Hacker brechen nicht in Unternehmen ein, sie loggen sich ein: Obwohl vielfach die Vorstellung herrscht, dass Cyberkriminelle ausgefeilte Techniken anwenden, um bestimmte Schutzmechanismen auszuhebeln und so die Verteidigungslinien ihrer Opfer zu durchbrechen, sieht die Realität häufig anders aus. Die Angreifer sammeln Informationen und verschaffen sich Zugang zu Login-Daten, mit denen sie dann ganz einfach in das Unternehmensnetzwerk vordringen können. Diese Daten werden entweder im Darknet erworben oder aber über klassisches »Social Engineering« erbeutet.
Social Engineering umfasst zahlreiche Strategien, deren Ziel es ist, Menschen so zu manipulieren, dass sie Zugriffe erlauben, Daten preisgeben, Informationen teilen oder Geld transferieren. Die Angreifer nutzen dabei das Vertrauen, die Unbedarftheit und Hilfsbereitschaft ihrer Opfer aus – und teilweise auch den Respekt und das Pflichtbewusstsein gegenüber Autoritäten.
Obwohl es viele Spielarten des Social Engineering (etwa Phishing und Smishing, Pretexting und BEC sowie EAC) gibt – online und offline – folgen Attacken immer demselben vierteiligen Prozess. Diesen zu verstehen, ist hilfreich, um sich vor dem hinterhältigen Vorgehen der Angreifer zu schützen:
- Informationen sammeln: In dieser ersten Phase recherchiert der Bedrohungsakteur das Ziel, um herauszufinden, welche Schwachstelle für den Angriff am besten geeignet ist. Dazu nutzt er entweder Informationen, die er bei früheren Eindringversuchen gesammelt hat oder setzt auf sogenannte Open Source Intelligence (OSINT). Öffentliche Unternehmenskommunikation wie Pressemitteilungen und Blogs oder berufliche Networking-Websites wie Linkedin machen es den Betrügern dabei sehr leicht, umfassende Informationen zu sammeln – z.B. zu Umsatzzahlen (ist das Unternehmen ein zahlungskräftiges Opfer?) oder Personen, die ein attraktives Ziel darstellen (weil sie aufgrund ihrer Position über bestimmte Rechte und Informationen verfügen, etwa im Management oder in der Finanzabteilung).
- Beziehung aufbauen: Dies ist der Zeitpunkt, an dem der Bedrohungsakteur die Grundlage für den Angriff legt. Dies kann bedeuten, dass er oder sie eine bestimmte Abteilung mit einer Phishing-Nachricht (z.B. per E-Mail, Sprachnachricht oder SMS) kontaktiert oder sich als eine bestimmte vertrauenswürdige Person ausgibt, etwa als Assistent des Geschäftsführers oder Mitarbeitender der Finanzabteilung – je nachdem, was als erfolgsversprechend erachtet wird. Generative künstliche Intelligenz ist dabei ein enorm hilfreiches Tool, das es den Angreifern ermöglicht, automatisiert und im großen Stil hochpersonalisierte Nachrichten zu generieren, die zum Beispiel den Interessen der potenziellen Opfer entsprechen und als sprachlich authentisch wahrgenommen werden. Das schafft zusätzlich Vertrauen.
- Ausbeutung: Dies ist der eigentliche Angriff. Dabei setzen die Kriminellen beispielsweise auf eine E-Mail, die angeblich von einer Autoritätsperson stammt, um zusätzlichen Druck aufzubauen. Durch den Verweis auf eine echte Kundenbeziehung (die Info könnte zum Beispiel einer Pressemitteilung oder einem Linkedin-Post entnommen sein) erscheint sie zudem glaubwürdiger. Eine Nachricht könnte dann so lauten: »Hallo Frau Müller, es ist dringend: Leider ist bei der Abrechnung unseres Kunden Schraubenkrause etwas schief gegangen. Es wurde zu viel überwiesen. Das müssen wir schnellstmöglich korrigieren, um diesen guten Kunden nicht zu verlieren. Bitte überweisen sie die Korrektur von 10.000 Euro umgehend an folgendes Konto. MfG Thomas Schmidt, Geschäftsführer«. Natürlich ginge diese Überweisung jedoch an das Konto der Kriminellen.
