7 Tricks, auf die Mitarbeiter nicht hereinfallen sollten

hacker-1446193_1920Internetbetrüger, insbesondere die sogenannten Social-Engineers, arbeiten mit einer Vielzahl von Techniken, um das potenzielle Opfer davon zu überzeugen, Anmeldeinformationen und andere sensible Daten preiszugeben. Während traditionelle Hacker in der Regel mit bestimmten Softwarelösungen agieren, arbeiten Social-Engineering-Scammer mit reiner Psychologie. Um sich dagegen zu wappnen, muss man sich nur an den Ratschlag seiner Mutter erinnern, nicht mit Fremden zu reden.

Wer bei der Nutzung sozialer Medien diese uralte Sicherheitsstrategie befolgt und mit den vertraulichen Angaben zu seiner Person zurückhaltend umgeht, macht schon viel richtig. Trotzdem sollten Unternehmen und Arbeitgeber ihre Mitarbeiter über die nachstehenden Tricks von „Bösewichten“ aufklären, damit durch die Unachtsamkeit eines Einzelnen ein ganzes Firmennetzwerk in die Hände von Hackern gerät.

 

Phishing

Eine beliebte Vorgehensweise sind Phishing-Mails. Ein sogenannter Scammer sendet eine E-Mail, die auf den ersten Blick von PayPal oder einer anderen legitimen Quelle zu kommen scheint. Auf diese Art und Weise will der Betrüger den Empfänger davon zu überzeugen, vertrauliche Informationen preiszugeben, um diese im Anschluss für betrügerische Aktionen oder einen weitreichenden Identitätsmissbrauch zu nutzen.

Um sich dagegen zu schützen sollten die Empfänger solcher Mail auf verdächtige Anhänge, Mails, widersprüchliche URLs oder eine vorgeschobene Dringlichkeit achten. Anhänge enthalten oft gefährliche Dateien, die, wenn sie ausgeführt werden, ihre Inhalte auf den Computer laden. Es gibt auch Phishing-Mails die auf eine Webseite verweisen, auf der Anmeldeinformationen abgefragt werden – bei so etwas sollten beim Empfänger sämtliche Alarmglocken klingeln. Es kommt vor, dass Links, die korrekt erscheinen ebenfalls zu einer Betrüger-Domain führen. Das lässt sich aber leicht entlarven, indem man mit der rechten Maustaste über den Link fährt und die Ursprungs-Domin sieht. Fatal wäre es auch, auf Mails hereinzufallen, in denen harte Konsequenzen aufgeführt werden, für den Fall, dass man nicht unmittelbar reagiert.

 

Tailgating

Nicht alle Angriffe werden von einem Computer oder mobilen Geräte aus initiiert. Beim Tailgaiting etwa, das man auch als Huckepackübertragung bezeichnet, probiert der Angreifer, physischen Zugriff auf ein Unternehmen zu erhalten, indem er die Zugangsdaten eines anderen benutzt. Beispielsweise könnte der Betrüger versuchen während der Mittagspause Anschluss zu bekommen, um danach mit ins Firmengebäude zu gelangen – und zwar ohne eigene Zugangskarte. Tailgating setzt dabei auf die Freundlichkeit, denn wer würde schon jemandem die Tür vor der Nase zuschlagen, nur, weil er seine Firmenkarte vergessen hat? Und ist der Tailgater erst einmal im Gebäude, sind vor allem kleine Unternehmen mit laxen Sicherheitsvorkehrungen gefährdet.

 

Planted Media

Dieser Trick mutet zunächst harmlos an: Auf dem Parkplatz liegt ein USB-Stick und es gibt sicherlich jemanden, der ihn mitnimmt. An seinem Arbeitsplatz angekommen steckt er diesen dann in seinen Computer, ohne zu bemerken, dass im Hintergrund ein Computervirus geladen wird, der sich in Windeseile auf alle an das Netzwerk angeschlossenen Geräte ausbreitet.  Auch wenn es absurd klingt, die Neugier der Menschen ist ein großer Antrieb und deshalb sollten die Unternehmen ihre Mitarbeiter entsprechend sensibilisieren und hinsichtlich der Risiken schulen.

 

Whaling

Whaling oder auch whale hunting (Waljagd) funktioniert ähnlich wie das Phishing, zielt aber unmittelbar auf die Führungskräfte des Unternehmens ab. So setzt sich ein Hacker beispielsweise mit einem IT-Manager in Verbindung und gibt vor, ein vertrauenswürdiger Anbieter zu sein. Dann schickt er meist einen Link, über den Kontodetails zu aktualisieren oder eine Rechnung einzusehen ist. Im Worst.Case lässt sich die Führungskraft vom professionellen Design und einem bekannten Logo blenden und gibt seine Daten preis.

