Verstärkte Aufmerksamkeit bei Social Engineering
Angesichts der zunehmenden Bedrohungen durch Social Engineering, insbesondere in Form von Phishing und Malvertising, warnt die UIMC vor den teilweise unterschätzten Gefahren dieser Angriffsmethoden. Die Angreifer werden immer raffinierter, indem sie gezielt Informationen über ihre Opfer sammeln und Vertrauen durch täuschend echte E-Mails oder Anzeigen gewinnen. „In einer Welt, in der wir mehr denn je auf digitale Kommunikation und Online-Interaktionen angewiesen sind, müssen wir uns der Risiken bewusst sein, die durch gezielte Angriffe entstehen“, erklärt UIMC-Geschäftsführer Dr. Jörn Voßbein. „Social Engineering nutzt menschliches Vertrauen und Neugierde aus, um Zugang zu sensiblen Informationen zu erlangen.“ Was genau sind Social Engineering, Phishing oder Malvertising und wie lässt sich der Schutz davor verbessern?
Social Engineering ist eine Manipulationstechnik, bei der Angreifer psychologische Tricks anwenden, um Menschen dazu zu bringen, eigentlich ungewollte Handlungen auszuführen. Dadurch werden vertrauliche Informationen preisgegeben oder Handlungen vollzogen, die die Sicherheit gefährden. Anstatt technische Lücken in Computersystemen zu missbrauchen, zielen Social Engineers darauf ab, menschliche Schwächen auszunutzen, indem sie sich als vertrauenswürdige Personen ausgeben oder Drucksituationen schaffen. Social Engineering stellt eine erhebliche Bedrohung für die Cybersicherheit dar, da es oft schwer zu erkennen und abzuwehren ist.
Welche Methoden wenden die Angreifer an? – Beispiele:
1. Phishing und Spear-Phishing
Diese Techniken beruhen auf dem Versenden gefälschter E-Mails, die den Anschein erwecken, von einem vertrauenswürdigen Absender zu stammen (z. B. durch vorgaukeln der eigenen Firmendomain). Häufig wird der Name eines Kollegen oder Vorgesetzten genutzt, um das Vertrauen des Opfers zu gewinnen. Dabei achten Angreifer auf Details wie die korrekte Firmendomain oder nutzen ähnlich klingende Domainnamen, um ihre Glaubwürdigkeit zu erhöhen. Kleine Buchstabendreher in der Internetadresse, die vom Opfer im Alltagstrubel überlesen werden, sind nicht selten das Einfallstor der Kriminellen. Je höher der erwartete Erfolg der Kriminellen desto mehr Aufwand stecken diese in die Recherche von Informationen über ihre Opfer (beispielsweise in sozialen Netzwerken), um die Mails noch passgenauer zu gestalten. Wo Phishing noch relativ zufällig das Opfer auswählt, wird beim Spear-Phishing-Angriff wird das Opfer zum Teil über Wochen und Monate gezielt ausspioniert. Whaling (oder Wale-Phishing) ist wiederum Spear-Phishing, bei dem die Opfer mit dem höchsten Profil und dem höchsten Wert ausgewählt werden.
2. Malvertising
Diese Methode nutzt legitime Werbenetzwerke, um bösartige Inhalte zu verbreiten. Nutzer werden oft über gesponserte Anzeigen auf gefälschte Webseiten geleitet, die echten Internetauftritten täuschend ähnlichsehen. Sobald Nutzer auf diese Seiten gelangen, werden sie häufig zur Eingabe persönlicher Daten aufgefordert oder zum Herunterladen von Malware verleitet, was teilweise schon automatisch passiert.
Was tun?
„Das Bewusstsein der Mitarbeiter ist der erste und wichtigste Schritt zur Abwehr dieser Bedrohungen“, so Dr. Jörn Voßbein. „Regelmäßige Schulungen und Sensibilisierung gegenüber Phishing-Angriffen sind essenziell, um die Aufmerksamkeit zu schärfen und potenzielle Angriffe frühzeitig zu erkennen.“
Zudem empfiehlt das UIMC-Team den Einsatz von Adblockern, um potenziell gefährliche Anzeigen gar nicht erst anzuzeigen, und die direkte Eingabe von URLs in die Browserleiste, um das Risiko, auf gefälschte Webseiten zu gelangen, zu minimieren. Zwei-Faktor-Authentifizierung sollte überall dort eingesetzt werden, wo sie verfügbar ist, um ein zusätzliches Sicherheitselement hinzuzufügen.
Angesichts der zunehmenden Professionalität der Angreifer und der potenziellen Schäden, die durch Social Engineering verursacht werden können, ist es entscheidend, dass Unternehmen proaktive Maßnahmen ergreifen, um ihre Mitarbeiter zu schulen und ihre Systeme zu sichern. „Es gilt Abwehrmaßnahmen zu stärken und sich gegen die Bedrohungen der digitalen Welt zu wappnen. Der vielzitierte ‚Faktor Mensch‘ ist nicht nur ein Angriffsziel, sondern auch eine Maßnahme zur Angriffsabwehr“, appelliert Dr. Jörn Voßbein.