Wir zeigen Ihnen, warum das keine gute Idee ist.

Eine der effektivsten Methoden, ein Konto zu hacken, ist Social Engineering oder Social Hacking. Diese Taktik wird auch als “Prinzip der Sympathie” bezeichnet und besagt, dass Menschen eher dazu neigen, jemandem zu vertrauen, den sie physisch kennen, obwohl sie dessen Absichten kennen. Zu diesen manipulativen Absichten können Identitätsdiebstahl, die Weitergabe persönlicher Informationen oder das Löschen von Daten in Computersystemen gehören.

“Diese Daten werden oft von Hackern verwendet, um Social Engineering durchzuführen.“

Social Engineers verwenden verschiedene Tricks, um Zugang zu sensiblen Informationen zu erhalten und die Konten ihrer Opfer zu sichern. Es gibt einige einfache Möglichkeiten, wie dieses Ziel erreicht werden kann, indem Tools verwendet werden, die online zu finden sind. Diese Tools wurden aber nur zu einem einzigen Zweck entwickelt – um Ihre Daten zu stehlen! Beispiele für solche Software sind picsay pro , pixlr express.
Einer der häufigsten Fehler von Website-Betreibern ist die Angabe der vollständigen Namen und Telefonnummern ihrer Mitarbeiter auf der Kontaktseite. Die meisten von ihnen sind sich nicht bewusst, wie gefährlich dies sein kann, da Hacker diese Daten nutzen könnten, um Social-Engineering-Angriffe gegen Unternehmensvertreter durchzuführen.

Was bedeutet Social Engineering?

Social Engineering (kurz SE) – eine Angriffsart, die darauf abzielt, Menschen zu manipulieren, damit sie Handlungen ausführen oder vertrauliche Informationen preisgeben.
Anders als bei Penetrationstests, bei denen das Hauptziel darin besteht, in das/die Zielsystem(e) einzudringen, zielen Cyberkriminelle hier darauf ab, wertvolle Informationen von den Mitarbeitern des Unternehmens (in der Regel über die Geschäftsführung) zu erhalten. Bei dieser Methode werden die Mitarbeiter:innen oft dazu gebracht, gegen die Sicherheitsrichtlinien ihres Unternehmens zu verstoßen, indem sie angerufen oder eine E-Mail gesendet bekommen, in der sich jemand als Person ausgibt, die es real nicht gibt.

Durch die Veröffentlichung der vollständigen Kontaktdaten auf ihrer Website machen die Inhaber von z.B. E-Commerce-Geschäften den ersten entscheidenden Schritt, um Hackern die Möglichkeit zu geben, Social-Engineering-Angriffe gegen sie durchzuführen. Auf diese Weise können Cyberkriminelle Mitarbeiter dazu bringen, sie zurückzurufen, nachdem sie beispielsweise behauptet haben, dass es ein Problem mit ihrer Bestellung gegeben hat. Auch geben sich die Hacker als Geschäftsführer aus und versuchen über diesen Weg Mitarbeitende zu bestimmten Handlungen zu überreden z.B. Geld aus einer bestimmten vorher fingierten Rechnung an eine andere Bankverbindung zu überweisen (oder “zurück zu Erstatten”).

