Social Engineering: Schwachstelle Mensch

Nicht in jeder Situation im Leben, aber immer öfters, ist der Mensch eine Schwachstelle seiner Selbst. Besonders ältere Menschen oder gutgläubige Menschen lassen sich zu Sachen verleiten, die sie gar nicht wollen. Im Fachjargon spricht man heute von Phishing, eine Mischung aus Password Harvesting und Fishing oder das immer mehr aufkommende Social Engineering. Während Phishing mehrheitlich automatisiert via gefälschten Emails an die Opfer gelangt, wird im Social Engineering gezielt der persönliche Kontakt zu den Opfern gesucht um diese zu manipulieren.

Das schwächste Glied der Sicherheitskette

Der Mensch ist von Natur aus gutgläubig. Die zunehmende Digitalisierung zwingt uns immer mehr alle unsere persönlichen Daten doppelt und dreifach zu schützen, mit Hilfe von Cloud Lösungen, Opt-in und Opt-out Verfahren, Spam-Schutz und Fingerprints. Bei allem was wir in der heutigen digitalisierten Welt so unermüdlich zu schützen versuchen, bleibt vermehrt in unserem sozialen Verhalten auf der Strecke. Der Mensch ist heute im täglichen Leben von allen Seiten von Arbeit zugedeckt, hat Stress und Leistungsdruck. Störfaktoren von Aussen haben da fast keinen Platz mehr. Auf der anderen Seite gibt es die ältere Generation Mensch. Senioren oder Betagte, die eventuell nicht mehr jeden Tag soziale Kontakte pflegen bzw. Besuche zu Hause empfangen. Die Masche von sogenannten "Social Engineers", also den Betrügern, ist meist die gleiche: Hilfsbedürftigkeit vortäuschen und Druck aufbauen. Wenn Ihnen also das nächste Mal der vermeintliche IT-Supporter anruft und dieser Ihnen nicht sofort bekannt ist, gibt es ein paar goldene Regeln die Sie befolgen müssen und weitere Fallen auf die sie achten sollten:

  • Niemand braucht Ihr Passwort! Geben Sie dieses niemals weiter
  • Seien Sie sehr aufmerksam wo Sie Ihre Zugangsdaten eingeben.
  • Melden Sie verdächtige Vorfälle direkt Ihrem Vorgesetzten oder persönlich Ihrem IT Desk.
  • Stellen Sie nur so wenig Informationen auf Ihre Website wie nötig.
  • Stecken Sie keine firmenfremde Geräte an Ihr eigenes IT System an.

    (Eine sehr verbreitete Falle ist z.B. die eines gezielt platzierten Trojaners in USB-Sticks: diese werden im Treppenhaus oder Garagen von Firmengebäuden hingelegt. Gutgläubige Personen stecken diese dann in den eigenen Computer und laufen Gefahr schnell schädigende Viren zu verbreiten.)

 

Aber was möchte man mit Social Engineering erreichen? Dies könnte zum Beispiel der Zugang zu Objekten, Finanzen, Dateien oder Accounts sein oder der böswillige Erhalt von Vergünstigungen einer spezifischen Dienstleistung. Ganz egal was die heimliche Motivation eines Social Engineers ist – der zwischenmenschliche Zugang spielt eine zentrale Rolle. Was Sie für Ihr Unternehmen sonst noch präventiv machen können um sich vor Attacken zu schützen, finden Sie in unserem Intecso-Blog.

Employee Awareness

Jede Person ist ein mögliches Ziel, da jeder über Schwachstellen verfügt. Viele Unternehmen investieren zwar in IT Security, nicht aber in die Employee Awareness. Zudem können Social Engineering Attacken auch mit wenig technischem Wissen durchgeführt werden, was ein Angriff umso einfacher macht. Die Abteilungsverantwortlichen in Unternehmen sollten sich also nicht nur über die allseits beliebten Employer Branding Strategien austauschen sondern vermehrt auch Employee Awareness Strategien gemeinsam ausarbeiten.

Der nette Schweizer

Schweizer sind für Social Engineering Attacken äusserst beliebt. Sie sind generell hilfsbereit und schenken jemandem auf Grund der tiefen Kriminalität im Land schneller ihr Vertrauen. Die Attacken werden vermehrt an KMU mit interessanten Kundenbeziehungen gerichtet. Die oft mangelhafte IT Security und Mitarbeitersensibilisierung werden masslos ausgenutzt. Es gilt also: Die Gutgläubigkeit etwas runter zu schrauben und gewisse Details, welche nicht gerade plausibel erscheinen, zu hinterfragen.

Varianten von Attacken

Es gibt eine Fülle von Möglichkeiten für Betrüger, wie die Auflistung zeigt:

  • Phishing: Fake Emails, z.B. getarnt als Spendenmails oder Fake Kommunikation via den Social Medias.
  • Impersonation: Betrüger geben sich als Polizisten aus oder Videobotschaften und Bilder die täuschend echt gefälscht werden.
  • SMShing: Manipulation von SMS Absendern. Ursprüngliche Betrüger Absender sind nicht erkennbar.
  • Rogue WLAN Access Point: Offene, nicht geschützte WLAN Fenster, über welche Opferdaten gesammelt werden.

 

Wenn Ihnen Ihre eigene geschäftskritische aber auch persönliche Sicherheit am Herzen liegt, ist es ratsam professionelle Hilfe zu suchen. Wir unterstützen Sie dabei Ihren idealen Schutz zusammenzustellen und freuen uns auf Ihre Kontaktaufnahme für ein kostenloses Beratungsgespräch.

Zurück