Die miesen Tricks des Social Engineering

„Liebe Grüße aus Mallorca!“ Aber Hallo, denken Sie und klicken auf den Anhang, der lustige Fotos aus dem Urlaub von Ihrem Lieblingskollegen verspricht. ODER „Sehr geehrte Frau Maier! Anbei finden Sie meine Bewerbungsunterlagen. Ich freue mich auf Ihre Antwort. MfG Mag. Hackner" ‚Klick‘ und schon ist das Firmen Netzwerk mit Viren verseucht. So oder so ähnlich sehen nämlich Phishing E-Mails in Form von Social Engineering aus.

IT-Security

Social Engineering – was ist das überhaupt?

Social Engineers versuchen Menschen mit Tricks zu beeinflussen, zu täuschen und zu manipulieren. Es ist wohl die raffinierteste Form des Betrugs und kommt in vielen Formen daher. Bringt es einen doch dazu etwas zu tun, was man nicht möchte – und manchmal, ohne es zu bemerken.

Was ist das Ziel von Social Engineering?

Die Ziele sind so unterschiedlich wie die Tricks:
Geld(Geheime) Informationen ausspionieren, Kontrolle über das Computernetzwerk einer Firma erlangen, Reputation einer Firma schaden, Malware einschleusen

Das sind die miesen Tricks:

Wir alle wollen im Grunde unseres Herzens nett sein. Na gut, vielleicht nicht alle, aber doch die meisten Menschen. Wir fühlen uns gut, wenn wir anderen helfen können. Genau das wird unter anderem beim Social Engineering ausgenutzt. Jemand meldet sich bei Ihnen – durchaus auch telefonisch – und bittet um Ihre Hilfe, oder stellt eine dringliche Anfrage. Sollte ihr Gegenüber wollen, dass Sie auf einen Link klicken, Daten preisgeben oder eine Überweisung tätigen, gilt es, aufmerksam zu sein! Auch wenn Sie denken, Ihr Gegenüber zu kennen.

Phishing
Mittlerweile sind viele Phishing E-Mails perfekt gefälscht. Logos, Ansprechpartner und Absender sind täuschend echt imitiert. Solche E-Mails geben oftmals vor von der eigenen Bank, Versicherung, einem Online Händler oder sogar aus dem eigenen Unternehmen zu stammen. Phishing-Mails erkennt man daran, dass Sie auf einen Link klicken oder persönliche Daten eingeben sollen.

Spear Phishing
Dabei werden Menschen gezielt ausgewählt und ausspioniert (meistens über ihre Social Media Kanäle). Opfer bekommen dann maßgeschneiderte E-Mails von vermeintlich bekannten Kontakten. Für die Cyberkriminellen ist das zwar mehr Aufwand, aber diese Art des Social Engineerings ist sehr erfolgreich. Viele Menschen hinterfragen selten E-Mails von Kontakten, die sie kennen.

Vor Ort
Davon sind vor allem große Unternehmen betroffen, wo nicht jeder jeden kennt oder häufig Arbeiter aus anderen Firmen ein- und ausgehen. Der Social Engineer gibt sich z.B. als Praktikant der IT-Abteilung aus und muss einen Computer abholen, da dieser angeblich mit Viren verseucht ist. Bereitwillig wird der Computer dem vermeintlichen Praktikanten mitgegeben – und damit äußerst sensible Daten.

Am Telefon
„Guten Tag, ich bin Herr Teubner, Bank Austria. Wir nehmen gerade Umstrukturierungen vor und haben Ihnen deshalb einen neuen Betreuer zugeteilt. Bitte geben Sie Ihr Kundenkennwort an, damit wir verifizieren können, dass es sich auch wirklich um Sie handelt.“ – Dieses Szenario ist natürlich abwandelbar. Vielleicht braucht jemand eine E-Mailadresse bestätigt, die er sich unsauber notiert hat. Vielleicht gibt sich der Social Engineer als wichtiger Kunde aus, der droht, wenn Sie nicht sofort helfen, zur Konkurrenz zu gehen.

Die helfende IT-Abteilung.
Gehört meist in die Kategorie der Telefonanrufe. Ein Hersteller, oder Ihr IT-Betreuer möchte aus irgendeinem Grund (Updates einspielen, etwas im System nachschauen etc.) Remote Access (=Fremdzugriff) auf Ihren Computer.

Wie soll ich reagieren?

Hinterfragen, hinterfragen und nochmals hinterfragen. Egal, wie dringend eine Anfrage sein mag, sichern Sie sich ab, fragen Sie persönlich nach. Rufen Sie den Kontakt an und fragen Sie nach. Kommunizieren und Rücksprache halten sind Ihre besten Freunde.

ALLE Ihre Mitarbeiter müssen über Gefahren Bescheid wissen und wie sie sich, sollten Sie doch in die Falle getappt sein, verhalten sollen.

