Social Enginering: So hacken Cyberkriminelle Ihre Psyche

Das größte Einallstor: der Mensch

Hacker haben es längst nicht mehr nur auf die IT-Infrastruktur abgesehen. Im Mittelpunkt ihrer Angriffe stehen mittlerweile die Mitarbeiter von Unternehmen – Social Engineering heißt diese Methode. Wir erklären, warum sie so effektiv ist, und wie Sie sich davor schützen können.

© Feodora via stock.adobe.com

Firewall, Anti-Malware-Software, Patch Management: Wer diese oder andere unerlässliche Systeme und Maßnahmen in seinem Unternehmen implementiert hat, hält sein Business vermutlich für gut geschützt gegen Hackerangriffe. Doch während der Fokus auf Viren, Trojaner und Co. liegt, wird die größte Schwachstelle gerne übersehen – der Mensch. Cyberkriminelle haben sie längt erkannt und ein eigenes „Business“ entwickelt: Social Engineering. Dabei wird nicht die IT-Infrastruktur angegriffen, sondern der Mensch selbst – vom Lagermitarbeiter bis zum CEO sind alle potenzielle Opfer.

Profis manipulieren die Psyche

Amateure hacken Systeme, Profis hacken Menschen“, hat Bruce Schneier, US-Experte für Cybersicherheit einst treffend festgestellt. Denn mit ein wenig psychologischem Know-how lassen sich Menschen leichter manipulieren als IT-Systeme. Dafür nutzen die Hacker menschliche Urinstinkte wie Neugier, Vertrauen, Angst oder Respekt vor Autorität aus – ähnlich wie beim bekannten Enkeltrick oder einem Trickbetrug an der Haustür. (Wie einfach das geht, zeigt dieses Video.) Das Ziel ist dabei immer dasselbe: sensible Daten abzugreifen.

CEO-Fraud: Social Engineering und der Betrug vom Chef

Ein Beispiel für Social Engineering, das aktuell besonders beliebt bei Hackern ist, nennt sich CEO Fraud: Dabei wird ein Mitarbeiter vom vermeintlichen Vorgesetzten per E-Mail angewiesen, große Geldsummen zu überweisen. Eine andere Methode ist der „Quid pro quo“-Angriff. Hierbei gibt sich der Hacker meist telefonisch oder per E-Mail als IT-Administrator aus und bittet einen Mitarbeiter um Zugangsdaten, Dateien, etc., um ein vermeintliches technisches Problem zu lösen. „Vertrauen ist die Schwachstelle, die durch Social Engineering ausgenutzt wird“, hat es der ehemalige Hacker Kevin Mitnick auf den Punkt gebracht.

5 Tipps zum Schutz vor Social Engineering

Um sich vor Social Engineeringzu schützen, bedarf es gewisser Strategien, denn: „Der Mensch ist das einzige System, das nicht gepatcht werden kann“, sagt Kevin Mitnick. Diese 5 Tipps helfen, um die Sicherheitslücke „Mensch“ zu schließen:

1.

Weitergabe von Informationen

Die oberste Regel lautet: Geben Sie keine internen oder vertraulichen Informationen wie Passwörter, Kunden- und Mitarbeiterdaten, etc. weiter – weder per Telefon noch per E-Mail. Eine Möglichkeit ist übrigens, intern mündlich (!) ein monatlich wechselndes Codewort zu vereinbaren, das es zum Anweisen von Transaktionen braucht. Wird das Codewort nicht genannt, wissen Sie sofort, dass man Ihnen eine Falle stellen will.

2.

Lieber einmal mehr nachfragen

Bei ungewöhnlichen Anfragen sollten Sie die Identität und die Berechtigung des Fragenden aufnehmen und nachprüfen. Bis diese nicht sichergestellt ist, gilt Punkt 1.

3.

Nicht anklicken!

Kommt Ihnen der Inhalt einer E-Mail verdächtig vor, laden Sie keine Anhänge runter und öffnen Sie auch nicht mitgeschickte Links. Es könnte sich um eine Pishing-Mail handeln!

4.

Hover-Check

Enthält die eingegangene E-Mail einen Link, fahren Sie generell immer mit der Maus über diesen (das nennt sich auch „hovern“). In der Regel wird dabei unten in der Statusleiste am unteren Fensterrand das Ziel des Links angezeigt. Dies ist der URL, der durch den Klick auf den Link aufgerufen werden würde. Kontrollieren Sie diesen grundsätzlich, bevor Sie klicken. Kommt die Adresse Ihnen merkwürdig vor, gilt Punkt 3.

5.

