7 Tricks, auf die Mitarbeiter nicht hereinfallen sollten

Internetbetrüger, insbesondere die sogenannten Social Engineers, arbeiten mit einer Vielzahl von Techniken, um das potenzielle Opfer davon zu überzeugen, Anmeldeinformationen und andere sensible Daten preiszugeben. [...]

Während traditionelle Hacker in der Regel mit bestimmten Softwarelösungen agieren, arbeiten Social Engineering-Scammer mit reiner Psychologie. Um sich dagegen zu wappnen, muss man sich nur an den Ratschlag seiner Mutter erinnern, nicht mit Fremden zu reden.

Wer bei der Nutzung sozialer Medien diese uralte Sicherheitsstrategie befolgt und mit den vertraulichen Angaben zu seiner Person zurückhaltend umgeht, macht schon viel richtig. Trotzdem sollten Unternehmen und Arbeitgeber ihre Mitarbeiter über die nachstehenden Tricks von „Bösewichten“ aufklären, damit durch die Unachtsamkeit eines Einzelnen ein ganzes Firmennetzwerk in die Hände von Hackern gerät.

1. Phishing
Eine beliebte Vorgehensweise sind Phishing-Mails. Ein sogenannter Scammer sendet eine E-Mail, die auf den ersten Blick von PayPal oder einer anderen legitimen Quelle zu kommen scheint. Auf diese Art und Weise will der Betrüger den Empfänger davon zu überzeugen, vertrauliche Informationen preiszugeben, um diese im Anschluss für betrügerische Aktionen oder einen weitreichenden Identitätsmissbrauch zu nutzen.
Um sich dagegen zu schützen sollten die Empfänger solcher Mail auf verdächtige Anhänge, Mails, widersprüchliche URLs oder eine vorgeschobene Dringlichkeit achten. Anhänge enthalten oft gefährliche Dateien, die, wenn sie ausgeführt werden, ihre Inhalte auf den Computer laden. Es gibt auch Phishing-Mails die auf eine Webseite verweisen, auf der Anmeldeinformationen abgefragt werden – bei so etwas sollten beim Empfänger sämtliche Alarmglocken klingeln. Es kommt vor, dass Links, die korrekt erscheinen ebenfalls zu einer Betrüger-Domain führen. Das lässt sich aber leicht entlarven, indem man mit der rechten Maustaste über den Link fährt und die Ursprungs-Domin sieht. Fatal wäre es auch, auf Mails hereinzufallen, in denen harte Konsequenzen aufgeführt werden, für den Fall, dass man nicht unmittelbar reagiert.

2. Tailgating
Nicht alle Angriffe werden von einem Computer oder mobilen Geräte aus initiiert. Beim Tailgaiting etwa, das man auch als Huckepackübertragung bezeichnet, probiert der Angreifer, physischen Zugriff auf ein Unternehmen zu erhalten, indem er die Zugangsdaten eines anderen benutzt. Beispielsweise könnte der Betrüger versuchen während der Mittagspause Anschluss zu bekommen, um danach mit ins Firmengebäude zu gelangen – und zwar ohne eigene Zugangskarte. Tailgating setzt dabei auf die Freundlichkeit, denn wer würde schon jemandem die Tür vor der Nase zuschlagen, nur, weil er seine Firmenkarte vergessen hat? Und ist der Tailgater erst einmal im Gebäude, sind vor allem kleine Unternehmen mit laxen Sicherheitsvorkehrungen gefährdet.

3. Planted Media
Dieser Trick mutet zunächst harmlos an: Auf dem Parkplatz liegt ein USB-Stick und es gibt sicherlich jemanden, der ihn mitnimmt. An seinem Arbeitsplatz angekommen steckt er diesen dann in seinen Computer, ohne zu bemerken, dass im Hintergrund ein Computervirus geladen wird, der sich in Windeseile auf alle an das Netzwerk angeschlossenen Geräte ausbreitet.  Auch wenn es absurd klingt, die Neugier der Menschen ist ein großer Antrieb und deshalb sollten die Unternehmen ihre Mitarbeiter entsprechend sensibilisieren und hinsichtlich der Risiken schulen.

4. Whaling
Whaling oder auch whale hunting (Waljagd) funktioniert ähnlich wie das Phishing, zielt aber unmittelbar auf die Führungskräfte des Unternehmens ab. So setzt sich ein Hacker beispielsweise mit einem IT-Manager in Verbindung und gibt vor, ein vertrauenswürdiger Anbieter zu sein. Dann schickt er meist einen Link, über den Kontodetails zu aktualisieren oder eine Rechnung einzusehen ist. Im Worst Case lässt sich die Führungskraft vom professionellen Design und einem bekannten Logo blenden und gibt seine Daten preis.
Weil über Führungskräfte oft noch mehr zu holen ist, bereiten Whaling-Hacker ihren Angriff mit viel Mühe zu. Sie besorgen sich die Daten aus Google-Suchen, Profilen in den sozialen Medien und von Kollegen. So können sie einen ausgeklügelten Angriff starten, von dem sich sogar IT-erfahrene Führungskräfte täuschen lassen, egal wie vertraut sie mit Sicherheitsvorkehrungen sind.

