Social Engineering: Wenn der Mensch zum Risiko wird
Nachrichten von angeblichen Vorgesetzten oder Kolleginnen beziehungsweise Kollegen, Links mit Schadsoftware in Social-Media-Posts oder vorgebliche Techniker:innen im Bürogebäude, von denen niemand etwas weiß: Immer öfter gerät bei Cyberattacken mittlerweile der Mensch ins Fadenkreuz von Cyberkriminellen. Erfahren Sie jetzt, wie Sie Ihr Unternehmen vor sogenannten Social Engineering Attacken schützen können.
Social Engineering: Definition
Der Begriff „Social Engineering“ bezeichnet die gezielte Manipulation von Menschen. Die Angreifer:innen nutzen dabei Eigenschaften wie Hilfsbereitschaft, Vertrauen oder die Angst vor Autoritäten aus, um die Opfer dazu zu verleiten, Sicherheitsvorkehrungen auszuschalten oder sensible Informationen preiszugeben. Social Engineering gibt es in den verschiedensten Varianten und die Angreifer:innen werden dabei immer kreativer und vor allem auch besser.
Social Engineering: So schnell wird der Mensch zur Schwachstelle
Eine E-Mail von dem/der Vorgesetzten, der nach einer Geldüberweisung fragt. Ein unerwarteter Gewinn bei einem Gewinnspiel auf einem sozialen Netzwerk. Eine E-Mail mit einem Superschnäppchen-Angebot. Eine SMS von der IT-Abteilung, die nach dem Passwort für das Warenwirtschaftssystem fragt. Social Engineering gibt es in den verschiedensten Varianten und die Angreifer:innen werden dabei immer kreativer und vor allem auch besser. Wir haben für Sie einen Überblick der gängigen Maschen der Betrüger:innen zusammengestellt:
Phishing
Eine der wohl bekanntesten Formen des Social Engineering ist die Phishing-Mail. Diese stammt meist aus einer vermeintlich vertrauenswürdigen Quelle (zum Beispiel von einer:m Vorgesetzten oder von einer Bank) und zielt darauf ab, dass die Empfänger:innen auf einen Link klicken, der zu einer gefälschten Internetseite führt. Auf dieser Seite sollen dann Zugangsdaten eingegeben werden, die die Angreifer:innen erbeuten wollen. Auch im Anhang einer solchen Mail kann sich Schadsoftware in Dokumenten verstecken.
Zu den häufigsten Phishing-Angriffen gehört der sogenannte Fake President Trick. Wie dieser aussehen kann, haben wir in diesem Video für Sie zusammengefasst:
Tipp: Weitere Informationen zum Fake President Trick, wie Sie diesen erkennen und wie Ihr Unternehmen schützen können, finden Sie auch in diesem Artikel: Fake President Trick – wenn Betrüger:innen sich als CEO ausgeben.
Pretexting-Angriff
Beim Pretexting-Angriff täuschen die Angreifer:innen falsche Tatsachen vor, um ihre Opfer dazu zu verleiten, Login-Daten preiszugeben oder den Zugang zu sensiblen Systemen zu gewähren. Dabei geben sich die Betrüger:innen oft als Mitarbeiter:in der IT-Abteilung aus, die/der Zugangsdaten benötigen um ein Problem in einem IT-Programm oder einem IT-System zu beheben.
Spear-Phishing-Attacke
Beim Spear-Phishing nutzen Cyberkriminelle auf die Zielperson zugeschnittene Informationen, um sich deren Vertrauen zu erschleichen und besonders authentisch zu wirken. Die Informationen werden im Vorfeld aus den Social-Media-Kanälen des Opfers gesammelt und durch weitere Informationen aus dem Internet und anderen Quellen ergänzt. Die umfassende Recherche sorgt für höhere Erfolgsquoten und bringt das Opfer oftmals dazu, sensible Daten preiszugeben, da die Täter:innen ihre wahre Identität durch die umfassenden Informationen verschleiern können. Die Angreifer:innen versuchen Gemeinsamkeiten mit der Zielperson aufzubauen, das sorgt für Sympathie und Vertrauen.
