Zurück
Cybersicherheitstraining & Software für Unternehmen | MetaCompliance

Produkte

Entdecken Sie unser Angebot an personalisierten Sicherheitsschulungen, die Ihr Team gegen moderne Cyberbedrohungen wappnen und schulen sollen. Von der Verwaltung von Richtlinien bis hin zu Phishing-Simulationen - unsere Plattform stattet Ihre Mitarbeiter mit dem Wissen und den Fähigkeiten aus, die zum Schutz Ihres Unternehmens erforderlich sind.

Inhalt Bibliothek

Entdecken Sie unsere preisgekrönte Elearning-Bibliothek, die für jede Abteilung maßgeschneidert ist

Automatisierung des Sicherheitsbewusstseins

Planen Sie Ihre jährliche Sensibilisierungskampagne mit ein paar Klicks

Phishing-Simulation

Stoppen Sie Phishing-Angriffe mit preisgekrönter Phishing-Software auf der Stelle

Cyber Security eLearning

Engagieren und schulen Sie Ihre Mitarbeiter, damit sie die erste Verteidigungslinie sind

Richtlinienmanagement

Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien

Datenschutz-Management

Einfache Kontrolle, Überwachung und Verwaltung der Compliance

Management von Zwischenfällen

Übernehmen Sie die Kontrolle über interne Vorfälle und beheben Sie, was wichtig ist

Zurück
Industrie

Branchen

Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiesektor bis hin zum Gesundheitswesen - erfahren Sie, wie unsere Lösungen in verschiedenen Branchen für Furore sorgen. 


Finanzdienstleistungen

Schaffung einer ersten Verteidigungslinie für Finanzdienstleistungsunternehmen

Regierungen

Eine Go-To Security Awareness Lösung für Regierungen

Unternehmen

Eine Lösung für die Schulung des Sicherheitsbewusstseins für große Unternehmen

Fernarbeitskräfte

Verankern Sie eine Kultur des Sicherheitsbewusstseins - auch zu Hause

Sektor Bildung

Engagierte Sicherheitsschulung für den Bildungssektor

Beschäftigte im Gesundheitswesen

Siehe unser maßgeschneidertes Sicherheitsbewusstsein für Mitarbeiter im Gesundheitswesen

Technische Industrie

Veränderung der Sicherheitsschulung in der Technologiebranche

NIS2-Konformität

Unterstützen Sie Ihre Nis2-Compliance-Anforderungen mit Initiativen zur Sensibilisierung für Cybersicherheit

Zurück
Ressourcen

Ressourcen

Von Postern und Richtlinien bis hin zu ultimativen Leitfäden und Fallstudien - unsere kostenlosen Informationsmaterialien können dazu beitragen, das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern.

Bewusstsein für Cybersicherheit für Dummies

Eine unverzichtbare Ressource für die Schaffung einer Kultur des Cyber-Bewusstseins

Dummies Leitfaden für Cyber-Sicherheit Elearning

Der ultimative Leitfaden für die Implementierung von effektivem Cyber Security Elearning

Ultimativer Leitfaden für Phishing

Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen

Kostenlose Aufklärungsposter

Laden Sie diese kostenlosen Poster herunter, um die Wachsamkeit der Mitarbeiter zu erhöhen

Anti-Phishing-Politik

Schaffung einer sicherheitsbewussten Kultur und Förderung des Bewusstseins für Cybersicherheitsbedrohungen

Fallstudien

Erfahren Sie, wie wir unseren Kunden dabei helfen, positives Verhalten in ihren Organisationen zu fördern

Terminologie für Cybersicherheit von A-Z

Ein Glossar der wichtigsten Begriffe zur Cybersicherheit

Reifegradmodell für das Verhalten im Bereich Cybersicherheit

Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken

Kostenloses Zeugs

Laden Sie unsere kostenlosen Awareness-Assets herunter, um das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern

Zurück
MetaCompliance | Cybersicherheitstraining & Software für Mitarbeiter

Über

MetaCompliance verfügt über mehr als 18 Jahre Erfahrung auf dem Markt für Cybersicherheit und Compliance und bietet eine innovative Lösung für die Sensibilisierung der Mitarbeiter für die Informationssicherheit und die Automatisierung des Vorfallsmanagements. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cybersicherheit, Datenschutz und Compliance zu erfüllen.

