Die miesen Tricks des Social Engineering
„Liebe Grüße aus Mallorca!“ Aber Hallo, denken Sie und klicken auf den Anhang, der lustige Fotos aus dem Urlaub von Ihrem Lieblingskollegen verspricht. ODER „Sehr geehrte Frau Maier! Anbei finden Sie meine Bewerbungsunterlagen. Ich freue mich auf Ihre Antwort. MfG Mag. Hackner" ‚Klick‘ und schon ist das Firmen Netzwerk mit Viren verseucht. So oder so ähnlich sehen nämlich Phishing E-Mails in Form von Social Engineering aus.
Social Engineering – was ist das überhaupt?
Social Engineers versuchen Menschen mit Tricks zu beeinflussen, zu täuschen und zu manipulieren. Es ist wohl die raffinierteste Form des Betrugs und kommt in vielen Formen daher. Bringt es einen doch dazu etwas zu tun, was man nicht möchte – und manchmal, ohne es zu bemerken.
Was ist das Ziel von Social Engineering?
Die Ziele sind so unterschiedlich wie die Tricks:
Geld(Geheime) Informationen ausspionieren, Kontrolle über das Computernetzwerk einer Firma erlangen, Reputation einer Firma schaden, Malware einschleusen
Das sind die miesen Tricks:
Wir alle wollen im Grunde unseres Herzens nett sein. Na gut, vielleicht nicht alle, aber doch die meisten Menschen. Wir fühlen uns gut, wenn wir anderen helfen können. Genau das wird unter anderem beim Social Engineering ausgenutzt. Jemand meldet sich bei Ihnen – durchaus auch telefonisch – und bittet um Ihre Hilfe, oder stellt eine dringliche Anfrage. Sollte ihr Gegenüber wollen, dass Sie auf einen Link klicken, Daten preisgeben oder eine Überweisung tätigen, gilt es, aufmerksam zu sein! Auch wenn Sie denken, Ihr Gegenüber zu kennen.
- Phishing
Mittlerweile sind viele Phishing E-Mails perfekt gefälscht. Logos, Ansprechpartner und Absender sind täuschend echt imitiert. Solche E-Mails geben oftmals vor von der eigenen Bank, Versicherung, einem Online Händler oder sogar aus dem eigenen Unternehmen zu stammen. Phishing-Mails erkennt man daran, dass Sie auf einen Link klicken oder persönliche Daten eingeben sollen.
- Spear Phishing
Dabei werden Menschen gezielt ausgewählt und ausspioniert (meistens über ihre Social Media Kanäle). Opfer bekommen dann maßgeschneiderte E-Mails von vermeintlich bekannten Kontakten. Für die Cyberkriminellen ist das zwar mehr Aufwand, aber diese Art des Social Engineerings ist sehr erfolgreich. Viele Menschen hinterfragen selten E-Mails von Kontakten, die sie kennen.
- Vor Ort
Davon sind vor allem große Unternehmen betroffen, wo nicht jeder jeden kennt oder häufig Arbeiter aus anderen Firmen ein- und ausgehen. Der Social Engineer gibt sich z.B. als Praktikant der IT-Abteilung aus und muss einen Computer abholen, da dieser angeblich mit Viren verseucht ist. Bereitwillig wird der Computer dem vermeintlichen Praktikanten mitgegeben – und damit äußerst sensible Daten.
- Am Telefon
„Guten Tag, ich bin Herr Teubner, Bank Austria. Wir nehmen gerade Umstrukturierungen vor und haben Ihnen deshalb einen neuen Betreuer zugeteilt. Bitte geben Sie Ihr Kundenkennwort an, damit wir verifizieren können, dass es sich auch wirklich um Sie handelt.“ – Dieses Szenario ist natürlich abwandelbar. Vielleicht braucht jemand eine E-Mailadresse bestätigt, die er sich unsauber notiert hat. Vielleicht gibt sich der Social Engineer als wichtiger Kunde aus, der droht, wenn Sie nicht sofort helfen, zur Konkurrenz zu gehen.
- Die helfende IT-Abteilung.
Gehört meist in die Kategorie der Telefonanrufe. Ein Hersteller, oder Ihr IT-Betreuer möchte aus irgendeinem Grund (Updates einspielen, etwas im System nachschauen etc.) Remote Access (=Fremdzugriff) auf Ihren Computer.
Wie soll ich reagieren?
