Social Engineering: Betrugsmasche enttarnen

August 25, 2019 7:45 pm Veröffentlicht von

So schützen Sie sich vor Angriffen mit Social Engineering

 

Durch Angriffe mit Social Engineering Methoden erleiden Unternehmen häufig große finanzielle Schäden. Dabei können die Angriffe ganz unterschiedlich ausfallen, haben meist aber eine Sache gemein: Die Angreifer sind gut vorbereitet.

Damit Sie ebenfalls gut vorbereitet sind, zeigen wir Ihnen, wie Sie sich und Ihr Unternehmen vor solchen Angriffen schützen können.

 

 

Was ist Social Engineering?

Der Begriff Social Engineering beschreibt eine Gruppe verschiedener Angriffsmethoden. Diese sind in der Regel nicht technisch, sondern funktionieren auf zwischenmenschlicher und psychologischer Ebene. Dabei steht die gezielte Manipulation von potentiellen Opfern im Vordergrund und soll es den Angreifern ermöglichen, Zugang zu Daten, Informationen, Systemen, Räumlichkeiten oder ganzen Gebäuden zu erhalten.

 

Wie funktioniert Social Engineering?

Auch wenn Social Engineering per se nicht technischer Natur ist, werden diese im Kontext mit Angriffen auf Unternehmen häufig mit technischen Angrifssmethoden kombiniert. Dabei ist in der Regel das Social Engineering Mittel zum Zweck.
Beispielsweise werden über Phishing-Mails Mitarbeiter eines Unternehmens dazu bewegt, einen Dateianhang zu öffnen, über welchen Sie ihren Rechner bzw. das Firmennetzwerk mit Malware infizieren.

Des Weiteren übernehmen mittlerweile auch immer häufiger technische Maßnahmen die Rollen eines Menschen. Ein Schädling, der das Email-Postfach eines Mitarbeiters ausspioniert, kann anhand inhaltlicher Hinweise automatisch in bestehende Email-Konversationen eingreifen und eigenständig auf gesendete Emails antworten. Das tückische dabei ist, dass weniger Grund für Misstrauen besteht. Immerhin wird eine Antwort erwartet.

Besonders typisch für Social Engineering Angriffe über Email oder Telefon sind Aufforderungen zur Zahlung von Summen an fremde Konten. Vorwände dafür können vermeintliche Kontoänderungen sein oder angebliche Gründe der Geheimhaltung.
Eine weitere typische Aufforderung ist das Preisgeben von sensiblen Daten. Das können Zugangsinformationen oder sonstige geschäftsrelevante Daten sein.

 

Betrüger sammeln Informationen

Gezielte Angriffe mit Social Engineering geschehen meist über Emails oder Telefonanrufe, mit denen einzelne Mitarbeiter ins Visier genommen werden. Um ihre Attacken so glaubwürdig wie möglich erscheinen zu lassen, sammeln die Betrüger meist über einen bestimmten Zeitraum Informationen über das Unternehmen und den Mitarbeiter, der angegriffen werden soll.

Als lukrative Quelle dienen dabei Inhalte auf den Unternehmenswebseiten sowie soziale Netzwerke. Auf Facebook, LinkedIn und Xing werden persönliche und berufliche Informationen geteilt, die ein Angreifer für seine Manipulation verwenden kann. Die Inhalte auf den Unternehmensseiten geben häufig Auskunft über die Unternehmensstruktur und -hierarchie sowie die Angestellten und ihre Abteilungen. So wissen die Angreifer schnell, an wen sie sich wenden müssen und als welche Person sie sich ausgeben können (Stichwort CEO-Fraud).

Hier sollten sowohl Unternehmen als auch die einzelnen Angestellte darauf achten, welche Informationen sie online preisgeben.