Weil über Führungskräfte oft noch mehr zu holen ist, bereiten Whaling-Hacker ihren Angriff mit viel Mühe zu. Sie besorgen sich die Daten aus Google-Suchen, Profilen in den sozialen Medien und von Kollegen. So können sie einen ausgeklügelten Angriff starten, von dem sich sogar IT-erfahrene Führungskräfte täuschen lassen, egal wie vertraut sie mit Sicherheitsvorkehrungen sind.

 

Erpressung

Erpressung im Internet geht oft mit einer Kombination aus Phishing und Malware beziehungsweise Ransomware einher. So empfängt ein Mitarbeiter beispielswiese eine E-Mail, in der hohe Strafen oder sogar Strafverfolgung angedroht werden, wenn er nicht den Anweisungen des beigefügten Dokuments Folge leistet. Durch den Klick auf das entsprechende Dokument wird, ohne dass er es merkt, eine Ransomware auf seinem Computer installiert. Dieselbe Ransomware wiederum droht dann damit, Dateien zu löschen, wenn er nicht ein bestimmter Betrag überwiesen wird. Ransomware ist inzwischen derart effizient, dass man ihr oft nur mit einer guten Backup- und Business Continuity-Lösung begegnen kann.

 

Quid pro quo

Quid pro quo ist der lateinischer Begriff für ‚dies für das‘ und genau so funktioniert auch dieser Social-Engineering-Trick. Ein Angreifer tarnt sich dabei beispielsweise als IT-Support-Mitarbeiter und bietet einen vermeintlich attraktiven Ausgleich für wertvolle Informationen an. Ein Betrüger wird in Vorbereitung für einen solchen Angriff in einem Unternehmen so lange wahllos verschiedene Telefonnummern anrufen, bis er einen Mitarbeiter erwischt, der essentielle Problem hat. Dann wird er versuchen, dem Mitarbeiter die Zugangsdaten zu entlocken und ihn davon überzeugen, dass Veränderungen vorgenommen werden müssen, um Schwachstellen in der Netzwerk-Sicherheit zu beheben.

Quid pro quo ist nicht nur gefährlich, sondern entlarvt auch wie hoch das Sicherheitsbewusstsein einer Organisation ist und wie integer ihre Mitarbeiter sind. Erschreckenderweise funktioniert dieser Trick überraschend oft, wenn der Betrüger angeblich wichtige Untersuchungen für eine gute Sache durchführt. Er befragt die Mitarbeiter so geschickt, dass sie für ein paar Hundert Euro oder das neueste iPhone vertrauliche Informationen über ihren Vorgesetzten preisgeben.

 

Umgekehrtes Social-Engineering

In der Regel erfolgt das sogenannte Social-Engineering per E-Mail. Es gibt aber auch Betrüger, die das Telefon bevorzugen. In einem Telefonat gibt der Angreifer vor, er wolle dem potenziellen Opfer helfen, ein Problem zu lösen. Dafür ruft der Betrüger zum Beispiel wahllos einen Konsumenten an und gibt vor, ein Supportmitarbeiter eines Unternehmens oder sogar eines „Global Players“ zu sein, das Antiviren-Software vertreibt. Während des Anrufs erbittet er den Remotezugriff auf den Computer des Angerufenen, um eine angebliche Malware-Infektion genauer zu untersuchen. Faktisch aber nutzt er den Zugang um Scamware zu installieren, die dann die Behauptung unterstützt, dass Malware auf dem Computer gefunden wurde. Dann bietet er an, diese gegen die Zahlung einer entsprechenden Summe wieder zu entfernen. Auch wenn das nicht unseriös klingt, bedenken Sie, dass ein ehrliches Unternehmen niemals wegen eines angeblichen Malware-Angriffs anrufen würde.

Vertrauen ist gut – Aufklärung ist besser

Auch mit den modernsten Sicherheitsvorkehrungen und den strengsten Vorgaben in Bezug auf den Schutz der Systeme, lassen sich IT-System nie vollständig schützen. Ein gutes Backup und Disaster-Recovery ist meist die einzige Rettung im Ernstfall. Fakt ist aber auch, dass eine Infrastruktur, unabhängig davon, welche Mechanismen man auch implementiert, niemals so angreifbar ist wie der Anwender – der Mitarbeiter. Wenn ein Mitarbeiter aber regelmäßig über neue Bedrohungen informiert und den Umgang mit ihnen geschult wird, haben es Betrüger wesentlich schwerer ein Unternehmensnetzwerk zu hacken.

Von Kurt Kraus, Storagecraft Technologie

#Netzpalaver #Storagecraft