USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Hacker Social Engineering 511770916 700

Im Jahr 2017 gab es im Mittel jede Minute 16 neue Malwaretypen für den Computer. Kriminelle aus dem Internet bedienen sich aber auch anderer perfider Tricks, um durch Manipulation von Mitarbeitern, im Fachjargon Social Engineering genannt, an vertrauliche Informationen des Unternehmens zu gelangen. G DATA zeigt worauf IT-Verantwortliche achten müssen.

Unternehmen fokussieren sich meistens auf den Schutz vor spezifischen Angriffsvektoren, die auf das Firmennetzwerk zielen. Angefangen bei Malware wie Ransomware, Trojaner, Viren, über Fehlkonfigurationen der Systeme bis hin zu DDOS-Attacken. Eine Schwachstelle, die von IT-Security-Verantwortlichen als Einfallstor häufig unterschätzt wird: Social Engineering.

Social Engineering: Cyberkriminelle lassen die Puppen tanzen

Längst sind die Tage vorbei, an denen Mitarbeiter in Personalabteilungen kryptische E-Mail-Bewerbungen von vermeintlichen Interessenten erhalten. Eine schlechte Grammatik oder Rechtschreibfehler haben früher als Indikator für eine unseriöse oder gefährliche Nachricht ausgereicht. Heutzutage bereiten sich Cyberkriminelle auf einen Angriff besser vor, denn auch sie haben dazugelernt. Laut Erkenntnissen aus der Studie „Social Engineering Attack Framework“ gibt es sechs Schritte, die ein solcher Angriff durchläuft:

  • Schritt 1: Angriffsformulierung
  • Schritt 2: Sammeln von Informationen
  • Schritt 3: Vorbereitung
  • Schritt 4: Beziehung herstellen
  • Schritt 5: Beziehung manipulieren
  • Schritt 6: Debriefing

Ein gutes Beispiel ist ein Recruiter eines Unternehmens, der häufig auf Social-Media-Plattformen zugreift, um nach geeigneten Bewerbern zu suchen. Scouting lautet das Stichwort. Scheint ein geeigneter Kandidat gefunden zu sein, so wird mit ihm Kontakt aufgebaut. Auch Kriminelle wissen das und erstellen sich Fake-Profile, mit denen sie im passenden Moment mit dem Personalverantwortlichen in Kontakt treten. Der Täter versucht sich Informationen über den HR-Angestellten zu verschaffen bevor er Vertrauen bei seinem Gegenüber aufbaut und sendet ein Bewerbungsschreiben, bezugnehmend auf die sympathische Konversation über Social Media, an den HR-Angestellten.

Dieses Konzept ist erfolgsversprechender, als initiativ eine standardisierte Bewerbung zu verfassen Darin enthalten: Ein kurzer und knapper Text sowie ein Bild- und ein PDF-Anhang. Die E-Mail sowie die Anhänge werden geöffnet und die Malware auf dem Computer ausgespielt. Der Angreifer hat den Mitarbeiter folglich zum Öffnen der Dateien beeinflusst. Dahinter kann sich eine Ransomware befinden, bei der wichtige Dateien verschlüsselt werden und ein Lösegeld zum Entschlüsseln eingefordert wird. Das kann aber auch ein Trojaner sein, der die Tastaturanschläge aufzeichnet und an den Angreifer zurücksendet. In anderen Worten: Anmeldepasswörter werden aufgenommen und stehen fortan dem Cyberkriminellen zur Verfügung.

Social Engineering verursacht finanzielle Schäden

Social Engineering wird überall dort eingesetzt, wo Menschen beeinflusst werden können und ein passender Schlüssel Geld für den Angreifer verspricht. Das können sowohl wertvolle Mitarbeiter-Informationen sein, direkte Zugangsdaten oder Zugriff zu geheimen Dokumenten, die ein Betriebsgeheimnis preisgeben. Laut einer Studie des IT-Branchenverbands Bitkom von 2017 verursacht die digitale Spionage, Sabotage oder Datendiebstahl deutscher Unternehmen jedes Jahr einen Schaden von rund 55 Milliarden Euro. Da der Trend dieser Angriffsart aber an Beliebtheit gewinnt und somit steigt, ist inzwischen mit höheren Schadenssummen zu rechnen. Die Lösung gegen dieses Angriffsszenario sind Awareness-Trainings für Mitarbeiter

Worauf müssen IT-Verantwortliche achten?

Der erste Schritt ist es, als IT-Verantwortlicher seine Mitarbeiter für Social Engineering zu sensibilisieren. Mit einem Awareness-Training können Angriffe dieser Art leichter erkannt und verhindert werden. Beispielsweise lernen Mitarbeiter dort, dass E-Mails kritisch begutachtet werden sollen, am Telefon keine sensiblen Daten preisgegeben werden sollten und keine Links zu öffnen sind, die beispielsweise auf eine Login-Seite führen.

Ein weiterer, ebenso wichtiger Schritt ist eine gute Sicherheitssoftware, die einen Phishing-Schutz bereitstellt. Viele Angriffe lassen sich so bereits im Vorfeld abfangen. Dadurch werden die Mitarbeiter deutlich entlastet und relevante E-Mails, die auch für die tägliche Arbeit wichtig sind, werden schneller bearbeitet. In anderen Worten: Das Risiko wird minimiert, auf einen Social-Engineering-Angriff hereinzufallen, der finanzielle Schäden verursachen könnte.

gdata.de

GRID LIST
Tb W190 H80 Crop Int 3d92b16f38ec40420417ec6e95879516

Versteckte Malware lauert häufig im Verborgenen

Der erschienene Verizon Data Breach Investigations Report 2018 offenbart das Ausmaß der…
Gérard Bauer

Vermeintlich russische Cyberattacken auf westliche IT-Infrastrukturen

Am Montag erklärten das US-Heimatschutzministerium, das FBI und das britische National…
Paul Parker

Cybersecurity im Gesundheitswesen

Nach Ansicht von Paul Parker, Cheftechnologe des Geschäftsbereichs für Regierungsbehörden…
Tb W190 H80 Crop Int 0a77a97abba355a6171f9e666819821a

Minecraft: Spieler sind von Schadsoftware in modifizierten „Skins“ bedroht

Eine Datenanalyse der vergangenen 30 Tage von Avast ergab, dass nahezu 50.000…
Tb W190 H80 Crop Int Cb37aa6c2115131c19c11ce3765ccfaf

Linux-Update mit Spectre- und Meltdown-Absicherung

Linux-Version 4.16 ist freigegeben. Neben einer optimierten Akkulaufzeit überzeugt die…
Kryptomining

Kryptomining – des einen Gewinn, des anderen Verlust

Kryptowährungen sind derzeit in aller Munde. Doch während sich das sogenannte Schürfen,…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security