Anzeichen für Social Engineering
Obwohl Unternehmen für die neuesten Sicherheitstools und -lösungen viel Geld ausgeben, kommt es in Unternehmen jeglicher Größe immer noch häufig zu Bedrohungen der Cybersicherheit. Ein wichtiger Faktor, der dazu beiträgt ist, dass zahlreiche erfolgreiche Angriffe Nutzer mit Social Engineering-Techniken ausnutzen.
Es ist nicht einmal unbedingt so, dass die Betroffenen die Schuld für Social Engineering tragen. Die Angreifer setzen raffinierte psychologische Tricks ein, um die Zielpersonen dazu zu bringen, bestimmte Aktionen auszuführen oder sensible Informationen preiszugeben. Der beste Weg, Social Engineering zu bekämpfen, besteht darin, das Bewusstsein für die Taktiken der Hacker zu fördern. Dieser Artikel soll Ihnen und Ihren Mitarbeitern helfen, einige der wichtigsten Anzeichen für Social Engineering-Angriffe zu erkennen.
Wie verbreitet ist Social Engineering?
Um die Herausforderungen zu verdeutlichen, die sich Unternehmen im Umgang mit Social Engineering stellen, sind nachfolgend einige nützliche Zahlen aufgeführt:
● 70-90 Prozent der Datenschutzverletzungen beinhalten eine Social-Engineering-Komponente im Angriff
● Ein durchschnittliches Unternehmen wird jedes Jahr von 700 Social-Engineering-Angriffen heimgesucht
● 75 Prozent der Cybersicherheitsexperten halten Social Engineering für die gefährlichste Bedrohung
Diese Übersicht macht deutlich, wie erfolgreich und weit verbreitet Social Engineering in Form einer Cyber-Bedrohung wirklich ist. Dies erfordert eine ständige Sensibilisierung der Betroffenen, um die frühen Anzeichen von Angriffen zu erkennen.
5 Anzeichen für Social Engineering
Die folgende Liste erhebt keinen Anspruch auf Vollständigkeit, ist aber ein guter Anhaltspunkt, um die Nutzer zum Nachdenken anzuregen, damit sie nicht Opfer eines Social Engineering Angriffes werden.
1. Anfragen, die nicht alltäglich sind
Einer der heikelsten Aspekte des Social Engineering ist, wie fortschrittlich es geworden ist. Hacker brechen manchmal in ein bestimmtes geschäftliches E-Mail-Konto ein, um betrügerische Aktivitäten zu initiieren. In einem aktuellen Fall hat Europol eine Bande auffliegen lassen, die Betrug in Höhe von 38 Millionen Euro begangen hatte. Bei den Angriffen wurden E-Mail-Konten von Unternehmen geknackt und dann E-Mails an die Finanz- oder Buchhaltungsabteilungen geschickt, um betrügerische Überweisungen zu veranlassen. Eine der wichtigsten Lehren, die man daraus ziehen kann, ist, dass man bei Anfragen, die ungewöhnlich erscheinen, vorsichtig sein sollte. Selbst wenn eine Anfrage von einer E-Mail-Adresse kommt, mit der Ihre Benutzer schon dutzende Male kommuniziert haben, hilft ein direkter Anruf bei dieser Person, um zu überprüfen, ob es sich um eine legitime Anfrage handelt. Wenn es um große Geldsummen geht, lohnt es sich, bei seltsamen oder unerwarteten Anfragen besonders vorsichtig zu sein.
2. Das Gefühl der Dringlichkeit
Das Erzeugen von Dringlichkeit ist ein klassischer psychologischer Trick, der bei vielen Social Engineering-Angriffen eine wichtige Rolle spielt. Betrüger versuchen, ihre Nachrichten mit der Absicht zu verschicken, das Opfer dazu zu bringen, sofort zu handeln, weil sie einen potenziellen finanziellen, persönlichen oder beruflichen Schaden befürchten oder um ein dringendes Problem zu lösen. Ein Beispiel für diese Art von Taktik ist, wenn eine Zielperson eine E-Mail vom IT-Support erhält, in der es heißt, dass sie dringend Zugang zu ihrer Anwendung oder Workstation benötigt, um ein Problem zu beheben. Der Benutzer gibt sein Passwort preis, ohne wirklich darüber nachzudenken, da die E-Mail dringend ist und unter hohem Druck steht. Die intuitive Natur der Dringlichkeit, kombiniert mit psychologischen Tricks, macht dies zu einem schwer zu erkennenden Zeichen von Social Engineering. Generell sollten die Benutzer jedoch immer zweimal über die Legitimität der Quelle einer E-Mail nachdenken, unabhängig davon, wie dringend die Anfrage zu sein scheint oder wie seriös die Quelle erscheint. Raten Sie Ihren Mitarbeitern, sich bei dringenden Anfragen ein paar Minuten mehr Zeit zu nehmen, um die Dinge zu überdenken, egal von wem sie kommen.