Physische Attacke
Wenn Sie jetzt denken, dass Angriffe lediglich über das Telefon und das Internet erfolgen, dann irren Sie sich. Denn Cyberkriminelle nutzen auch physische Attacken, um sich Zugang zu Unternehmen zu verschaffen. Ein Beispiel hierfür ist der auf dem Firmenparkplatz liegengelassene USB-Stick. Dieser wird mit Schadsoftware versehen und an einem Ort platziert, an dem er leicht gefunden wird. Findet ein:e Mitarbeiter:in diesen USB-Stick, kann es passieren, dass sie/er herausfinden will, was sich darauf befindet. Sobald der USB-Stick an den PC angeschlossen wird installiert sich die Schadsoftware auf dem Rechner und sammelt heimlich Informationen oder verschlüsselt wichtige Daten im System.
Die Cyberkriminellen erscheinen gelegentlich auch selbst am „Tatort“. Getarnt als Techniker:innen, Mitarbeiter:innen oder Dienstleister:innen verschaffen sie sich Zugang in die Geschäfts- oder Serverräume um dort Informationen und sensible Daten zu stehlen. Oder aber, sie leihen sich von Mitarbeiter:innen ein Telefon oder einen Computer aus, um darauf heimlich Schadsoftware zu platzieren.
Cybercrime: Studien zeigen steilen Anstieg
Egal welche Studien zum Thema Cybercrime in den letzten Jahren veröffentlicht wurden, sie alle malen das gleiche Bild: Cyberangriffe nehmen mehr und mehr zu und gehören deshalb auch mittlerweile zu den größten Business-Risiken. Eine Studie des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) aus dem Jahr 2020 zeigte, wie lax teilweise kleine und mittelständische Unternehmen mit sensiblen Daten umgehen: So wurde hier mit einem Analyse-Tool nach Daten von 1019 Unternehmen mit weniger als 250 Mitarbeiter:innen und einem Jahresumsatz von höchstens 50 Millionen Euro im Darknet gesucht. Tatsächlich wurde das Tool bei über 543 der Unternehmen (53 Prozent) fündig – vor allem E-Mail-Adressen mit zugehörigen Passwörtern waren im Darknet hinterlegt.
Dass Cyberkriminalität weiterhin zunimmt, bestätigte auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI), dass in seinem Bericht für das Jahr 2021 einen Anstieg von Cybercrime um 22 Prozent im Vergleich zum Vorjahr feststellte. Seit Beginn des Ukraine-Krieges warnen Expertinnen und Experten zudem immer wieder vor einem erhöhten Risiko durch Cyber-Angriffe. Bereits 2020/2021 verzeichnete eine Studie von Bitkom: Neun von zehn Unternehmen (88 Prozent) – unabhängig von ihrer Größe – waren von Cyber-Angriffen betroffen.
Cybercrime: Erhöhtes Risiko, aber nicht bei mir?
76 Prozent der Unternehmen sehen laut einer Umfrage des GDV ein hohes Risiko von Cyberkriminalität für mittelständische Unternehmen – doch nur 34 Prozent bewerten das Risiko auch für das eigene Business als sehr hoch. Leider ist der Gedanke „ich habe nur eine kleine Firma und bin damit für Cyberkriminelle nicht interessant“ ein gefährlicher Trugschluss. Ebenso wie die Annahme, dass das eigene Business bereits ausreichend geschützt ist. Denn – um zurück zur ersten Studie des GDV zu kommen: Wissen Sie, wie die Daten der Mitarbeiter:innen im Darknet gelandet sind? Durch Unachtsamkeit und unzureichende Sicherheitskontrollen seitens der Unternehmen.
So nutzen viele Mitarbeiter:innen beispielsweise Ihre Firmen-Mail-Adresse, um sich in Onlineshops, Social Media oder auf Gaming-Webseiten anzumelden. Werden diese Seiten gehackt, landen die Mail-Adressen und Passwörter im Darknet. Es geht aber noch schlimmer: Die Studie hat außerdem ergeben, dass einige Angestellte sich mit ihrer beruflichen Mail-Adresse auf Dating- und Porno-Seiten anmeldeten. Das Problem: Die private Nutzung beruflicher Mail-Adressen ist in nur wenigen Unternehmen verboten, die meisten verzichten auf eine Regelung. Dabei ist die Mail immer noch die beliebteste Möglichkeit von Cyberkriminellen, sich Zugang zu Unternehmen zu verschaffen. Sie setzen darauf, dass Mitarbeiter:innen schädliche Links anklicken oder Anhänge öffnen.
