Social Engineering entzaubern und erfolgreich abwehren
Social Engineering hat viele Formen, wie zum Beispiel Phishing (Fake-E-Mails), Smishing (Fake-SMS), Pretexting (Vortäuschen von Identitäten) und BEC/EAC (Betrug mit legitimen Geschäfts-E-Mails). Aber sie alle folgen einem ähnlichen Ablauf. Diesen zu verstehen ist wichtig, um sich schützen zu können.
Hacker dringen nicht immer mit komplizierten Techniken in Unternehmen ein, sondern sie nutzen oft ganz einfache Methoden, um sich Zugang zu verschaffen: Sie sammeln Informationen und bekommen Zugriff auf Login-Daten, mit denen sie sich dann problemlos ins Unternehmensnetzwerk einloggen können. Diese Daten stammen entweder aus dem Darknet oder werden durch Social Engineering abgefangen.
Social Engineering umfasst viele Tricks, um Menschen zu manipulieren, damit sie Zugriff gewähren oder sensible Informationen preisgeben. Die Angreifer nutzen dabei das Vertrauen, die Gutgläubigkeit oder auch den Respekt vor Autoritäten ihrer Opfer aus.
Es ist wichtig zu verstehen, dass trotz der verschiedenen Taktiken Social Engineering immer einem ähnlichen Ablauf folgt. Das hilft Opfern, Angriffe frühzeitig zu erkennen und sich dagegen zu schützen:
Informationen sammeln:
Die Angreifer recherchieren über ihre Ziele, um Schwachstellen zu finden. Sie nutzen öffentlich zugängliche Informationen wie Unternehmensdaten oder Profile auf sozialen Netzwerken.
Beziehung aufbauen:
Die Angreifer stellen Kontakt her und geben sich oft als vertrauenswürdige Personen aus, um das Vertrauen ihrer Opfer zu gewinnen. Sie könnten zum Beispiel gefälschte E-Mails senden oder Anrufe tätigen, um sensible Informationen zu erhalten.
Ausbeutung:
In diesem Stadium greifen die Kriminellen beispielsweise auf E-Mails zurück, die vorgeben, von einer Autoritätsperson zu stammen, um Druck auszuüben. Sie könnten auch echte Kundenbeziehungen erwähnen, um die Nachricht glaubwürdiger erscheinen zu lassen. Zum Beispiel könnte eine Nachricht besagen: „Hallo Frau Müller, wir haben ein Problem mit der Abrechnung für unseren Kunden Schraubenkrause. Es wurde zu viel überwiesen. Bitte überweisen Sie umgehend 10.000 Euro zur Korrektur auf folgendes Konto, um unseren Kunden nicht zu verlieren. Mit freundlichen Grüßen, Thomas Schmidt, Geschäftsführer“. Diese Überweisung würde jedoch an die Kriminellen gehen.
Ausführung:
Wenn die Opfer überzeugt sind, dass die Nachrichten echt sind, führen sie die Anweisungen der Angreifer aus, sei es das Überweisen von Geld oder das Weitergeben von Zugangsdaten.
Um sich vor solchen Angriffen zu schützen, ist es wichtig, regelmäßig Schulungen zu Social Engineering zu absolvieren. Mitarbeiter sollten sensibilisiert werden, damit sie die Anzeichen erkennen und auf ihr Bauchgefühl hören, wenn etwas verdächtig erscheint. So können Unternehmen besser gegen die hinterlistigen Methoden der Angreifer vorgehen.
Ein gutes Security-Awareness-Training
- berücksichtigt relevante Schulungsinhalte für die Branche des Unternehmens.
- betont die Bedeutung der Benutzer als zentrales Element der Cybersicherheitsstrategie, anstatt sie als „schwaches Glied“ zu betrachten.
- enthält Phishing-Simulationen zur Überprüfung des Lernfortschritts.
- nutzt Microlearning für effektiveres Verständnis und langfristiges Lernen.
- gestaltet Schulungen ansprechend und unterhaltsam, um eine unternehmensweite Sicherheitskultur zu fördern, etwa durch Gamification.
- kann von spezialisierten Anbietern als Managed Service angeboten werden.
Im Idealfall geht das Führungsteam mit gutem Beispiel voran, indem es die Cybersicherheit ernst nimmt, Best Practices vorlebt und die Art von zeitkritischen Taktiken mit hohem Druck, die Betrüger anwenden, vermeidet.
Weitere Erkenntnisse zur aktuellen Cybersecurity-Lage und Informationen, wie Sie sich vor Social Engineering und anderen Bedrohungen schützen können, finden Sie im aktuellen Arctic Wolf Labs Threat Report unter arcticwolf.com.