Mitarbeitende für Social Engineering & Phishing sensibilisieren

Sarah Kolberg | Januar 15, 2024

Zwar herrscht mittlerweile ein größeres allgemeines Bewusstsein für Cybersecurity, dennoch gibt es zahlreiche Einstiegspunkte für Angreifer. Sie entwickeln kontinuierlich raffiniertere Angriffsmethoden, die sich zum Teil soziale Verbindungen und menschliche Emotionen zu Nutze machen. So wird das Opfer zur Herausgabe von Informationen oder zum unvorsichtigen Umgang mit Links oder Anhängen verleitet. Die Sicherheitslücke Mensch hat großen Einfluss auf die IT-Sicherheit im Unternehmen. Ein Security Awareness Training für Mitarbeitende sollte daher regelmäßig auf dem Programm stehen.

Was ist Social Engineering?

Der menschliche Faktor in der Cybersecurity bietet eine große Angriffsfläche. Insbesondere Social Engineering nimmt die Einzelperson als Einstiegspunkt ins Netzwerk und zu Unternehmensressourcen ins Visier. Es handelt sich dabei um einen klassischen Trickbetrug, der in die digitale Welt übertragen wurde. Einfache, visuelle Inhalte, wie E-Mails oder sonstige Textnachrichten, sind fester Bestandteil einer jeden Unternehmenskommunikation. Da sie meist keine weiteren Sinnesebenen ansprechen, sind sie einfach zu fälschen. Zudem ergeben sich durch die Digitalisierung umfangreiche technische Möglichkeiten: perfekte Voraussetzungen für einen gelungenen Betrug.

In einigen Fällen nutzen Cyberkriminelle die Beziehungsebene aus wie z. B. Respekt oder Autorität gegenüber dem vermeintlichen Absender. Der Angreifer täuscht eine Identität vor und gibt sich als Freund, Familie oder Person aus dem beruflichen Umfeld des Empfängers aus. Soziale Netzwerke bieten hierbei eine hervorragende Recherchemöglichkeit. Bei Facebook & Co sind nicht nur soziale Kontakte einsehbar, sondern auch Interessen, Vorlieben oder zuletzt besuchte Orte – allesamt Informationen, die gegen die Zielperson eingesetzt werden können. Phishing und Spoofing sind hierbei wohl die bekanntesten Social Engineering Beispiele.

Qualitätssteigerung Phishing: Immer bessere Methoden bei Phishing-Inhalten

Das allgemeine Bewusstsein in der Bevölkerung für Phishing-Mails wächst. Daher müssen Cyberkriminelle Phishing-Inhalte und Methoden weiter verfeinern, um ihre Opfer in die Irre zu führen. Es lässt sich in diesem Zusammenhang eine deutliche Qualitätssteigerung der Cyber-Attacken im Bereich Phishing erkennen. Die Unterschiede zu legitimen Benachrichtigungen werden immer subtiler. Eine Phishing-Mail oder SMS als eine solche zu erkennen, erfordert Fachwissen.

Mithilfe von Phishing-Inhalten sollen entweder persönliche Daten und Passwörter eingesammelt werden oder sie verleiten die Empfänger zum Herunterladen schadhafter Anhänge und Software.

Aktuelle Beispiele Phishing

Die Empfänger von Phishing-Benachrichtigungen sollen meist möglichst schnell handeln. Die Angreifer machen sich hierbei verstärkt die emotionale Ebene zu Nutze. Sie erzeugen die Dringlichkeit einer Aktion des Empfängers, da sonst hohe negative Folgen drohen. Hier werden Neugier oder Angst ausgenutzt. Meist wird eine vermeintliche Gefahrensituation suggeriert:

  • Informationen über einen gesperrten Account einer wichtigen Anwendung
  • Benachrichtigung über einen Sicherheitsfehler
  • Drohung der Veröffentlichung von Videos oder Bildmaterial, in dem der Empfänger in einer sehr intimen oder verletzlichen Situation zu sehen ist

Angreifer berücksichtigen die Erwartungshaltung ihrer potenziellen Opfer. Sie machen sich u.a. das Wachstum des eCommerce zu Nutze und nehmen Kunden ins Visier, die eine Bestellung über einen Online-Shop oder E-Marktplatz getätigt haben.

