In diesem Artikel berichten wir über 9 Beispiele für Social Engineering, bei denen unter anderem Opfer verleitet werden vertraulichen Informationen herauszurücken. Auch Angriffe, bei denen der physische Zugriff auf vertrauenswürdige Daten durch den unbefugten Zugang zu einem Gebäude gehört dazu.

Die neun häufigsten Beispiele für Social Engineering sind:

  • Phishing: Taktiken beinhalten irreführende E-Mails, Websites und Textnachrichten, um Informationen zu stehlen.
  • Spear Phishing: E-Mails werden verwendet, um gezielte Angriffe auf Einzelpersonen oder Unternehmen auszuführen.
  • Ködern: Ein Online- und physischer Social-Engineering-Angriff, der dem Opfer eine Belohnung verspricht.
  • Malware: Die Zielpersonen werden zu der Annahme verleitet, dass Malware auf ihrem Computer installiert ist und dass die Malware entfernt wird, wenn dafür bezahlt wird.
  • Ein Vorwand: Verwendet eine falsche Identität, um die Opfer zum Aufgeben von Informationen zu verleiten .
  • Quid Pro Quo: Verlässt sich auf einen Informationsaustausch oder eine Dienstleistung, um das Opfer zum Handeln zu bewegen.
  • Tailgating: Verlässt sich auf menschliches Vertrauen, um den kriminellen physischen Zugang zu einem sicheren Gebäude oder Bereich zu ermöglichen.
  • Vishing: Dringende Voicemails überzeugen die Opfer, dass sie schnell handeln müssen, um sich vor Verhaftung oder anderen Risiken zu schützen.
  • Water-Holing: Ein fortschrittlicher Social-Engineering-Angriff, der sowohl eine Website als auch deren Besucher mit Malware infiziert.

Der einzige rote Faden, der diese Social Engineering Techniken verbindet, ist das menschliche Element. Cyberkriminelle wissen, dass das Ausnutzen menschlicher Emotionen der beste Weg ist, um zu stehlen.

Traditionell haben sich Unternehmen auf die technischen Aspekte der Cybersicherheit konzentriert – aber jetzt ist es an der Zeit, das Bewusstsein für Cybersicherheit auf den Menschen auszurichten .

Wie findet Social Engineering in der Regel statt?

Social Engineering geschieht aufgrund des menschlichen Vertrauensinstinkts. Cyberkriminelle haben erfahren, dass eine sorgfältig formulierte E-Mail, Voicemail oder Textnachricht dazu verleiten kann, Geld zu überweisen, vertrauliche Informationen bereitzustellen oder eine Datei herunterzuladen, mit der Malware im Unternehmensnetzwerk installiert wird.

Betrachten Sie dieses Beispiel für Spear Phishing, das einen Mitarbeiter davon überzeugt hat, 500.000 EUR an einen ausländischen Angreifer zu überweisen: Dank sorgfältiger Spear-Phishing-Forschung weiß der Cyberkriminelle, dass der CEO des Unternehmens auf Reisen ist.
Eine E-Mail wird an einen Mitarbeiter des Unternehmens gesendet, der aussieht, als wäre sie vom CEO gesendet worden. Die E-Mail-Adresse weist eine leichte Abweichung auf, die Schreibweise des CEO ist jedoch korrekt.
In der E-Mail wird der Mitarbeiter gebeten, dem CEO zu helfen indem er 500.000 EUR an einen neuen ausländischen „Investor“ überweist. Er hat in der E-Mail wird eine dringende, aber freundliche Sprache verwendet, die den Mitarbeiter davon überzeugt, dass er sowohl dem CEO als auch dem Unternehmen hilft. In dieser E-Mail wird betont, dass der CEO diese Überweisung selbst vornehmen würde. Da sie jedoch auf Reisen ist, kann sie die Überweisung nicht rechtzeitig vornehmen, um die vorgetäuschte ausländische Investitionspartnerschaft zu sichern.
Ohne weitere wichtige Details zu überprüfen, beschließt der Mitarbeiter, zu handeln, denn er glaubt wirklich, dass er dem CEO, dem Unternehmen und seinen Kollegen hilft, indem er der dringend wirkenden E-Mail-Anfrage schnellstmöglich nachkommt. Erst einige Tage später stellen die Opfer des Social Engineering fest, dass sie Opfer eines Social Engineering-Angriffs geworden sind und 500.000 EUR Verlust erlitten haben.
Beispiele für Social-Engineering-Angriffe
Versierte Cyberkriminelle wissen, dass Social Engineering am besten funktioniert, wenn es um menschliche Emotionen und Risiken geht. Das Ausnutzen menschlicher Emotionen ist viel einfacher als ein Netzwerk zu hacken oder nach Sicherheitslücken zu suchen.

