Illustration Absmeier foto freepik

Hacker brechen nicht in Unternehmen ein, sie loggen sich ein: Obwohl vielfach die Vorstellung herrscht, dass Cyberkriminelle ausgefeilte Techniken anwenden, um bestimmte Schutzmechanismen auszuhebeln und so die Verteidigungslinien ihrer Opfer zu durchbrechen, sieht die Realität häufig anders aus. Die Angreifer sammeln Informationen und verschaffen sich Zugang zu Login-Daten, mit denen sie dann ganz einfach in das Unternehmensnetzwerk vordringen können. Diese Daten werden entweder im Darknet erworben oder aber über klassisches »Social Engineering« erbeutet.

Social Engineering umfasst zahlreiche Strategien, deren Ziel es ist, Menschen so zu manipulieren, dass sie Zugriffe erlauben, Daten preisgeben, Informationen teilen oder Geld transferieren. Die Angreifer nutzen dabei das Vertrauen, die Unbedarftheit und Hilfsbereitschaft ihrer Opfer aus – und teilweise auch den Respekt und das Pflichtbewusstsein gegenüber Autoritäten.

Obwohl es viele Spielarten des Social Engineering (etwa Phishing und Smishing, Pretexting und BEC sowie EAC) gibt – online und offline – folgen Attacken immer demselben vierteiligen Prozess. Diesen zu verstehen, ist hilfreich, um sich vor dem hinterhältigen Vorgehen der Angreifer zu schützen:

1. Informationen sammeln: In dieser ersten Phase recherchiert der Bedrohungsakteur das Ziel, um herauszufinden, welche Schwachstelle für den Angriff am besten geeignet ist. Dazu nutzt er entweder Informationen, die er bei früheren Eindringversuchen gesammelt hat oder setzt auf sogenannte Open Source Intelligence (OSINT). Öffentliche Unternehmenskommunikation wie Pressemitteilungen und Blogs oder berufliche Networking-Websites wie Linkedin machen es den Betrügern dabei sehr leicht, umfassende Informationen zu sammeln – z.B. zu Umsatzzahlen (ist das Unternehmen ein zahlungskräftiges Opfer?) oder Personen, die ein attraktives Ziel darstellen (weil sie aufgrund ihrer Position über bestimmte Rechte und Informationen verfügen, etwa im Management oder in der Finanzabteilung).
2. Beziehung aufbauen: Dies ist der Zeitpunkt, an dem der Bedrohungsakteur die Grundlage für den Angriff legt. Dies kann bedeuten, dass er oder sie eine bestimmte Abteilung mit einer Phishing-Nachricht (z.B. per E-Mail, Sprachnachricht oder SMS) kontaktiert oder sich als eine bestimmte vertrauenswürdige Person ausgibt, etwa als Assistent des Geschäftsführers oder Mitarbeitender der Finanzabteilung – je nachdem, was als erfolgsversprechend erachtet wird. Generative künstliche Intelligenz ist dabei ein enorm hilfreiches Tool, das es den Angreifern ermöglicht, automatisiert und im großen Stil hochpersonalisierte Nachrichten zu generieren, die zum Beispiel den Interessen der potenziellen Opfer entsprechen und als sprachlich authentisch wahrgenommen werden. Das schafft zusätzlich Vertrauen.
3. Ausbeutung: Dies ist der eigentliche Angriff. Dabei setzen die Kriminellen beispielsweise auf eine E-Mail, die angeblich von einer Autoritätsperson stammt, um zusätzlichen Druck aufzubauen. Durch den Verweis auf eine echte Kundenbeziehung (die Info könnte zum Beispiel einer Pressemitteilung oder einem Linkedin-Post entnommen sein) erscheint sie zudem glaubwürdiger. Eine Nachricht könnte dann so lauten: »Hallo Frau Müller, es ist dringend: Leider ist bei der Abrechnung unseres Kunden Schraubenkrause etwas schief gegangen. Es wurde zu viel überwiesen. Das müssen wir schnellstmöglich korrigieren, um diesen guten Kunden nicht zu verlieren. Bitte überweisen sie die Korrektur von 10.000 Euro umgehend an folgendes Konto. MfG Thomas Schmidt, Geschäftsführer«. Natürlich ginge diese Überweisung jedoch an das Konto der Kriminellen.
4. Ausführung: Wenn Frau Müller nun davon überzeugt ist, dass die Nachricht von ihrem Chef Herrn Schmidt kam und die Überweisung vornimmt, haben die Betrüger ihr Ziel erreicht.

