Cyberkriminelle nutzen zunehmend den „menschlichen Faktor“, auch bekannt als Social Engineering, um Cyberangriffe durchzuführen. Mehrere Untersuchungen zeigen, dass dies nicht nur ein Gerücht ist und dass Social Engineering eine erfolgreiche Technik für Cyberangriffe ist: Daten aus der Sicherheitsforschung von PurpleSec haben zum Beispiel ergeben, dass 98 % der Cyberangriffe auf Social Engineering basieren.

Cyberkriminelle haben unsere Mitarbeiter zur vordersten Front von Cyberangriffen gemacht: Sie zielen mit bösartigen E-Mails auf sie, tricksen sie mit gefälschten Anrufen aus und manipulieren ganz allgemein ihr Verhalten.

Indem wir unsere Mitarbeiter über Social-Engineering-Taktiken und -Techniken aufklären, versetzt ein Unternehmen sie in die Lage, sich gegen Betrüger zu wehren. Für ein erfolgreiches Social-Engineering-Schulungsprogramm müssen jedoch bestimmte Best Practices beachtet werden.

Hier ist der MetaCompliance-Leitfaden zur Aufklärung von Mitarbeitern über Social Engineering:

Was ist Social Engineering?

Social Engineering ist im Kontext der Cybersicherheit eine Technik oder eine Reihe von Techniken, die eingesetzt werden, um einen Menschen so zu manipulieren, dass er etwas Nützliches für einen Cyberkriminellen tut.

Die Tricks der Social Engineers sind vielfältig und können sich im Laufe der Zeit ändern, da die Cyberkriminellen ihre Taktiken optimieren. Das Ergebnis von Social Engineering ist, dass Mitarbeiter (oder die Öffentlichkeit) dazu verleitet werden, sensible Daten, wie z. B. Anmeldeinformationen, weiterzugeben, Geld an einen Betrüger zu überweisen oder einen Fehler zu machen, z. B. auf einen Phishing-Link zu klicken.

Social Engineering ist in der Regel eine schrittweise Technik, die Folgendes umfasst:

  • Überwachen: Das Sammeln von Informationen ist eine Schlüsselkomponente eines sozial manipulierten Cyberangriffs. Es werden persönliche und geschäftliche Informationen über die Mitarbeiter der Zielpersonen gesammelt, die typischerweise in Bereichen wie der Kreditorenbuchhaltung oder der IT-Administration tätig sind.

  • Grooming der Zielperson: Die während der Überwachung gesammelten Informationen werden genutzt, um Beziehungen zu dem Zielmitarbeiter aufzubauen. Einige Betrüger rufen den Angestellten sogar an, um eine freundschaftliche Beziehung zu ihm aufzubauen und ihn für die Ausbeutung zu präparieren.

  • Ausnutzung des Ziels: Dies ist ein wichtiger Teil des sozial ausgeklügelten Cyberangriffs, der auf der Beziehung aufbaut, die mit den gesammelten Informationen aufgebaut wurde. Diese Beziehung wird ausgenutzt, um den Angriff auszuführen, z. B. indem man einen Benutzernamen und ein Passwort per Telefon erhält oder einen infizierten E-Mail-Anhang öffnet.

  • Den Hack zu Ende bringen: Die Exploitation-Phase legt den Grundstein für die Durchführung des Kernstücks des Cyberangriffs. Ein erfahrener Social Engineer wird in der Lage sein, den Cyberangriff zu beenden, da er weiß, dass es einige Zeit dauern wird, bis der Mitarbeiter oder das Unternehmen merkt, dass er ausgenutzt wurde.

Beispiele für Social Engineering

Social Engineering gibt es in vielen Formen, die sowohl Low-Tech- als auch High-Tech-Methoden und oft auch Mischformen aus beiden umfassen. Einige Beispiele zeigen, auf welche Art und Weise unsere Mitarbeiter sozial manipuliert werden:

Massiver Social-Engineering-Angriff auf Google und Facebook

Business Email Compromise (BEC) ist ein Betrug, der Social Engineering einsetzt, um einen Angestellten dazu zu bringen, eine Firmenzahlung an den Betrüger zu senden, bei der es oft um hohe Geldbeträge geht.

Im Jahr 2019 wurden durch einen massiven BEC-Betrug rund 100 Millionen Dollar von Unternehmen gestohlen, darunter Google und Facebook. Die Betrüger schufen ein gefälschtes Unternehmen mit einem ähnlichen Namen wie ein legitimes Unternehmen, mit dem die Zielunternehmen zu tun hatten. Von dort aus verschickten sie Spear-Phishing-E-Mails an bestimmte Mitarbeiter und Vertreter der Opferunternehmen.

Um herauszufinden, welche Mitarbeiter sie ins Visier nehmen können, setzen Betrüger in der Regel Überwachungstechniken ein, um herauszufinden, wie sie das Verhalten der Zielmitarbeiter am besten manipulieren können.

Microsoft 365 Betrug

Marken wie Microsoft 365 werden oft benutzt, um Mitarbeiter zu manipulieren und auszutricksen.