So können sich hinter folgenden harmlos wirkenden Benachrichtigungen Phishing-Inhalte verbergen:

  • Bestellungsinformation
  • Zoll-Benachrichtigung
  • Versand-Updates
  • Rabatt-Aktionen

Spear Phishing: Auf konkrete Zielgruppe oder Einzelpersonen zugeschnittene Phishing-Inhalte mit vorheriger Recherche zu potenziellen Opfern

Spoofing: Identitätstäuschung z.B. Absendername korrekt, falsche oder leicht modifizierte E-Mail des Absenders

Wie Sie Phishing-Mails erkennen

Es gibt verschiedene Warnzeichen, die auf einen Phishing-Inhalt hinweisen können.

Nicht jede Phishing-Mail enthält jedes der genannten Warnzeichen. Lesen Sie jede E-Mail und sonstige Textnachrichten aufmerksam und seien Sie sensibel für Details!

Die folgende Checkliste ist nicht vollständig. Sie kann jedoch ein guter Leitfaden sein, um Phishing-Inhalte zu erkennen:

  • Persönliche Anrede fehlt
  • Abweichender Absender / Absender-Adresse
  • Tonalität des Senders ungewöhnlich
  • Rechtschreibfehler
  • Enthält Link, der Anmeldung in einen Account oder Aktion erfordert
  • Abweichung von normalen Verfahren:  z.B. Abfrage persönlicher Daten oder Unternehmensupdates, welche normalerweise per Post oder persönlicher Inbox innerhalb einer App erfolgen

Vermeiden Sie die Interaktion mit E-Mails, außer die Legitimität der Quelle und der erforderten Aktion kann nachgewiesen werden!

Was tun für Security Awareness?

Im beruflichen Kontext sollte es klare Protokolle darüber geben, wie mit Phishing-Mails oder verdächtigen Benachrichtigungen umgegangen werden soll. In der Regel sollten solche der IT-Abteilung gemeldet werden. Die IT informiert über einen zentralen Verteiler die gesamte Belegschaft, um zu vermeiden, dass jemand im Unternehmen Opfer der Social Engineering Attacke und so ggf. zum Einfallstor des Angreifers zum Unternehmensnetzwerk wird.

Auch der Ablauf für sonstige Szenarien in Zusammenhang mit Phishing-Mails sollte im Rahmen des Security Awareness Trainings geschult werden. Wie sollen Mitarbeitende vorgehen, falls sie doch auf einen verdächtigen Link klicken? Beim Einstieg in das Unternehmen sollte ein großes Security Awareness Training absolviert werden. Um die Sensibilisierung im Unternehmen zu erhalten, sollten regelmäßig weitere Schulungen und ggf. interne Tests mit eigenen Phishing-Mails durchgeführt werden. So kann das Unternehmen auswerten, welche Mitarbeitenden Phishing-Inhalte nicht erkannt haben und ggf. weitere Schulungen benötigen.

Heutzutage existiert eine regelrechte Phishing-Mail-Flut: Mehrere Milliarden Phishing-Mails werden täglich versendet. Insbesondere rund um Feiertage ist die Gefahr erhöht. Wenn vermehrt Newsletter, Rabatt-Aktionen oder sonstige Informationen von Firmen und Organisationen verschickt werden, ist die Gefahr trotz Spam-Filter sehr hoch, dass Phishing-Mails auch den Weg zu Ihnen finden. Nehmen Sie sich daher bei jeder E-Mail Zeit, um Inhalte und Absender zu überprüfen und lassen Sie sich nicht zu einer Aktion drängen. Hier gilt im Zweifelsfall: Lieber nichts tun und auf einen weiteren Kommunikationsversuch warten, statt auf einen Betrug hereinzufallen.

Rufen Sie sich außerdem ins Bewusstsein, dass alles, was online preisgegeben wird, auch gegen einen verwendet werden kann. Wenn eine Information einer verdächtigen Nachricht valide scheint, hinterfragen Sie: Habe ich dies ggf. in einem anderen Kontext online veröffentlicht? Mit privaten Accounts verkleinern Sie die eigene Angriffsfläche. Neben den regelmäßigen Sicherheitsschulungen sollten Mitarbeitende auch wiederkehrend für Datenschutz sensibilisiert werden.
 

Empfohlene Artikel

© macmon secure GmbH