Sysbus
ArtikelSecurity

Sieben Tricks, auf die Mitarbeiter nicht hereinfallen sollten

gg

Weil über Führungskräfte oft noch mehr zu holen ist, bereiten Whaling-Hacker ihren Angriff mit viel Mühe zu. Sie besorgen sich die Daten aus Google-Suchen, Profilen in den sozialen Medien und von Kollegen. So können sie einen ausgeklügelten Angriff starten, von dem sich sogar IT-erfahrene Führungskräfte täuschen lassen, egal wie vertraut sie mit Sicherheitsvorkehrungen sind.

  1. Erpressung

Erpressung im Internet geht oft mit einer Kombination aus Phishing und Malware beziehungsweise Ransomware einher. So empfängt ein Mitarbeiter beispielswiese eine E-Mail, in der hohe Strafen oder sogar Strafverfolgung angedroht werden, wenn er nicht den Anweisungen des beigefügten Dokuments Folge leistet. Durch den Klick auf das entsprechende Dokument wird, ohne dass er es merkt, eine Ransomware auf seinem Computer installiert. Dieselbe Ransomware wiederum droht dann damit, Dateien zu löschen, wenn er nicht ein bestimmter Betrag überwiesen wird. Ransomware ist inzwischen derart effizient, dass man ihr oft nur mit einer guten Backup- und Business Continuity-Lösung begegnen kann.

  1. Quid pro quo

Quid pro quo ist der lateinische Begriff für ‚dies für das‘ und genau so funktioniert auch dieser Social Engineering-Trick. Ein Angreifer tarnt sich dabei beispielsweise als IT-Support-Mitarbeiter und bietet einen vermeintlich attraktiven Ausgleich für wertvolle Informationen an. Ein Betrüger wird in Vorbereitung für einen solchen Angriff in einem Unternehmen so lange wahllos verschiedene Telefonnummern anrufen, bis er einen Mitarbeiter erwischt, der essentielle Probleme hat. Dann wird er versuchen, dem Mitarbeiter die Zugangsdaten zu entlocken und ihn davon überzeugen, dass Veränderungen vorgenommen werden müssen, um Schwachstellen in der Netzwerk-Sicherheit zu beheben.

Quid pro quo ist nicht nur gefährlich, sondern entlarvt auch, wie hoch das Sicherheitsbewusstsein einer Organisation ist und wie integer ihre Mitarbeiter sind. Erschreckenderweise funktioniert dieser Trick überraschend oft, wenn der Betrüger angeblich wichtige Untersuchungen für eine gute Sache durchführt. Er befragt die Mitarbeiter so geschickt, dass sie für ein paar Hundert Euro oder das neueste iPhone vertrauliche Informationen über ihren Vorgesetzten preisgeben.

  1. Umgekehrtes Social Engineering

In der Regel erfolgt das sogenannte Social Engineering per E-Mail. Es gibt aber auch Betrüger, die das Telefon bevorzugen. In einem Telefonat gibt der Angreifer vor, er wolle dem potenziellen Opfer helfen, ein Problem zu lösen. Dafür ruft der Betrüger zum Beispiel wahllos einen Konsumenten an und gibt vor, ein Supportmitarbeiter eines Unternehmens oder sogar eines „Global Players“ zu sein, das Antiviren-Software vertreibt. Während des Anrufs erbittet er den Remotezugriff auf den Computer des Angerufenen, um eine angebliche Malware-Infektion genauer zu untersuchen. Faktisch aber nutzt er den Zugang, um Scamware zu installieren, die dann die Behauptung unterstützt, dass Malware auf dem Computer gefunden wurde. Dann bietet er an, diese gegen die Zahlung einer entsprechenden Summe wieder zu entfernen. Auch wenn das nicht unseriös klingt, bedenken Sie, dass ein ehrliches Unternehmen niemals wegen eines angeblichen Malware-Angriffs anrufen würde.

Vertrauen ist gut – Aufklärung ist besser

Auch mit den modernsten Sicherheitsvorkehrungen und den strengsten Vorgaben in Bezug auf den Schutz der Systeme, lassen sich IT-System nie vollständig schützen. Ein gutes Backup und Disaster Recovery ist meist die einzige Rettung im Ernstfall. Fakt ist aber auch, dass eine Infrastruktur, unabhängig davon, welche Mechanismen man auch implementiert, niemals so angreifbar ist wie der Anwender – der Mitarbeiter. Wenn ein Mitarbeiter aber regelmäßig über neue Bedrohungen informiert und den Umgang mit ihnen geschult wird, haben es Betrüger wesentlich schwerer, ein Unternehmensnetzwerk zu hacken.

Ähnliche Beiträge:

  1. Clevere Passwortdiebe
  2. Social Engineering: Mit diesen Tricks bewegen Hacker uns zum “Klick”
  3. KMU im Fadenkreuz der Cyber-Kriminellen: Sieben Schritte zur Verbesserung der Cyber-Sicherheit
  4. Vom Kunden zum Mitbewerber: Wie Unternehmen des Finanzsektors den wichtigsten Bedrohungen begegnen sollten

Das könnte dir auch gefallen

DRACOON und Teamwire bieten DSGVO-konformen Messenger und Filesharing für höchste Sicherheitsanforderungen

gg

Leaks bei Twitter und LinkedIn: Woher weiß man, dass Mitarbeiter und Kunden nach einem Sicherheitsvorfall die richtigen Maßnahmen treffen?

gcg

Eigene Daten verschlüsseln, Viren draußen lassen

gcg
Die mobile Version verlassen
%%footer%%