Das sind die Psycho-Tricks der Cyberkriminellen

Illustration: Absmeier, Pexels

Wie gelangen Hacker an fremde Zugangsdaten und Passwörter? Sie fragen einfach danach. Schmeicheleien, gefährliche Neugier oder falsch verstandene Hilfsbereitschaft gerade in der Vorweihnachtszeit können die Türöffner sein. HP nennt die sechs häufigsten Psycho-Tricks der Cyberkriminellen.

Anzeige

Social-Engineering-Angriffe – die Kunst, jemanden dazu zu bringen, Dinge zu tun, die er oder sie eigentlich nicht tun sollte. Die Angreifer bedienen sich dabei tief verwurzelten Mechanismen der menschlichen Psyche, um ihr Gegenüber zu manipulieren. Sie schalten die gesunde Skepsis aus und verleiten zu folgenreichen Handlungen. Dabei sind die Psycho-Tricks verblüffend simpel.

Anzeige

  • Für Schmeicheleien ist jeder empfänglich: Die Cyberkriminellen nutzen menschliche Schwächen wie Eitelkeit und Stolz aus. Berichten Mitarbeiter in den sozialen Netzwerken über ihre Errungenschaften oder Erfolge verwenden Hacker diese Infos gerne, um durch Schmeicheleien an sensible Daten zu kommen.
  • Die ureigene Hilfsbereitschaft ausnutzen: Die meisten Menschen haben einen mehr oder weniger starken Drang, anderen Menschen zu helfen. Hacker machen sich diese edlen Motive zunutze. Dabei nutzen sie saisonale Gelegenheiten wie die Vorweihnachtszeit oder sie erfinden eine Notsituation, bei der sie auf die Hilfsbereitschaft ihrer Opfer vertrauen. So geben sich die Angreifer zum Beispiel als gestresste Kollegen aus, die unter Druck stehen und dringend Unterstützung brauchen. Besonders bei großen Firmen ist die Wahrscheinlichkeit hoch, dass sich nicht alle Mitarbeiter untereinander kennen und deswegen in Bezug auf Firmenzugehörigkeit oder Kompetenzen leicht getäuscht werden können. Spendenaufrufe in der Weihnachtszeit sind ein beliebtes Mittel der Cyberkriminellen.
  • Druck aufbauen und Angst schüren: In einer Stresssituation reagieren Menschen anders, kritisches Hinterfragen fällt oft unter den Tisch. Diese Tatsache nutzen die Angreifer aus und drohen mit schwerwiegenden Konsequenzen oder möglichen Strafen bei Nichthandeln. Ein beliebtes Beispiel sind Mahngebühren in gefälschten Rechnungs-Mails. Eine andere Methode der Phishing-Betrüger ist das Erzeugen von künstlichem Zeitdruck: Mit Sätzen wie »Handeln Sie jetzt oder ein wichtiges Projekt ist in Gefahr« geben sich die Angreifer als Vorgesetzte oder Behörde aus und nutzen so die natürliche Hierarchie in Unternehmen aus.
  • Auf Gemeinsamkeiten setzen: Indem die Cyberkriminellen vermeintliche Gemeinsamkeiten anführen, schaffen sie das notwendige Vertrauen für ihre weiteren Machenschaften. Da wird auf ein kürzlich geführtes Gespräch zu einem Thema verwiesen oder Detailinformationen angeführt, die theoretisch nur die jeweilige Person und ihr Gesprächspartner kennen können. Das Wissen darüber beziehen die Angreifer aus Lauschangriffen oder von Konten in den sozialen Medien.
  • Neugier wecken: Die menschliche Neugier ist noch immer einer der sichersten Wege, um Kapital zu schlagen. Als Aufhänger nutzen die Cyberkriminellen bevorzugt aktuelle Themen. Mit Anklicken des infizierten Dateianhangs in einer E-Mail werden den Mitarbeitern vermeintlich brisante Informationen in Aussicht gestellt oder »schockierende Bilder« zu aktuellen Ereignissen versprochen.
  • Belohnung versprochen: Spam- und Phishing-Betrüger versuchen, die menschliche Gier anzusprechen. Dazu reichen einfache Versprechen aus: Eine Belohnung oder mögliche Vorteile etwa durch Mitarbeiterrabatte werden in Aussicht gestellt. Besonders zur Weihnachtszeit, wenn Anbieter mit extrem günstigen Deals werben und viele bei der Jagd nach dem perfekten Geschenk schnell zugreifen wollen, reißt die Betrugswelle nicht ab.