Warum uns wählen

Erfahren Sie, warum Metacompliance der vertrauenswürdige Partner für Security Awareness Training ist

Spezialisten für Mitarbeiterengagement

Wir machen es einfacher, Mitarbeiter einzubinden und eine Kultur des Cyber-Bewusstseins zu schaffen

Automatisierung des Sicherheitsbewusstseins

Einfaches Automatisieren von Sicherheitsschulungen, Phishing und Richtlinien in wenigen Minuten

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

5 Beispiele für Social-Engineering-Angriffe

Beispiele für Social-Engineering-Angriffe

über den Autor

Diesen Beitrag teilen

Der Mensch ist ein soziales Tier; wir mögen es, zusammenzukommen, zu kommunizieren, zu arbeiten und Spaß zu haben. Dieses sozialisierte Verhalten, das auf vertrauensvollen Beziehungen beruht, sorgt dafür, dass menschliche Gruppen kooperieren und koexistieren.

Leider sind es auch diese sozialen Aspekte des menschlichen Verhaltens, die Cyberkriminelle, die Schaden anrichten wollen, ausnutzen können. Bei Social-Engineering-Angriffen werden Menschen durch Tricks und Nachahmung dazu gebracht, eine Handlung auszuführen, die dem Betrüger zugute kommt.

Dies wird durch den Verizon Data Breach Investigations Report (DBIR) aus dem Jahr 2022 bestätigt, in dem festgestellt wurde, dass 82 % der Datenschutzverletzungen ein menschliches Element beinhalten.

Im Folgenden wird erläutert, wie Social-Engineering-Angriffe ablaufen und was Sie tun können, um zu verhindern, dass Ihre Mitarbeiter Opfer von Social-Engineering werden.

Wie kommt es zu Social Engineering-Angriffen?

Einem Bericht zufolge ist ein Unternehmen im Durchschnitt 700 Social-Engineering-Angriffen pro Jahr ausgesetzt. Social-Engineering-Angriffe kommen in vielen Formen vor und entwickeln sich zu neuen, um der Entdeckung zu entgehen.

Die Aufgabe eines Social-Engineering-Angriffs besteht darin, jemanden dazu zu bringen, etwas zu tun, das einem Cyberkriminellen nützt. Zum Beispiel soll eine Person dazu gebracht werden, finanzielle Details preiszugeben, die dann für Betrugszwecke verwendet werden.

Social Engineering wird nicht nur mit digitalen Methoden durchgeführt. Social Engineers wenden jede Taktik an, um die Strukturen aufzubauen, die sie brauchen, um Menschen zu täuschen. Dazu kann es gehören, das Telefon zu benutzen oder in ein Büro zu gehen und mit dem Personal zu sprechen.

Zu den derzeit beliebtesten Social-Engineering-Tricks gehören:

Pretexting und Tailgating: Die Angreifer geben sich als Mitarbeiter oder Autoritätsperson aus, z. B. als Polizeibeamter. Unter diesem Deckmantel bauen sie über eine digitale Methode, per Telefon oder persönlich Vertrauen zu einer Zielperson auf. Sobald das Vertrauen hergestellt ist, versucht der Betrüger, Informationen wie persönliche Daten oder finanzielle Details zu erlangen.

Darüber hinaus führen Tailgators häufig physische Angriffe auf Unternehmen durch, indem sie Wege finden, unbemerkt oder sogar eingeladen in ein Gebäude einzudringen. Sobald sie in einem Gebäude sind, können sie leicht verfügbare Tools wie RubberDucky verwenden, die von legitimen Penetrationstestern eingesetzt werden, um Daten, einschließlich Anmeldedaten, zu stehlen.