Security-Schulung

Sie können die Sicherheits-Lücke Mensch in Ihrem Unternehmen nicht durch einen Patch schließen, aber ein Bewusstsein für die Gefahren des Social Engineerings und vieler anderer Risiken und Gefahren sowie deren Abwehr durch Cybersecurity-Schulungen schaffen. LWsystems bietet diese Schulungen übrigens auch an. Infos dazu finden Sie hier.

Es muss nicht immer CEO-Fraud sein …

Folgende Masche des Social Engineerings funktioniert laut Sicherheitsbehörden selbst in gut informierten Unternehmen:

Vorgehen

  • Hacker schicken eine präparierte E-Mail im Namen der Geschäftsführung oder des CFO an die Buchhaltung.
  • In der E-Mail wird darum gebeten, alle Eingangsrechnungen der letzten vier Wochen aufzustellen.

Erstohlenes Wissen

  • Angreifer erhalten eine Übersicht der gelisteten Lieferanten.
  • Sie bekommen ein Gefühl für Höhe von in Rechnung gestellten Leistungen.

Angriff

  • Hacker geben sich per E-Mail als Mitarbeiter eines der Lieferanten aus.
  • Sie erbitten Änderung der gespeicherten Stammdaten, konkret die Änderung der Bankverbindung.

Erfolg

  • Die nächste Lieferantenrechnung gehen auf das Konto der Hacker ein, bis der Betrug auffliegt.
  • Dieser wird in der Regel erst bei Anmahnung offener Rechnungen durch den Lieferanten entdeckt.

Endlich unabhängig werden

WEITERE NACHRICHTEN

  • 03 06/2024
    IT-Angriffe: Diese 5 Mythen begegnen uns immer wieder

    Im Bereich Cybersecurity und -attacken sind Mythen, Binsenweisheiten und Co. schlechte Ratgeber. Diese Mythen halten sich hartnäckig und schaden Unte...

    Weiterlesen
  • 30 04/2024
    Wie Sie mit Mailarchivierung auch Ihre Geschäftsprozesse optimieren

    Die richtige Software zur Mailarchivierung kann mehr als nur Mails rechtskonform archivieren! Mit diesen Tipps optimieren Sie auch Ihre Geschäftsproz...

    Weiterlesen
  • 02 04/2024
    Darum lohnt sich digitale Souveränität für Ihr Unternehmen

    Einfach erklärt: Was bedeutet digitale Souveränität? Wie lässt sie sich umsetzen? Und warum profi-tieren Sie davon?...

    Weiterlesen
  • 07 03/2024
    Social Enginering: So hacken Cyberkriminelle Ihre Psyche

    Die sicherste IT-Infrastruktur nützt nichts, wenn ein Mitarbeiter das Ziel ist. Doch Sie können sich vor Social Engineering schützen! So geht´s...

    Weiterlesen
  • 31 01/2024
    Stress mit Microsoft

    Es gibt 3 Pain Points, auf die jeder Administrator bei Microsoft immer wieder stößt. Die gute Nach-richt: Es gibt eine Lösung!...

    Weiterlesen
  • 02 01/2024
    Für Sie getestet: Wie sicher und datenschutzkonform ist die Android-Variante CalyxOS?

    Wir wollten herausfinden, ob das Betriebssystem CalyxOS hält, was es verspricht: Es soll laut Anbieter besonders datenschutzfreundlich sein. Unser So...

    Weiterlesen
  • 06 12/2023
    Die besten Tech-Gadgets zum Fest

    Vom datenschutzsicheren Handy bis zur elektrischen Miniluftpumpe: Unsere IT-Experten empfeh-len die besten Tech-Geschenke zum Fest!...

    Weiterlesen
  • 01 11/2023
    Erweiterter Spam- und Virenschutz: Lohnt sich ATP für mein Unternehmen?

    Braucht mein Business Virenschutz durch Advanced Threat Protection? IT-Spezialist Ansgar Licher klärt auf. Im Check: Hornetsecurity. Jetzt im Video!...

    Weiterlesen
  • 04 10/2023
    Veränderungen erklären: Die 5 wichtigsten Erfolgsfaktoren, damit Change- und IT-Projekte gelingen

    Läuft Ihr Veränderungs- und IT-Projekt nicht wie geplant? Dann liegt es relativ häufig an der fehlenden oder falschen Kommunikation. 5 Erfolgs-Tipp...

    Weiterlesen
  • 06 09/2023
    Microsoft, Google, Zoom: Bei diesen Plänen der Tech-Giganten schlagen Experten Alarm

    Experten sind derzeit außer sich. Der Grund: Zoom, Microsoft und Google reißen die letzten Schutzwälle der Selbstbestimmung nieder. Das sollten Sie...

    Weiterlesen

NEWSLETTER

Melden Sie sich für unseren informativen Newsletter an.
Jeden 1. Donnerstag im Monat informieren wir Sie über spannende Themen aus der IT-Welt.