Warum ist Social Engineering gefährlich für Sie?
Stellen Sie sich vor, Sie haben Ihr Netzwerk mit den besten Methoden gesichert. Mehr noch, Sie haben Ihre Webanwendungen sorgfältig auf Schwachstellen getestet und alle Schwachstellen beseitigt. Jetzt können Sie ausatmen und sagen: "Ich bin völlig sicher", richtig?
Leider lautet die Antwort "Nein". Sie sind immer noch in Gefahr, weil Sie den heute am weitesten verbreiteten Angriffsvektor - Social Engineering - nicht blockiert haben.
Beim Social Engineering geht es nicht darum, Computer anzugreifen - es geht darum, Menschen anzugreifen und den menschlichen Verstand zu hacken. Wie Statistiken belegen, basieren mehr als 90% der modernen Cyberattacken auf Social Engineering-Techniken oder beinhalten diese.
Warum ist diese Art von Angriffen bei Kriminellen so beliebt? Der Grund dafür ist, dass es viel einfacher und schneller ist als der Angriff auf eine gut gehärtete technische Infrastruktur. Der Einbruch in eine Organisation mit Social Engineering kann so einfach sein wie das Versenden einer E-Mail mit einem infizierten Dokument an Mitarbeiter. Wenn mindestens einer von ihnen auf den Köder klickt, gelangen die Angreifer in Ihr Netzwerk, und Ihre Vermögenswerte sind ihrem dunklen Willen unterworfen.
Auf diese Weise werden Ihre Mitarbeiter zu einem Werkzeug von Cyberkriminellen. Indem sie den Verstand der Menschen beeinflussen, bringen die Täter die Menschen dazu, selbstzerstörerische Handlungen zu begehen, wie die Weitergabe geheimer Informationen, das Ausführen von Malware oder das Ermöglichen des Zugangs zu geschützten Bereichen. Zu diesem Zweck wenden die Angreifer Techniken der Täuschung und psychologischen Manipulation an.
Wie Social Engineers Sie angreifen können
Social Engineering kann in verschiedenen Geschmacksrichtungen auftreten. Hier sind einige heute weit verbreitete Erscheinungen.
Physische Imitation. Stellen Sie sich eine Person vor, die in Ihr Büro kommt, sagt, sie sei Brandinspektorin und müsse einige Überprüfungen vornehmen. In Wirklichkeit handelt es sich jedoch um einen Kriminellen oder Spion, der versucht, Zugriff auf Ihr Vermögen zu erlangen und Informationen zu stehlen, Malware zu installieren oder andere Arten von Schaden anzurichten. Die Täter können sich für jedermann ausgeben - von der Putzfrau bis zum Polizeibeamten, aber ihr Ziel bleibt dasselbe: sich mit böswilligen Absichten physischen Zugang zu Ihren Vermögenswerten zu verschaffen oder vertrauliche Informationen aus Ihren Mitarbeitern herauszuholen.
Phishing. Sie haben diese digitale Form des Social Engineering sicher schon oft erlebt. Es kommt unter dem Deckmantel einer E-Mail von "Ihrer Bank", "Google-Sicherheit", "einer gerichtlichen Vorladung", "DHL", "Ihrem liebsten Freund" und... Sie können die Liste um weitere maßgebliche Stellen erweitern, denen Sie vertrauen. Natürlich sind die E-Mails gefälscht: Wenn Sie sie kaufen und auf einen Link oder eine Datei in der E-Mail klicken, sind Sie gefangen. Phishing zielt darauf ab, Zugangsdaten zu erlangen oder ein Opfer dazu zu bringen, Malware auf seinem Computer zu installieren. Wie immer sind die Hauptwerkzeuge dafür Täuschung und Manipulationstricks.
Spear-Phishing ist eine Subversion des Phishing, die auf eine bestimmte Person, meist einen CEO oder eine andere einflussreiche Person, abzielt. Angreifer sammeln viele Informationen über die Person, bevor sie den Angriff starten, so dass die an das Ziel gesendete bösartige E-Mail sehr plausibel aussieht.
Vishing. Das ist eine Art von Social Engineering, das per Telefon implementiert wird. Die Täter rufen Sie an und versuchen, Sie, indem sie sich als eine Autoritätsperson ausgeben, zu einer selbstschädigenden Handlung zu bewegen. Gewöhnlich geben sie vor, ein "Banksicherheitsdienst" zu sein und bemühen sich, Ihre geheimen Bankinformationen wie PIN und CVV-Code herauszuholen.
Smishing (SMS-Phishing) ist eine weitere berüchtigte Variante des telefonbasierten Social Engineering. In diesem Fall verwenden die Täter SMS und Instant Messenger, um einen bösartigen Link zu versenden oder ein Opfer in andere Arten von bösartigen Aktivitäten zu verwickeln.
All diese Angriffe können verheerende Folgen für das Ziel haben, sei es eine Person oder ein riesiges Unternehmen.
Wie man sich vor Social Engineering-Angriffen schützt
Das Schwierigste am Schutz vor Social Engineering-Angriffen ist, dass sie natürliche Schwachstellen des menschlichen Gehirns ausnutzen. Viele emotionale Reaktionen sind in einem menschlichen Gehirn so verdrahtet, dass sie automatisch ablaufen, so dass ein erfahrener Social Engineer diese Reaktionen - und infolgedessen das Verhalten der Menschen - steuert. Es sieht so aus, als hätte er eine Fernbedienung in der Hand und drücke einfach die Neuro-Knöpfe, bis ein Opfer gefügig wird und böswillige selbstzerstörerische Handlungen begeht. Einige Spezialisten nannten es "Kriminalhypnose".
Ist es möglich, dem Angreifer diese, scheinbar absolute, Macht aus den Händen zu nehmen?
Es ist ziemlich offensichtlich, dass man in den Köpfen seiner Mitarbeiter keine Firewall errichten kann. Aber man kann sie dazu erziehen, Social Engineering-Angriffe zu erkennen und sich effektiv zu wehren. Und wie genau?
In DIESEC haben wir ein spezielles Programm ausgearbeitet, mit dem Sie Ihre Mitarbeiter auf die schnellste und effizienteste Weise schulen können. Um genauer zu sein, umfasst es drei Stufen. In der ersten Stufe wird das Bewusstsein für Social-Engineering-Angriffe geschärft. Die zweite Stufe schafft die Fähigkeit, spezielle Kennzeichen eines Social-Engineering-Angriffs zu definieren. In der dritten Stufe geht es darum, welche Maßnahmen ein Mitarbeiter ergreifen sollte, nachdem er Anzeichen für einen Social-Engineering-Angriff entdeckt hat.
Im Ergebnis werden sich Ihre Mitarbeiter nach unserer Schulung von hilflosen Opfern in ein gut vorbereitetes Team verwandeln, das in der Lage ist, die meisten Social-Engineering-Angriffe erfolgreich abzuwehren und die Vermögenswerte Ihres Unternehmens zu retten.
Kontaktieren Sie uns, um mehr über das
Thema Counter-Social Engineering zu erfahren.
Wir freuen uns über Ihre Nachricht.