- Ausführung: Wenn Frau Müller nun davon überzeugt ist, dass die Nachricht von ihrem Chef Herrn Schmidt kam und die Überweisung vornimmt, haben die Betrüger ihr Ziel erreicht.
Neben Überweisungen können auch die Herausgabe von Zugangsdaten zum Unternehmensnetzwerk – oder im »Real Life« der Zugang zu physischen Büros oder Produktionsstätten – Ziel von Social-Engineering-Angriffen sein. Um zu verhindern, dass Social-Engineering-Versuche erfolgreich sind, sind regelmäßige Schulungen erforderlich – und das nicht nur einmal im Jahr, damit Mitarbeitende die teilweise subtilen Anzeichen erkennen und ermutigt werden, auf ihr Bauchgefühl zu hören, wenn der Eindruck entsteht, dass etwas nicht stimmt.
Ein gutes Security-Awareness-Training
- Beinhaltet aktuelle Schulungsinhalte, die für die Branche des Unternehmens relevant sind
- Nutzt eine Sprache, die die User als Schlüsselelement der Cybersicherheitsstrategie des Unternehmens und nicht als »schwaches Glied« betrachtet
- Verwendet Phishing-Simulationen, um Lernfortschritte zu testen
- Setzt auf Microlearning für besseres Verstehen und langfristiges Lernen
- Beinhaltet Schulungen, die eine unternehmensweite Sicherheitskultur schaffen, indem die Lerninhalte gut und spannend aufbereitet sind – Stichwort: Gamification und ähnliches
- Kann von spezialisierten Anbietern als Managed Service in Anspruch genommen werden
Im Idealfall geht das Führungsteam mit gutem Beispiel voran, indem es die Cybersicherheit ernst nimmt, Best Practices vorlebt und die Art von zeitkritischen Taktiken mit hohem Druck, die Betrüger anwenden, vermeidet.
Weitere Erkenntnisse zur aktuellen Cybersecurity-Lage und Informationen, wie Sie sich vor Social Engineering und anderen Bedrohungen schützen können, finden Sie im aktuellen Arctic Wolf Labs Threat Report unter arcticwolf.com.
Arctic Wolf Labs Learnings
Smishing
Smishing ist eine Form von Phishing, die SMS-Nachrichten verwendet, um Opfer zu täuschen und persönliche und finanzielle Informationen zu stehlen. Der Begriff »Smishing« ist eine Kombination aus SMS und Phishing und gehört zur Kategorie der Social Engineering-Angriffe.
Die Cyberkriminellen, die Smishing nutzen, haben es hauptsächlich darauf abgesehen, Ihre persönlichen Daten zu stehlen, die sie dann für andere Betrugsmaschen verwenden. Sie nutzen eine der folgenden beiden Methoden, um solche Daten zu entwenden:
- Malware: Über den URL-Link in einer Textnachricht sollen Sie verleitet werden, eine Schadsoftware oder Malware herunterzuladen, die sich anschließend auf Ihrem Telefon installiert.
- Schädliche Webseite: Der Link in der Smishing-Nachricht kann auch zu einer gefälschten Webseite führen, auf der Sie sensible persönliche Informationen eingeben sollen.
Um sich vor Smishing zu schützen, sollten Sie niemals auf Links in SMS-Nachrichten klicken und keine Informationen eingeben. Verwenden Sie immer die Zwei-Faktor-Authentifizierung (2FA), wenn Sie die Möglichkeit dazu haben. Achten Sie auch auf zufällige URLs oder URL-Adressen mit HTTP- statt HTTPS-Präfixen, die darauf hinweisen, dass die Website nicht verschlüsselt ist.