Sobald ein Mitarbeiter:in erreicht wurde, der sich der SE-Methoden nicht bewusst ist, ist es für sie viel einfacher, an zusätzliche Informationen wie Kreditkartennummern oder Ausweise zu gelangen. Das Hacken von Unternehmen mit dieser Methode ist einfacher als man denkt, da Social-Media-Plattformen wie LinkedIn Zugang zu den vollständigen Namen, E-Mails und Telefonnummern der Mitarbeiter bieten.
Die beste Möglichkeit für Unternehmen, sich vor SE-Angriffen zu schützen, ist die Entfernung persönlicher Informationen von ihrer Website. Nur die Position der Kontaktperson sollte zusammen mit ihrer E-Mail-Adresse sichtbar sein. Telefonnummern sollten immer hinter einem Kontaktformular versteckt werden, bei dem die Nutzer ein Captcha ausfüllen müssen, bevor sie sie preisgeben können. Auf diese Weise wird sichergestellt, dass Webbesucher nicht auf sie zugreifen können, ohne vorher mit Ihrem Unternehmen Kontakt aufzunehmen. Außerdem müssen alle Mitarbeiter über diese Art von Angriffen informiert werden, damit sie wissen, worauf sie achten müssen und wie sie verdächtiges Verhalten erkennen können. Angesichts der zunehmenden Social-Engineering-Angriffe müssen nicht nur Online-Shops alle möglichen Vorsichtsmaßnahmen ergreifen, um die Daten ihrer Kunden zu schützen und zu verhindern, dass Hacker an geschäftsbezogene Informationen gelangen.         

Wie sieht ein Social Engineering-Angriff aus?

E-Mail von einem „Freund“

Wenn es einem Kriminellen gelingt, das E-Mail-Passwort einer Person zu hacken oder zu manipulieren, hat er Zugriff auf die Kontaktliste dieser Person – und da die meisten Menschen überall das gleiche Passwort verwenden, hat er wahrscheinlich auch Zugriff auf die Kontakte dieser Person in sozialen Netzwerken.

Sobald der Kriminelle das E-Mail-Konto unter seiner Kontrolle hat, sendet er E-Mails an alle Kontakte der Person oder hinterlässt Nachrichten auf den sozialen Seiten aller Freunde der Person und möglicherweise auch auf den Seiten der Freunde der Person.

Unternehmen stellen Fotos ihrer Mitarbeiter mit deren vollem Namen online und leisten damit Identitätsdiebstahl und Social Engineering Vorschub.

Einer Bitkom Studie hat ergeben, dass die Praxis, Fotos und vollständige Namen von Mitarbeitern unter ihrem Titel auf  Unternehmens-websites zu platzieren, kontraproduktiv sein kann.

Die Begründung für diese Praxis lautet oft: “Wir wollen, dass die Menschen dem Namen ein Gesicht zuordnen können” oder “Wir wollen, dass jeder ansprechbar ist”. Diese Art der Personalisierung untergräbt jedoch die Professionalität der eigenen Website und lässt sie eher wie Facebook als wie eine offizielle Unternehmenswebsite wirken.

Social-Engineering-Angriffe im Jahr 2021

Der jüngste ISACA-Bericht “State of Security 2021, Part 2” (eine Umfrage unter fast 3.700 globalen Cybersicherheitsexperten) hat ergeben, dass Social Engineering die Hauptursache für die Kompromittierung von Unternehmen ist, während der vierteljährliche Threat Trends and Intelligence Report von PhishLabs einen 22-prozentigen Anstieg des Volumens von Phishing-Angriffen in der ersten Hälfte dieses Jahres im Vergleich zum gleichen Zeitraum im Jahr 2020 festgestellt hat. Auch der Data Breach Investigations Report 2021 von Verizon hebt Social Engineering als häufigste Angriffsmethode bei Datenschutzverletzungen hervor und stellt fest, dass 85 % der Angriffe in irgendeiner Weise das menschliche Element der Cybersicherheit ausnutzen. Jüngste Untersuchungen von Gemini haben auch gezeigt, wie Cyberkriminelle Social-Engineering-Techniken einsetzen, um bestimmte Sicherheitsprotokolle wie 3D Secure zu umgehen und Zahlungsbetrug zu begehen.

Die neun häufigsten Beispiele für Social Engineering sind:

Phishing: Die Taktik umfasst betrügerische E-Mails, Websites und Textnachrichten, um Informationen zu stehlen.
Spear Phishing: E-Mails werden verwendet, um gezielte Angriffe auf Einzelpersonen oder Unternehmen auszuführen.

Baiting: Ein Online- und physischer Social-Engineering-Angriff, bei dem dem Opfer eine Belohnung versprochen wird.

