Cyber- und Informationsraum

Nicht nur für die Corona-Krise – Empfehlungen zum Schutz vor Social-Engineering

Nicht nur für die Corona-Krise – Empfehlungen zum Schutz vor Social-Engineering

Datum:
Ort:
Bonn
Lesedauer:
3 MIN

Bei manchen Mobilgeräten und Browsern funktioniert die Sprachausgabe nicht korrekt, sodass wir Ihnen diese Funktion leider nicht anbieten können.

Menschen sind beeinflussbar und manipulierbar – nicht etwa, weil sie dumm oder schwach wären, sondern weil sie gelernt haben, sich kooperativ zu verhalten. Genau dieses Verhalten nutzen Cyber-Kriminelle und fremde Nachrichtendienste mit Social-Engineering aus. Ziel ist, an die sensitiven Informationen der Opfer zu gelangen, wie beispielsweise Bankdaten oder andere vertrauliche Daten.

Zwei Hände tippen auf eine Tastatur

Der beste Schutz gegen Social-Engineering ist jeder Einzelne.

Bundeswehr/Jana Neumann

Gerade jetzt in einer Zeit, in der die Corona-Krise alle Menschen in Deutschland hochemotional beschäftigt und Auswirkungen auf das Leben jedes Einzelnen hat, verlagern Cyber-Kriminelle den Schwerpunkt ihrer Angriffe. Bereits 16.385 neu registrierte Domains mit schadhafter Absicht und Bezug zum Thema Covid-19/Corona konnten im Internet durch Sicherheitsbehörden, wie zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik und andere Sicherheitsforscher identifiziert werden. Auffällig: das fingierte Thema ist zwar ein neues, die Vorgehensweise der Angreifer hat sich aber offensichtlich nicht geändert.

Was ist Social-Engineering?

Beim Social Engineering versuchen die Angreifer ihre Opfer mit psychologischen Tricks zu manipulieren. Dazu beeinflussen sie geschickt menschliche Eigenschaften wie Hilfsbereitschaft, Neugierde, Vertrauen, Angst oder Respekt vor Autorität. Die Angreifer versuchen dabei ihre Opfer zu etwas zu bringen, was diese so eigentlich nie vorhatten. Es geht ihnen darum, dass das Opfer zum Beispiel einen Link anklickt, oder eine PIN in das offiziell wirkende Eingabeformular eingibt. Das Vorgehen der Angreifer ist dabei nicht selten äußerst professionell. Oft bemerkt man gar nicht, dass man am Telefon interne vertrauliche Informationen preisgegeben hat oder in einer Mail auf einen nicht vertrauenswürdigen Link im Internet geklickt hat.

Wie funktioniert die Manipulation durch Social-Engineering?

Die Angreifer haben immer eines im Auge: Die Emotionen der Opfer zu wecken – egal ob Freude und Angst. In der jetzigen Zeit ist dies gerade bei der dynamischen Entwicklung zum Thema Corona-Pandemie sehr einfach zu erreichen. Einige Beispiele zurzeit sind:

  • Ängste, die die Gesundheit der Familie betreffen.
  • Hoffnung auf monetäre Unterstützung.
  • Sorge, etwas Wichtiges an Informationen zum Thema zu verpassen.
  • Bedürfnis, anderen helfen zu wollen oder sogar auf angebotenen Hilfe mit Gegenhilfe zu reagieren.
  • Bedürfnis nach Harmonie, das häufig aus einer Konfliktscheue stammt.

Wichtig: Erkennen, dass man manipuliert wird!

Ein Mann telefoniert

Auch am Telefon gilt Vorsicht vor Cyber-Kriminellen, die Daten ausspionieren wollen.

