Laut einer Studie von Beaming mussten sich britische Unternehmen im Jahr 2021 alle 47 Sekunden mit einem versuchten Datenschutzverstoß auseinandersetzen. Der Bericht hebt weiter hervor, dass die Telearbeit eine Gelegenheit zur Ausweitung von Cyberangriffen darstellt. Dies ist insofern bemerkenswert, als laut dem Verizon Data Breach Investigation Report (DBIR) 2021 85 % der Datenschutzverletzungen von einem Menschen initiiert werden.
Dieser perfekte Sturm wird durch Social Engineering angefacht; diese Taktik umfasst eine breite Palette von Aktivitäten, die das menschliche Verhalten manipulieren. Cyberkriminelle nutzen buchstäblich jeden möglichen Winkel, um Mitarbeiter auszunutzen, indem sie bekannte psychologische Tricks anwenden, um uns dazu zu bringen, zu klicken, bevor wir denken, oder Malware herunterzuladen.
Aus einem aktuellen Bericht geht hervor, dass auf Social Engineering basierende Cyberangriffe im Jahr 2021 um 270 % zugenommen haben. Dafür gibt es mehrere Gründe, aber die Quintessenz ist, dass Social-Engineering-Techniken funktionieren und wir Wege finden müssen, um unsere Mitarbeiter zu schützen.
Eine Möglichkeit, Social Engineers daran zu hindern, unsere Mitarbeiter und schließlich unsere Daten und Unternehmensnetzwerke zu manipulieren, besteht darin, zu verstehen, wie Social Engineering-Angriffe funktionieren.
Hier sind einige der neuesten Arten von Social-Engineering-Angriffen, auf die Sie achten sollten.
Social Engineering und Cybersicherheit
Bedrohungen der Cybersicherheit sind selten rein technischer Natur. Stattdessen haben Cyberkriminelle schnell erkannt, dass es eine gute Möglichkeit ist, in ein geschütztes Netzwerk einzudringen, indem sie Mitarbeiter, Nicht-Mitarbeiter und das breitere Ökosystem der Anbieter nutzen, um ihre schändlichen Absichten zu verwirklichen.
Jüngste Untersuchungen über die Nutzung von Geschäfts-E-Mails zur Einleitung von Cyberangriffen ergaben, dass in 30 % der Unternehmen über 50 % der per E-Mail erhaltenen Links auf einer bösartigen Website landeten. Das ist eine Lawine von bösartigen Einfallspunkten in ein Unternehmenssystem und seine Geschäftsabläufe.
Social-Engineering-Angriffe nutzen gängige Taktiken, die immer wieder funktionieren. Aber Hacker können diese Taktiken je nach Ereignis variieren. Die Covid-19-Pandemie war ein solches Ereignis.
Einige der wahrscheinlichen Social-Engineering-Angriffe, auf die Sie im kommenden Jahr achten sollten, sind:
Kompromittierung von Geschäfts-E-Mails (und Kompromittierung von Lieferanten-E-Mails)
Der Verizon Data Breach Investigation Report (DBIR) aus dem Jahr 2021 stellt fest, dass Business Email Compromise (BEC) die zweithäufigste Form von Social Engineering-Angriffen ist. BEC und VEC stellen Social Engineering in seiner kompliziertesten und vielschichtigsten Form dar.
BEC-Betrüger nutzen die Überwachung, um ihr Ziel zu verstehen und maßgeschneiderte, legitim aussehende, aber gefälschte E-Mails zu erstellen. Oft beginnt ein BEC-Angriff mit einem kompromittierten E-Mail-Konto. Dies gibt den Betrügern die nötigen Informationen, um ausgeklügelte Tricks anzuwenden.
Kompromittierte Konten und Passwörter können auch so umgeleitet werden, dass der Hacker die Abläufe und die Kommunikation des Unternehmens überwachen kann, um alle Informationen zu sammeln, die er benötigt, um die Mitarbeiter dazu zu bringen, neue Rechnungen zu erstellen oder bestehende Rechnungen zu ändern, um dem Betrüger Geld des Unternehmens zu schicken.
Der 2021 Business Email Security Landscape Report liefert einige wichtige Erkenntnisse, um den Erfolg dieser Art von Angriffen einzudämmen:
- 72 % der Befragten hatten in den letzten 12 Monaten einen BEC-Angriff erlebt.
- Fast 50 % der BEC-Angriffe verwenden eine gefälschte Identität, die in der Anzeige des E-Mail-Namens erscheint.
- Spear-Phishing-E-Mails zielen auf Personen ab, die in der Lage sind, Geld zu bewegen. Diese gezielten Phishing-E-Mails verwenden Firmennamen (68 %), Namen einzelner Zielpersonen (66 %) und den Namen von Chefs/Managern (53 %), um den Angriff anzupassen.
Eine neue Variante von BEC ist Vendor Email Compromise (VEC). Diese Art von BEC konzentriert sich auf Anbieter, um Geld zu veruntreuen. VEC-Angriffe nutzen einen Ketteneffekt, bei dem sich Phishing über das gesamte Anbieter-Ökosystem ausbreitet, wenn es nicht unterbunden wird.
VEC-Angriffe werden in der Regel von gut finanzierten, professionellen Cyberkriminellen durchgeführt, da sie eine gründliche Überwachung und Aufklärung beinhalten, um ihre Ziele so gut zu verstehen, dass sie eine glaubwürdige gefälschte Kommunikation erstellen können. Social-Engineering-Techniken sind der Kern von VEC, genau wie der Kern von BEC, der einzige Unterschied besteht darin, dass sich die Cyberkriminellen auf ein ganzes Ökosystem konzentrieren.
Wie bei BEC besteht das Ziel der VEC-Betrüger darin, ein Unternehmen zu betrügen und Gelder zu stehlen. Das Timing ist ein wichtiger Bestandteil eines VEC-Angriffs, und Social Engineering wird eingesetzt, um Mitarbeiter dazu zu bringen, die Details einer Rechnung genau im richtigen Moment zu ändern, damit kein Verdacht geschöpft wird.
Phishing in all seinen Erscheinungsformen
BEC gehört zu den vielen Arten von Cyberangriffen, bei denen Phishing oder Spear-Phishing eingesetzt wird, um einen Angriff zu initiieren. Phishing ist ein beliebtes Mittel von Social Engineers und war laut DBIR bei 36 % der Sicherheitsverletzungen im Spiel. Phishing ist das ultimative Werkzeug im Arsenal der Social Engineers, da der Inhalt und der Kontext letztlich zur Kontrolle über ein Unternehmensnetzwerk führen können.
Phishing-E-Mails nutzen eine Vielzahl psychologischer Tricks und Auslöser, um Empfänger dazu zu bringen, entweder auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen. Zu diesen Tricks gehören das Fälschen bekannter Marken, das Ausnutzen von Dringlichkeit und Angst, um zum Klicken zu verleiten, und das Auslösen von Emotionen wie Fear of Missing Out (FOMO). Weitere Informationen zu den Taktiken, mit denen Mitarbeiter getäuscht werden sollen, finden Sie im MetaCompliance "Ultimate Guide to Phishing".
Phishing folgt oft bestimmten Ereignissen oder zielt auf Benutzer für bestimmte Zwecke ab.
Emotionale Manipulation und ereignisgesteuertes Phishing: Ereignisse können oft einen emotionalen Auslöser für eine Person darstellen. Betrüger nutzen diese Emotionen, um Nutzern das Gefühl zu vermitteln, dass sie etwas verpassen oder dringend handeln müssen, um einen Vorteil aus einem Ereignis zu ziehen.
