Mitarbeitende für Social Engineering & Phishing sensibilisieren

    Sarah Kolberg | Januar 15, 2024

    Display eines Smartphones zeigt Symbol für Phishing-Mail

    Zwar herrscht mittlerweile ein größeres allgemeines Bewusstsein für Cybersecurity, dennoch gibt es zahlreiche Einstiegspunkte für Angreifer. Sie entwickeln kontinuierlich raffiniertere Angriffsmethoden, die sich zum Teil soziale Verbindungen und menschliche Emotionen zu Nutze machen. So wird das Opfer zur Herausgabe von Informationen oder zum unvorsichtigen Umgang mit Links oder Anhängen verleitet. Die Sicherheitslücke Mensch hat großen Einfluss auf die IT-Sicherheit im Unternehmen. Ein Security Awareness Training für Mitarbeitende sollte daher regelmäßig auf dem Programm stehen.

    Was ist Social Engineering?

    Der menschliche Faktor in der Cybersecurity bietet eine große Angriffsfläche. Insbesondere Social Engineering nimmt die Einzelperson als Einstiegspunkt ins Netzwerk und zu Unternehmensressourcen ins Visier. Es handelt sich dabei um einen klassischen Trickbetrug, der in die digitale Welt übertragen wurde. Einfache, visuelle Inhalte, wie E-Mails oder sonstige Textnachrichten, sind fester Bestandteil einer jeden Unternehmenskommunikation. Da sie meist keine weiteren Sinnesebenen ansprechen, sind sie einfach zu fälschen. Zudem ergeben sich durch die Digitalisierung umfangreiche technische Möglichkeiten: perfekte Voraussetzungen für einen gelungenen Betrug.

    In einigen Fällen nutzen Cyberkriminelle die Beziehungsebene aus wie z. B. Respekt oder Autorität gegenüber dem vermeintlichen Absender. Der Angreifer täuscht eine Identität vor und gibt sich als Freund, Familie oder Person aus dem beruflichen Umfeld des Empfängers aus. Soziale Netzwerke bieten hierbei eine hervorragende Recherchemöglichkeit. Bei Facebook & Co sind nicht nur soziale Kontakte einsehbar, sondern auch Interessen, Vorlieben oder zuletzt besuchte Orte – allesamt Informationen, die gegen die Zielperson eingesetzt werden können. Phishing und Spoofing sind hierbei wohl die bekanntesten Social Engineering Beispiele.

    Qualitätssteigerung Phishing: Immer bessere Methoden bei Phishing-Inhalten

    Das allgemeine Bewusstsein in der Bevölkerung für Phishing-Mails wächst. Daher müssen Cyberkriminelle Phishing-Inhalte und Methoden weiter verfeinern, um ihre Opfer in die Irre zu führen. Es lässt sich in diesem Zusammenhang eine deutliche Qualitätssteigerung der Cyber-Attacken im Bereich Phishing erkennen. Die Unterschiede zu legitimen Benachrichtigungen werden immer subtiler. Eine Phishing-Mail oder SMS als eine solche zu erkennen, erfordert Fachwissen.

    Mithilfe von Phishing-Inhalten sollen entweder persönliche Daten und Passwörter eingesammelt werden oder sie verleiten die Empfänger zum Herunterladen schadhafter Anhänge und Software.

    Aktuelle Beispiele Phishing

    Die Empfänger von Phishing-Benachrichtigungen sollen meist möglichst schnell handeln. Die Angreifer machen sich hierbei verstärkt die emotionale Ebene zu Nutze. Sie erzeugen die Dringlichkeit einer Aktion des Empfängers, da sonst hohe negative Folgen drohen. Hier werden Neugier oder Angst ausgenutzt. Meist wird eine vermeintliche Gefahrensituation suggeriert:

    • Informationen über einen gesperrten Account einer wichtigen Anwendung
    • Benachrichtigung über einen Sicherheitsfehler
    • Drohung der Veröffentlichung von Videos oder Bildmaterial, in dem der Empfänger in einer sehr intimen oder verletzlichen Situation zu sehen ist

    Angreifer berücksichtigen die Erwartungshaltung ihrer potenziellen Opfer. Sie machen sich u.a. das Wachstum des eCommerce zu Nutze und nehmen Kunden ins Visier, die eine Bestellung über einen Online-Shop oder E-Marktplatz getätigt haben.

    So können sich hinter folgenden harmlos wirkenden Benachrichtigungen Phishing-Inhalte verbergen:

    • Bestellungsinformation
    • Zoll-Benachrichtigung
    • Versand-Updates
    • Rabatt-Aktionen

    Spear Phishing: Auf konkrete Zielgruppe oder Einzelpersonen zugeschnittene Phishing-Inhalte mit vorheriger Recherche zu potenziellen Opfern

    Spoofing: Identitätstäuschung z.B. Absendername korrekt, falsche oder leicht modifizierte E-Mail des Absenders

    Wie Sie Phishing-Mails erkennen

    Es gibt verschiedene Warnzeichen, die auf einen Phishing-Inhalt hinweisen können.