Diese Beispiele für Social Engineering verdeutlichen, wie Emotionen für Cyberangriffe eingesetzt werden:

Angst

Sie erhalten eine Voicemail, die besagt, dass Ermittlungen wegen Steuerbetrug eingeleitet werden und dass Sie sofort anrufen müssen, um Verhaftung und strafrechtliche Ermittlungen zu verhindern. Dieser Social-Engineering-Angriff findet während der Steuersaison statt, wenn die Leute bereits wegen dieser Steuern gestresst sind. Cyberkriminelle machen sich den Stress und die Angst zunutze, die mit der Einreichung von Steuern einhergehen, und nutzen diese Angstgefühle, um die Leute dazu zu bringen, die Voicemail einzuhalten.

Gier

Stellen Sie sich vor, Sie könnten einfach 10 US-Dollar an einen Investor überweisen und sehen, dass sich dieser Betrag ohne Ihr Zutun auf 10.000 US-Dollar erhöht? Cyberkriminelle nutzen die grundlegenden menschlichen Gefühle von Vertrauen und Gier, um die Opfer davon zu überzeugen, dass sie wirklich etwas für nichts bekommen können. Eine sorgfältig formulierte Köder-E-Mail fordert die Opfer auf, ihre Bankkontodaten anzugeben, und der Geldbetrag wird am selben Tag überwiesen.

Neugierde

Cyberkriminelle achten auf Ereignisse, die viel Berichterstattung enthalten, und nutzen dann die menschliche Neugier, um Social-Engineering-Opfer zum Handeln zu bewegen. Beispielsweise haben Cyberkriminelle nach dem zweiten Absturz des Boeing MAX8-Flugzeugs E-Mails mit Anhängen gesendet, die angeblich durchgesickerte Daten über den Absturz enthalten. In Wirklichkeit installierte der Anhang eine Version der Hworm-RAT auf dem Computer des Opfers.

Hilfsbereitschaft

Die Menschen wollen einander vertrauen und helfen. Nach einer Untersuchung eines Unternehmens richten Cyberkriminelle eine E-Mail an zwei oder drei Mitarbeiter des Unternehmens, die aussieht, als stamme sie vom Manager der betroffenen Person. In der E-Mail werden sie aufgefordert, dem Manager das Kennwort für die Abrechnungsdatenbank zu senden. Der Manager muss dieses Kennwort verwenden, um sicherzustellen, dass alle Mitarbeiter pünktlich bezahlt werden. Der E-Mail-Ton ist dringend und verleitet die Opfer zu der Annahme, dass sie ihrem Vorgesetzten helfen, indem sie schnell handeln.

Dringlichkeit

Sie erhalten eine E-Mail vom Kundensupport auf einer Online-Einkaufswebsite, die Sie häufig kaufen, und die Ihnen mitteilt, dass sie zum Schutz Ihres Kontos Ihre Kreditkartendaten bestätigen müssen. In der E-Mail-Sprache werden Sie aufgefordert, schnell zu antworten, um sicherzustellen, dass Ihre Kreditkartendaten nicht von Kriminellen gestohlen werden. Ohne nachzudenken und weil Sie dem Online-Shop vertrauen, senden Sie nicht nur Ihre Kreditkarteninformationen, sondern auch Ihre Postanschrift und Telefonnummer. Einige Tage später erhalten Sie einen Anruf von Ihrem Kreditkartenunternehmen, in dem Ihnen mitgeteilt wird, dass Ihre Kreditkarte gestohlen und für Tausende von Dollars betrügerischer Einkäufe verwendet wurde.