5. Erpressung
Erpressung im Internet geht oft mit einer Kombination aus Phishing und Malware beziehungsweise Ransomware einher. So empfängt ein Mitarbeiter beispielswiese eine E-Mail, in der hohe Strafen oder sogar Strafverfolgung angedroht werden, wenn er nicht den Anweisungen des beigefügten Dokuments Folge leistet. Durch den Klick auf das entsprechende Dokument wird, ohne dass er es merkt, eine Ransomware auf seinem Computer installiert. Dieselbe Ransomware wiederum droht dann damit, Dateien zu löschen, wenn er nicht ein bestimmter Betrag überwiesen wird. Ransomware ist inzwischen derart effizient, dass man ihr oft nur mit einer guten Backup- und Business Continuity-Lösung begegnen kann.

6. Quid pro quo
Quid pro quo ist der lateinischer Begriff für ‚dies für das‘ und genau so funktioniert auch dieser Social Engineering-Trick. Ein Angreifer tarnt sich dabei beispielsweise als IT-Support-Mitarbeiter und bietet einen vermeintlich attraktiven Ausgleich für wertvolle Informationen an. Ein Betrüger wird in Vorbereitung für einen solchen Angriff in einem Unternehmen so lange wahllos verschiedene Telefonnummern anrufen, bis er einen Mitarbeiter erwischt, der essentielle Problem hat. Dann wird er versuchen, dem Mitarbeiter die Zugangsdaten zu entlocken und ihn davon überzeugen, dass Veränderungen vorgenommen werden müssen, um Schwachstellen in der Netzwerk-Sicherheit zu beheben.
Quid pro quo ist nicht nur gefährlich, sondern entlarvt auch wie hoch das Sicherheitsbewusstsein einer Organisation ist und wie integer ihre Mitarbeiter sind. Erschreckenderweise funktioniert dieser Trick überraschend oft, wenn der Betrüger angeblich wichtige Untersuchungen für eine gute Sache durchführt. Er befragt die Mitarbeiter so geschickt, dass sie für ein paar Hundert Euro oder das neueste iPhone vertrauliche Informationen über ihren Vorgesetzten preisgeben.

7. Umgekehrtes Social Engineering
In der Regel erfolgt das sogenannte Social Engineering per E-Mail. Es gibt aber auch Betrüger, die das Telefon bevorzugen. In einem Telefonat gibt der Angreifer vor, er wolle dem potenziellen Opfer helfen, ein Problem zu lösen. Dafür ruft der Betrüger zum Beispiel wahllos einen Konsumenten an und gibt vor, ein Supportmitarbeiter eines Unternehmens oder sogar eines „Global Players“ zu sein, das Antiviren-Software vertreibt. Während des Anrufs erbittet er den Remotezugriff auf den Computer des Angerufenen, um eine angebliche Malware-Infektion genauer zu untersuchen. Faktisch aber nutzt er den Zugang um Scamware zu installieren, die dann die Behauptung unterstützt, dass Malware auf dem Computer gefunden wurde. Dann bietet er an, diese gegen die Zahlung einer entsprechenden Summe wieder zu entfernen. Auch wenn das nicht unseriös klingt, bedenken Sie, dass ein ehrliches Unternehmen niemals wegen eines angeblichen Malware-Angriffs anrufen würde.

Vertrauen ist gut – Aufklärung ist besser
Auch mit den modernsten Sicherheitsvorkehrungen und den strengsten Vorgaben in Bezug auf den Schutz der Systeme, lassen sich IT-System nie vollständig schützen. Ein gutes Backup und Disaster Recovery ist meist die einzige Rettung im Ernstfall. Fakt ist aber auch, dass eine Infrastruktur, unabhängig davon, welche Mechanismen man auch implementiert, niemals so angreifbar ist wie der Anwender – der Mitarbeiter. Wenn ein Mitarbeiter aber regelmäßig über neue Bedrohungen informiert und den Umgang mit ihnen geschult wird, haben es Betrüger wesentlich schwerer ein Unternehmensnetzwerk zu hacken.  
* Kurt Kraus, StorageCraft Technologie


Mehr Artikel

Unternehmen legen ihren Fokus auf Investitionen zur Performancesteigerung durch Künstliche Intelligenz. (c) Pexels
News

GenAI: Vom Experiment zum strategischen Werkzeug

KI hat sich von einem Hype zu einem strategischen Gamechanger entwickelt. Laut einer Studie von NTT DATA ist die Experimentierphase für generative KI (GenAI) endgültig vorbei. Stattdessen stehen nun konkrete Pläne zur langfristigen Nutzung im Vordergrund – mit dem Ziel, Performance, Arbeitsplatzkultur, Compliance, Sicherheit und Nachhaltigkeit zu optimieren. […]

News

Internationale Konferenz zeigt den Weg zur datengetriebenen Zukunft

Am 13. November 2024 fand im Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie (BMK) die Global Data Spaces Connect 2024 (GDSC24) statt, eine internationale Plattform, die Akteur:innen aus Wirtschaft, Wissenschaft und öffentlicher Verwaltung zu einem Austausch über den aktuellen Stand und die Zukunft der Datenräume (Data Spaces) zusammenbrachte. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*