 

»Gegen Lügengeschichten, Manipulation oder Schmeichelei ist niemand immun. Die Social-Engineering-Angreifer verwenden dafür Informationen, die sie aus Lauschangriffen oder dem Ausspionieren sozialer Medien gewonnen haben. Haben sie das Vertrauen ihres Gegenübers gewonnen, versuchen sie mit Hilfe Malware-infizierter E-Mail-Anhänge, kompromittierter Links oder durch die Preisgabe sensibler Daten tief ins Unternehmensnetzwerk vorzudringen«, erklärt Jochen Koehler, Sales Director Security Solutions bei HP. »Mit klassischen Sicherheitslösungen kommen Unternehmen nicht gegen diese raffinierten Methoden an. Einzige sinnvolle technische Schutzmaßnahme für diese Art von Angriffen ist neben der stetigen Sensibilisierung der Mitarbeiter die Isolation der jeweiligen Anwendung durch Micro-Virtualisierung. Mit einer Lösung wie HP Sure Click Enterprise wird jede riskante Anwenderaktivität wie das Downloaden und Öffnen eines Dokuments in einer eigenen Micro-Virtual-Machine gekapselt. Eine mögliche Schädigung durch Malware bleibt dadurch immer auf die jeweilige Micro-VM beschränkt.«

 

453 Artikel zu „Social Engineering“

Social Engineering nutzt »Schwachstelle Mensch« – Mitarbeiter für Unternehmensresilienz

Sensibilisierung durch Security-Awareness-Kampagnen fördert die Widerstandskraft beim »Faktor Mensch« im Unternehmen. Die Beeinflussung des Mitarbeiters, um dadurch beispielsweise an vertrauliche Informationen zu gelangen – diesem Prinzip folgt das Social Engineering. Cyberkriminelle nutzen dabei den Menschen als vermeintlich schwächstes Glied im Sicherheitskonstrukt eines Unternehmens aus. Zur Cybersicherheit ist es daher neben der Absicherung der Technologien und…

Anzeige

Social Engineering: Hauptrisiko »Faktor Mensch«

Die internen Netzwerke vieler Unternehmen verfügen mittlerweile über sehr sichere Schutzsysteme (etwa Firewalls, Virenschutz, Verschlüsselung) und sind selbst für erfahrene Hacker schwer zugänglich. Deshalb ist heute der Mensch Risikofaktor Nr. 1, da er oftmals leichter zu »hacken« ist als das System. So hält der ehemalige Hacker und heutige Sicherheitsexperte Kevin Mitnick, dem es über Jahre…

Social Engineering: Gefahr erkannt, Gefahr gebannt?

Social Engineering gewinnt immer mehr an Bedeutung, wenn es um das Gefährdungspotenzial für mittelständische Unternehmen geht. Das ist eines der Ergebnisse des aktuell veröffentlichten DsiN-Sicherheitsmonitors Mittelstand 2015. Um Unternehmen für die Einfallstore zu sensibilisieren, die durch gezielte Beeinflussung ihrer Mitarbeiter entstehen können, haben Datev und der Verein Deutschland sicher im Netz (DsiN) einen neuen Sicherheitsleitfaden…

Fünf Maßnahmen zum Schutz vor Social-Engineering-Attacken

Social Engineering gehört aktuell zu den zentralen Bedrohungen für die IT-Sicherheit. Die kürzliche Attacke auf Twitter hat es erneut deutlich gezeigt. Sicherheitsexperte CyberArk nennt fünf einfache Maßnahmen, die die Social-Engineering-Gefahr deutlich reduzieren. Die Hackerattacke auf Twitter, von der unter anderem Präsidentschaftskandidat Joe Biden, Ex-Präsident Barack Obama oder Amazon-Chef Jeff Bezos betroffen waren, zählt zu den…

Cyberkriminelle und ihre psychologischen Tricks: Social-Engineering-Angriffe erfolgreich bekämpfen

Social Engineering gilt heute als eine der größten Sicherheitsbedrohungen für Unternehmen. Im Gegensatz zu traditionellen Hacking-Angriffen können Social-Engineering-Angriffe auch nicht-technischer Natur sein und müssen nicht zwingend eine Kompromittierung oder das Ausnutzen von Software- oder Systemschwachstellen beinhalten. Im Erfolgsfall ermöglichen viele Social-Engineering-Angriffe einen legitimen, autorisierten Zugriff auf vertrauliche Informationen. Die Social Engineering-Strategie von Cyberkriminellen fußt auf…