Tipp: Wie wichtig Strategien zu mehr Cybersicherheit sind und wie auch kleine und mittelständige Unternehmen diese umsetzen können, haben wir in folgendem Artikel zusammengefasst: KMU Cyber Security: So gelingen wirksame Sicherheitsstandards
Social Engineering: Beispiele aus der Praxis
Dass Social Engineering Angriffe nicht nur praktisch jedem Unternehmen – unabhängig von der Größe oder der Branche – passieren können, zeigen auch unsere folgenden Beispiele:
Anruf vom falschen CEO: 220.000 Euro Schaden!
Die Methoden von Cyberkriminellen werden immer raffinierter, das zeigt das Beispiel eines britischen Energiekonzerns: Hier wurde der CEO in Großbritannien vom (vermeintlichen) CEO des deutschen Mutterkonzerns angerufen, der ihn um eine Überweisung in Höhe von 220.000 Euro an eine Zulieferfirma bat. Das Geld werde dann in Kürze vom Mutterkonzern rückerstattet. Die Begründung? Der angebliche Chef des deutschen Mutterkonzerns wollte die Überweisung selbst in Auftrag geben, da es in Deutschland aber bereits nach 16 Uhr war, wäre das Geld erst montags bei den Empfänger:innen angekommen.
Aufgrund der Zeitverschiebung war es in Großbritannien noch vor 16 Uhr und somit wäre die Überweisung noch rechtzeitig abgewickelt worden. Das kuriose an der Geschichte: Obwohl der CEO der Tochterfirma von dieser Art des Telefonbetrugs gehört hatte, fiel er auf die Betrugsmasche rein. Zum einen weil die Begründung für die Überweisung plausibel war, zum anderen weil die Betrüger:innen ein KI-(Künstliche Intelligenz) gestütztes Programm verwendeten, dass die Stimme des deutschen CEO nahezu perfekt imitierte. Der CEO der britischen Tochterfirma glaubte, er würde tatsächlich mit seinem deutschen Vorgesetzten sprechen und überwies das Geld wie gewünscht. Der Betrug fiel zwar später auf, doch die 220.000 Euro waren da bereits über alle Berge.
Echter exali Schadenfall: Falscher CEO erbeutet mehr als 3.000 Euro
Auch ein Mitarbeiter eines über exali versicherten App-Entwicklers fiel auf Cyberkriminelle herein. In diesem Fall meldete sich der angebliche Chef und wies den Angestellten zum Kauf von Gutschein- und Geschenkkarten im Wert von 3.000 Euro an. Als der echte Chef davon erfuhr, war der Schaden nicht mehr rückgängig zu machen. Mehr über diesen Fall finden Sie in diesem Artikel: Falscher CEO erschleicht sich mehr als 3.000 Euro.
So schützen Sie sich und Ihre Mitarbeiter:innen vor Social Engineering
Wenn es um die Sicherheit von sensiblen Daten und die Abwehr von Schadsoftware geht, dann investieren bereits viele Unternehmen in eine starke IT-Infrastruktur, Antivirensoftware und Sicherheitsmaßnahmen. Damit Sie das Risiko von Social Engineering Attacken reduzieren können, haben wir eine Übersicht für Sie zusammengestellt:
Schulungen von Mitarbeiter:innen
Ihre beste Abwehr gegen Social Engineering Angriffe sind aufmerksame Angestellte. Deshalb gilt:
Schulen Sie Ihre Mitarbeiter:innen und sensibilisieren Sie sie für Social Engineering Attacken.
Schaffen Sie ein Bewusstsein dafür, wie schnell Daten in privaten oder beruflichen sozialen Netzwerken in die falschen Hände geraten können und das deshalb das Teilen von vertraulichen Informationen zur Arbeit oder den Arbeitgeber:innen keine gute Idee ist.
Führen Sie interne Kontrollmechanismen ein – das kann beispielsweise ein wechselndes Codewort sein, mit dem sich Mitarbeiter:innen legitimieren können.
Führen Sie klare Regeln zum Umgang mit unternehmensfremden Personen ein, wie zum Beispiel Rücksprache mit den Abteilungen.