Neben Überweisungen können auch die Herausgabe von Zugangsdaten zum Unternehmensnetzwerk – oder im »Real Life« der Zugang zu physischen Büros oder Produktionsstätten – Ziel von Social-Engineering-Angriffen sein. Um zu verhindern, dass Social-Engineering-Versuche erfolgreich sind, sind regelmäßige Schulungen erforderlich – und das nicht nur einmal im Jahr, damit Mitarbeitende die teilweise subtilen Anzeichen erkennen und ermutigt werden, auf ihr Bauchgefühl zu hören, wenn der Eindruck entsteht, dass etwas nicht stimmt.

Ein gutes Security-Awareness-Training

• Beinhaltet aktuelle Schulungsinhalte, die für die Branche des Unternehmens relevant sind
• Nutzt eine Sprache, die die User als Schlüsselelement der Cybersicherheitsstrategie des Unternehmens und nicht als »schwaches Glied« betrachtet
• Verwendet Phishing-Simulationen, um Lernfortschritte zu testen
• Setzt auf Microlearning für besseres Verstehen und langfristiges Lernen
• Beinhaltet Schulungen, die eine unternehmensweite Sicherheitskultur schaffen, indem die Lerninhalte gut und spannend aufbereitet sind – Stichwort: Gamification und ähnliches
• Kann von spezialisierten Anbietern als Managed Service in Anspruch genommen werden

Im Idealfall geht das Führungsteam mit gutem Beispiel voran, indem es die Cybersicherheit ernst nimmt, Best Practices vorlebt und die Art von zeitkritischen Taktiken mit hohem Druck, die Betrüger anwenden, vermeidet.

Weitere Erkenntnisse zur aktuellen Cybersecurity-Lage und Informationen, wie Sie sich vor Social Engineering und anderen Bedrohungen schützen können, finden Sie im aktuellen Arctic Wolf Labs Threat Report unter arcticwolf.com.

Arctic Wolf Labs Learnings

Smishing

Smishing ist eine Form von Phishing, die SMS-Nachrichten verwendet, um Opfer zu täuschen und persönliche und finanzielle Informationen zu stehlen. Der Begriff »Smishing« ist eine Kombination aus SMS und Phishing und gehört zur Kategorie der Social Engineering-Angriffe.

Die Cyberkriminellen, die Smishing nutzen, haben es hauptsächlich darauf abgesehen, Ihre persönlichen Daten zu stehlen, die sie dann für andere Betrugsmaschen verwenden. Sie nutzen eine der folgenden beiden Methoden, um solche Daten zu entwenden:

1. Malware: Über den URL-Link in einer Textnachricht sollen Sie verleitet werden, eine Schadsoftware oder Malware herunterzuladen, die sich anschließend auf Ihrem Telefon installiert.
2. Schädliche Webseite: Der Link in der Smishing-Nachricht kann auch zu einer gefälschten Webseite führen, auf der Sie sensible persönliche Informationen eingeben sollen.

Um sich vor Smishing zu schützen, sollten Sie niemals auf Links in SMS-Nachrichten klicken und keine Informationen eingeben. Verwenden Sie immer die Zwei-Faktor-Authentifizierung (2FA), wenn Sie die Möglichkeit dazu haben. Achten Sie auch auf zufällige URLs oder URL-Adressen mit HTTP- statt HTTPS-Präfixen, die darauf hinweisen, dass die Website nicht verschlüsselt ist.

Pretexting

Pretexting ist eine Art von Social-Engineering-Trickbetrug, bei dem die Betrüger plausible Geschichten – sprich: Vorwände (engl. »pretexts«) – fabrizieren, um ihre Opfer dazu zu bringen, persönliche Daten preiszugeben oder ihnen Zugriff auf ihr Konto zu gewähren. Die Betrüger erfinden einen detaillierten oder konkreten Vorwand – den »Pretext« –, um das Opfer dazu zu bringen, der Geschichte des Betrügers Glauben zu schenken und sensible Daten wie Kontopasswörter, Sozialversicherungsnummern und sogar Kreditkartendaten aus der Hand zu geben.