Phishing: Phishing gibt es in verschiedenen Varianten, z. B. per E-Mail, Telefonanruf, in sozialen Medien und per SMS. Phishing-Nachrichten basieren auf Social-Engineering-Taktiken, bei denen die Empfänger durch Vortäuschung von Vertrauen und den Drang zu klicken dazu gebracht werden, persönliche Informationen wie Passwörter und Kreditkartendaten preiszugeben.

Eine Studie der britischen Regierung zur Cybersicherheit ergab, dass die überwiegende Mehrheit (83 %) der Unternehmen, die einen Cyberangriff feststellten, angaben, dass Phishing der primäre Vektor des Angriffs war.

Spearphishing ist die gezielte Form des Phishings, bei der Social Engineering den größten Erfolg erzielt. Spearphishing-E-Mails sind nur schwer von legitimen E-Mails zu unterscheiden, da die Betrüger große Anstrengungen unternehmen, um sie realistisch aussehen zu lassen, und oft eine vertrauensvolle Beziehung zu ihrem Ziel aufbauen. Laut dem DBIR 2018 stecken 93 % der Cyberangriffe hinter Spearphishing.

Köder: Dieser Social-Engineering-Angriff nutzt Verlockungen oder die Angst, etwas zu verpassen (FOMO), um bestimmte Verhaltensweisen zu fördern. So können einem Mitarbeiter beispielsweise kostenlose Geschenke angeboten werden, wenn er persönliche oder Unternehmensdaten oder Passwörter preisgibt.

Warum sind Social-Engineering-Angriffe so effektiv?

Der Mensch hat sich so entwickelt, dass er auf bestimmte Weise handelt und sich verhält, um starke und kohäsive soziale Strukturen aufzubauen. Elemente wie Vertrauen sind wesentliche Bestandteile einer kohärenten Gesellschaft. Ohne Vertrauen scheitern die Beziehungen.

Betrüger verstehen das menschliche Verhalten und das Bedürfnis, vertrauensvolle Beziehungen aufzubauen. Sie wissen auch, wie sie Menschen manipulieren können, indem sie vorgeben, eine vertrauenswürdige Person zu sein oder Vertrauen aufzubauen.

Auch andere menschliche Verhaltensweisen wie der Drang, einen guten Job zu machen, nicht in Schwierigkeiten zu geraten oder etwas Gutes zu verpassen, werden von Cyberkriminellen missbraucht. All diese natürlichen Handlungen, die wir täglich in unserem Privat- und Arbeitsleben ausführen, können von Cyberkriminellen ausgenutzt werden, um Daten zu stehlen und auf Netzwerke zuzugreifen, um bösartige Handlungen auszuführen.

5 Beispiele für Social-Engineering-Angriffe

Beispiele für Social Engineering sind regelmäßig in der Presse zu finden, aber hier sind fünf, um Ihnen einen Eindruck davon zu vermitteln, wie Social Engineering funktioniert:

Marriott Hotel: Eine Hackergruppe nutzte Social-Engineering-Taktiken, um 20 GB persönlicher und finanzieller Daten aus einem Marriott-Hotel zu stehlen. Die Hacker brachten einen Mitarbeiter des Marriott-Hotels dazu, der Hackergruppe Zugriff auf den Computer des Mitarbeiters zu gewähren.

US-Arbeitsministerium (DoL ): Es handelte sich um einen sozial manipulierten Angriff, bei dem Anmeldedaten für Office 365 gestohlen wurden. Der Angriff nutzte ein ausgeklügeltes Phishing, das auf geschickt gefälschten Domains basierte, die wie die legitime DoL-Domain aussahen. Die E-Mails schienen von einem leitenden DoL-Mitarbeiter zu stammen und forderten ihn auf, ein Angebot für ein Regierungsprojekt abzugeben. Durch Anklicken der Schaltfläche für die Angebotsabgabe gelangte der Mitarbeiter auf eine Phishing-Website, über die Anmeldedaten gestohlen wurden.