3. Verlockende Angebote
Menschen mit verlockenden Angeboten zu locken, ist eine ziemlich gewagte, aber sehr effektive Social-Engineering-Taktik. Eine offensichtliche Wahl ist es, den Leuten zu sagen, dass sie einen Preis gewonnen haben, und sie auf eine betrügerische Website zu leiten. Die meisten Angestellten lassen sich jedoch wahrscheinlich nicht von den offensichtlichen Lockangeboten täuschen; diese Techniken funktionieren eher bei älteren oder anfälligeren Bevölkerungsgruppen. Verlockende Angebote können aber auch in einem beruflichen Umfeld funktionieren. Ein Angestellter sieht zum Beispiel einen tollen Rabatt für ein nützliches Werkzeug oder eine Zertifizierung, die seine Karriere fördert. Der Rabatt führt ihn jedoch auf eine betrügerische Website, die heimlich Malware auf seinem Laptop oder Arbeitsplatzrechner installiert. Eine gute Faustregel für E-Mails oder Texte mit Angeboten lautet: Wenn etwas zu gut aussieht, um wahr zu sein, ist die Wahrscheinlichkeit groß, dass Social Engineering im Spiel ist.
4. Unerwartete Verifizierungsanfragen
Da sich viele Best-Practice-Ratschläge zur Cybersicherheit auf die Multi-Faktor-Authentifizierung konzentrieren, sind die Menschen daran gewöhnt, Aufforderungen zur Verifizierung ihrer Identität zu erhalten. Oftmals werden diese Verifizierungsanfragen in Form von Einmalcodes per E-Mail oder SMS verschickt. Hacker machen sich die Gemeinsamkeiten der Multi-Faktor-Authentifizierung und anderer Verifizierungsmethoden zunutze und integrieren diese in ihre Social-Engineering-Taktiken. Eine häufig anzutreffende Taktik besteht darin, die Zielpersonen aufzufordern, ihre Daten zu verifizieren, indem sie auf einen Link klicken, der legitim erscheint, die Zielperson aber in Wirklichkeit auf eine betrügerische Website weiterleitet.
5. Schlechte Grammatik oder Rechtschreibung
Schlechte Grammatik oder Rechtschreibung sind die Kennzeichen vieler minderwertiger Social Engineering-Angriffe. Es stimmt zwar, dass diese Angriffe eine geringere Erfolgswahrscheinlichkeit haben, aber wenn man auf schlechte Grammatik oder häufige Tippfehler achtet, kann man die Anzeichen für einen bevorstehenden Social-Engineering-Angriff leicht erkennen. Die Alarmglocken sollten auf jeden Fall läuten, wenn E-Mails, die vorgeben, von Unternehmen oder Berufsverbänden zu stammen, grundlegende Fehler enthalten. Diese Organisationen verfügen über die Ressourcen, um kompetente E-Mail-Autoren einzustellen und zu überprüfen, dass ihre Kundenkommunikation keine Fehler enthält.
Testen Sie Ihre Social Engineering Kenntnisse
Wir von DIESEC sind uns bewusst, wie groß die Gefahr von Social Engineering für heutige Unternehmen ist. Deshalb testen wir die Social-Engineering-Bereitschaft Ihres Unternehmens und passen die Benutzerschulung und das Bewusstsein auf der Grundlage der Ergebnisse an. Unser Expertenteam führt Social-Engineering-Tests unter realen Bedingungen durch und nutzt dann die Ergebnisse, um das Bewusstsein für Social Engineering zu stärken.