Im Gegensatz zu anderen Cyberbedrohungen beruhen Pretexting-Angriffe nicht auf Computer-Hacking oder anderen technischen Methoden der Systeminfiltration. Vielmehr nutzen Pretexting-Scammer das Vertrauen ihrer Opfer aus und bringen sie dazu, freiwillig private Informationen preiszugeben und so ihre eigene Sicherheit zu gefährden.

Um sich vor Pretexting zu schützen, können Unternehmen verschiedene Arten von Sicherheitssoftware nutzen, wie zum Beispiel Firewalls, die dazu dienen, unerwünschte Verbindungen zu blockieren und den Zugriff auf das Unternehmensnetzwerk zu beschränken. Es ist auch wichtig, sich der verschiedenen Pretexting-Techniken bewusst zu sein und stets vorsichtig zu sein, wenn man um persönliche Informationen oder Zugriff auf Konten gebeten wird.

BEC

Business E-Mail Compromise (BEC) ist eine Form von Cyberangriff, bei dem Betrüger sich als vertrauenswürdige Personen ausgeben, um sensible Informationen zu stehlen oder finanzielle Transaktionen zu manipulieren. Die Betrüger verwenden häufig gefälschte E-Mail-Adressen (»Spoofing«), um sich als Geschäftspartner, Führungskraft oder Mitarbeiter auszugeben. Diese Art von Angriff wird auch als CEO-Fraud oder CEO-Betrug bezeichnet.

Um sich vor BEC-Angriffen zu schützen, können Sie folgende Maßnahmen ergreifen:

1. Schulung der Mitarbeiter: Trainieren Sie Ihre Mitarbeiter, um gefälschte E-Mails zu erkennen.
2. Achten Sie auf Veränderungen: Seien Sie vorsichtig bei unerwarteten Änderungen, wie zum Beispiel einer neuen E-Mail-Domäne oder einem ungewöhnlichen Schreibstil.
3. Misstrauen Sie ungewöhnlichen Anfragen: Seien Sie skeptisch gegenüber Anfragen, die vom üblichen Protokoll abweichen.
4. Technische Maßnahmen: Implementieren Sie geeignete Sicherheitsmaßnahmen, wie Firewalls, um unerwünschte Verbindungen zu blockieren und den Zugriff auf das Unternehmensnetzwerk zu beschränken.

Es ist wichtig zu beachten, dass technische Maßnahmen allein nicht ausreichen, um sich vor BEC zu schützen. Eine proaktive Herangehensweise, einschließlich der Aufklärung der Mitarbeiter, ist entscheidend, um das Risiko von BEC-Betrug zu minimieren.

EAC

E-Mail-Account-Compromise (EAC) ist ein hochentwickelter Angriff, bei dem Taktiken wie Passwortspray, Phishing oder Malware eingesetzt werden, um die E-Mail-Konten der Opfer zu kompromittieren und Zugang zu legitimen Postfächern zu erhalten. Der Zweck von EAC ist meistens E-Mail-Betrug: mithilfe des kompromittierten Kontos und Social Engineering täuscht oder bedroht der Angreifer das Opfer, damit er/sie eine finanzielle Zahlung leistet.

Um sich vor EAC-Angriffen zu schützen, können Sie folgende Maßnahmen ergreifen:

1. Bewusstsein schaffen: Das Bewusstsein für diese Art von Betrug zu schaffen ist der erste Schritt, um sich vor EAC-Angriffen zu schützen. Mitarbeiter sollten darauf geschult werden, wie sie Phishing-E-Mails erkennen und wie sie sich verhalten sollen, wenn sie verdächtige E-Mails erhalten.
2. Zwei-Faktor-Authentifizierung: Eine Zwei-Faktor-Authentifizierung ist ein wirksamer Schutz gegen EAC-Angriffe. Dadurch wird die Anmeldung in ein Konto erschwert, da zusätzlich zu dem Passwort noch ein zweiter Faktor (z.B. ein Code auf das Smartphone) erforderlich ist.
3. Überprüfen von Zahlungsanweisungen: Jede Zahlungsanweisung sollte sorgfältig überprüft werden, um sicherzustellen, dass sie von einer vertrauenswürdigen Quelle stammt.

Genki Absmeier