Bei einem kürzlich erfolgten Angriff auf Microsoft 365 ging es darum, die Anmeldedaten von Mitarbeitern zu stehlen. Bei diesem Cyberangriff nutzten die Betrüger Techniken zur Umgehung von E-Mail-Gateways, so dass die Phishing-E-Mails im Posteingang eines Mitarbeiters landen konnten und wie eine scheinbar legitime Microsoft 365-E-Mail aussahen. Die Phishing-E-Mail enthielt eine Betreffzeile über eine „Preisrevision“ und als Anhang eine Excel-Tabellenkalkulationsdatei. Der Trick war, dass es sich bei der „Tabelle“ in Wirklichkeit um eine getarnte .html-Datei handelte. Die Datei leitete jeden, der sie öffnete, auf eine Website weiter, auf der er seine Microsoft 365-Anmeldedaten eingeben musste.

5 bewährte Methoden, um Mitarbeiter über Social Engineering zu unterrichten

Sobald Sie bereit sind, Ihre Mitarbeiter über Social Engineering aufzuklären, lohnt es sich, diese fünf Best Practices anzuwenden:

Best Practice Eins: Verstehen Sie das komplexe Netz des Social Engineering

Bauen Sie eine Wissensbasis über Social Engineering Taktiken und Techniken auf. Dies wird die Grundlage für Ihr Schulungspaket bilden. Social Engineering basiert auf der menschlichen Psychologie. Zu verstehen, wie Betrüger das menschliche Verhalten manipulieren, ist daher von grundlegender Bedeutung, um einen erfolgreichen Cyberangriff mit dieser Methode zu verhindern.

Daher ist die Schulung von Mitarbeitern zur Erkennung eines Social-Engineering-Versuchs komplexer als die Schulung zum Thema Phishing; Phishing-Simulationen sollten jedoch Teil eines umfassenderen Schulungsprogramms zum Thema Social Engineering sein.

Ein umfassendes Programm zur Aufklärung über Social Engineering sollte auch beinhalten, wie diese Betrügereien funktionieren und welche Arten von Verhaltensweisen oder Situationen sie manipulieren, z. B. Vertrauen, Dringlichkeit, Beziehungen, usw.

Best Practice Zwei: Schulung des Sicherheitsbewusstseins +SEE

Allgemeine Schulungspakete zum Sicherheitsbewusstsein sollten immer auch Schulungen zum Thema Social Engineering enthalten. Sicherheitshygiene und allgemeines Phishing-Bewusstsein gehören dazu, um einen erfolgreichen Social Engineering-Versuch zu entschärfen. Erweitern Sie Ihr allgemeines Schulungsprogramm für das Sicherheitsbewusstsein um Schulungen zum Thema Social Engineering (SEE), um Social Engineering-Tricks für alle sichtbar zu machen.

Best Practice Drei: Intelligentes Lernen

Der Mensch lernt am besten, wenn er mit interaktiven Techniken unterrichtet wird. Die Forschung hat bestimmte Kriterien für effektives Lernen ermittelt:

  1. Machen Sie die Lektionen kurz, aber informativ: Bauen Sie darauf auf und wiederholen Sie sie regelmäßig, um optimal zu lernen.
  2. Wenn Sie beim Lernen zwischen den Ideen wechseln, entstehen natürliche Pausen zwischen den Sitzungen, die dazu beitragen, die Ideen zu festigen. Stellen Sie sicher, dass Sie auch Verbindungen zwischen verschiedenen Bereichen der Cybersicherheit und Social-Engineering-Taktiken aufzeigen, damit die Mitarbeiter die Komplexität dieser Arten von Angriffen verstehen.
  3. Verwenden Sie ‚konkrete Beispiele‚, damit das Gelernte im Gedächtnis des Mitarbeiters haften bleibt.

Beste Praxis Vier: Ausspülen und Wiederholen

Social Engineering wird, wie andere Angriffsmethoden auf die Cybersicherheit, von Cyberkriminellen ständig optimiert. Stellen Sie sicher, dass Sie im Rahmen Ihres umfassenden Schulungsprogramms für das Sicherheitsbewusstsein regelmäßig Schulungen zum Thema Social Engineering durchführen. Automatisieren Sie Ihre Sicherheitsaufklärungskampagne, um das Training zu verbessern und zu optimieren.

Best Practice Fünf: Machen Sie Ihren Arbeitsplatz zu einer Null-Toleranz-Zone für Social Engineering

Indem Sie das Vertrauen Ihrer Mitarbeiter in die Erkennung und Verhinderung eines sozial manipulierten Cyberangriffs stärken, wird Ihr Unternehmen eine Kultur des Sicherheitsbewusstseins aufbauen.

Diese Kultur wird Ihre Mitarbeiter vor Cyberangriffen schützen, selbst wenn das Social Engineering komplex ist und mit den Ängsten, dem Verhalten, der Dringlichkeit und den Beziehungen der Mitarbeiter spielt. Diese Kultur wird sich auch auf das Privatleben der Mitarbeiter ausdehnen, ihre allgemeine Sicherheit verbessern und dazu beitragen, dass auch die private Arbeitsumgebung weniger gefährdet ist.

Bei Cyberangriffen, die Social-Engineering-Techniken verwenden, ist der Mensch die Sicherheitsschwachstelle. Indem Sie Ihre Mitarbeiter mit dem Wissen ausstatten, Social Engineering-Versuche zu erkennen, stärken Sie Ihr Unternehmen und Ihre Mitarbeiter.

Risiko von Ransomware