Während der Covid-Pandemie trugen viele Phishing-E-Mails das Branding der "Weltgesundheitsorganisation" und spielten mit den gesundheitlichen Bedenken der E-Mail-Empfänger. Zu einem bestimmten Zeitpunkt während der Pandemie blockierte Google etwa 17 Millionen betrügerische E-Mails pro Tag. Viele Betrüger nutzten die Pandemie, um mit den Emotionen und Ängsten der Menschen zu spielen. Eine einzige betrügerische E-Mail, die in den Posteingang eines Mitarbeiters gelangt, kann zu einer katastrophalen Datenpanne führen.
Ransomware-Angriffe mit Follow-in-Phishing: Phishing führt zu Ransomware und kann nun auch zu Follow-on-Phishing führen: Dies war der Fall bei dem jüngsten Lapsus$-Angriff auf Portugals größtes Medienkonglomerat, Impresa. Der Gruppe gehören der größte Fernsehsender und die größte Zeitung des Landes, SIC und Expresso. Es wird angenommen, dass der Angriff mit einer Spear-Phishing-E-Mail begann, die zur Übernahme des Amazon Web Services (AWS)-Kontos der Gruppe führte. Dies führte zur Verunstaltung der Website der Gruppe, zur Übernahme des Twitter-Kontos von Expresso und zur Nutzung eines Newsletter-Kontos für den Versand von Phishing-E-Mails an die Abonnenten der Gruppe.
Sobald sich ein Cyberkrimineller Zugang zu einem Netzwerk verschafft hat, in der Regel über gestohlene Anmeldedaten aus Phishing oder Spear-Phishing, kann er diesen Zugangspunkt nutzen, um seine Privilegien zu erweitern und weitere Angriffe zu starten, wie beim Lapsus$-Angriff. Es ist sehr wahrscheinlich, dass diese Art von vielschichtigen, sich überschneidenden Angriffen zur Normalität wird.
Phishing wird weiterhin zur Einleitung von Cyberangriffen verwendet werden, da Cyberkriminelle auf diese Weise mit Personen "kommunizieren" können, die zu einem Zielunternehmen gehören. Diese Art der Kommunikation ist ein perfekter Weg, um einen Menschen zu manipulieren. Das bedeutet, dass die Cyberkriminellen sich nicht in die Technologie "hacken" müssen, die möglicherweise geschützt ist, sondern dass sie stattdessen den Menschen hacken.
Social Engineering und Deep Fakes
Deep Fakes sind das Nonplusultra bei Social-Engineering-Angriffen, und Unternehmen sollten damit rechnen, dass diese Technologie in den kommenden Jahren für schändliche Zwecke eingesetzt wird. Das FBI hat bereits eine Warnung veröffentlicht, in der es heißt:
"Das FBI geht davon aus, dass es zunehmend von ausländischen und kriminellen Cyber-Akteuren für Spearphishing und Social Engineering im Rahmen einer Weiterentwicklung des operativen Cyber-Handwerks genutzt werden wird."
Das FBI schlägt Taktiken vor, die eingesetzt werden können, um das Risiko von Social Engineering durch Deep Fakes zu verringern, darunter "dieSchulung von Benutzern, um Versuche von Social Engineering und Spearphishing zu erkennen und zu melden, die persönliche und Firmenkonten gefährden können."
Social Engineering an der Quelle bekämpfen
Seit es Menschen gibt, haben Hacker durch Social Engineering die Möglichkeit, sich Zugang zu Ressourcen zu verschaffen. Die Tatsache, dass diese Kriminellen in einem digitalen Bereich arbeiten, ändert nichts an der Tatsache, dass das Ziel der Cyberkriminellen das menschliche Verhalten ist.
Um Social Engineers daran zu hindern, unsere Mitarbeiter und das breitere Netz von Geschäftspartnern zu manipulieren, müssen wir diese Personen in den Methoden der Social Engineers schulen. Wissen ist Macht, und das Machtgleichgewicht muss von den Cyberkriminellen auf das Unternehmen verlagert werden, indem die Mitarbeiter geschult werden und die Versuche mit Hilfe von Meldesystemen erfasst werden.