Privatsphäre in Social Media pflegen. Überprüfen Sie die Privatsphäre Einstellungen Ihrer Social Media Konten. Was können Personen, die nicht mit Ihnen verbunden sind sehen?

Bei einem Bankanruf sagen Sie beispielsweise, Sie rufen zurück und fragen unter der Nummer, die Sie kennen nach – und nur fürs Protokoll, kein seriöses Unternehmen möchte Ihr Passwort telefonisch oder schriftlich bestätigt haben. Man wird Sie auch nicht um Ihre Bankverbindung, Adress- oder Kreditkartendaten bitten. Weder per E-Mail noch telefonisch.

Links, die Sie auf den ersten Blick nicht eindeutig verifizieren können nicht anklicken. (z.B. durch die Endung .ru) Besonders gefährlich sind mit Malware verseuchte Links von vermeintlichen Bewerbern oder Rechnungen von Partnern.

Kommt jemand in Ihr Büro, den Sie nicht kennen, dann fragen Sie bei der zuständigen Abteilung oder dem Unternehmen nach, der den Mitarbeiter angeblich geschickt hat.

Verwenden Sie niemals USB Sticks, die wie zufällig herumliegen! Sie könnten absichtlich platziert sein.

Ändern Sie Passwörter lieber im jeweiligen Portal, als über einen E-Mail Request. So gehen Sie auf Nummer sicher, sollte der Absender vertrauenswürdig erscheinen.

Die Firma Microsoft ruft niemals bei Endkunden an, um etwas im Windows-System zu ändern. Nie!

Wussten Sie, dass das Wort Phishing eine Zusammensetzung aus Passwort Harvesting und Fishing ist?

Puh, das ist ja eine Menge, die man sich merken muss.

Ja, leider sind Betrüger immer raffinierter geworden. Und sobald eine Masche der Cyberkriminellen aufgedeckt wurde, wird die nächste Falle gestellt. Deshalb sind Schulungen wichtig, damit Ihre Mitarbeiter Up to Date sind.

Wer ist gefährdet?

Jeder! Von der Putzkraft bis hin zum CEO, alle verfügen über Informationen, die für einen Betrüger wichtig sein können (Die Putzkraft weiß beispielsweise, wann normalerweise niemand mehr im Büro ist, oder vielleicht wie Mitarbeiter XY wichtige Dokumente aufbewahrt). Firmen, in denen strenge Hierarchien herrschen können leichter Opfer werden, als Firmen mit flachen Strukturen, da die Mitarbeiter es oft nicht gewöhnt sind Anweisungen „von oben“ zu hinterfragen.

Konkrete Maßnahmen?

Gibt es! Ihre Mitarbeiter und Kollegen sind nicht böse, oder gar dumm, wenn sie vertrauliche Informationen preisgeben. Vielen ist gar nicht bewusst, wie wertvoll die Informationen sind, über die sie verfügen, da ihnen oft der Zusammenhang fehlt.

Was hilft, sind regelmäßige Schulungen. Mit einer einzelnen Schulung ist es noch nicht getan, da sich die Betrugsmaschen ständig ändern. Auch die Technologien, die von Cyberkriminellen verwendet werden, ändern sich ständig.

Manche Geschäftsführer denken sich vielleicht, das ist unnötig ausgegebenes Geld. Bedenkt man jedoch den finanziellen Schaden oder Schaden an der Reputation, der entstehen kann, sind die Schulungskosten vergleichsweise gering.

Sind Sie daran interessiert Ihr Team über mögliche Gefahren aufzuklären? Wir unterrichten Ihre Mitarbeiter mit Security Awareness Schulungen über Gefahren und korrektes Verhalten im Falle eines Angriffs. Außerdem geben wir Tipps und können, wenn Sie das wünschen, gemeinsam Maßnahmenkataloge und Richtlinien erstellen, die genau zu Ihrem Unternehmen und den hauseigenen Abläufen passen.

Valerija Nikolic
22.07.2019, 00:00

Weitere Beiträge

Microsoft 365: Der Copilot, der Ihr Geschäft versteht und schützt.

Copilot für Microsoft 365 – Sie behalten die Kontrolle.

In den letzten Wochen haben wir begeistert jede Menge Webinare rund um den Microsoft 365 Copilot besucht und freuen uns sehr darauf Ihnen bei der Implementierung zur Seite stehen zu können. Seien ...

Kurz & bündig: Was ist EDR (Endpoint threat detection and response)?

Endpoint Threat Detection and Response (EDR) ist, kurz gesagt, eine moderne Verteidigungstechnologie für Computer und mobile Geräte.

Sie dient dazu, gefährliche Vorfälle wie Viren- oder Hackerangriffe frühzeitig zu erkennen und selbstständig darauf zu reagieren. EDR schützt also Endgeräte – beispielsweise PCs, Smartphones oder T...

IT-Security

5 Gründe für die Nutzung von Pc*Web Full Protect für Ihre IT-Sicherheit

Pc*Web Full Protect ist unser Managed Antivirus Service, der Ihnen umfassenden Schutz vor Cyberbedrohungen bietet.