So schützen Sie sich vor Social Engineering

„Menschen beeinflussen die Sicherheitsergebnisse mehr als Technologie, Richtlinien oder Prozesse. Der Markt für computergestütztes Training (engl. CBT) für das Sicherheitsbewusstsein basiert auf der Erkenntnis, dass Menschen ohne perfekte Cybersicherheitsschutzsysteme eine entscheidende Rolle bei der allgemeinen Sicherheit und Risikostellung eines Unternehmens spielen. Diese Rolle wird durch inhärente Stärken und Schwächen definiert: die Lernfähigkeit der Menschen und ihre Anfälligkeit für Fehler, Ausbeutung und Manipulation. Auf Endbenutzer ausgerichtete Sicherheitsschulungen und -schulungen sind ein schnell wachsender Markt. Die Nachfrage wird durch die Bedürfnisse der Verantwortlichen für Sicherheit und Risikomanagement (SRM) beflügelt, um das Verhalten zu beeinflussen, das sich auf die Sicherheit von Mitarbeitern, Bürgern und Verbrauchern auswirkt. “

Um sich vor Social-Engineering-Angriffen zu schützen, muss der Fokus auf Verhaltensänderungen liegen. Wenn die Mitarbeiter eines Unternehmens verstehen, wie einfach es ist, von einem Social Engineering Angriff betrogen oder betrogen zu werden, sind sie mit größerer Wahrscheinlichkeit wachsam und misstrauisch gegenüber E-Mails, Voicemails, Texten oder anderen Cyber-Angriffen.

Das Verhalten des Menschen zu ändern ist nicht einfach und geschieht nicht über Nacht. Wir wissen aus eigener Erfahrung, dass der beste Weg, eine Cybersicherheitskultur zu etablieren und interne Cyberhelden zu schaffen, in einem auf Menschen ausgerichteten Ansatz für das Sicherheitsbewusstseinstraining besteht. Dabei arbeiten wir unter anderem mit Videomaterial um den Mitarbeiter über seine Fehler automatisiert zu informieren.

So schützen sie und ihr Unternehmen sich so vor Social Engineering Angriffen

  • Sie müssen sich auf personenbezogene Elemente konzentrieren, die die Grundlage für die Schulung des Sicherheitsbewusstseins sind
  • Qualitativ hochwertiger Inhalt : bindet Benutzer ein und bietet ein Schulungsprogramm an, das das Verhalten mitschwingt und verändert.
  • Personalisierte Kampagnen : Stellen Sie Inhalte bereit, auf die sich Mitarbeiter beziehen und die sie täglich anwenden können.
  • Kooperationspartner : Arbeiten Sie mit einem Partner zusammen, der einen beratenden Ansatz verwendet, um Ihre individuellen Anforderungen zu verstehen, und erstellen Sie ein benutzerdefiniertes Sicherheitsbewusstseinsprogramm, das speziell für Ihr Unternehmen entwickelt wurde.

Security Awareness

Ein Schulungs- und Sensibilisierungsprogramm, das auf einem bewährten methodischen Ansatz zum Lernen und Ändern von Verhalten basiert.
Security Awareness As A Service : Bietet Flexibilität und Unterstützung, um die Ergebnisse von Phishing-Simulationen, Sensibilisierungstraining und Kampagnensichtbarkeit effektiv bereitzustellen, zu messen und zu melden.


So bleiben Sie vor Social Engineering geschützt

Um vor Social-Engineering-Angriffen geschützt zu bleiben, ist es wichtig, die Macht des Ego zu erkennen. Jeder von uns möchte glauben, dass wir niemals von einer Phishing-E-Mail oder einem anderen Social-Engineering-Angriff betrogen oder betrogen werden würden. Wie wir jedoch wissen, verlassen sich Cyberkriminelle auf alle Aspekte menschlicher Emotionen und der Natur, um Menschen subtil zu täuschen und zum Handeln zu bewegen.

Nur mit der Erfahrung aus erster Hand, von einem anderen Social-Engineering-Ansatz gefälscht oder verletzt zu werden, wissen die Menschen wirklich zu schätzen, wie Social Engineering funktioniert. Wenn Sie einen personenbezogenen Ansatz für das Sicherheitsbewusstseins-Training verwenden, der Phishing-Simulationen, ansprechende und relevante Inhalte und ein Verständnis der menschlichen Natur verwendet, können Sie vor Social Engineering geschützt bleiben.

Kategorien: IT-Sicherheit

1 Kommentar

Phishing - ITsys.haus · 2. September 2021 um 17:03

[…] Phishing hauptsächlich auf Social Engineering beruht, ist es für alle Benutzer von entscheidender Bedeutung zu verstehen, wie die Angreifer […]

Die Kommentarfunktion ist deaktiviert.

ITsys.haus