innen dazu auffordern einen Link anzuklicken, bestimmte Daten in eine vorgefertigte Maske einzugeben oder das Verifizieren der eigenen Identität. Oftmals wird dafür das Corporate Design oder Layout von bekannten Marken wie Amazon, PayPal oder der Deutschen Post ausgenutzt, um den User schnell zu einem gefährlichen Klick zu verleiten (Ransomware).
Diese vielfältigen Methoden gehören alle zum sogenannten Phishing. Der Prozess ist in den meisten Fällen automatisiert und erfordert vergleichsweise wenig Wissen und Aufwand. Da diese Art von E-Mails nicht spezifisch auf Empfänger angepasst sind, werden sie häufig als Betrug von dem eigenen E-Mail-Programm erkannt und landen direkt im Spam-Ordner. Die Erfolgsquote dieser Angriffsmethode hinsichtlich der enormen Anzahl versendeter Nachrichten ist daher ziemlich gering.
ACHTUNG: Trotzdem werden die Phishing Angriffe immer ausgeklügelter, sodass es auch immer schwerer wird diese zu identifizieren.
GEZIELTER BETRUGSVERSUCH (SPEAR-PHISHING)
Ein Betrugsversuch auf eine bestimmte Gruppe von Angestellten in einer bestimmten Branche, gilt bereits als gezielter Betrugsversuch. Diese Methode nennt man Spear-Phishing, zu Deutsch Speerfischen, da die Täter nicht wahllos das ganz große Netz auswerfen, sondern gezielt Ihre Opfer auswählen.
Für einen erfolgreichen Angriff bauen die Betrüger:innen eine Beziehung zum Betrugsopfer auf, studieren dessen Verhalten und fälschen komplexe Referenzen, um ihre Glaubwürdigkeit zu unterstreichen. Gezieltes Social Engineering erfordert somit deutlich mehr Ressourcen. Die detaillierte Recherchearbeit zum ausfindig machen des Opfers und das Fingieren von Referenzen und Beweisen sind sehr zeitaufwendig.
Im Vergleich zum allgemeinen Phishing gehen Experten im Bereich des Social Engineerings häufig ein höheres Risiko ein, denn sie fokussieren sich ausschließlich auf eine ausgewählte Gruppe von Personen oder gar nur Einzelpersonen in einem Unternehmen. Sie setzen also alles auf eine Karte. Wenn dieser eine, lange vorbereitet Angriff nicht gelingt, dann war alles umsonst. Jedoch ist im Gegensatz zum Massenbetrugsversuch die Erfolgsquote je anvisiertem Opfer sehr hoch.
Beispiel
Die Angreifer:innen erstellen beispielsweise E-Mail-Konten von höher gestellten Mitarbeitenden sowie teilweise auch von CEO´s und wenden sich mit spezifischen Themen und Anliegen an einzelne Mitarbeitende. Der Beginn der Kommunikation kann zum Beispiel ein kurzer Austausch über die Lieblingsmannschaft des Opfers sein. Solche Informationen hat der/die Angreifer:in kurz zu vor durch die Sozialen Medien herausgefunden.
Nach Tagen, Wochen oder gar Monaten des Vertrauensaufbaus folgt der eigentliche Betrug. Die/der angebliche Kolleg:in bzw. Vorgesetzte:r sendet dem Opfer eine E-Mail mit einer Bitte oder einem Auftrag und baut dabei erheblich viel Druck auf. Es könnte sich beispielsweise um eine dringende Überweisung für einen bestimmten Einkauf oder ein Projekt des Unternehmens handeln. Jedoch ist dieser Auftrag nicht echt und das Geld soll eigentlich auf das Konto des/der Betrüger:in gehen.
SOCIAL ENGINEERING UND SOCIAL MEDIA.
Wer auf einem Sozialen Netzwerk angemeldet ist, muss erstaunlich viele Angaben zu seiner Person und Persönlichkeit angeben. Diese Informationen helfen nicht nur dabei, dass man als Nutzer:in die richtigen Kontakte findet, sondern dienen für Betrüger:innen auch als Grundlage für einen gezielten Social Engineering Angriff.
Neben den Nutzerprofilen lassen sich dabei zusätzlich die bestehenden Kontakte und die Angaben zu persönlichen Vorlieben (wie „Gefällt mir – Angaben“) auswerten. Auch die sogenannten Hashtags können für Social Engineering gefährlich sein. Ein Nutzer, der beispielsweise einer bestimmten Thematik oder einem Hashtag folgt, interessiert sich dafür und ist wahrscheinlich für individuelle Werbung deutlich zugänglicher.
Deshalb sind die Hashtags nicht nur für die Nutzer:innen hilfreich. Datendiebe füllen ihre Datenbanken mit Nutzernamen und bevorzugten Hashtags. Vor allem für Social Engineering, insbesondere Spear-Phishing, lässt sich dies nutzen.
WIE KANN ICH MICH UND MEIN UNTERNEHMEN VOR SOCIAL ENGINEERING SCHÜTZEN?
Im Gegensatz zu den normalen Angriffsformen ist ein Unternehmen bei Social Engineering auch dann gefährdet, wenn das Netzwerk sowie alle Server und Endgeräte vollständig sowie optimal durch die IT geschützt sind.
Das Ziel der Betrüger:innen ist hier eher das Ausnutzen menschlicher Eigenschaften als das von IT-Schwachstellen. Es wird sich auf die Neugierde, Hilfsbereitschaft, Kundenfreundlichkeit und vor allem die Unsicherheit der Mitarbeitenden konzentriert.
Gegen die psychologischen Tricks der Datendiebe hilft deshalb in erster Linie:
Ein Bewusstsein (Awareness) bei den Mitarbeitenden hinsichtlich der Social Engineering-Methodik zu schaffen.
Auch optimierte Prozesse, hinsichtlich eines “Mehr-als-zwei-Augen-Prinzips" ist sinnvoll, da so beispielsweise fingierte Überweisungen nicht so ganz unbemerkt bleiben.
Außerdem ist es auch immer hilfreich so schnell wie möglich über neu identifizierte Phishing Angriffe zu informieren
Dies sind nur drei von vielen Möglichkeiten, um die Security Awareness zu stärken und vor Social Engineering Gefahren zu schützen. Für weitere Anregungen steht Ihnen der folgende re4ming Ratgeber mit hilfreichen Tipps und Tricks zum Download zur Verfügung.
GRATIS DOWNLOAD.
Security Awareness ist nicht nur E-Learning und Phishing-Test. Für weitere Anregungen laden Sie sich gerne den kostenlosen Ratgeber „Security Awareness ist nicht nur E-Learning und Phishing Test: 63 ultimative Awareness Hacks“ herunter.
LASSEN SIE UNS ZUSAMMENARBEITEN.
Haben Sie Fragen zu effektiven und kostengünstigen Awareness Kampagnen? Fordern Sie noch heute eine kostenlose Erstberatung über das Formular auf meiner Website an, senden Sie mir eine E-Mail an hallo@re4ming.com oder melden Sie sich telefonisch +49 (0) 201 458 456 82. Ich freue mich auf Ihre Nachricht.
Alternativ halte ich Sie gerne mit Themen auf meinem Blog auf dem Laufenden. Hier berichte ich über aktuelle Trends, Best Practices und meine Learnings in den Bereichen Sensibilisierung für Fachthemen, E-Learning Prozesse, Projekt Management und Change Management sowie die Entwicklung von re4ming.
Folgen Sie re4ming auf den folgenden Plattformen, um keinen Beitrag zu verpassen:
Commenti