PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Data Driven Business 2017
13.11.17 - 14.11.17
In Berlin

PishingÜbermäßiges Vertrauen in die Technologie macht Unternehmen anfällig für Phishing und andere Angriffe, die auf Menschen abzielen. Untersuchungen vom F-Secure Red Team zufolge, haben 52 Prozent der Mitarbeiter bereits auf einen Link in einer gefälschten E-Mail geklickt.

Cyberangreifer nehmen konsequent Unternehmen ins Visier, die sich Sicherheitsexperten zufolge oftmals in Sicherheit wiegen und sich zu sehr auf Technologie zu verlassen, um ihre Netzwerke zu verteidigen. Die Warnung kommt von einem Sprecher vom Red Team von F-Secure. Diese Expertengruppe für Cybersicherheit übt nachgeahmte Angriffe auf Unternehmen aus, um die Stärken und Schwächen ihrer Sicherheit zu verdeutlichen.

„Der Einsatz von Technologie, um menschlich bedingte Probleme zu lösen, funktioniert einfach nicht – und jeder, der dir etwas Anderes sagt, verkauft magische Bohnen“, sagt Tom Van de Wiele, Principle Security Consultant bei F-Secure. „Die Angreifer, vor allem Kriminelle, leben von der Perfektionierung subtiler Social-Engineering-Methoden, die Menschen dazu verleiten, ihre Wachsamkeit auszuschalten. Wenn die Mitarbeiter glauben, dass modernste Sicherheitstechnologien alles bewältigen werden, gibt ihnen dies ein falsches Sicherheitsgefühl. Genau darauf zählen die heutigen Angreifer.“

Pishing

Phishing auf dem Vormarsch

Phishing veranschaulicht das, was Van de Wiele mit Fehlern im Zusammenhang mit einem Übermaß an Vertrauen in Technologie meint. Laut PwCs Global State of Information Security Survey 2017*, war Phishing der wichtigste Vektor für Cyberangriffe auf Finanzinstitute im Jahr 2016. Angesichts der Verbreitung im Darknet von Phishing-as-a-Service** als Managed Service werden diese Angriffe wahrscheinlich noch häufiger werden.

„Du würdest staunen, was die Leute alles anklicken, während sie arbeiten. Sie sind nicht dumm, aber sie werden erwischt, wenn sie es nicht unbedingt erwarten, dass sie getäuscht werden“, erklärte Van de Wiele. Und in der Tat haben simulierte Phishing-Angriffe hohe Erfolgsraten bei den Red Teaming Tests von F-Secure.

Im Rahmen eines aktuellen Auftrags schickte das F-Secure Red Team eine gefälschte LinkedIn-E-Mail an die Mitarbeiter des beauftragenden Unternehmens, um zu sehen, wie viele davon auf einen Link in einer unerwünschten E-Mail klicken würden. 52 Prozent der Angestellten klickten darauf. In einem anderen Test hat das Red Team eine E-Mail erstellt, die zu einem gefälschten Portal führt, in dem Mitarbeiter sich mit ihren Login-Daten anmelden müssen. 26 Prozent der Empfänger folgten dem Link zum Portal, und 13 Prozent haben tatsächlich ihre Anmeldeinformationen eingegeben.

Pishing   

Nichts ist grenzenlos

Die Red Teaming Tests, die Van de Wiele und seine Kollegen durchführen, umfassen eine Reihe von Tests, um aufzuzeigen, was Unternehmen richtig oder falsch machen, wenn es um Sicherheit geht. Ziel der simulierten Angriffe ist es, Finanzdaten und geistiges Eigentum zu stehlen oder wichtige Teile der IT-Infrastruktur eines Unternehmens unter Kontrolle zu bringen. Die Tests stellen die Unternehmen vor die Herausforderung, erfolgreich simulierte Cyberangriffe zu entdecken, zu isolieren und darauf zu reagieren.

Van de Wiele zufolge, überraschen diese Tests oftmals die Unternehmen, indem sie aufdecken, in welcher Weise sie den Bedrohungen ausgesetzt sind. „Interne Ansichten der Sicherheit passen selten zu den Schwachpunkten, die Angreifer tatsächlich sehen“, sagte er. Die Tests beziehen die gesamte Angriffsfläche eines Unternehmens mit ein, nicht nur die digitale, sondern auch die physische – oder einfach irgendetwas, was unter der Firmenmarke läuft.

„Viele Unternehmen sind überrascht, wenn wir auf ihre Offline-Servern zugreifen, da viele CISOs unvorbereitet sind, mit einem Angreifer umzugehen, der sich physischen Zugang zum Firmengelände verschafft. Und das ist überraschend einfach zu bewerkstelligen: Alles was Sie brauchen, ist eine Sicherheitsweste und den Anschein körperlicher Arbeit nachzuahmen. Eine Sicherheitsweste ist besser als Harry Potters Unsichtbarkeitsumhang. Ziehen Sie eine an – und Sie kommen überall hinein, es werden keine Fragen gestellt.“

www.f-secure.de

 
GRID LIST
Tb W190 H80 Crop Int 8c5f1d966d2eef8ccec63f1c2e1e49df

RAT: Hackers Door wird privat weiter verkauft

Der Remote Access Trojaner (RAT) „Hackers Door“ hat schon vor einiger Zeit von sich reden…
Tb W190 H80 Crop Int B043d8113264a1ebb208c5eeb5e5daec

KrackAttack: Was Sie jetzt wissen sollten

Die Erfinder des Wi-Fi hatten die aktuellen Sicherheitsprobleme nicht im Blick, als sie…
Tb W190 H80 Crop Int 9fdb6e3de368c7c543cba1f46ef268c0

Sicherheit im Netz: Bleiben wir wachsam | Kommentar

Zahlreiche Cyberattacken zeigen uns, dass ein Zwischenfall katastrophale Folgen haben…
DDoS Bomben

Secondhand DDoS-Angriffe: Worauf Service Provider achten sollten

Immer mehr Unternehmen weltweit verlassen sich auf gehostete kritische Infrastrukturen…
Crime Scene

Wie kann ein Angriff auf IT-Systeme nachgewiesen werden?

Die Forschungsgruppen der Frankfurt UAS und der Hochschule Darmstadt entwickeln Methoden…
Bluetooth

Bluetooth-Schwachstelle Blueborne

Hersteller und Nutzer von Bluetooth-fähigen Geräten weltweit waren in Aufruhr, als…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet