:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Spear-Phishing & Co Die Psychotricks moderner Phishing-Betrüger
Die Angriffe von Phishing-Betrügern haben eine neue Qualität erreicht und komplexes „Spear-Phishing“ in den letzten Jahren massiv zugenommen. Das perfide dabei: die Angreifer bedienen sich tief verwurzelten Mechanismen unserer Psyche, um uns zu manipulieren und zu schwerwiegenden Handlungen zu verleiten. Die genutzten Psychotricks sind dabei oft verblüffend simpel.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Wir erinnern uns noch gut: pünktlich zum Jahresendgeschäft brachte im vergangenen Jahr eine erneute Abwandlung des Trojaners „Emotet“ deutsche Unternehmen und Organisationen durcheinander. Neben der Tatsache, dass sich der Schadcode von „Emotet“ laufend verändert und so nur schwierig für Anti-Malware-Programme zu entdecken ist, war die Ende 2018 gestartete Kampagne aus einem weiteren Grund sehr gefährlich. So bedienten sich die Betrüger Taktiken, die bisher nur von sog. APTs (Advanced Persistent Threats – ausgehend von professionellen und finanzierten Hacker-Teams) genutzt wurden. Denn die Malware wird in diesem Fall nicht über generische, eher leicht identifizierbare, E-Mails ausgespielt, sondern über gezieltes „Spear-Phishing“, bei dem die Nachrichten vermeintlich von einer bekannten Person ausgehen bzw. von einem Absender, mit dem das Opfer erst kürzlich Kontakt hatte.
Die Angst vor den „Bundestags-Leaks“ zu Beginn des Jahres war auch deshalb so groß, weil sie einen perfekten Fundus für weitere Social-Engineering-Angriffe darstellten. Spear-Phishing-Angriffe sind eben auch deshalb so überzeugend, weil sie spezifische Informationen aufgreifen, die die Angreifer im Vorfeld über ihre Opfer gesammelt haben. Daneben bedienen sie sich verschiedener psychologischer Mechanismen, um einen Klick oder Download hervorzurufen. Und da diese Taktik weiterhin zu den effektivsten zählt, rechnet das BSI auch „künftig mit einer weiteren Zunahme an gut gemachten, automatisierten Social-Engineering-Angriffen“.
:quality(80)/images.vogel.de/vogelonline/bdb/1502600/1502653/original.jpg "Der Diebstahl persönlicher Daten einer Vielzahl deutscher Politiker und Personen des öffentlichen Lebens ist alarmierend, aber gleichzeitig nicht überraschend. (Pixabay)")
Update: Datenleck bei Promis und Politikern
Fakten und Stimmen zum Politiker- und Promi-Hack
Doch die Psychotricks, die die Angreifer dabei verwenden, sind gar nicht so neu, sondern zählen schon seit langem zum Handwerkszeug eines jeden guten Betrügers. Sie spielen mit unseren tiefsten Emotionen und bringen uns dadurch dazu, unsere gesunde Skepsis auszuschalten und Dinge zu tun, deren unangenehme Konsequenzen wir eigentlich hätten kommen sehen können. Was sind dabei die häufigsten Taktiken der Spear-Phishing-Betrüger, um Sie oder Ihre Mitarbeiter hinters Licht zu führen?
Vertrauen / Gemeinsamkeiten
Dies war der Hauptmechanismus, der hinter der genannten „Emotet“-Welle steckt. Mittels automatisierten Durchpflügens der Kontaktliste ("Outlook-Harvesting") ist „Emotet“ in der Lage, Nachrichten zu erzeugen, die vermeintlich von einem bekannten Absender zu kommen scheinen. Während dies schon lange zum Repertoire von Trojanern und Würmern gehört, ist diese Variante allerdings in der Lage, auch Inhalte aus Nachrichten zu extrahieren, um der Phishing-Mail zusätzliche Legitimität zu verleihen. Vermeintliche Gemeinsamkeiten werden angeführt, um zusätzliches Vertrauen zu erzeugen („Wir haben doch kürzlich zu diesem Thema gesprochen“) oder Detailinformationen werden präsentiert, die theoretisch nur Sie und Ihr Gesprächspartner kennen könnten.
Vermeintliches Detailwissen
Gerade diesen letzten Punkt kennen wir auch aus einer anderen erfolgreichen Phishing-Masche: der sogenannten „Sextortion“-Taktik. Hierbei wird ein Opfer mit teilweise korrektem Detailwissen konfrontiert, um einem Erpressungsversuch mehr Gewicht zu verleihen. Dem Opfer wird glaubhaft gemacht, der Erpresser sei im Besitz kompromittierenden Videomaterials der schlüpfrigen Art und Weise. Als Beweis dafür wird z.B. ein Passwort genannt – das der Angreifer in diesem Fall aber aus einem vollkommen anderen Datensatz eines zumeist weitreichenden Datenlecks erworben hat. Das Detailwissen ist somit zwar manchmal korrekt, steht aber in keinem Zusammenhang zu der, völlig aus der Luft gegriffenen, Androhung belastendes Videomaterial zu veröffentlichen.
