Sicherheitsschwachstelle Mensch – Die Gefahren von Social Enginnering
Vielfach werden solche Mails bereits vom Spam-Filter erkannt und in den Spamordner abgelegt. Jedoch werden die Taktiken der Cyberkriminellen immer ausgeklügelter und es wird immer schwieriger die neusten Vorgehensweisen zu erkennen.
Mit Social Engineering versuchen Hacker Menschen so zu manipulieren, dass sie vertrauliche Informationen preisgeben. Die Kriminellen versuchen in der Regel, Sie dazu zu bringen, ihnen Ihre Passwörter preis zu geben oder sich Zugang zu Ihrem Computer zu verschaffen, heimlich bösartige Software zu installieren, um an Ihre Passwörter und an die Kontrolle über Ihren Computer zu gelangen.
Für Cyber-Kriminelle ist es natürlich, um einiges einfacher mit Social-Engineering-Taktiken an Ihr Passwort zu gelangen als Ihre Software zu hacken. Fragen Sie jeden Sicherheitsexperten und er wird Ihnen sagen, dass das schwächste Glied in der Sicherheitskette der Mensch ist. Es spielt keine Rolle, wie viele Schlösser und Riegel an Ihren Türen und Fenstern angebracht sind, oder ob Sie Wachhunde, Alarmsysteme, Scheinwerfer, Zäune mit Stacheldraht und bewaffnetes Sicherheitspersonal haben; wenn Sie der Person an der Pforte vertrauen, die behauptet, der Pizzabote zu sein, und Sie sie hereinlassen, ohne vorher zu prüfen, ob sie vertrauenswürdig ist, sind Sie dem Risiko vollkommen ausgesetzt.
Wie sieht eine Social Engineering Attacke aus?
Sollte es einem Cyberkriminellen gelingen das E-Mail-Passwort von jemandem zu hacken oder zu manipulieren, hat er dann Zugriff auf die gesamte Kontaktliste von der gehackten Person – und da die meisten Menschen überall das gleiche Passwort verwenden, mit grosser Wahrscheinlichkeit das Passwort für viele andere Bereiche. Sobald dies der Fall ist, sendet der Kriminelle E-Mails an alle Kontakte der Person oder hinterlässt Nachrichten auf den Social Media Seiten der Freunde der Person.
Sie enthalten einen Link, den man einfach anklicken muss – und weil der Link von einem Freund kommt und die Neugierde steigt, vertraut man dem Link. Sobald man auf den Link klickt, wird der Computer mit einer Malware infiziert und der Hacker kann Ihren Computer übernehmen und an alle wichtigen Daten gelangen.
Sie enthalten einen Download von Bildern, Filmen, Dokumenten usw. in denen Schadsoftware eingebettet ist. Sobald Sie die Software herunterladen – es stammt ja schliesslich von einem vertrauenswertigen Freund – werden Sie infiziert und der Hacker gelangt an Ihre Daten. Der Angriff wird dann auf alle Ihre Kontakte ausgebreitet, indem sie dann von Ihrem Account aus, eine Nachricht mit der Malware erhalten.
E-Mail von einer anderen vertrauenswürdigen Quelle
Phishing-Angriffe gehören ebenfalls zu der Social-Engineering-Strategie. Dabei wird eine vertrauenswürdige Quelle imitiert, um an sensible Daten zu gelangen.
Ihr “Freund” sitzt in Land X fest, wurde ausgeraubt, verprügelt und liegt im Krankenhaus. Sie brauchen Geld, damit sie nach Hause kommen können, und sie sagen Ihnen, wie Sie das Geld an den Kriminellen schicken können.
In der Regel sendet eine E-Mail, eine DM oder einen Kommentar in den Sozialen Netzwerken, oder Textnachricht, die von einem bekannten und seriösen Unternehmen, einer Bank, einer Schule oder einer Institution zu stammen scheint.
In der Nachricht sind meistens Anweisungen zu finden, wo Sie das Geld hinschicken sollen. Phisher nützen die Freundlichkeit und Grosszügigkeit aus in dem sie um Hilfe oder Unterstützung für aktuelle Katastrophen, politische Kampagnen oder für bekannte Wohltätigkeitsorganisationen bitten.
Es wird Ihnen ein Problem geschildert, das Sie auffordert, Ihre Informationen zu «verifizieren, indem Sie auf den angezeigten Link klicken. Die Nachricht kann sehr legitim aussehen, mit allen richtigen Logos und Inhalten. Diese Art von Phishing-Betrug enthält oft eine Warnung darüber, was passiert, wenn Sie nicht bald handeln, denn die Kriminellen wissen, dass Sie eher auf ihren Phishing-Versuch hereinfallen, wenn sie Sie zum Handeln bewegen können, bevor Sie nachdenken.
