Sieben Tricks, auf die Mitarbeiter nicht hereinfallen sollten

Autor/Redakteur: Autor: Kurt Kraus, StorageCraft Technologie GmbH/gg

Internetbetrüger, insbesondere die sogenannten Social Engineers, arbeiten mit einer Vielzahl von Techniken, um das potenzielle Opfer davon zu überzeugen, Anmeldeinformationen und andere sensible Daten preiszugeben. Während traditionelle Hacker in der Regel mit bestimmten Softwarelösungen agieren, arbeiten Social Engineering-Scammer mit reiner Psychologie. Um sich dagegen zu wappnen, muss man sich nur an den Ratschlag seiner Mutter erinnern, nicht mit Fremden zu reden.

Wer bei der Nutzung sozialer Medien diese uralte Sicherheitsstrategie befolgt und mit den vertraulichen Angaben zu seiner Person zurückhaltend umgeht, macht schon viel richtig. Trotzdem sollten Unternehmen und Arbeitgeber ihre Mitarbeiter über die nachstehenden Tricks von „Bösewichtern“ aufklären, damit durch die Unachtsamkeit eines Einzelnen ein ganzes Firmennetzwerk in die Hände von Hackern gerät.

  1. Phishing

Eine beliebte Vorgehensweise sind Phishing-Mails. Ein sogenannter Scammer sendet eine E-Mail, die auf den ersten Blick von PayPal oder einer anderen legitimen Quelle zu kommen scheint. Auf diese Art und Weise will der Betrüger den Empfänger davon zu überzeugen, vertrauliche Informationen preiszugeben, um diese im Anschluss für betrügerische Aktionen oder einen weitreichenden Identitätsmissbrauch zu nutzen.

Um sich dagegen zu schützen sollten die Empfänger solcher Mails auf verdächtige Anhänge, Mails, widersprüchliche URLs oder eine vorgeschobene Dringlichkeit achten. Anhänge enthalten oft gefährliche Dateien, die, wenn sie ausgeführt werden, ihre Inhalte auf den Computer laden. Es gibt auch Phishing-Mails, die auf eine Webseite verweisen, auf der Anmeldeinformationen abgefragt werden – bei so etwas sollten beim Empfänger sämtliche Alarmglocken klingeln. Es kommt vor, dass Links, die korrekt erscheinen, ebenfalls zu einer Betrüger-Domain führen. Das lässt sich aber leicht entlarven, indem man mit der rechten Maustaste über den Link fährt und die Ursprungs-Domin sieht. Fatal wäre es auch, auf Mails hereinzufallen, in denen harte Konsequenzen aufgeführt werden, für den Fall, dass man nicht unmittelbar reagiert.

  1. Tailgating

Nicht alle Angriffe werden von einem Computer oder mobilen Geräte aus initiiert. Beim Tailgaiting etwa, das man auch als Huckepackübertragung bezeichnet, probiert der Angreifer, physischen Zugriff auf ein Unternehmen zu erhalten, indem er die Zugangsdaten eines anderen benutzt. Beispielsweise könnte der Betrüger versuchen während der Mittagspause Anschluss zu bekommen, um danach mit ins Firmengebäude zu gelangen – und zwar ohne eigene Zugangskarte. Tailgating setzt dabei auf die Freundlichkeit, denn wer würde schon jemandem die Tür vor der Nase zuschlagen, nur, weil er seine Firmenkarte vergessen hat? Und ist der Tailgater erst einmal im Gebäude, sind vor allem kleine Unternehmen mit laxen Sicherheitsvorkehrungen gefährdet.

  1. Planted Media

Dieser Trick mutet zunächst harmlos an: Auf dem Parkplatz liegt ein USB-Stick und es gibt sicherlich jemanden, der ihn mitnimmt. An seinem Arbeitsplatz angekommen steckt er diesen dann in seinen Computer, ohne zu bemerken, dass im Hintergrund ein Computervirus geladen wird, der sich in Windeseile auf alle an das Netzwerk angeschlossenen Geräte ausbreitet.  Auch wenn es absurd klingt, die Neugier der Menschen ist ein großer Antrieb und deshalb sollten die Unternehmen ihre Mitarbeiter entsprechend sensibilisieren und hinsichtlich der Risiken schulen.

  1. Whaling

Whaling oder auch whale hunting (Waljagd) funktioniert ähnlich wie das Phishing, zielt aber unmittelbar auf die Führungskräfte des Unternehmens ab. So setzt sich ein Hacker beispielsweise mit einem IT-Manager in Verbindung und gibt vor, ein vertrauenswürdiger Anbieter zu sein. Dann schickt er meist einen Link, über den Kontodetails zu aktualisieren oder eine Rechnung einzusehen ist. Im Worst Case lässt sich die Führungskraft vom professionellen Design und einem bekannten Logo blenden und gibt seine Daten preis.