Klare Regelungen Zahlen und Daten
Fast genauso wichtig wie die Schulung Ihrer Mitarbeiter:innen ist die Etablierung klarer Regelungen zu folgenden Punkten:
Welche Personen im Unternehmen die Berechtigung haben, Zahlungen anzuweisen und stellen sie sicher, dass eine Überweisung nur im „Vier-Augenprinzip“ möglich ist.
Welche Personen Zugang zu welchen IT-Systemen, Programmen oder Online-Plattformen haben.
Welche Regeln es zum Umgang mit der betrieblichen E-Mail-Adresse gibt (beispielsweise keine Anmeldung in Portalen, die für den privaten Gebrauch genutzt werden).
Stellen Sie sicher, dass alle Ihre Mitarbeiter:innen diese Regelungen, sowie Änderungen daran kennen und frischen Sie sie zusätzlich in regelmäßigen Schulungen auf.
Achtsamer Umgang mit E-Mails
Öffnen Sie nicht leichtfertig Ihre E-Mails, da diese oft mit Schadsoftware belastet sein können. Nutzen Sie die 3-Sekunden-Regel um das Risiko zu verringern. Nehmen Sie sich einen Moment Zeit und prüfen Sie den Namen und die Adresse der Absenderin oder des Absenders. Prüfen Sie ebenfalls, ob der Betreff sinnvoll erscheint und keine Schreibfehler aufweist. Besonders kritisch sollten Sie bei Anhängen sein. Überlegen Sie, ob Sie einen Anhang erwarten, ob der Dateiname und das Dateiformat stimmig sind und auch ob die Größe der Datei zum angeblichen Inhalt passt. Geben Sie außerdem niemals Kontodaten, Zugangsdaten und/oder Passwörter über Telefon oder E-Mail preis. Banken und andere seriöse Geschäftspartner:innen werden Sie nie am Telefon oder per E-Mail zur Preisgabe von Passwörtern und Zugangsdaten auffordern.
Verantwortungsvoller Umgang mit Social Media
Gehen Sie verantwortungsvoll mit Daten – sowohl Ihre privaten, als auch Unternehmensdaten – in sozialen Netzwerken um. Cyberkriminelle recherchieren vor ihren Angriffen ausführlich im Netz und kommen so an wichtige Informationen, die ihnen bei gezielten Angriffen nutzen können.
Die exali Cyber-Versicherung: Schutz gegen die Folgen von Cyber-Angriffen
Geschulte Mitarbeiter:innen, klare Regelungen und eine gute IT-Infrastruktur sind effektive Schutzmechanismen gegen Cyberkriminelle. Doch die Angreifer:innen schlafen nicht und finden immer neue Schlupflöcher, durch die sie sich unberechtigten Zugriff auf IT-Systeme, Programme oder elektronische Daten Ihres Unternehmens verschaffen können. Mit der Cyber-Versicherung über exali sind Sie gegen die Folgen von Cyberkriminalität abgesichert.
Mit dem Basisschutz der Cyber-Eigenschaden-Versicherung erhalten Sie beispielsweise bereits im Falle einer Cyberattacke eine sofortige Notfallhilfe von einer IT-Expertin oder einem IT-Experten, der sich zudem um die schnellstmögliche Wiederherstellung Ihrer IT-Systeme und Daten kümmert. Sowohl diese Kosten, als auch die für eine umfassende Sicherheitsanalyse übernimmt der Versicherer für Sie. Mit insgesamt sechs optional wählbaren Zusatzbausteinen können Sie Ihren Versicherungsschutz zudem individuell anpassen. Mit dem Zusatzbaustein „Cyber-Vertrauensschaden“ können Sie beispielsweile Ihr Business vor den finanziellen Folgen der beschriebenen Social-Engineering-Attacken wie Phishing, Fake President Trick oder Umleiten von Zahlungsströmen (so genannter Payment Diversion Fraud) umfassend schützen.
Sie haben noch Fragen? Rufen Sie uns gerne an! Bei exali gibt es keine Warteschleife und kein Callcenter. Unsere Kundenberater:innen sind gerne für Sie da – telefonisch von Montag bis Freitag 09:00 Uhr bis 18:00 Uhr unter der 0821 – 80 99 46-0 oder über unser Kontaktformular.
So schützen Sie Ihre älteren Familienangehörigen vor Online-Betrügern
Mit der richtigen Kommunikationsstrategie können Sie Senioren dazu befähigen, sich selbst um ihre Sicherheit online zu kümmern.