Sie erhalten eine E-Mail, die behauptet, sie stamme von einer Lotterie, einem verstorbenen Verwandten oder der millionsten Person, die auf die vorgegebene Webseite geklickt hat, usw. Um Ihnen Ihren «Gewinn» müssen Sie Angaben zu Ihrer Bankverbindung machen oder Ihre Adresse und Telefonnummer angeben, um Ihnen den Preis senden zu können. Hier redet man von dem sogenannten «Gier-Phishing». Resultat: Ihr Bankkonto wird leergeräumt und Ihre Identität gestohlen.
Bei diesen Nachrichten gibt sich der Hacker als Chef oder Kollege aus und könnte Sie nach sensiblen Informationen wie z.B. dem neuesten Stand eines wichtigen, geschützten Projekts, an dem Ihr Unternehmen gerade arbeitet oder nach Zahlungsinformationen für eine Firmenkreditkarte fragen.
Werden Sie nicht zum Opfer
Phishing-Angriffe sind weit verbreitet, kurzlebig und es braucht nur ein paar Nutzer, die den Köder schlucken für eine erfolgreiche Kampagne – Trotzdem kann man sich davor gut schützen. Beachten Sie die folgenden Punkte, um ein Phishing-Angriff zu erkennen:
Hacker wollen, dass Sie erst handeln und dann nachdenken. Wenn die Nachricht ein Gefühl der Dringlichkeit vermittelt oder Verkaufstaktiken mit hohem Druck anwendet, sollten Sie skeptisch sein und sich nicht von der Dringlichkeit beeinflussen lassen.
Seien Sie misstrauisch bei unaufgeforderten Nachrichten. Wenn die E-Mail aussieht, als stamme sie von einem Unternehmen, das Sie nutzen, stellen Sie selbst Nachforschungen an. Verwenden Sie eine Suchmaschine, um die Webseite des echten Unternehmens aufzurufen, oder ein Telefonverzeichnis, um die Telefonnummer herauszufinden.
Behalten Sie die Kontrolle, indem Sie die Webseite von der Nachricht selbst mit einer Suchmaschine finden, um sicherzugehen, dass Sie dort landen, wo Sie landen möchten. Wenn Sie den Mauszeiger über den Link der E-Mail bewege, wird die tatsächliche URL angezeigt – eine gute Fälschung kann Sie trotzdem in die Irre führen.
Hacker übernehmen immer häufiger die Kontrolle über die E-Mail-Konten und andere Kommunikationskonten. Sobald sie die Kontrolle über ein E-Mailkonto erlangt haben, nutzen sie das Vertrauen der Kontakte der betreffenden Person aus. Daher sollten Sie auch bei Nachrichten von Personen stammen, die Sie kennen, vorsichtig sein. Besonders wenn Sie dazu aufgefordert werden Links zu öffnen oder etwas herunterzuladen.
Wenn Sie den Absender nicht persönlich kennen UND eine Datei von ihm erwarten, ist es ein Fehler, etwas herunterzuladen.
Wenn Sie eine E-Mail von einer ausländischen Lotterie oder einem Gewinnspiel, Geld von einem unbekannten Verwandten oder die Aufforderung erhalten, Geld aus dem Ausland zu überweisen, um einen Teil des Geldes zu erhalten, handelt es sich garantiert um einen Betrug.
Wenn Sie aufgefordert werden, auf eine Nachricht mit persönlichen Informationen zu antworten, handelt es sich um einen Betrug.
Seriöse Unternehmen und Organisationen kontaktieren Sie nicht, um Ihnen Hilfe anzubieten. Wenn Sie den Absender nicht ausdrücklich um Hilfe gebeten haben, betrachten Sie jedes Angebot als Betrug und löschen Sie die Nachricht. Wenn Sie eine Bitte um Hilfe von einer Wohltätigkeitsorganisation erhalten, zu der Sie keine Beziehung haben, sollten Sie diese Nachricht ebenfalls löschen.
Jedes E-Mail-Programm verfügt über einen Spam-Filter. Stellen Sie in den Einstellungen den Filter auf hoch ein. Denken Sie daran, Ihren Spam-Ordner regelmässig zu überprüfen, um festzustellen, ob dort versehentlich legitime E-Mails gelandet sind.
Installieren Sie Antiviren-Software, Firewalls und E-Mail-Filter und halten Sie diese auf dem neusten Stand. Stellen Sie Ihr Betriebssystem so ein, dass es automatisch aktualisiert wird, und wenn Ihr Smartphone nicht automatisch aktualisiert wird, aktualisieren Sie es manuell, sobald Sie einen entsprechenden Hinweis erhalten. Verwenden Sie ein Anti-Phishing-Tool, um Sie vor Risiken zu warnen.
Benutzen Sie für jedes Login ein anderes Passwort. Sollten Sie gehackt werden, minimieren Sie mit dieser Taktik den Schaden. Mehr zum Thema Passwort finden Sie hier: https://bit.ly/42U4xIi
Schlussendlich werden Sie nie absolute Sicherheit gegen einen Hackerangriff haben – aber Sie können Ihre Daten sichern, so dass wenn der Ernstfall eintrifft, Sie diese in minutenschnelle wieder haben. Wir beraten Sie gerne zum Thema Backup & Datensicherheit – Unser Kerngeschäft seit über 20 Jahren.