Deepfakes heben Social-Engineering-Angriffe auf eine neue Gefahrenstufe

Social-Engineering-Angriffe stellen eine hohe Gefahr für die IT-Sicherheit dar, weil sie technische Abwehrmaßnahmen umgehen. Noch problematischer wird die Bedrohungslage durch KI- und ML-basierte Deepfakes, die stark im Kommen sind. Unternehmen müssen ein Bewusstsein für diese Gefahren entwickeln und Führungskräfte wie Mitarbeiter entsprechend sensibilisieren.

Social-Engineering-Angriffe zur Vorweihnachtszeit: Wenn der Chef Geschenke macht

Starker Anstieg von Geschenkgutschein-Betrug mit CEO-Identitätsdiebstahl. Zur Vorweihnachtszeit verzeichnet das Sicherheitsteam von Barracuda Networks aktuell einen starken Anstieg von Geschenkgutschein-Betrug durch Social-Engineering-Angriffe: Hierbei stehlen Cyberkriminelle gezielt die Identität von CEOs oder Führungskräften und weisen Angestellte an, digitale Geschenkgutscheine für die Belegschaft zu kaufen und ihnen zuzuschicken, oder erschleichen Kreditkarteninformationen. Bei Mitarbeitergutscheinen zwischen 50 und 100…

Menschliche Firewall ist für die Abwehr von Social-Engineering-Angriffen unerlässlich

Unternehmen unterschätzen vielfach die Gefahr von Social-Engineering-Angriffen und sind hierauf auch nur unzureichend vorbereitet – trotz aller Security-Kampagnen. Da die technischen Möglichkeiten bei den Abwehrmaßnahmen beschränkt sind, muss vor allem die »menschliche Firewall« gut funktionieren. Adäquate Security-Awareness-Trainings sind deshalb unverzichtbar. Social-Engineering-Angriffe liegen im Trend. Ein Grund dafür ist, dass Unternehmen in den letzten Jahren vielfach…

Social-Engineering-Angriffen den Kampf ansagen

Als zentrale Schwachstelle im Unternehmensnetz kristallisieren sich die Mitarbeiter heraus. Vor allem Social-Engineering-Angriffe gefährden die Unternehmenssicherheit dabei zunehmend. Die Einschätzung, dass Mitarbeiter die letzte Verteidigungslinie in Sachen Sicherheit sind, mag zwar ein Klischee sein, wahr ist sie aber trotzdem. Folglich sind Endanwender auch ein bevorzugtes Angriffsziel. Gerade das Social Engineering, das vor allem in Form…

Social-Media-Atlas 2020: Diese sozialen Medien werden am häufigsten besucht

WhatsApp ist der unangefochtene Champion unter den sozialen Medien in Deutschland – kein anderer Social-Media-Dienst hat mehr Nutzer. Aber nicht nur das: WhatsApp wird auch am häufigsten eingesetzt. 56 Prozent der Onliner ab 16 Jahren whatsappen hierzulande täglich. Und obwohl Facebooks Marktanteil nach Nutzern auf ein historisches Tief gefallen ist und deutlich hinter YouTube zurückliegt, liegt Zuckerbergs Netzwerk in der Häufigkeit…

Datenklau durch Manipulation – Social Engineers nutzen die »Schwachstelle Mensch«

Es gibt viele verschiedene Methoden, mit denen Hacker versuchen an sensible Daten von Unternehmen, staatlichen Behörden oder Privatpersonen zu gelangen. Nicht immer setzen Betrüger auf rein technische Mittel wie das Hacken von IT-Systemen, sondern manchmal auch ganz gezielt auf die Vertrauenswürdigkeit ihrer Mitmenschen – wie beispielsweise der aus dem Hollywoodfilm »Catch Me If You Can«…

Social-Media-Posts ohne Reue: 5 Tipps für Unternehmen

Achtsamer Umgang mit Informationen und Datensparsamkeit verhindern Phishing-Attacken und CEO-Fraud. Awareness 2.0 mittels Sensibilisierung und Selbstreflexion.   Wenn Mitarbeiter Bilder oder Videos von ihrem Arbeitsplatz posten, dann gefällt das nicht nur dem Freundeskreis, sondern auch Cyberkriminellen: Fotos mit sichtbaren Passwörtern, Notizen auf Whiteboards oder Produktionsanlagen im Hintergrund werden von Hackern gezielt gesucht. »Je mehr Informationen…