Den Statistiken des FBI und anderen Strafverfolgungsbehörden zufolge nimmt die Cyberkriminalität gegen ältere Menschen weltweit zu. Das hat auch damit zu tun, dass immer mehr Senioren online aktiv sind. Die Pandemie hat diesen Trend vermutlich noch verstärkt. In einer Umfrage des IT-Branchenverbandes Bitkom von 2020 gaben 69 Prozent der Senioren über 65 Jahren an, dass sie die Digitalisierung als Chance sehen. Glücklicherweise können Sie Maßnahmen ergreifen, um Ihre älteren Familienmitglieder vor Online-Betrügern zu schützen.
Sprechen Sie mit ihnen zunächst darüber, worauf sie im Internet achten sollten und wie sie sich schützen können. Sie sollten mit ihnen reden, nicht auf sie einreden. Ihre älteren Verwandten haben viel Lebenserfahrung; sie haben ihr Leben lang eigene Entscheidungen getroffen und sich auf ihr persönliches Urteilsvermögen verlassen. Es ist unwahrscheinlich, dass sie von jemandem "belehrt" werden wollen, der 20, 30 oder gar 50 Jahre jünger ist als sie selbst.
Denken Sie einmal darüber nach: Würde es Ihnen gefallen, wenn sie von Ihrer Nichte oder Ihrem Neffen über die Sicherheit eines Stadtviertels belehrt werden würden, in dem Sie schon gelebt haben, bevor Ihre Nichte oder Ihr Neffe geboren wurden? Vermutlich nicht!
Mehr zu diesem Thema: Internet-Sicherheitstipps für Senioren (Video auf unserer Facebook-Seite).
Versuchen Sie den Ansatz, dass sich Senioren selbst um ihre Online-Sicherheit kümmern sollten. Beginnen Sie das Gespräch damit, dass Sie gemeinsam den Namen der Großmutter googeln und ihr somit zeigen, welche Informationen über sie im Internet öffentlich zugänglich sind. Auf diese Weise können Sie ihr vor Augen führen, wie einfach ein potentieller Betrüger Informationen über eine beliebige Person erhalten kann.
Sie können den Senioren auch Links des BKA, des jeweiligen LKA und der Verbraucherzentrale zukommen lassen. Dort finden sie jede Menge Informationen zu aktuellen Betrugsmaschen und Malware, die im Umlauf sind.
Sie können sich ihnen auch als Ansprechpartner für all jene Fälle anbieten, wenn Ihre Liebsten den Verdacht auf einen Betrugsversuch haben, natürlich, ohne dass sie dabei das Gefühl bekommen bloßgestellt zu werden. Sagen Sie ihnen, dass sie jede E-Mail, jede Direktnachricht, jedes Popup – einfach alles – mit Ihnen teilen können, und dass Sie ihnen dabei helfen werden herauszufinden, ob die jeweilige Mitteilung seriös ist oder nicht. Auf diese Weise können Sie Ihren Eltern (bzw. Großeltern oder Ihrer Tante oder Ihrem Onkel) unterstützen.
Zu guter Letzt sollten Sie niemals automatisch davon ausgehen, dass Ihre älteren Verwandten nichts von Technik verstehen. Fragen Sie nach, welche Technologien sie nutzen und hören Sie aufmerksam zu, was sie Ihnen erzählen.
So können Sie mit älteren Menschen über bestimmte Betrugsmaschen sprechen
Sie können sich mit Ihren Liebsten auch über konkrete Betrugsmaschen unterhalten, auf die sie im Internet stoßen könnten. Hier finden Sie Informationen darüber, wie man einige der geläufigsten Online-Betrugsversuche, die es auf ältere Menschen abzielen, erkennen kann.
1. Phishing
Phishing ist eine Art Überbegriff für viele verschiedene Betrugsarten. So können Betrüger ihre Opfer per E-Mail, Telefon, Direktnachricht oder SMS kontaktieren, um sie dazu zu bewegen, wertvolle Daten an sie zu übermitteln. Beispielsweise könnte sich ein Betrüger als ein Familienmitglied ausgeben und Ihrer Großmutter einen Link senden, der Malware enthält oder der sie auf eine gefälschte Webseite weiterleitet, wo sie zur Eingabe ihrer persönlichen Daten, z. B. ihrer Kontodaten, aufgefordert wird.