Pretexting
Pretexting ist eine Art von Social-Engineering-Trickbetrug, bei dem die Betrüger plausible Geschichten – sprich: Vorwände (engl. »pretexts«) – fabrizieren, um ihre Opfer dazu zu bringen, persönliche Daten preiszugeben oder ihnen Zugriff auf ihr Konto zu gewähren. Die Betrüger erfinden einen detaillierten oder konkreten Vorwand – den »Pretext« –, um das Opfer dazu zu bringen, der Geschichte des Betrügers Glauben zu schenken und sensible Daten wie Kontopasswörter, Sozialversicherungsnummern und sogar Kreditkartendaten aus der Hand zu geben.
Im Gegensatz zu anderen Cyberbedrohungen beruhen Pretexting-Angriffe nicht auf Computer-Hacking oder anderen technischen Methoden der Systeminfiltration. Vielmehr nutzen Pretexting-Scammer das Vertrauen ihrer Opfer aus und bringen sie dazu, freiwillig private Informationen preiszugeben und so ihre eigene Sicherheit zu gefährden.
Um sich vor Pretexting zu schützen, können Unternehmen verschiedene Arten von Sicherheitssoftware nutzen, wie zum Beispiel Firewalls, die dazu dienen, unerwünschte Verbindungen zu blockieren und den Zugriff auf das Unternehmensnetzwerk zu beschränken. Es ist auch wichtig, sich der verschiedenen Pretexting-Techniken bewusst zu sein und stets vorsichtig zu sein, wenn man um persönliche Informationen oder Zugriff auf Konten gebeten wird.
BEC
Business E-Mail Compromise (BEC) ist eine Form von Cyberangriff, bei dem Betrüger sich als vertrauenswürdige Personen ausgeben, um sensible Informationen zu stehlen oder finanzielle Transaktionen zu manipulieren. Die Betrüger verwenden häufig gefälschte E-Mail-Adressen (»Spoofing«), um sich als Geschäftspartner, Führungskraft oder Mitarbeiter auszugeben. Diese Art von Angriff wird auch als CEO-Fraud oder CEO-Betrug bezeichnet.
Um sich vor BEC-Angriffen zu schützen, können Sie folgende Maßnahmen ergreifen:
- Schulung der Mitarbeiter: Trainieren Sie Ihre Mitarbeiter, um gefälschte E-Mails zu erkennen.
- Achten Sie auf Veränderungen: Seien Sie vorsichtig bei unerwarteten Änderungen, wie zum Beispiel einer neuen E-Mail-Domäne oder einem ungewöhnlichen Schreibstil.
- Misstrauen Sie ungewöhnlichen Anfragen: Seien Sie skeptisch gegenüber Anfragen, die vom üblichen Protokoll abweichen.
- Technische Maßnahmen: Implementieren Sie geeignete Sicherheitsmaßnahmen, wie Firewalls, um unerwünschte Verbindungen zu blockieren und den Zugriff auf das Unternehmensnetzwerk zu beschränken.
Es ist wichtig zu beachten, dass technische Maßnahmen allein nicht ausreichen, um sich vor BEC zu schützen. Eine proaktive Herangehensweise, einschließlich der Aufklärung der Mitarbeiter, ist entscheidend, um das Risiko von BEC-Betrug zu minimieren.
EAC
E-Mail-Account-Compromise (EAC) ist ein hochentwickelter Angriff, bei dem Taktiken wie Passwortspray, Phishing oder Malware eingesetzt werden, um die E-Mail-Konten der Opfer zu kompromittieren und Zugang zu legitimen Postfächern zu erhalten. Der Zweck von EAC ist meistens E-Mail-Betrug: mithilfe des kompromittierten Kontos und Social Engineering täuscht oder bedroht der Angreifer das Opfer, damit er/sie eine finanzielle Zahlung leistet.
Um sich vor EAC-Angriffen zu schützen, können Sie folgende Maßnahmen ergreifen:
- Bewusstsein schaffen: Das Bewusstsein für diese Art von Betrug zu schaffen ist der erste Schritt, um sich vor EAC-Angriffen zu schützen. Mitarbeiter sollten darauf geschult werden, wie sie Phishing-E-Mails erkennen und wie sie sich verhalten sollen, wenn sie verdächtige E-Mails erhalten.
