03.09.2017

Social Engineering

Die Methoden der Trickbetrüger

© fizkes - Fotolia.com

Die beste IT-Security-Strategie nützt nichts, wenn Mitarbeiter auf billige Tricks der Social Engineers hereinfallen. Wird bedenkenlos jeder E-Mail-Anhang geöffnet oder einem vermeintlichen IT-Experten am Telefon das Passwort mitgeteilt, dann steht das Unternehmen hilflos da und der Schaden ist groß. Wer jedoch weiß, mit welchen Tricks die Social Engineers arbeiten, kann seine Mitarbeiter entsprechend sensibilisieren und hat die Chance, sich vor den Attacken zu schützen.

Social Engineering bezeichnet die Vorgehensweise der Betrüger, durch Aufbau eines Vertrauensverhältnisses den Nutzer dazu zu bringen, vertrauliche Informationen preiszugeben.  

Gängige Methoden der Betrüger

  • Phishing-Mails: Zum Glück erkennt man viele Phishing-Mails direkt. Sie sind schlecht und plump formuliert, haben einen unbekannten Absender und fordern zur Eingabe persönlicher Daten oder zum Klicken eines Links auf. Aber es gibt auch die „schlauen“ Betrüger. Ihre Mails täuschen vor, von einer Bank, Telefongesellschaft oder Krankenkasse zu kommen. Vor allem ängstliche Nutzer lassen sich damit ködern. Wer dann den Anhang oder einen Link klickt, hat seinen Rechner und eventuell das gesamte Unternehmensnetzwerk infiziert.
  • Vergessener USB-Stick: „Oh, da hat wohl jemand seinen Stick verloren!“ Der alte Trick funktioniert noch immer. Wer den Stick dann in seinen Rechner steckt, um zu schauen, wem er gehört, hat direkt den Virus auf seinem Rechner. Um neugierige Mitarbeiter davon abzuhalten, sollten Sie sie entsprechend schulen oder die USB-Ports sperren.
  • Mails von sog. Freunden und Kollegen: Über Social Media Plattformen ist es so einfach, Personen nach Hobbies oder Freunden auszuspähen, um ihnen anschließend eine persönliche Mail mit der richtigen Anrede zu schicken. Häufig täuschen die Absender vor, ein Kollege oder ein Bekannter zu sein. So wird Vertrauen aufgebaut und die Wahrscheinlichkeit steigt, dass der Empfänger die Links oder Anhänge in der Mail klickt.
  • Anrufe der IT-Abteilung: Die sind nichts Ungewöhnliches. Und dass man den Kollegen nicht sogleich am Telefon erkennt, kommt in großen Unternehmen auch vor. Geschickte Anrufer können gutgläubige Mitarbeiter dazu überreden, am Telefon Ihre Passwörter dem vermeintlichen Kollegen mitzuteilen. Achten Sie auf die angerufene Nummer, um so Fake-Anrufe zu erkennen. Im Zweifel notieren Sie sich die Nummer und rufen selbst zurück, bevor Sie sich auf das Telefongespräch einlassen.  
  • Der freundliche IT-Mitarbeiter: In größeren Unternehmen, in denen nicht jeder den anderen kennt, fällt es nicht so schnell auf, wenn sich ein Betriebsfremder, vielleicht sogar in Betriebskleidung oder als Monteur getarnt, Zutritt ins Unternehmen verschafft. Einmal drin, ist es nicht mehr schwer, Mitarbeitern ein EDV-Problem vorzutäuschen, um so Zugang zum Rechner zu bekommen. Halten Sie Ihre Empfangsmitarbeiter an, genau darauf zu achten, wer das Unternehmen betritt und unbekannte oder auffällige Personen zu kontrollieren.    

Nachhaltigkeit

Damit Mitarbeiter nach einer ersten Schulung und Sensibilisierung nicht wieder in alte unsichere Verhaltensmuster zurückfallen, sind dauerhafte Auffrischungen ratsam, z. B. Informationen im Intranet und der Mitarbeiterzeitschrift, Merkblätter und Poster mit einfachen Grundregeln, Vorführungen von Live-Hacks durch IT-Security-Experten.

copyright emivo GmbH

Unsere Empfehlung

teliko GmbH

Klaus Friederitzi
Büro Köln: Martinstraße 22-24, 50667 Köln
In den Fritzenstücker 17
65549 Limburg/Lahn

Fon: +49 (0) 6431 73070-0
Fax: +49 (0) 6431 73070-1

Drucken