    Nicht jede Phishing-Mail enthält jedes der genannten Warnzeichen. Lesen Sie jede E-Mail und sonstige Textnachrichten aufmerksam und seien Sie sensibel für Details!

    Die folgende Checkliste ist nicht vollständig. Sie kann jedoch ein guter Leitfaden sein, um Phishing-Inhalte zu erkennen:

    • Persönliche Anrede fehlt
    • Abweichender Absender / Absender-Adresse
    • Tonalität des Senders ungewöhnlich
    • Rechtschreibfehler
    • Enthält Link, der Anmeldung in einen Account oder Aktion erfordert
    • Abweichung von normalen Verfahren:  z.B. Abfrage persönlicher Daten oder Unternehmensupdates, welche normalerweise per Post oder persönlicher Inbox innerhalb einer App erfolgen

    Vermeiden Sie die Interaktion mit E-Mails, außer die Legitimität der Quelle und der erforderten Aktion kann nachgewiesen werden!

    Was tun für Security Awareness?

    Im beruflichen Kontext sollte es klare Protokolle darüber geben, wie mit Phishing-Mails oder verdächtigen Benachrichtigungen umgegangen werden soll. In der Regel sollten solche der IT-Abteilung gemeldet werden. Die IT informiert über einen zentralen Verteiler die gesamte Belegschaft, um zu vermeiden, dass jemand im Unternehmen Opfer der Social Engineering Attacke und so ggf. zum Einfallstor des Angreifers zum Unternehmensnetzwerk wird.

    Auch der Ablauf für sonstige Szenarien in Zusammenhang mit Phishing-Mails sollte im Rahmen des Security Awareness Trainings geschult werden. Wie sollen Mitarbeitende vorgehen, falls sie doch auf einen verdächtigen Link klicken? Beim Einstieg in das Unternehmen sollte ein großes Security Awareness Training absolviert werden. Um die Sensibilisierung im Unternehmen zu erhalten, sollten regelmäßig weitere Schulungen und ggf. interne Tests mit eigenen Phishing-Mails durchgeführt werden. So kann das Unternehmen auswerten, welche Mitarbeitenden Phishing-Inhalte nicht erkannt haben und ggf. weitere Schulungen benötigen.

    Heutzutage existiert eine regelrechte Phishing-Mail-Flut: Mehrere Milliarden Phishing-Mails werden täglich versendet. Insbesondere rund um Feiertage ist die Gefahr erhöht. Wenn vermehrt Newsletter, Rabatt-Aktionen oder sonstige Informationen von Firmen und Organisationen verschickt werden, ist die Gefahr trotz Spam-Filter sehr hoch, dass Phishing-Mails auch den Weg zu Ihnen finden. Nehmen Sie sich daher bei jeder E-Mail Zeit, um Inhalte und Absender zu überprüfen und lassen Sie sich nicht zu einer Aktion drängen. Hier gilt im Zweifelsfall: Lieber nichts tun und auf einen weiteren Kommunikationsversuch warten, statt auf einen Betrug hereinzufallen.

    Rufen Sie sich außerdem ins Bewusstsein, dass alles, was online preisgegeben wird, auch gegen einen verwendet werden kann. Wenn eine Information einer verdächtigen Nachricht valide scheint, hinterfragen Sie: Habe ich dies ggf. in einem anderen Kontext online veröffentlicht? Mit privaten Accounts verkleinern Sie die eigene Angriffsfläche. Neben den regelmäßigen Sicherheitsschulungen sollten Mitarbeitende auch wiederkehrend für Datenschutz sensibilisiert werden.
     

    Empfohlene Artikel

    • 17.08.2023 | Sarah Kolberg

      Was ist Spoofing? Bewährter Schutz gegen Betrugsmaschen

      Was versteht man unter Spoofing? Lernen Sie mehr über die Arten von Spoofing, Anti-Spoofing und wie Sie sich noch vor Betrugsmaschen schützen können.

      more

    • 18.04.2023 | Martin Schönau

      Prompt Engineering & KI: Die dunkle Seite von ChatGPT

      Prompt Engineering öffnet neue Türen für Phishing und Datenmissbrauch. Erfahren Sie mehr über die Risiken und Chancen von KI-Anwendungen.

      more

    • 16.05.2023 | Sarah Kolberg

      Evolution der Ransomware – Interview Dr. Rasthofer

      Im Interview: Cyber Security-Experte Dr. Siegfried Rasthofer über die Professionalisierung der Cyber-Angriffe durch Ransomware und Schutz für Unternehmen.

      more

    • 06.10.2023 | Jochen Füllgraf

      Schutz vor Ransomware durch BCM

      Ransomware Recovery, wie eine Cyberversicherung für Unternehmen ihre Preise festlegt und wie man gegen Ransomware Angriffe vorgehen sollte.

      more

    • 09.10.2023 | Sarah Kolberg

      2FA: Warum ist Multi-Faktor-Authentifizierung wichtig?

      Wie funktioniert 2FA bzw. Multi-Faktor-Authentifizierung? Welche Rolle spielt Zwei-Faktor-Authentifizierung beim Identity Management? Erfahren Sie mehr!

      more

    © macmon secure GmbH