- Zwei-Faktor-Authentifizierung: Eine Zwei-Faktor-Authentifizierung ist ein wirksamer Schutz gegen EAC-Angriffe. Dadurch wird die Anmeldung in ein Konto erschwert, da zusätzlich zu dem Passwort noch ein zweiter Faktor (z.B. ein Code auf das Smartphone) erforderlich ist.
- Überprüfen von Zahlungsanweisungen: Jede Zahlungsanweisung sollte sorgfältig überprüft werden, um sicherzustellen, dass sie von einer vertrauenswürdigen Quelle stammt.
Genki Absmeier
697 Artikel zu „Social Engineering“
NEWS | IT-SECURITY | TIPPS
Dreifach sicher: So bereiten Unternehmen ihre Mitarbeiter auf Social Engineering vor
Social Engineering umfasst verschiedene cyberkriminelle Methoden, mit denen Angreifer die Neugier, Unsicherheit und Hilfsbereitschaft ihrer Opfer ausnutzen, um sich Zugang zu Unternehmensnetzwerken und sensiblen Daten zu verschaffen. Roland Latzel, Sr. Director Marketing EMEA Central, OpenText Security Solutions, klärt über die Gefahren des Social Engineerings auf und zeigt, wie Unternehmen das Risiko minimieren können. Das…
NEWS | IT-SECURITY | SERVICES
Social Engineering nutzt »Schwachstelle Mensch« – Mitarbeiter für Unternehmensresilienz
Sensibilisierung durch Security-Awareness-Kampagnen fördert die Widerstandskraft beim »Faktor Mensch« im Unternehmen. Die Beeinflussung des Mitarbeiters, um dadurch beispielsweise an vertrauliche Informationen zu gelangen – diesem Prinzip folgt das Social Engineering. Cyberkriminelle nutzen dabei den Menschen als vermeintlich schwächstes Glied im Sicherheitskonstrukt eines Unternehmens aus. Zur Cybersicherheit ist es daher neben der Absicherung der Technologien und…
NEWS | IT-SECURITY | KOMMUNIKATION | SERVICES | TIPPS | AUSGABE 11-12-2016
E-Mail-Sicherheit: Social Engineering auf C-Level-Niveau – Menschen als das schwächste Glied in der Sicherheitskette
NEWS | IT-SECURITY | AUSGABE 3-4-2022 | SECURITY SPEZIAL 3-4-2022
Social-Engineering im Finanzsektor: Der menschliche Faktor, das schwächste Glied in der Sicherheitskette
NEWS | IT-SECURITY | AUSGABE 3-4-2021 | SECURITY SPEZIAL 3-4-2021
Social-Engineering-Attacken gefährden zunehmend die betriebliche Substanz – Besser gut vorbereitet
Social Engineering ist mittlerweile zu einer realen Bedrohung für die Sicherheit in Unternehmen geworden. Angriffspunkte solcher Attacken sind die Mitarbeiter mit ihren menschlichen Schwächen. »manage it« hat Dominik Foert, Cyber Security-Spezialist bei Materna, befragt, welche Attacken dies sind, wie Angreifer die Schwächen der Mitarbeiter für ihre Zwecke ausnutzen und wie Unternehmen vorausschauend Social-Engineering-Attacken vorbeugen können. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft Angriffe auf die Identität der Nutzer, Social-Engineering-Attacken, als hochgefährlich ein, wie aus dem aktuellen Lagebericht des BSI hervorgeht.