Zoom-Nutzer: Eine Phishing-Kampagne, die sich an Mitarbeiter richtete, betraf mindestens 50.000 Nutzer. Die Social Engineers nutzten die Angst vor Entlassung, um die Mitarbeiter dazu zu bringen, auf einen Link zu klicken, um sich über Zoom mit der Personalabteilung zu treffen. Wenn der Mitarbeiter auf den Link klickte, gelangte er auf eine gefälschte Zoom-Anmeldeseite, um Passwörter zu stehlen.

FACC (österreichischer Flugzeughersteller): FACC verlor rund 42 Millionen Euro , als das Unternehmen Opfer eines ausgeklügelten Business Email Compromise (BEC)-Betrugs wurde. Das E-Mail-Konto des Geschäftsführers des Unternehmens wurde gefälscht und dann benutzt, um eine "dringende" E-Mail-Anfrage für eine Geldüberweisung zu senden. Mit dieser E-Mail wurde ein Angestellter des Unternehmens getäuscht, der der Aufforderung nachkam und das Geld auf das Konto des Betrügers überwies.

Crowdstrike-Rückruf: Sogar Sicherheitsanbieter bekommen die Macht des Social Engineering zu spüren. Crowdstrike ist unwissentlich zum Spielball der Social Engineers geworden. Betrüger nutzen die vertrauenswürdige Marke von Crowdstrike und anderen Sicherheitsanbietern, um Phishing-E-Mails an Mitarbeiter zu senden. Die E-Mail enthält Details zu einer möglichen Malware-Infektion und eine Telefonnummer, die angerufen werden soll, um die installierte Malware zu entfernen. Wenn der Mitarbeiter die Nummer wählt, wird er dazu verleitet, dem Angreifer Zugang zu seinem Computer zu gewähren.

Wie man sich vor Social-Engineering-Angriffen schützt

Social Engineering ist erfolgreich, weil die Technik unsere alltäglichen Handlungen manipuliert. Dadurch ist es für die Mitarbeiter schwierig zu erkennen, dass sie Teil eines Social-Engineering-Angriffs sind.

Social Engineering muss Teil des Gesprächs über das Sicherheitsbewusstsein sein, und die Sicherheitsrichtlinien sollten dies widerspiegeln. Es gibt jedoch praktische Möglichkeiten, um sicherzustellen, dass die Mitarbeiter mit den Tricks der Social-Engineering-Betrüger auf dem Laufenden sind:

Machen Sie Social Engineering zu einem Teil Ihrer Sicherheitskultur:

  1. Informieren Sie Ihre Mitarbeiter regelmäßig über Social Engineering und dessen Funktionsweise.
  2. Stellen Sie sicher, dass Social Engineering Teil Ihrer regelmäßigen Sicherheitsschulungen ist.
  3. Beziehen Sie Social Engineering in die Plakate zum Monat des Sicherheitsbewusstseins ein und versenden Sie Newsletter an die Mitarbeiter über die durch Social Engineering verursachten Probleme.

Einsatz von Phishing-Simulationen: Verwenden Sie eine fortschrittliche Plattform für Phishing-Simulationen, um Mitarbeiter darin zu schulen, wie Phishing-E-Mails aussehen, und um ihre Reaktion auf eine Phishing-E-Mail zu testen. Passen Sie diese E-Mails an die verschiedenen Rollen in Ihrem Unternehmen an und stützen Sie sich bei den Simulationen auf bekannte Taktiken von Betrügern.

Führen Sie Penetrationstests für Ihr Unternehmen und Ihre Mitarbeiter durch: Richten Sie verschiedene Testszenarien ein, um zu sehen, wie gut die Mitarbeiter auf mögliche Social-Engineering-Versuche reagieren. Dazu können auch Tests gehören, um festzustellen, wie leicht (oder schwer) es ist, sich Zugang zum Gebäude zu verschaffen.

Testen Sie auch das Personal und seine Reaktion auf unbekannte Personen. Geben Sie sich z. B. als Reinigungskräfte oder Auftragnehmer aus und prüfen Sie, wie weit sie kommen, wenn sie Informationen über Ihr Unternehmen abfragen oder um Zugang zu einem Computer bitten.

5 Beispiele für Social-Engineering-Angriffe
Phishing Französisch img

LESETIPPS