Die Cyber-Angriffsmethoden auf Menschen werden "Social Engineering" oder auch "Social Hacking" genannt. Die Angreifer nutzen typische psychologische Verhaltensmuster wie Neugierde oder Hilfsbereitschaft aus, um sensible Informationen zu erschleichen oder Systeme zu infizieren.
Die Auserwählten: Spear Phishing
Bei Spear Phishing handelt es sich um gezielte Phishing-E-Mails an wenige ausgewählte Opfer. Spear Phishing ist eine sehr erfolgreiche Variante des tool-gestützten Social Engineerings. Die Cyber-Angreifer sammeln gezielt Informationen über bestimmte Personen, beispielsweise in sozialen Netzen oder über gezielte Telefonanrufe. Die "Auserwählten" erhalten dann professionell aufbereitete E-Mails, deren Inhalt typischen Geschäftsvorgängen entspricht und somit Vertrauen erzeugt. Klickt der Empfänger auf den Anhang der E-Mail, infiziert er seinen Computer mit Schadsoftware. Diese ist ebenfalls speziell für diesen Angriff entwickelt und wird daher von Virenscannern oft nicht erkannt.
Mit einer täuschend echt aussehenden Ebay-Anfrage und der Drohung, die Polizei ein zuschalten, erreichen die Phishing-Betrüger, dass das Opfer antwortet.
Klickt man auf den Antwort-Button, ...
... kommt man auf eine ebenfalls gefälschte Ebay-Eingabemaske.
Sogar angebliche Auktionsteilnahmen sind gefälscht..
Nach der Anmeldung auf der gefälschten Seite wird man auf eine reguläre Ebay-Seite weitergeleitet. Die läuft allerdings ins Leere. Aber so bemerken die Phishing-Opfer den Datendiebstahl womöglich gar nicht.
Nun sind die Betrüger im Besitz der Zugangsdaten und können mit dem gekaperten Ebay-Account jede Menge Unheil anrichten.
Der verlorene USB-Stick
Nahezu ebenso erfolgreich wie Spear Phishing ist der USB-Stick. Die Angreifer "verlieren" mit Schadsoftware präparierte USB-Sticks in der Cafeteria, an Raucherecken, vor dem Werkstor oder in Tiefgaragen für Mitarbeiter. Sie vertrauen auf neugierige Menschen, die den USB-Stick in der Regel mitnehmen und an ihren PC stecken, um zu sehen, was sich darauf befindet. Der Spionageangriff auf das Bundeskanzleramt ist ein prominenter Fall für solch einen Angriff.
Wenn der Administrator anruft
Social Engineering kann auch durch persönlichen Kontakt erfolgen. Ein Mitarbeiter erhält einen Anruf von einem vermeintlichen IT-Administrator. Für die Behebung eines dringenden technischen Problems benötigt er angeblich das Passwort. Mit etwas Fachchinesisch und dem Aufbau von Druck ist auch dieser Angriff überdurchschnittlich erfolgreich. Der Angreifer kann mit den Zugangsdaten seines Opfers weiter in das Unternehmensnetz vordringen.
Wissen schützt
Aufmerksamkeit und gesunde Skepsis reduzieren das Risiko, Opfer von Social Engineering zu werden. Damit sich die Mitarbeiter sicherheitsbewusst verhalten, müssen sie allerdings das Gefahrenpotenzial kennen und eine persönliche Betroffenheit spüren. Wer einmal live erlebt hat, wie schnell ein sechsstelliges Passwort geknackt ist, der wird die Richtlinie zur Passwortsicherheit nicht mehr infrage stellen.
Die Sensibilisierung erfolgt durch klassische Security-Awareness-Maßnahmen wie Präsenztrainings, Online-Trainings, Hacking Days, Videos und vieles mehr. Die wichtigste Botschaft: "Hören Sie auf Ihr Bauchgefühl und melden Sie verdächtige Vorkommnisse." Denn nur wenn potenzielle Angriffe an die IT gemeldet werden, können die Unternehmen reagieren, Abwehrmaßnahmen einleiten und somit den Schaden reduzieren.
Ohne Führungskraft keine Sicherheit
Sicherheitsbewusstes Verhalten bedeutet meist zusätzlichen, wenn auch kleinen, Aufwand: den PC sperren, E-Mails verschlüsseln, vertrauliche Unterlagen wegsperren und so weiter. Wenn der Chef das nicht macht, warum sollten es dann die Mitarbeiter tun? Führungskräfte haben gerade in Bezug auf Sicherheit eine Vorbildfunktion und sollten sicherheitsbewusstes Verhalten entsprechend vorleben. Deshalb erhalten Führungskräfte auch eine "Sonderbehandlung" bei der Sensibilisierung.
- Unsicheres iOS versus Android
iOS-Apps sind dem Appthority Report zufolge deutlich geschwätziger als Android-Apps und übermitteln private Informationen und vertrauliche Daten häufiger an Dritte. - Die Risiken kostenloser Apps
Egal ob iOS oder Android, wer kostenlose Apps nutzt geht ein hohes Risiko ein, dass sensible Daten ungefragt gesammelt werden. - Die Risiken bezahlter Apps
Selbst bezahlte Apps haben einen erschreckend hohen Datenhunger. Überraschend ist, dass dabei das Risiko bei iOS höher als bei Android ist. - Sammelwut I
Kostenlose Apps sammeln vor allem ortsbezogene Informationen und versuchen die eindeutige Benutzerkennung der Smartphones auszulesen und zu übertragen – damit sind die User eindeutig identifizierbar. - Sammelwut II
Ein hoher Anteil der bezahlten Apps versucht ebenfalls die Benutzerkennung zu sammeln. - Die Datenräuber I
Vor allem soziale Netze und Ad-Networks sind an den persönlichen Daten der App-Nutzer interessiert. - Die Datenräuber II
Überraschend ist, dass selbst ein hoher Teil der bezahlten Apps Daten mit ad-Networks und anderen Brokern im Hintergrund teilt. - Who´s Who der Entwickler I
Zu den führenden Anbietern kostenloser Apps unter den Top 100 in der iOS-Welt zählt Google. - Who´s Who der Entwickler II
Auch im Android-Lager ist Google App-Anbieter Nummer Eins und bei den bezahlten Apps dominieren die Spieleanbieter.