Malware: Den Opfern wird vorgegaukelt, dass Malware auf ihrem Computer installiert ist und dass die Malware entfernt wird, wenn sie bezahlen.

Pretexting: Verwendet eine falsche Identität, um die Opfer zur Herausgabe von Informationen zu verleiten.
Quid Pro Quo: beruht auf einem Austausch von Informationen oder Dienstleistungen, um das Opfer zu einer Handlung zu bewegen.

Tailgating: setzt auf menschliches Vertrauen, um dem Kriminellen physischen Zugang zu einem sicheren Gebäude oder Bereich zu verschaffen.

Vishing: dringende Sprachnachrichten überzeugen die Opfer, dass sie schnell handeln müssen, um sich vor Verhaftung oder anderen Risiken zu schützen.

Water-Holing: ein fortgeschrittener Social-Engineering-Angriff, bei dem sowohl eine Website als auch deren Besucher mit Malware infiziert werden.

Wie kann man die von den Angestellten gestohlenen und zu psychologischen Problemen führenden Identitätsdiebstähle identifizieren?

Es ist sehr wahrscheinlich, dass die Identität von den Mitarbeitern gestohlen werden kann und zu psychologischen Problemen führt, weil sie sich aufgrund des Identitätsdiebstahls nicht mehr sicher fühlen.
Deshalb ist es so wichtig, dass die Unternehmensleitung ihre Mitarbeiter im Hinblick auf den Umgang mit personenbezogenen Daten besonders sensibilisiert, insbesondere wenn sie mit sensiblen Daten wie der Sozialversicherungsnummer oder der Adresse eines Mitarbeiters arbeiten.

Darüber hinaus sollte der Arbeitgeber seine Mitarbeiter über bewährte Praktiken im Umgang mit sensiblen Daten aufklären und ihnen mitteilen, welche Folgen ein Verstoß gegen die Vorschriften haben kann. Wenn dies geschieht, wird es höchstwahrscheinlich keine psychologischen Probleme bei den Mitarbeitern geben, die ihre Identität preisgegeben haben.

Eine dieser häufigsten Praktiken ist der Identitätsdiebstahl in Unternehmen, bei dem Mitarbeiter Informationen über ihre Kunden stehlen und sie für Betrügereien verwenden. Sie können diese Informationen dann verkaufen oder sogar verlangen, dass die Kunden sie direkt dafür bezahlen. Innerhalb von Unternehmens hat nicht nur der Identitätsdiebstahl zugenommen, sondern auch die Produktivität aufgrund der psychischen Belastung abgenommen.

5 Tipps zur Abwehr von Social Engineering

1. Sensibilisieren Sie und schaffen Sie ein Bewusstsein, wenn es um die Sicherheit von Daten oder des Unternehmens-Know-How geht.
Stellen Sie sicher, dass Sie über ein umfassendes Schulungsprogramm zum Sicherheitsbewusstsein verfügen, das regelmäßig aktualisiert wird, um sowohl den allgemeinen Phishing-Bedrohungen als auch den neuen gezielten Cyber-Bedrohungen zu begegnen. Denken Sie daran, dass es hier nicht nur um das Anklicken von Links geht.

2. Bieten Sie den wichtigsten Mitarbeitern eine detaillierte Informationsveranstaltung über die neuesten Online-Betrugstechniken an.
Dazu gehören natürlich auch leitende Angestellte, aber auch alle, die befugt sind, Überweisungen oder andere Finanztransaktionen vorzunehmen. Denken Sie daran, dass viele der wahren Betrugsfälle von Mitarbeitern der unteren Ebene begangen werden, die glauben, dass eine Führungskraft sie bittet, eine dringende Aktion durchzuführen – in der Regel unter Umgehung der normalen Verfahren und/oder Kontrollen.

