Anzeige

Anzeige

VERANSTALTUNGEN

4. Cyber Conference Week
01.07.19 - 05.07.19
In Online

IT kessel.19 – Der IT Fachkongress
04.07.19 - 04.07.19
In Messe Sindelfingen

IT-SOURCING 2019 – Einkauf meets IT
09.09.19 - 10.09.19
In Düsseldorf

ACMP Competence Days Berlin
11.09.19 - 11.09.19
In Stiftung Deutsches Technikmuseum Berlin, Berlin

MCC CyberRisks - for Critical Infrastructures
12.09.19 - 13.09.19
In Hotel Maritim, Bonn

Anzeige

Anzeige

Hacker Social Engineering 511770916 700

Im Jahr 2017 gab es im Mittel jede Minute 16 neue Malwaretypen für den Computer. Kriminelle aus dem Internet bedienen sich aber auch anderer perfider Tricks, um durch Manipulation von Mitarbeitern, im Fachjargon Social Engineering genannt, an vertrauliche Informationen des Unternehmens zu gelangen. G DATA zeigt worauf IT-Verantwortliche achten müssen.

Unternehmen fokussieren sich meistens auf den Schutz vor spezifischen Angriffsvektoren, die auf das Firmennetzwerk zielen. Angefangen bei Malware wie Ransomware, Trojaner, Viren, über Fehlkonfigurationen der Systeme bis hin zu DDOS-Attacken. Eine Schwachstelle, die von IT-Security-Verantwortlichen als Einfallstor häufig unterschätzt wird: Social Engineering.

Social Engineering: Cyberkriminelle lassen die Puppen tanzen

Längst sind die Tage vorbei, an denen Mitarbeiter in Personalabteilungen kryptische E-Mail-Bewerbungen von vermeintlichen Interessenten erhalten. Eine schlechte Grammatik oder Rechtschreibfehler haben früher als Indikator für eine unseriöse oder gefährliche Nachricht ausgereicht. Heutzutage bereiten sich Cyberkriminelle auf einen Angriff besser vor, denn auch sie haben dazugelernt. Laut Erkenntnissen aus der Studie „Social Engineering Attack Framework“ gibt es sechs Schritte, die ein solcher Angriff durchläuft:

  • Schritt 1: Angriffsformulierung
  • Schritt 2: Sammeln von Informationen
  • Schritt 3: Vorbereitung
  • Schritt 4: Beziehung herstellen
  • Schritt 5: Beziehung manipulieren
  • Schritt 6: Debriefing

Ein gutes Beispiel ist ein Recruiter eines Unternehmens, der häufig auf Social-Media-Plattformen zugreift, um nach geeigneten Bewerbern zu suchen. Scouting lautet das Stichwort. Scheint ein geeigneter Kandidat gefunden zu sein, so wird mit ihm Kontakt aufgebaut. Auch Kriminelle wissen das und erstellen sich Fake-Profile, mit denen sie im passenden Moment mit dem Personalverantwortlichen in Kontakt treten. Der Täter versucht sich Informationen über den HR-Angestellten zu verschaffen bevor er Vertrauen bei seinem Gegenüber aufbaut und sendet ein Bewerbungsschreiben, bezugnehmend auf die sympathische Konversation über Social Media, an den HR-Angestellten.

Dieses Konzept ist erfolgsversprechender, als initiativ eine standardisierte Bewerbung zu verfassen Darin enthalten: Ein kurzer und knapper Text sowie ein Bild- und ein PDF-Anhang. Die E-Mail sowie die Anhänge werden geöffnet und die Malware auf dem Computer ausgespielt. Der Angreifer hat den Mitarbeiter folglich zum Öffnen der Dateien beeinflusst. Dahinter kann sich eine Ransomware befinden, bei der wichtige Dateien verschlüsselt werden und ein Lösegeld zum Entschlüsseln eingefordert wird. Das kann aber auch ein Trojaner sein, der die Tastaturanschläge aufzeichnet und an den Angreifer zurücksendet. In anderen Worten: Anmeldepasswörter werden aufgenommen und stehen fortan dem Cyberkriminellen zur Verfügung.

Social Engineering verursacht finanzielle Schäden

Social Engineering wird überall dort eingesetzt, wo Menschen beeinflusst werden können und ein passender Schlüssel Geld für den Angreifer verspricht. Das können sowohl wertvolle Mitarbeiter-Informationen sein, direkte Zugangsdaten oder Zugriff zu geheimen Dokumenten, die ein Betriebsgeheimnis preisgeben. Laut einer Studie des IT-Branchenverbands Bitkom von 2017 verursacht die digitale Spionage, Sabotage oder Datendiebstahl deutscher Unternehmen jedes Jahr einen Schaden von rund 55 Milliarden Euro. Da der Trend dieser Angriffsart aber an Beliebtheit gewinnt und somit steigt, ist inzwischen mit höheren Schadenssummen zu rechnen. Die Lösung gegen dieses Angriffsszenario sind Awareness-Trainings für Mitarbeiter

Worauf müssen IT-Verantwortliche achten?

Der erste Schritt ist es, als IT-Verantwortlicher seine Mitarbeiter für Social Engineering zu sensibilisieren. Mit einem Awareness-Training können Angriffe dieser Art leichter erkannt und verhindert werden. Beispielsweise lernen Mitarbeiter dort, dass E-Mails kritisch begutachtet werden sollen, am Telefon keine sensiblen Daten preisgegeben werden sollten und keine Links zu öffnen sind, die beispielsweise auf eine Login-Seite führen.

Ein weiterer, ebenso wichtiger Schritt ist eine gute Sicherheitssoftware, die einen Phishing-Schutz bereitstellt. Viele Angriffe lassen sich so bereits im Vorfeld abfangen. Dadurch werden die Mitarbeiter deutlich entlastet und relevante E-Mails, die auch für die tägliche Arbeit wichtig sind, werden schneller bearbeitet. In anderen Worten: Das Risiko wird minimiert, auf einen Social-Engineering-Angriff hereinzufallen, der finanzielle Schäden verursachen könnte.

gdata.de

GRID LIST
Bäume auf Münzstapeln

Nachhaltige Cyber Resilience für IKT-Anbieter

Unternehmen aus dem IT- und Telekommunikationssektor sind die Top-Angriffsziele für…
Adware

Social-Media-Suchmaschine spioniert Internetnutzer aus

Wajam wurde 2008 ursprünglich als Suchmaschine für soziale Netzwerke wie Facebook oder…
Baltimore road sign

Baltimore ist „Smart City ready“ – wirklich?

Der aktuelle Hackerangriff auf die Stadtverwaltung Baltimore schlägt hohe Wellen. Wieder…
Backdoor

Lautlos durch die Hintertür

Computer gehören zum Unternehmensalltag dazu. Das gilt für alle Branchen. Doch in dieser…
Tb W190 H80 Crop Int 90e25f6371557cf2c6640a3a91f3d38a

Spam-Trend: Jobsuchende im Visier von Cyberkriminellen

Im ersten Quartal 2019 griffen Cyberkriminelle Jobsuchende mittels ausgefeilter…
Hacker Bitcoin

Gefälschte Apps für Kryptowährungen in Google Play

Die Kryptowährung Bitcoin hat derzeit ihren höchsten Stand seit September 2018 erreicht.…