NEWS | IT-SECURITY | TIPPS
Fünf Maßnahmen zum Schutz vor Social-Engineering-Attacken
Social Engineering gehört aktuell zu den zentralen Bedrohungen für die IT-Sicherheit. Die kürzliche Attacke auf Twitter hat es erneut deutlich gezeigt. Sicherheitsexperte CyberArk nennt fünf einfache Maßnahmen, die die Social-Engineering-Gefahr deutlich reduzieren. Die Hackerattacke auf Twitter, von der unter anderem Präsidentschaftskandidat Joe Biden, Ex-Präsident Barack Obama oder Amazon-Chef Jeff Bezos betroffen waren, zählt zu den…
NEWS | FAVORITEN DER REDAKTION | INFOGRAFIKEN | IT-SECURITY | TIPPS
Cyberkriminelle und ihre psychologischen Tricks: Social-Engineering-Angriffe erfolgreich bekämpfen
Social Engineering gilt heute als eine der größten Sicherheitsbedrohungen für Unternehmen. Im Gegensatz zu traditionellen Hacking-Angriffen können Social-Engineering-Angriffe auch nicht-technischer Natur sein und müssen nicht zwingend eine Kompromittierung oder das Ausnutzen von Software- oder Systemschwachstellen beinhalten. Im Erfolgsfall ermöglichen viele Social-Engineering-Angriffe einen legitimen, autorisierten Zugriff auf vertrauliche Informationen. Die Social Engineering-Strategie von Cyberkriminellen fußt auf…
NEWS | IT-SECURITY | KÜNSTLICHE INTELLIGENZ | AUSGABE 1-2-2019 | SECURITY SPEZIAL 1-2-2019
Deepfakes heben Social-Engineering-Angriffe auf eine neue Gefahrenstufe
Social-Engineering-Angriffe stellen eine hohe Gefahr für die IT-Sicherheit dar, weil sie technische Abwehrmaßnahmen umgehen. Noch problematischer wird die Bedrohungslage durch KI- und ML-basierte Deepfakes, die stark im Kommen sind. Unternehmen müssen ein Bewusstsein für diese Gefahren entwickeln und Führungskräfte wie Mitarbeiter entsprechend sensibilisieren.
NEWS | BUSINESS | IT-SECURITY | KOMMUNIKATION | KÜNSTLICHE INTELLIGENZ | TIPPS
Social-Engineering-Angriffe zur Vorweihnachtszeit: Wenn der Chef Geschenke macht
Starker Anstieg von Geschenkgutschein-Betrug mit CEO-Identitätsdiebstahl. Zur Vorweihnachtszeit verzeichnet das Sicherheitsteam von Barracuda Networks aktuell einen starken Anstieg von Geschenkgutschein-Betrug durch Social-Engineering-Angriffe: Hierbei stehlen Cyberkriminelle gezielt die Identität von CEOs oder Führungskräften und weisen Angestellte an, digitale Geschenkgutscheine für die Belegschaft zu kaufen und ihnen zuzuschicken, oder erschleichen Kreditkarteninformationen. Bei Mitarbeitergutscheinen zwischen 50 und 100…
NEWS | DIGITALISIERUNG | GESCHÄFTSPROZESSE | IT-SECURITY | SERVICES | STRATEGIEN | TIPPS
Menschliche Firewall ist für die Abwehr von Social-Engineering-Angriffen unerlässlich
Unternehmen unterschätzen vielfach die Gefahr von Social-Engineering-Angriffen und sind hierauf auch nur unzureichend vorbereitet – trotz aller Security-Kampagnen. Da die technischen Möglichkeiten bei den Abwehrmaßnahmen beschränkt sind, muss vor allem die »menschliche Firewall« gut funktionieren. Adäquate Security-Awareness-Trainings sind deshalb unverzichtbar. Social-Engineering-Angriffe liegen im Trend. Ein Grund dafür ist, dass Unternehmen in den letzten Jahren vielfach…
NEWS | BUSINESS PROCESS MANAGEMENT | GESCHÄFTSPROZESSE | IT-SECURITY | KOMMUNIKATION | ONLINE-ARTIKEL | TIPPS
Social-Engineering-Angriffen den Kampf ansagen
Als zentrale Schwachstelle im Unternehmensnetz kristallisieren sich die Mitarbeiter heraus. Vor allem Social-Engineering-Angriffe gefährden die Unternehmenssicherheit dabei zunehmend. Die Einschätzung, dass Mitarbeiter die letzte Verteidigungslinie in Sachen Sicherheit sind, mag zwar ein Klischee sein, wahr ist sie aber trotzdem. Folglich sind Endanwender auch ein bevorzugtes Angriffsziel. Gerade das Social Engineering, das vor allem in Form…
NEWS | BUSINESS | STRATEGIEN | AUSGABE 9-10-2021
Environment, Social, Governance –
ESG-Vorhaben vorantreiben
Die ESG-Themen spielen für deutsche Unternehmen traditionell eine große Rolle und grüne Technologien werden in Zukunft stark an Relevanz gewinnen. Wir sprachen mit Dr. Rolf Werner, Geschäftsführer von Cognizant Technology Solutions in Deutschland, dessen Ziel es ist, ESG-Themen in jeden Teil des geschäftlichen Entscheidungsprozesses einzubinden, dadurch mit gutem Beispiel voranzugehen sowie den Kunden zu helfen den Wandlungsprozess hin zu einem nachhaltig agierenden Unternehmen zu beschreiten.