Mit der zunehmenden Digitalisierung wird die Cyber-Bedrohungslandschaft immer komplexer und es ist entscheidend, Ihre IT-Systeme effektiv zu schützen. Mit Pc*Web Full Protect bieten wir Ihnen einen...

Cybersecurity Trends 2024

Falls Sie es nicht schon getan haben, sollten Sie die IT-Security Ihres Unternehmens dringend priorisieren

Im Jahr 2024 werden Unternehmen verstärkt auf innovative Lösungen wie erweiterte Endpunkt-Erkennungs- und Reaktionslösungen (EDR) setzen, um Bedrohungen proaktiv zu erkennen und zu stoppen. Gleichz...

Zukunftsperspektive: KI-Technologien

KI-Sicherheitsnetz - Ihr Leitfaden für eine sichere KI-Zukunft

In der Welt der künstlichen Intelligenz ist Sicherheit von unschätzbarem Wert. Hier sind 4 essenzielle Sicherheitstipps, die Ihr Unternehmen in die Praxis umsetzen sollte: 1. Daten Schutzschild ...

Kurz & bündig: Was sind Managed Services?

Managed Services: externe IT Profis übernehmen die Verantwortung und Verwaltung von IT Prozessen und -Systemen.

Welche Managed Services gibt es und wie unterscheiden sich Managed Services von traditionellen Outsourcing-Modellen? Hier finden Sie die Definition, Arten, Vorteile und Unterschiede von Managed Ser...

Managed Services als Ihr Erfolgspartner

Stellen Sie sich eine Arbeitsumgebung vor, in der technologische Effizienz nicht nur ein Ziel, sondern gelebte Realität ist.

Managed Services (= das Auslagern von IT-Aufgaben) sind nicht nur eine Lösung – sie sind Ihr Ticket zu einem stressfreien IT-Umfeld. Sie sind eine Partnerschaft, die Sicherheit verspricht und Innov...

IT-Security

Der smarte Sicherheitsbeauftragte: Pc*Web Full Protect

Pc*Web Full Protect ist unser Managed Antivirus Service. Es ist der zusätzliche Schutzwall und Sicherheitsanker für Ihre IT und bewahrt Sie umfassend vor jeglichen Angriffen.

Mit zunehmender Digitalisierung wird die Cyber-Bedrohungslandschaft ständig komplexer. Viren, Malware, Ransomware und andere unerwünschte Programme können Ihr System beeinträchtigen und wichtige Da...

IT-Security

Microsoft Studie liefert schockierende Zahlen zu Cyberattacken.

Durch die richtige Anwendung einfacher Sicherheitsmaßnahmen, könnten fast alle verhindert werden.

Unzählige Studien unterstreichen die Notwendigkeit einer echten Cyber Security Lösung. Eine kürzlich durchgeführte Untersuchung von Microsoft ist da keine Ausnahme. Sie zeigt schockierende Details ...

IT-Security

Clubhouse: Das sollten Sie über die App wissen

Gravierende Mängel beim Datenschutz, AGB nur auf Englisch, kein Impressum: Diese Punkte beanstandet der deutsche Verbraucherzentrale Bundesverband (VZBV) an der Social Media App Clubhouse.

Datenschutz ist ausbaufähig Wer eine Einladung zur neuen Mitmach-Podcast-App erhält und sich dort anmeldet wird zunächst gebeten, Zugriff auf all seine Kontakte zu geben. Was heißt das konkret? Mit...

IT-Security

Wie erkenne ich Phishing und wie kann ich mich schützen?

"Ich bin ein reicher Prinz aus Nigeria und brauche Ihre Hilfe!" Viele kennen bestimmt noch den Prinzen, der einem in einer E-Mail gegen eine gewisse Gebühr großen Reichtum versprach. Die meisten Menschen tappen in diese Falle wohl nicht mehr herein. Doch leider sind viele der sogenannten Phishing-Mails mittlerweile professioneller gestaltet. Sogar technisch versiertere Menschen haben häufig Probleme authentische E-Mails von gefälschten zu unterscheiden.

Dies bestätigt auch eine europaweite Umfrage von Google, die im Zuge des Safer Internet Day gemacht wurde. Demnach wurden bereits 49% der befragten ÖsterreicherInnen Opfer einer Phishing-Attacke. W...

IT-Security

Bösartiger Trojaner liest Kontaktdaten aus und infiziert über WLAN andere Rechner

Kurze Zeit war es ruhig um das bekannte Schadprogramm Emotet. Nun schlägt es wieder vermehrt zu und ist eine akute Bedrohung für Unternehmen und Behörden, aber auch Privatanwender.

Was ist das Gefährliche an Emotet? Der Trojaner liest die Kontaktbeziehungen und E-Mails aus den Postfächern infizierter Systeme aus (sog. Outlook-Harvesting). Diese Infos werden dann wiederrum von...

Marcus Woller

Termin buchen