Am besten kann man sich gegen Phishing-Betrug schützen, indem man mit dem vermeintlichen Absender der E-Mail oder Textnachricht Rücksprache hält und sich vergewissert, dass die Nachricht von ihm stammt, bevor man auf irgendetwas klickt. Sagen Sie Ihren Liebsten, dass sie Sie einfach anrufen oder Ihnen eine Textnachricht mit einem kurzen „Hallo, hast Du mir das geschickt?“ schicken sollen. Empfehlen Sie ihnen auch, dass sie auf ihr Bauchgefühl hören sollen! Wenn sich der Wortlaut einer Nachricht seltsam anhört oder Sie normalerweise ein anderes Kommunikationsmedium nutzen, ist die Wahrscheinlichkeit hoch, dass ein Betrugsversuch vorliegt.
2. Love-Scams
Auch Senioren daten online bzw. unterhalten sich auf Plattformen mit unbekannten Kontakten. Von Love-Scams (oder auch „Romance-Scams“) spricht man, wenn ein Betrüger eine Person im Internet findet, Kontakt mit ihr aufnimmt, eine virtuelle Beziehung mit ihr aufbaut und sie dann um Geld bittet. Bevor Sie sich überhaupt mit jemandem unterhalten, sollten Sie nach den typischen Anzeichen für Love-Scams Ausschau halten: Männliche Betrüger verwenden oft Soldatenfotos und weibliche Betrüger Fotos, auf denen ästhetisch-plastische Eingriffe erkennbar sind. Oftmals zeichnen sich ihre Nachrichten durch eine schlechte Grammatik und Rechtschreibung aus.
So erkennt man allerdings nur die offensichtlichsten Betrüger. Weniger augenscheinliche Betrüger nutzen Informationen, die sie aus anderen Online-Quellen zusammengetragen haben, um eine Zielperson dazu zu bringen, sich in sie zu verlieben. Oftmals "drängen" sie ihr potenzielles Opfer dazu, die Unterhaltung außerhalb der Dating-App oder -Plattform fortzuführen, wo es zum Erstkontakt kam. Persönliche Treffen werden meist vermieden.
Sobald ein Romance-Scammer überzeugt ist, dass sein potentielles Opfer sich in ihn verliebt hat (oder dass dem Opfer zumindest viel an ihm liegt), wird er sein Opfer um Geld bitten. Manchmal ist die Rede von einem "vorübergehenden Vorschuss" oder Leihgaben.
Sprechen Sie mit Ihren Liebsten über diese Art von Betrug, vor allem wenn diese Single und möglicherweise online auf Beziehungssuche sind. Sie können ihnen auch zeigen, wie man eine umgekehrte Bildsuche durchführt, um die Identität der auf einem Foto abgebildeten Person zu überprüfen.
3. Technische Support-Betrügereien
In Indien bilden betrügerische Anrufe von vermeintlichen Support-Mitarbeitern eine regelrechte Branche. Und obwohl es sich hierbei rein technisch gesehen um keinen Internetbetrug handelt, da für diese Betrugsmasche das Telefon eingesetzt wird, sind technische Support-Betrugsmaschen eng mit dem Internet verbunden. Manchmal erscheint auch ein Warnhinweis auf dem Gerät der Zielperson, bevor die Betrüger anrufen.
Für gewöhnlich wird das Opfer von einer Person angerufen, die sich für einen Mitarbeiter eines seriösen Unternehmens wie Microsoft oder Apple ausgibt. Er nennt dem Opfer einen vorgeschobenen Grund, wieso er Zugriff auf seinen Computer benötigt oder er überzeugt das Opfer, ihm seine Kreditkarten- oder Kontodaten zu übermitteln. Zu Beginn des Jahres warnte die Verbraucherzentrale wieder vor zahlreichen Anrufen durch vermeintliche Microsoft-Mitarbeiter.
Sie sollten Ihre älteren Familienmitglieder nicht nur über die Existenz dieser Betrugsmasche aufklären, sondern ihnen auch sagen, dass ein seriöses Unternehmen sie niemals von sich aus anrufen würde, um "technischen Support" anzubieten.