3. Überprüfung der bestehenden Prozesse, Verfahren und Aufgabentrennung für Finanztransfers und andere wichtige Transaktionen.
Fügen Sie, falls erforderlich, zusätzliche Kontrollen hinzu. Denken Sie daran, dass die Aufgabentrennung und andere Schutzmaßnahmen irgendwann durch Insider-Bedrohungen beeinträchtigt werden können, so dass die Risikoprüfungen angesichts der erhöhten Bedrohungen möglicherweise neu analysiert werden müssen.

4. Erwägen Sie neue Richtlinien in Bezug auf Transaktionen, die außerhalb der Bandbreite liegen, oder dringende Anfragen von Führungskräften.
Eine E-Mail vom Gmail-Konto des Vorstandsvorsitzenden sollte bei den Mitarbeitern automatisch eine rote Fahne auslösen, aber sie müssen die neuesten Techniken der dunklen Seite verstehen. Sie brauchen autorisierte Notfallverfahren, die von allen verstanden werden.

5. Überprüfen, verfeinern und testen Sie Ihre Systeme zur Verwaltung von Vorfällen und zur Meldung von Phishing-Fällen.
Führen Sie regelmäßig eine Übung mit der Geschäftsleitung und den wichtigsten Mitarbeitern durch. Testen Sie Kontrollen und untersuchen Sie potenzielle Schwachstellen.

Wie Sie sich selbst schützen können:

Löschen Sie alle Anfragen nach finanziellen Informationen oder Passwörtern. Wenn Sie aufgefordert werden, auf eine Nachricht mit persönlichen Daten zu antworten, handelt es sich um einen Betrug.

Lehnen Sie Hilfeanfragen oder Hilfsangebote ab. Seriöse Unternehmen und Organisationen kontaktieren Sie nicht, um Ihnen Hilfe anzubieten. Wenn Sie den Absender nicht ausdrücklich um Hilfe gebeten haben, sollten Sie jedes Angebot, Ihnen bei der Wiederherstellung Ihrer Kreditwürdigkeit, der Refinanzierung einer Immobilie, der Beantwortung Ihrer Fragen usw. zu helfen, als Betrug betrachten. Wenn Sie eine Bitte um Hilfe von einer Wohltätigkeitsorganisation erhalten, zu der Sie keine Beziehung haben, sollten Sie diese löschen. Suchen Sie selbst nach seriösen Wohltätigkeitsorganisationen, um nicht auf einen Betrug hereinzufallen.

Nutzen Sie einen externen Spamfilter. Jedes E-Mail-Programm verfügt zwar über Spam-Filter, diese sind in der Regel aber bei weitem nicht so Leistungsfähig wie ein externer Filter. Denken Sie daran, Ihren Spam-Ordner regelmäßig zu überprüfen, um festzustellen, ob dort versehentlich legitime E-Mails gelandet sind.

Sichern Sie Ihre lokalen Computergeräte. Installieren Sie Antivirensoftware, Firewalls und E-Mail-Filter und halten Sie diese auf dem neuesten Stand. Stellen Sie Ihr Betriebssystem so ein, dass es automatisch aktualisiert wird, und wenn Ihr Smartphone nicht automatisch aktualisiert wird, aktualisieren Sie es manuell, sobald Sie eine entsprechende Aufforderung erhalten.  Verwenden Sie ein Anti-Phishing-Tool, das von Ihrem Webbrowser oder einem Drittanbieter angeboten wird, um Sie vor Risiken zu warnen.

Wir haben die Möglichkeit eine Phishing Awareness-Kampagne zu starten. Falls bei Ihnen Interesse an unserer Dienstleistung haben, finden Sie hier alle nötigen Informationen.

Bei einer Phishing Awareness-Kampagne erhalten Ihre Mitarbeitenden fingierte E-Mails die Branchenspezifisch konzipiert sind. Diese Mails sollen dazu verleiten, dass Passwörter oder Informationen herausgegeben werden. Klickt der User auf einen fingierten Link, kommt er automatisch auf ein Schulungsvideo oder Lerninhalte. Sensibilisierung direkt in der Praxis.

Kontaktieren Sie uns unter buero@dedata.de oder Tel: +49 561 316 858 9