Cyberangriffe und Datenschutzverletzungen nehmen zu, wobei die wichtigsten Schwachstellen von Unternehmen aufgedeckt und ausgenutzt werden. Hacker nutzen oft große Weltereignisse aus, und die Pandemie ist ein typisches Beispiel dafür.
Der Bericht "Cyber Security Statistics 2021" von Purplesec ergab, dass 98 % der Cyberangriffe auf Social Engineering beruhen. Bei Social-Engineering-Angriffen werden Mitarbeiter innerhalb eines Unternehmens dazu gebracht, vertrauliche Passwörter oder sensible Informationen an Angreifer weiterzugeben. Die erfolgreichsten Angriffe sind persönlich und raffiniert. Heutzutage führen Cyber-Kriminelle eine gründliche Analyse der Zielperson durch, indem sie soziale Medien oder andere Quellen nutzen, in denen es einfach ist, Details zu finden, die nur den engen Freunden und der Familie des Opfers bekannt sind.
Warum ist Social Engineering so effektiv?
Es gibt zahlreiche Gründe, warum Social Engineering eine ständige Bedrohung für Unternehmen darstellt. Dazu gehören die wachsende Beliebtheit vom Home-Office, die Verwendung veralteter Software ohne zusätzliche Zugangskonten für sensible Daten und die Nachahmung bekannter Marken (Amazon, Microsoft). Doch die Mitarbeiter sind die schwächsten Glieder in einem Sicherheitssystem. Betrüger nutzen psychologische Manipulationen, um ein Vertrauensverhältnis zu ihren Zielpersonen aufzubauen. Danach ist es viel einfacher, diese Bindung auszunutzen und an die benötigten Informationen zu gelangen. Außerdem verwenden viele Mitarbeiter ihre Firmen-E-Mail-Adresse, um sich in sozialen Netzwerken anzumelden. Dies erhöht die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs erheblich.
Ist Phishing wirklich so einfach?
Phishing ist der häufigste Social-Engineering-Betrug. Diese Betrügereien gibt es in den folgenden Varianten:
- Diebstahl persönlicher Daten (Namen, Adressen oder Sozialversicherungsnummern).
- Eine Umleitung zu verdächtigen Websites, die Phishing-Landingpages hosten.
- Manipulation, um sofortige Maßnahmen zu ergreifen (durch Einbindung von Drohungen, Angst in einen Phishing-Betrug).
Untersuchungen von Proofpoint ergaben, dass 75 % der Unternehmen weltweit im Jahr 2020 von einem Phishing-Angriff betroffen waren. Verizon fand heraus, dass 96 % der technischen Angriffe per E-Mail zugestellt werden, während nur 3 % über eine Website erfolgen und 1 % mit Telefon- oder SMS-Kommunikation verbunden sind.
Entgegen der weit verbreiteten Meinung, dass E-Mail-Phishing-Angriffe leicht durchzuführen sind, erfordert der Start einer erfolgreichen Kampagne eine gründliche Vorbereitung. Es gibt viele Hindernisse, die einen E-Mail-Phishing-Angriff zunichte machen können. Dazu gehören Spam-Filter am E-Mail-Gateway, Junk-E-Mail-Filter in Outlook, Intrusion-Prevention-Systeme, Web-Proxy-Server und Egress-Filter.
Außerdem haben sich die Unternehmen und ihre Anbieter von Cybersicherheitslösungen verbessert, wenn es darum geht, Massen-Phishing-Kampagnen zu erkennen und zu stoppen. E-Mail-Dienste werden heute von großen IT-Unternehmen kontrolliert, die sich an standardisierte Sicherheitsstandards halten. Das SMTP-Protokoll (ein Standard-Kommunikationsprotokoll für die elektronische Postübertragung) ist nicht sicher, so dass diese Anbieter zusätzliche Sicherheitsmaßnahmen anwenden, um Spam und Phishing zu verhindern. So verlangt Google beispielsweise, dass der Server, von dem aus die Nutzer E-Mails versenden, eine weiße IP-Adresse mit A/AAAA- und Reverse-DNS-Einträgen (PTR) haben muss. Außerdem müssen zusätzliche DNS-Einträge konfiguriert werden, um die Spam-Klassifizierung bei der Zustellung an Google Mail zu bestehen (dazu gehören DKIM, SPF, DMARC). Sobald die Phishing-Kampagne beginnt, ist der Zeitfaktor von großer Bedeutung, da moderne Hosting-Plattformen den Server anhalten, die Anzahl der ausgehenden E-Mail-Nachrichten begrenzen oder den TCP 25-Port an der Firewall schließen, sobald das System den ersten ernsthaften Missbrauch meldet. Aus diesem Grund nutzen viele Cyberkriminelle illegale und halblegale Hosting-Dienste. Viele von ihnen stehen jedoch bereits auf der schwarzen Liste von Sicherheitsanbietern.
Betrüger konzentrieren sich nicht (mehr) nur auf Phishing
Heutzutage gehen Betrüger zu gezielteren Social-Engineering-Angriffen mit einer Mischung aus verschiedenen Techniken über, um herkömmliche Sicherheitskontrollen zu umgehen:
- Vishing und Smishing. Bei diesen Phishing-Kampagnen folgt auf eine E-Mail ein betrügerischer Telefonanruf oder eine SMS/Nachricht. Ein Angreifer bringt sein Opfer dazu, in Echtzeit auf die gefälschte E-Mail zu klicken. Dadurch wird das Ziel ermutigt, auf die E-Mail zu klicken und den Virus zu aktivieren.
- Köder. Es wird den Zielpersonen etwas Begehrenswertes vorgesetzt, um sie in die Social-Engineering-Falle zu locken. Ein einfaches Beispiel: Verteilen von kostenlosen USB-Laufwerken an Mitarbeiter, die, sobald sie geladen sind, bösartige Software aktivieren.
- Böser Zwilling. Bei dieser Art von Angriff wird ein gefälschter Wi-Fi-Hotspot verwendet, der legitim aussieht, aber Daten während der Übertragung abfangen kann. Dieser Ansatz macht es einfach, vertrauliche Daten zu sammeln, die während der Verbindung übertragen werden.
- Panikmache. Betrüger erstellen Popup-Banner mit einer Sicherheitswarnung. Diese Art von Angriff spielt mit den Ängsten der Menschen und verleitet sie dazu, bösartige Websites zu besuchen.
Fazit
Zweifellos werden neue Angriffsszenarien entstehen, insbesondere mit der rasanten Entwicklung von neuronalen Netzen und KI. Sicherheitsexperten sollten Folgendes bedenken: Es ist sehr selten, dass hochwertige Ressourcen kostenlos verteilt werden, überprüfen Sie immer eine E-Mail-Adresse und die Angaben zum Absender, Nutzer sollten im Zweifelsfall den Missbrauch an die Infosec-Abteilung melden, und schließlich nehmen Sie Social-Engineering-Tests ernst. Sie ermöglichen es den Sicherheitsteams, schnell Muster zu finden und bösartige Aktivitäten zu erkennen. Kontaktieren Sie uns und unsere Experten helfen Ihnen dabei, Cyberangriffe und Datenschutzverletzungen abzuschwächen oder sogar zu vermeiden.