 

Gezielte Manipulation

Für ihre Angriffe nutzen die Betrüger gerne die hierarchischen Strukturen eines Unternehmens aus.
Sie geben sich als Geschäftsführung oder andere im Unternehmen höher positionierte Persönlichkeiten aus. Dabei setzen sie den Mitarbeiter unter Druck, indem sie ihm drohen: Beispielsweise mit den Konsequenzen, die auf den Mitarbeiter zukommen könnten, wenn ein Vorgesetzter informiert werden müsste. Da Mitarbeiter die Hierarchien und festgelegten Strukturen akzeptieren und selten hinterfragen, ist das Risiko eines erfolgreichen Betrugsversuchs groß.

Das betrifft vor allem größere Unternehmen und Konzerne. Kleine und mittlere Unternehmen haben möglicherweise häufiger mit Anrufen oder Emails zu tun, in denen sich die Angreifer als Mitarbeiter des Internetproviders oder IT-Dienstleisters ausgeben.

Zusätzlich werden die Opfer auch unter Zeitdruck gesetzt. Den Anforderungen in der Email muss aus bestimmten Gründen so schnell wie möglich nachgekommen werden. Bei Nichtbefolgung wird auch hier meist mit Konsequenzen gedroht.

Dazu kommt häufig auch ein Vorwand der Geheimhaltung, dem es nachzukommen gilt.

In einigen Fällen gehen die Betrüger soweit, einen bestimmten Mitarbeiter über ein soziales Netzwerk zu befreunden. Über ein gefälschtes Konto wird versucht, Vertrauen aufzubauen. Um das zu tun, suchen sie nach Eigenschaften oder Interessen einer Person, an welche sie anknüpfen können.

Besonders beliebt ist unter den Betrügern dabei, positive menschliche Eigenschaften wie Hilfsbereitschaft auszunutzen oder das Verlangen, ein positives Arbeitsklima zu wahren und Misstrauen zu vermeiden. Viele Angreifer schmeicheln dem Opfer auch. Besonders, wenn sie sich als Führungskräfte ausgeben. Es wird z.B. die bisher ausgezeichnete Arbeit hervorgehoben oder sonstige Komplimente gemacht, um das Opfer auf positivem Wege zum Kooperieren zu bewegen.

 

So schützen Sie sich vor Social Engineering Angriffen

Um sich gegen Angriffe mit Social Engineering schützen zu können, sollten Sie Richtlinien für Ihr Unternehmen aufstellen, in denen festgelegt ist, was beispielsweise bei Emails oder Anrufen mit Zahlungsaufforderungen zu tun ist.

Aber auch unabhängig von Richtlinien und Sicherheitsprotokollen gibt es einige Punkte, die sie zum Schutz vor Betrugsversuchen berücksichtigen sollten:


Emails

  • Vorsicht bei Emails mit Links und Anhängen. Besonders, wenn diese nach der Eingabe von persönlichen Informationen, Zugangsdaten oder das Herunterladen und Öffnen von Dokumenten verlangen.
  • Anstatt auf Links in Emails zu klicken, die z.B. auf ihre Bankingseite führen sollen, geben Sie die Adresse lieber direkt im Browser sein. Bei den Links könnte es sich um Links handeln, die auf eine Phishing-Seite führen.
  • Kontrollieren Sie auch den Absender der Email. Gibt es vertauschte Buchstaben? Wird z.B. ein kleines L durch ein großes I ersetzt?
    Dabei kann es durchaus hilfreich sein, vom genutzten Email-Programm die gesamte Adresse anzeigen zu lassen und nicht nur den Namen des Absenders.
  • Phishing-Seiten erkennen: Phishing-Seiten sehen oft täuschend echt aus. Checken Sie die Adresszeile im Browser und achten Sie auf Ungewöhnlichkeiten. Ist die Seite mit SSL abgesichert und zeigt „https“ in der Adresszeile an?


Anrufe

  • Bei verdächtigen Anrufen: Stellen Sie Rückfragen, die ein Angreifer in die Falle locken könnten. Beispielsweise, indem sie über einen ausgedachten Mitarbeiter sprechen und nach dessen Befindlichkeit fragen.
  • Geben sie am Telefon keine sensiblen Informationen preis.
    Werden Zahlungen verlangt, sollten Sie mit einem Verantwortlichen Rücksprache halten.
  • Nachfragen kostet nichts, auch wenn es unangenehm sein oder als nervig empfunden werden könnte. Ein erfolgreicher Angriffe hingegen kostet ein Unternehmen möglicherweise siebenstellige Summen.