NEWS | INFRASTRUKTUR | KOMMUNIKATION | TIPPS
Sieben essenzielle Skills für modernes Network Engineering
Wenn es um das Management von Unternehmensnetzwerken geht, rückt NetOps immer mehr in den Fokus. Entsprechend verändern und vergrößern sich auch die Anforderungen an Network Engineers. Opengear, Anbieter von Lösungen für einen sicheren, resilienten Netzwerkzugang, hat sieben Skills ausgemacht, auf die Netzwerkexperten in Zukunft nicht verzichten können. Die Zeiten von Wissenssilos sind spätestens seit dem…
TRENDS 2021 | NEWS | TRENDS KOMMUNIKATION | KOMMUNIKATION
Social Media 2021 – Trends, Tipps und Expertenprognosen
2020 hat wirklich alles auf den Kopf gestellt. Dieses Jahr hat uns allen vor Augen geführt, dass die schönsten Pläne und Prognosen durch Krisen kurzer Hand durchkreuzt werden können. Gerade jetzt ist es wichtig zu wissen, welche Themen in den Social Media interessieren. Denn nur was relevant, nützlich und hilfreich für die Communities ist, findet…
NEWS | TRENDS KOMMUNIKATION | TRENDS 2020 | KOMMUNIKATION
Social-Media-Atlas 2020: Diese sozialen Medien werden am häufigsten besucht
WhatsApp ist der unangefochtene Champion unter den sozialen Medien in Deutschland – kein anderer Social-Media-Dienst hat mehr Nutzer. Aber nicht nur das: WhatsApp wird auch am häufigsten eingesetzt. 56 Prozent der Onliner ab 16 Jahren whatsappen hierzulande täglich. Und obwohl Facebooks Marktanteil nach Nutzern auf ein historisches Tief gefallen ist und deutlich hinter YouTube zurückliegt, liegt Zuckerbergs Netzwerk in der Häufigkeit…
NEWS | IT-SECURITY | TIPPS
Datenklau durch Manipulation – Social Engineers nutzen die »Schwachstelle Mensch«
Es gibt viele verschiedene Methoden, mit denen Hacker versuchen an sensible Daten von Unternehmen, staatlichen Behörden oder Privatpersonen zu gelangen. Nicht immer setzen Betrüger auf rein technische Mittel wie das Hacken von IT-Systemen, sondern manchmal auch ganz gezielt auf die Vertrauenswürdigkeit ihrer Mitmenschen – wie beispielsweise der aus dem Hollywoodfilm »Catch Me If You Can«…
NEWS | KOMMUNIKATION | TIPPS
Social-Media-Posts ohne Reue: 5 Tipps für Unternehmen
Achtsamer Umgang mit Informationen und Datensparsamkeit verhindern Phishing-Attacken und CEO-Fraud. Awareness 2.0 mittels Sensibilisierung und Selbstreflexion. Wenn Mitarbeiter Bilder oder Videos von ihrem Arbeitsplatz posten, dann gefällt das nicht nur dem Freundeskreis, sondern auch Cyberkriminellen: Fotos mit sichtbaren Passwörtern, Notizen auf Whiteboards oder Produktionsanlagen im Hintergrund werden von Hackern gezielt gesucht. »Je mehr Informationen…