Druck / Angst
Das Ausüben von Druck auf ihr Opfer zählt generell zu den Klassikern unter den Psychotricks von Betrügern. Denn: unter hohem Stress schalten wir unser kritisches Denken aus. Das Androhen von schwerwiegenden Konsequenzen oder möglichen Strafen bei Nichthandeln (z.B. Mahngebühren in einer falschen Rechnungs-E-Mail) sowie das Erzeugen von künstlichem Zeitdruck („Handeln Sie jetzt oder ein wichtiges Projekt ist in Gefahr“) sind häufige Werkzeuge von Phishing-Betrügern. Angreifer nutzen dabei oft auch die natürliche Hierarchie in einem Unternehmen, z.B. indem sie sich als Vorgesetzte oder Behörden ausgeben. Der Drang, autorisierten Personen zu gehorchen, steckt nämlich tief in uns – eine Erkenntnis, die wir bereits seit dem letzten Jahrhundert erlangt haben, z.B. durch berühmte psychologische Experimente wie die Milgram- oder das Stanford-Prison-Studien.
Neugier / Interesse
Eine ebenfalls starke Triebfeder unserer Psyche ist die natürliche Neugier und der Drang, unbekannte Informationen zu erlangen. Was menschheitsgeschichtlich ein absoluter Vorteil war, ist nun für Cyber-Betrüger ein fruchtbarer Ansatzpunkt. Vermeintlich brisante Informationen werden in Aussicht gestellt (z.B. eine Excel-Datei mit dem Titel „Gehaltsdaten-2018.xlsx“) oder spannende Inhalte werden angedeutet („Bist Du das auf dem Video?“). Auch direkte Gier wird hier stimuliert. Häufig arbeiten Spam- und Phishing-Betrüger dabei mit stumpfen Versprechen: Eine Belohnung oder mögliche Vorteile werden in Aussicht gestellt („Melden Sie sich hier an, um Mitarbeitervorteile zu erhalten“).
Hilfsbereitschaft
Zu guter Letzt machen sich Angreifer aber auch unsere edleren Motive zunutze. Denn die meisten Menschen verspüren auch einen mehr oder weniger starken Drang anderen Menschen zu helfen. Insbesondere unseren Mitmenschen die uns sehr ähnlich sind möchten wir sehr gerne etwas Gutes tun oder aus einer misslichen Lage helfen. So arbeiten Social Engineers z.B. mit unbeschrifteten USB-Sticks, die in den eigenen Laptop gesteckt werden, um herauszufinden, welcher nette Kollege denn seinen USB-Stick hier verloren hat.
:quality(80)/images.vogel.de/vogelonline/bdb/1513500/1513589/original.jpg "Damit Mitarbeiter lernen, dass leichtsinniges Verhalten mit persönlichen Daten oder Unternehmensdaten schwerwiegende Folgen haben kann, muss man unter Umständen den üblichen „Kuschelkurs“ verlassen. (dianabartl - stock.adobe.com)")
Paradigmenwechsel bei SecAware
Kein Kuschelkurs mehr bei Security Awareness
Awareness als Schutzmaßnahme
Psychologische Studien zeigen: ist mir die Taktik bekannt, mit der mein Gegenüber versucht, mich zu manipulieren, lasse ich mich wesentlich schwerer überzeugen. Ein wichtiger Schritt ist es also, sich mit den genutzten Maschen der Hacker und Betrüger vertraut zu machen. Und so empfiehlt auch das BSI in diesem Kontext an oberster Stelle die regelmäßige „Information und Sensibilisierung von Nutzern für die Gefahren durch E-Mail-Anhänge oder Links“.
Neben einem ausreichenden technischen Grundschutz sind Awareness-Maßnahmen also einer der effektivsten Schritte für Unternehmen, um die Gefahr zu verringern, Opfer von „Spear-Phishing“-Kampagnen à la „Emotet“ zu werden. Hierbei ist es wichtig, dass Mitarbeiter nicht einfach nur mit Wissen konfrontiert werden. Vielmehr sollten sie das Erkennen von komplexen Angriffsmustern auch nachhaltig eintrainieren, wie z.B. durch die laufende Simulation von Phishing-Angriffen. Denn nur durch Übung sind Menschen in der Lage, Wissen in Handeln zu übersetzen. Und genau dieses Handeln ist erforderlich, wenn demnächst wieder einmal ein vermeintlicher Vorgesetzter Ihren Mitarbeitern mit schweren Konsequenzen droht, falls das angehängte PDF nicht geöffnet wird.
Über den Autor: Dr. Niklas Hellemann ist Psychologe, Unternehmensberater und Geschäftsführer der Firma SoSafe Cyber Security Awareness. Als Experte für Social Engineering beschäftigt er sich mit innovativen Methoden der Mitarbeitersensibilisierung.
(ID:45775603)
:quality(80)/p7i.vogel.de/wcms/c4/10/c4102d583f5ada09d0d5259972a46882/0104830672.jpeg "Trotz ausgefeilter IT-Sicherheitstechnik bleibt der Mensch die größte Schwachstelle, wenn es um den Angriff mit gefälschten E-Mails geht. (Bild: Jacky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/3d/f63d2a5a6fb0b4669ae61bbb8ca09d18/0111211238.jpeg "Das Risiko, einem Tech-Support-Scam ins Netz zu gehen, ist in den vergangenen Monat gestiegen und auch im Erstattungs- und Rechnungsbetrug häufen sich die Fälle. (Bild: Urupong - stock.adobe.com)")