Sonstige Maßnahmen

  • Achten Sie darauf, was Sie im Internet über sich preisgeben. Selbst scheinbar banale Informationen wie Urlaubspläne, Fotos oder Aktivitäten können dazu dienen, Ihre Identität zu stehlen.
  • Auch das Unternehmen selbst sollte darauf achten, welche Informationen es auf seiner Webseite teilt.
  • Sorgen Sie für angemessene IT-Sicherheitsmaßnahmen und halten sie diese stets aktuell. So wird auch bei einem versehentlich geöffneten, schädlichen Dateianhang das Risiko einer Infektion mit Malware verringert.

 

Schulungen helfen beim Erkennen von Gefahren

Lassen Sie Ihre Mitarbeiter regelmäßig schulen und für die Gefahren durch Social Engineering sensibilisieren. Berücksichtigen Sie dabei vor allem die Mitarbeiter, die besondere Berechtigungen und Befugnisse haben. Bei ihnen ist es wahrscheinlicher, dass sie Opfer eines Betrugsversuchs werden.
Simulieren Sie solche Betrugsversuche, um die Reaktionen ihrer Mitarbeiter zu trainieren und zu verbessern.

Ermutigen sie Ihre Mitarbeiter ebenfalls, Fehler einzugestehen. Irrtümer sind menschlich. Wenn ein Mitarbeiter Opfer eines Angriffs wird, sollte er keinen Grund zum zögern sehen, dies sofort mitzuteilen. So kann schnellstmöglich reagiert und größerer Schaden verhindert werden. In diesem Kontext ist es hilfreich, klare Verantwortlichkeiten und zuständige Ansprechpartner festzulegen.

 

IT-Sicherheit rundum sorglos

Niemand kann Experte für alles sein.
Sich neben den im Arbeitsalltag anfallenden Aufgaben auch noch um die Sicherheit und Instandhaltung einer Firmen-IT zu kümmern, ist kaum umzusetzen.

Trotzdem sollten sich keine Sorgen um die Sicherheit und Funktionalität Ihrer IT machen müssen.

Wenn Sie – wie viele kleine und mittelständische Unternehmen – über keine eigene IT-Mitarbeiter verfügen, dann nehmen wir Ihnen diese Sorgen gerne ab.

Wir vom Kastl & Rieter IT-Service wissen nämlich, worauf es in Sachen IT-Sicherheit ankommt.
Deshalb bieten wir IT-Sicherheitsmaßnahmen, Instandhaltung, Betreuung und Beratung aus einer Hand an. Wir übernehmen auch die Schulung ihrer Mitarbeiter, um sie gegen Social Engineering Angriffe und andere Cybergefahren zu wappnen.

 

Rufen Sie uns doch gleich an ( 0221 / 6306 1516 0 ) und vereinbaren Sie einen Beratungstermin. Alternativ können Sie uns auch über unser Kontaktformular eine Nachricht schreiben.

 

Profitieren Sie auch von unserer kostenlosen Sicherheitsanalyse. Mit dieser können Sie herausfinden, wo sich Schwachstellen in Ihrem Netzwerk befinden, sodass diese schnell beseitigt werden können.

Auf unserer Webseite finden Sie außerdem eine größere Übersicht über unsere Leistungen und Serviceangebote.

Sie sind sich nicht sicher, ob wir tatsächlich der richtige Dienstleister für Sie sind?
Schauen Sie sich gerne an, wie wir unseren Kunden schon helfen konnten und hören Sie sich an, was sie über uns zu sagen haben.

 

Wir freuen uns auf Sie!

Ihr Kastl & Rieter IT-Service

 

 

 

Quelle:
https://www.virtual-solution.com/blog/social-engineering/