Bundeswehr/Jonas Weber

Manipulation geschieht geschickt, undurchschaubar und wenn sie gut angewendet wird, lässt sie sich noch dazu schwer beweisen. Dabei ist nicht jeder Mensch gleichermaßen manipulierbar. Die Kunst des Social-Engineers ist es, den individuellen wunden Punkt eines jeden Einzelnen herauszufinden und zu treffen. Diesen Punkt sollte sich jeder Einzelne bewusstmachen. So gilt, sich erst einmal selbst kennenzulernen: Wo liegen meine eigenen emotionalen Schwächen? Und wie könnten diese gegebenenfalls zu „Stolpersteinen“ werden? Ein gesundes Misstrauen ist förderlich. Insbesondere die Verwendung von bestimmten Signalworten in einer E-Mail oder in einem Telefongespräch sollte hellhörig werden lassen, wie zum Beispiel:

  • Jetzt, sofort
  • Nur für kurze Zeit
  • Schon heute möglich
  • Exklusiv

Erfolgreichste Firewall gegen Social-Engineering -  jeder Einzelne

Tipps zum Schutz vor Social-Engineering-Angriffen

  • Gesundes Misstrauen: Geben Sie niemals wichtige und vertrauliche Informationen per Mail oder Telefon an Unbekannte weiter, ohne sich vorher über deren tatsächliche Identität zu vergewissern. Hinterfragen Sie E-Mails und Anrufer, wo eine direkte Handlung Ihrerseits (zum Beispiel eine ungewöhnliche Geldüberweisung, die Preisgabe von Kontodaten oder Passwörtern,) unter möglichem Zeitdruck durchgeführt werden soll, ohne zuvor Rücksprache mit einem Dritten zur Absicherung halten zu können.
  • Vorsicht bei unbekannten Absendern: Öffnen Sie Emails nur von zweifelsfrei identifizierbaren Absendern. Bei einer Handlungsaufforderung, eine Datei oder einen Link im Internet zu öffnen, gilt ebenso besondere Vorsicht. Dies gilt ganz besonders, wenn das Thema tatsächlich Ihr Interesse und Ihre Neugierde weckt.
  • Vorsicht bei zugesendeten Dateien und Links im Internet: Links in E-Mails, die zu einer Seite mit einer Eingabemaske führen, um etwa an Bankdaten und Passwörter zu gelangen, sollten Sie stutzig machen, vor allem, wenn Sie dort gar kein Kunde sind.
  • Sparsamkeit mit der Angabe von Daten in sozialen Netzwerken: Beachten Sie die Social Media Guidelines und überprüfen Sie regelmäßig Ihre Privatsphäre-Einstellungen.
  • Einsatz technischer Lösungen: Nutzen Sie auf jeden Fall eine Firewall und Antivirus-Software und aktualisieren sie diese regelmäßig. Diese können Spam reduzieren und einen Phishing-Schutz bieten.
von Gerrit Opper und Sebastian Wanninger  E-Mail schreiben

Bei manchen Mobilgeräten und Browsern funktioniert die Sprachausgabe nicht korrekt, sodass wir Ihnen diese Funktion leider nicht anbieten können.

Ausgewählte Methoden des Social-Engineerings

Dieser Angriff geschieht meist über ungewollte zugesendete E-Mails mit Links oder Anhängen zu neuen Information über das Virus, wie zum Beispiel über eine vermeintliche Covid-19-Echzeitkarte. Hier kann es sein, dass ein dem Opfer bekannter Absender diese Informationen per E-Mail oder Messenger weiterverbreitet, ohne zu wissen, dass er selbst gerade eine Schadsoftware verteilt.

Die Bezeichnung steht für „Voice Phishing“. Die Angreifer nutzen hier nicht eine E-Mail, sondern das Telefon als Angriffsmedium. Dabei konstruieren Angreifer die Situation eines vermeintlichen Geschäfts- oder Behördenkontakt, momentan mit Bezug zur Corona-Krise. Die unbekannte Rufnummer wird derzeit damit begründet, dass man angeblich von zuhause aus arbeitet.

Ein sogenannter Whaling-Angriff ist eine Methode, sich bei Mitarbeitern als hochrangige Führungskraft oder andere wichtige Person auszugeben, um Geld oder vertrauliche Informationen zu erhalten. Dabei besteht die gleiche Gefahr wie beim Vishing.

Sicher im Homeoffice – Arbeiten von zuhause

Tipps für das Arbeiten im Homeoffice: Gerade hier gibt es Besonderheiten zu beachten, um sicher arbeiten zu können.

Weiterlesen

Meldungen aus dem Organisationsbereich CIRCyber- und Informationsraum