4. Der altbekannte "Enkeltrick"
Enkeltricks sind möglicherweise die heimtückischste Betrugsmasche auf dieser Liste. Hierbei handelt es sich um eine Art Phishing-Betrug, bei dem Betrüger im Internet – z. B. auf Social-Media-Plattformen – nach Informationen suchen, aufgrund derer sie ihre Opfer telefonisch kontaktieren und vorgeben, das Enkelkind sei in einer Notlage. Und natürlich braucht er/sie Geld, um aus der misslichen Lage herauszukommen.
Sagen Sie Ihren Großeltern, dass Sie sie niemals zu etwas Derartigem auffordern würden. Um auf Nummer sicher zu gehen, können Sie mit Ihren Großeltern etwas wie ein Codewort vereinbaren, mit dem diese überprüfen können, ob es sich beim Anrufer tatsächlich um Sie handelt.
Denken Sie daran: Es gibt mittlerweile regelrechte „Branchen“, deren gesamtes Geschäftsmodell darauf ausgerichtet ist, ältere Menschen um ihr Geld zu betrügen. Wenn Ihre Liebsten dennoch betrogen werden, müssen Sie sich dafür nicht schämen. Lassen Sie sie wissen, dass Sie immer für sie da sein werden, egal was passiert.
Interessiert an mehr News von uns? Folgen Sie uns auf Facebook und auf Twitter!
So schützen Sie sich vor Mail-Attacken
Es gibt eine Frage, die sich alle Unternehmen stellen müssen, wenn es um ihre E-Mail-Sicherheitslage geht: Wissen ihre Mitarbeiter, wie sie eine legitime Nachricht von einer E-Mail-Bedrohung unterscheiden können? Einige Unternehmen sind in der Lage, massiv in die Sicherheitsarchitektur zu investieren, aber viele nicht. Jedoch gibt es in jedem Unternehmen ein Einfallstor, das konstant bleibt: die Endbenutzer. Diese gehören zu den beliebtesten Angriffszielen für Cyberkriminelle, da sie in der Regel das schwächste Glied in der Sicherheitskette darstellen. Deshalb ist es für Unternehmen jeder Größe grundlegend, dass sie ihre Mitarbeiter umfassend über die verschiedenen Sicherheitsbedrohungen, insbesondere hinsichtlich bösartiger E-Mails und Social Engineering, aufklären. Im Folgenden finden sich E-Mail-Bedrohungen, die für Benutzer am schwierigsten zu erkennen sind.
Kompromittierung von Geschäfts-E-Mails: Identitätsdiebstahl mit Phishing-E-Mails
Hierbei geben sich Cyberkriminelle als eine Person innerhalb eines Unternehmens oder mit engen Verbindungen zu diesem aus. In der Regel sind diese E-Mails so gestaltet, dass sie aussehen, als kämen sie von einem privaten E-Mail-Konto und enthielten eine dringende Aufforderung, um das Opfer zur Herausgabe von Geld, Anmeldeinformationen oder anderen sensiblen Daten zu bewegen. Oft bauen Cyberkriminelle den Hinweis ein, dass die Nachricht von einem mobilen Gerät aus gesendet wurde. Hierdurch ist es wahrscheinlicher, dass der Empfänger Tippfehler oder abnormale Formatierungen als weniger verdächtig empfindet. Denn oft kennen die Opfer die legitimen privaten E-Mail-Adressen ihrer Mitarbeiter oder Vorgesetzten nicht, und wenn der Name in der Kopfzeile und der Signatur korrekt aussieht, stellen sie selten Rückfragen.
Conversation Hijacking: Hacker klinken sich in eine E-Mail-Konversation ein
Diese Art von Angriff erfolgt, nachdem sich Cyberkriminelle bereits Zugang zu einem internen Konto verschafft haben. Sie klinken sich in einen legitimen Konversations-Thread ein, indem sie eine ähnlich aussehende Domäne einrichten und die kompromittierte Partei aus der Konversation entfernen, wodurch der E-Mail-Thread auf den Hacker und sein neues Opfer beschränkt wird. Das Opfer hat bereits eine Beziehung zu einem legitimen Empfänger aufgebaut – dies kann jemand sein, mit dem es regelmäßig E-Mails austauscht, vielleicht sogar jemand, mit dem es telefoniert oder den es persönlich getroffen hat. Manchmal ist der einzige Anhaltspunkt ein sehr feiner Unterschied in der E-Mail-Adresse und/oder der Domäne der kompromittierten Partei. Wenn der Empfänger der bösartigen E-Mail sein Mobilgerät benutzt, abgelenkt ist oder die Adresse des Absenders nicht überprüft, kann er leicht Opfer dieser Art von Angriff werden.