Führende Engineering-Anbieter wachsen trotz steigender Fluktuationsraten

Top 25 erwarten moderates Marktwachstum für 2016. Umsatz der Top 25 erhöht sich in 2015 um 6,6 Prozent. Fluktuationsquote steigt auf durchschnittlich 18,5 Prozent. Die 25 führenden Anbieter von Technologie-Beratung und Engineering Services in Deutschland konnten ihre Umsätze im Jahr 2015 trotz steigender Fluktuationsraten durchschnittlich um 6,6 Prozent steigern. Lag die Fluktuationsrate im Vorjahr noch…

Bepöbelt von Robotern – Wie Social Bots uns beeinflussen sollen

Stellen Sie sich vor, ein Politiker hält eine Rede vor großem Publikum. Sofort danach ertönen Applaus und aufmunternde Worte, aber auch Buhrufe, Widerspruch und Spott. Sie schauen sich um, wer den Krawall veranstaltet – und es sind Roboter. Was wie befremdliche Science-Fiction klingt, ist längst Realität auf Facebook, Twitter, Tumblr und vielen anderen Seiten. Software,…

Datensicherheit: Gratis-Onlinekurs hilft Social-Media-Nutzern

Mit einem zweiwöchigen Online-Workshop zum Thema »Social Media – What No One has Told You about Privacy« startet openHPI, die Online-Bildungsplattform des Hasso-Plattner-Instituts (HPI), in das neue Jahr. Vom 18. Januar an können die Teilnehmer lernen, worauf sie bei der Verwaltung ihrer Accounts achten sollten, damit persönliche Daten nicht in falsche Hände geraten. Interessenten können…

Covid-19: Soziale Isolation gefährdet die Gesundheit

Die Corona-Pandemie beeinflusst das Leben der Menschen in Deutschland und weltweit. Das soziale Leben ist stark eingeschränkt. Gastronomie, Kultur, Sport – nahezu alle Bereiche des Lebens sind von der deutlichen Reduzierung sozialer Kontakte betroffen, die nachweislich die soziale Gesundheit beeinflussen. Deshalb erscheint es umso wichtiger, dass in Zeiten von zunehmender Heimarbeit soziale Beziehungen nicht nur…

Office 365 im Visier von Cyberkriminellen

Eine neue Studie beleuchtet den Missbrauch von Office 365 bei Cyberangriffen auf Unternehmen. Vectra AI, spezialisiert auf NDR-Lösungen (Network Detection and Response) zur Erkennung und Reaktion auf Bedrohungen im Netzwerk, hat kürzlich seinen 2020 Spotlight Report on Microsoft Office 365 veröffentlicht. Die Studie zeigt auf, wie Cyberkriminelle bei ihren Angriffen integrierte Office-365-Dienste nutzen, um sich…

Gewappnet gegen Cyberattacken und Datenverlust: Best Practices für eine effektive Cyber-Resilienz

Ziel einer effektiven Cyber-Resilienz-Strategie ist es, dass bei einem Cyberangriff oder Datenverlust der Geschäftsbetrieb eines Unternehmens gesichert bleibt. Das Konzept bezieht dabei die Security, IT-Infrastruktur, Geschäftsprozesse und Geschäftskontinuität mit ein. Cyber-Resilienz ist daher eine präventive Maßnahme, um den Auswirkungen von Malware, Insider-Bedrohungen, menschlichem Versagen sowie Software- und Hardware-Fehlern umfassend entgegenzuwirken. Wie Cyber-Resilienz funktioniert: Die vier…

Micro-Virtual-Machine: Die Cybersicherheit neu überdenken 

Mit Blick auf die aktuelle Situation hat das vielbekannte Kredo »Hoffe das Beste, plane für das Schlimmste« Hochkonjunktur. Nach dem ersten Krisenmanagement zu Beginn der Pandemie ist jetzt neben Business Continuity gerade in der aktuellen Phase eine besonders gute Abwehr gegen Cyberattacken gefragt. HP nennt drei grundlegende Schritte. Cybersicherheit ist ein ständiger Spagat zwischen proaktiven…