Warum Ihre Mitarbeiter auf Social-Engineering-Angriffe hereinfallen

Von gefälschten E-Mails mit schädlichen Links bis hin zu gefälschten Anrufen, die nach sensiblen Informationen fragen, richten sich Social-Engineering-Angriffe zunehmend gezielt auf Ihre Mitarbeiter. Aber warum sind sie so erfolgreich?

Social Engineering ist nichts Neues. Seit Entstehung der Menschheit, haben sie neue Wege geschaffen um durch Social Hacking anzugreifen. In der heutigen Zeit ist es ein kombinierter Angriff aus Mensch zu Mensch und Hacker zu System.

Angreifer haben eine Vielzahl von Möglichkeiten, menschliche Fehler durch den Einsatz von Technologie auszunutzen.  Aber warum funktioniert Social Engineering so gut? Und warum lassen sich Mitarbeiter so leicht manipulieren?

Es gibt fünf psychologische Faktoren, die das einfach machen:

Neugier

Unsere Neugier begleitet uns jeden Tag aufs Neue. Unser E-Mail-Posteingang ist mit einladenden Aufforderungen gefüllt, und auch die Artikel und die sozialen Beiträge sind zahlreich. Die Versuchung ist zu groß –  Social Engineer verlässt sich darauf.

Obwohl Mitarbeiter in den meisten Fällen über gefälschte Websites und schädliche Downloads sensibiliseirt werden, erweist sich die natürliche Neugier als starke und vor allem treibende Kraft. Wir wollen unsere Neugier befriedigen. Ein einfacher klick auf den Link! Los, was soll den passieren? Mach jetzt! nur mal kurz reinschauen! Die Neugierde macht uns wahnsinnig.

Naivität

Freundlichkeit und vertrauenswürdiges Auftreten stellen die nächste Schwachstelle dar. Die meisten Mitarbeiter sind durch dieses Auftreten verblendet und übersehen mögliche Hinterlistigkeit. Es wäre naiv zu glauben das Menschen die freundlich und hilfsbereit sind auch ehrlich sind. Ein gesundes Maß and Misstrauen ist hier notwendig.

Reziprozität / Soziale Verpflichtungen

Reziprozität steht für Gegenseitigkeit: Ich gebe und Du gibst.

Die Reziprozität zählt zu den fundamentalsten Prinzipien menschlichen Zusammenwirkens: Dem Interessenausgleich durch das gegenseitige Geben und Nehmen. Dies sichert dem sozialen Frieden – und somit ein ungefährliches Leben. Nicht umsonst gilt auch in der Ökonomie und Rechtssprechung „quid pro quo“: Jede Leistung erfordert eine adäquate Gegenleistung.

Sie erinnern sich an die Studie: Tausche Schokolade gegen Passwort?

Selbstüberschätzung

Selbstüberschätzung ist eine weitere menschliche Schwachstelle, welche von social engineer gern ausgenutzt wird. Speziell Mitarbeiter der Geschäftsführung fallen Ihrer Schwachstelle zum Opfer.

Spear-Phishing-, Whaling- und Business-E-Mail Compromise (BEC)  werden immer häufiger verwendet.

Der Angreifer verschafft sich bei einem Business E-Mail Compromise, oder kurz BEC, zunächst Zugang zu einem E-Mail-Konto des Unternehmens. Um das Unternehmen, Kunden oder Mitarbeiter zu täuschen und zu betrügen, agiert er mit der Identität des eigentlichen Kontoinhabers. In anderen Fällen erstellt der Angreifer einfach ein E-Mail-Konto, welches einer regulären Firmenadresse sehr ähnelt, um die Opfer zu täuschen. BEC werden auch als Man-in-the-E-Mail-Attacken bezeichnet.

Narzissmus

Parallel zum wachsenden Gebrauch von Social Media ist das wachsende Merkmal des Narzissmus. Vor allem die „Millennials“ nutzen Social Media sehr häufig. Sie sind daran gewöhnt immer mehr Freunde zu haben und wollen zu jeder Zeit wissen, wo jeder ist und was er gerade macht.

Diese Informationen sind für einen Social-Engineering-Angriff essentiell. Es wird immer leichter Information über Menschen im Internet zu erhalten, da diese mit in sich selbst verliebten Menschen alles und jedem zu jeder Zeit auf die Nase binden.

Welche Möglichkeiten haben Sie, um Social Engineering Angriffen erkennen zu können?

Mitarbeiter stellen die wichtigste Rolle in der Abwehr von SE Angriffen dar. Es gibt viele Möglichkeiten ein Unternehmen vor der Schwachstelle Mensch zu schützen. Hier ein Paar Tips:

1. halten Sie Kontakt zu Ihren Mitarbeitern um emotionale Veränderungen erkennen zu können.
2. Schützen Sie Ihre Mitarbeiter vor zu vielen Rechten im eigenen Netzwerk.
3. Sensibilisieren Sie Ihre Mitarbeiter über mögliche Angriffsszenarien und testen Sie in regelmäßigen Abständen deren Wissen.
4. Führen Sie regelmäßig SE Workshops durch, bei denen Sie die neusten SE Methoden (Online und Offline) anhand von Beispielen darstellen.
5. Überprüfen Sie Ihre eigenen Regeln und lassen Sie sich extern auditieren sowie testen.

Schutz vor SE ist nicht teuer! Zum Teil bis auf die Beratung sogar Kostengünstig im Vergleich zu nach einem Angriff.  Ab dem Moment eines Angriffs wird es für jedes Unternehmen sehr teuer und kann unter Umständen die Unternehmensexistens kosten.

Machen Sie es Angreifern schwerer und Schützen Sie Ihr Unternehmen.

Wir helfen Ihnen gern dabei – sprechen Sie uns an!