Es gibt zwei Arten von Brand Impersonation: die Service Impersonation und das Brand Hijacking. Bei der Service Impersonation gibt sich ein Hacker als eine häufig genutzte Anwendung aus, um die Benutzer zur erneuten Eingabe von Anmeldedaten oder anderen persönlichen Informationen zu bewegen. Beim Brand Hijacking verwendet ein Hacker eine gefälschte Domain, um sich als seriöses Unternehmen auszugeben. Benutzer haben sich daran gewöhnt, legitime E-Mails von Anwendungen zu erhalten, die sie auffordern, ihre Anmeldedaten erneut einzugeben. Anfragen von Microsoft 365, Amazon und Apple, in denen Benutzer aufgefordert werden, ihre Identität zu bestätigen, ihre Kennwörter zurückzusetzen oder neuen Servicebedingungen zuzustimmen, sind in den Posteingängen vieler Benutzer alltäglich, so dass die meisten nicht zweimal darüber nachdenken, bevor sie auf Links klicken, die sie letztendlich zu Phishing-Seiten führen.
Wie Unternehmen sich gegen E-Mail-Bedrohungen wappnen können
Mitarbeiterschulungen und Security Awareness Trainings: Wenn technische Sicherheitskontrollen nicht ausreichen, liegt es am Benutzer, ob ein E-Mail-Angriff erfolgreich ist. Benutzer sollten deshalb ausführliche Schulungen zu den häufigsten E-Mail-Bedrohungsarten erhalten. Hierzu gehört, wie sie funktionieren, wie man sie identifiziert und wie man sie meldet. Weiterhin sollten Unternehmen ihre Benutzer in der Praxis darin schulen, sicher zu reagieren. Eine Technologie für Security Awareness Trainings ermöglicht es Unternehmen, ihre Benutzer zu testen, Benutzerverhaltensmuster zu analysieren und Einzelpersonen und Abteilungen in bewährten Sicherheitsverfahren zu schulen. Unter Verwendung von Bedrohungsdaten, die von einer Email-Protection-Lösung gesammelt wurden, ermöglicht diese Software Unternehmen, ihre Mitarbeiter realen Angriffen auszusetzen – jedoch ohne die Gefahr einer Datenverletzung, eines Markenschadens und eines finanziellen Verlusts.
Email-Protection-Lösung: Cyberkriminelle sind fähig, E-Mail-Gateways und Spam-Filter zu umgehen. Deshalb ist es wichtig, eine E-Mail-Sicherheitslösung einzusetzen, die Spear-Phishing-Angriffe erkennt und vor ihnen schützt, einschließlich Brand Impersonation, Kompromittierung von Geschäfts-E-Mails und Account Takeover. Zudem sollte die Lösung sich nicht nur auf die Suche nach bösartigen Links oder Anhängen verlassen. Eine Technologie, die mit Hilfe von maschinellem Lernen normale Kommunikationsmuster innerhalb des Unternehmens analysiert, kann Anomalien erkennen, die auf einen Angriff hindeuten könnten.
Implementierung von Schutz gegen Account Takeover: Einige der schädlichsten und überzeugendsten Spear-Phishing-Angriffe werden von kompromittierten internen Konten versendet. Daher sollte eine Sicherheitstechnologie zum Einsatz kommen, die mithilfe von künstlicher Intelligenz erkennt, wenn Konten kompromittiert wurden, und die fähig ist, in Echtzeit Abhilfe zu schaffen, indem sie Benutzer warnt und bösartige E-Mails entfernt, die von kompromittierten Konten gesendet wurden.
E-Mail-Angriffe zählen immer noch zu den größten Bedrohungen für die Unternehmenssicherheit, da Cyberkrimelle hierbei mithilfe von ausgeklügelten Social-Engineering-Taktiken die Endbenutzer ins Visier nehmen. Mit den obengenannten Maßnahmen können sich Unternehmen jedoch gegen die Flut dieser Angriffe adäquat verteidigen und das Risiko eines Sicherheitsverstosses deutlich reduzieren.