Hinterfragen, hinterfragen und nochmals hinterfragen. Egal, wie dringend eine Anfrage sein mag, sichern Sie sich ab, fragen Sie persönlich nach. Rufen Sie den Kontakt an und fragen Sie nach. Kommunizieren und Rücksprache halten sind Ihre besten Freunde.
ALLE Ihre Mitarbeiter müssen über Gefahren Bescheid wissen und wie sie sich, sollten Sie doch in die Falle getappt sein, verhalten sollen.
Privatsphäre in Social Media pflegen. Überprüfen Sie die Privatsphäre Einstellungen Ihrer Social Media Konten. Was können Personen, die nicht mit Ihnen verbunden sind sehen?
Bei einem Bankanruf sagen Sie beispielsweise, Sie rufen zurück und fragen unter der Nummer, die Sie kennen nach – und nur fürs Protokoll, kein seriöses Unternehmen möchte Ihr Passwort telefonisch oder schriftlich bestätigt haben. Man wird Sie auch nicht um Ihre Bankverbindung, Adress- oder Kreditkartendaten bitten. Weder per E-Mail noch telefonisch.
Links, die Sie auf den ersten Blick nicht eindeutig verifizieren können nicht anklicken. (z.B. durch die Endung .ru) Besonders gefährlich sind mit Malware verseuchte Links von vermeintlichen Bewerbern oder Rechnungen von Partnern.
Kommt jemand in Ihr Büro, den Sie nicht kennen, dann fragen Sie bei der zuständigen Abteilung oder dem Unternehmen nach, der den Mitarbeiter angeblich geschickt hat.
Verwenden Sie niemals USB Sticks, die wie zufällig herumliegen! Sie könnten absichtlich platziert sein.
Ändern Sie Passwörter lieber im jeweiligen Portal, als über einen E-Mail Request. So gehen Sie auf Nummer sicher, sollte der Absender vertrauenswürdig erscheinen.
Die Firma Microsoft ruft niemals bei Endkunden an, um etwas im Windows-System zu ändern. Nie!
Wussten Sie, dass das Wort Phishing eine Zusammensetzung aus Passwort Harvesting und Fishing ist?
Puh, das ist ja eine Menge, die man sich merken muss.
Ja, leider sind Betrüger immer raffinierter geworden. Und sobald eine Masche der Cyberkriminellen aufgedeckt wurde, wird die nächste Falle gestellt. Deshalb sind Schulungen wichtig, damit Ihre Mitarbeiter Up to Date sind.
Wer ist gefährdet?
Jeder! Von der Putzkraft bis hin zum CEO, alle verfügen über Informationen, die für einen Betrüger wichtig sein können (Die Putzkraft weiß beispielsweise, wann normalerweise niemand mehr im Büro ist, oder vielleicht wie Mitarbeiter XY wichtige Dokumente aufbewahrt). Firmen, in denen strenge Hierarchien herrschen können leichter Opfer werden, als Firmen mit flachen Strukturen, da die Mitarbeiter es oft nicht gewöhnt sind Anweisungen „von oben“ zu hinterfragen.
Konkrete Maßnahmen?
Gibt es! Ihre Mitarbeiter und Kollegen sind nicht böse, oder gar dumm, wenn sie vertrauliche Informationen preisgeben. Vielen ist gar nicht bewusst, wie wertvoll die Informationen sind, über die sie verfügen, da ihnen oft der Zusammenhang fehlt.
Was hilft, sind regelmäßige Schulungen. Mit einer einzelnen Schulung ist es noch nicht getan, da sich die Betrugsmaschen ständig ändern. Auch die Technologien, die von Cyberkriminellen verwendet werden, ändern sich ständig.
Manche Geschäftsführer denken sich vielleicht, das ist unnötig ausgegebenes Geld. Bedenkt man jedoch den finanziellen Schaden oder Schaden an der Reputation, der entstehen kann, sind die Schulungskosten vergleichsweise gering.
Sind Sie daran interessiert Ihr Team über mögliche Gefahren aufzuklären? Wir unterrichten Ihre Mitarbeiter mit Security Awareness Schulungen über Gefahren und korrektes Verhalten im Falle eines Angriffs. Außerdem geben wir Tipps und können, wenn Sie das wünschen, gemeinsam Maßnahmenkataloge und Richtlinien erstellen, die genau zu Ihrem Unternehmen und den hauseigenen Abläufen passen.