Cybersicherheit | Angriffsvektoren | Faktor Mensch | Prävention
Die meisten Menschen haben den Begriff “Social Engineering” schon einmal gehört. Doch die wenigsten können sich konkret etwas darunter vorstellen. Wir geben Einblicke!
Vereinfacht gesagt, bedeutet Social Engineering die Beeinflussung oder die Täuschung eines Menschen. Auch in der IT-Sicherheit spielt Social Engineering eine große Rolle.
Doch warum?
Hackern geht es wie vielen Menschen. Sie möchten das maximale Ergebnis mit möglichst geringem Aufwand erzielen. Angriffe auf Computer, Betriebssysteme oder -netzwerke sind oftmals aufwendig und sehr umfangreich. Können Cyberkriminelle nicht ohnehin bestehende Sicherheitslücken in Soft- und Hardware ausnutzen, müssen sie viel Aufwand betreiben, um einen Angriff auf ein Unternehmen erfolgreich durchzuführen. Zuerst muss ein lukratives Ziel ausgespäht werden. Anschließend müssen Firewall, VPN und andere Schutzmechanismen überwunden werden. Es müssen Lücken und Exploits gefunden werden und letztlich müssen diese auch noch funktionieren.
Der technische Schutz, den Unternehmen heutzutage aufbringen, um Cyberangriffe abzuwehren ist verhältnismäßig hoch. In dieser Hinsicht wird es Cyberkriminellen durchaus schwer gemacht, Systeme zu überwinden und in das Innere der Unternehmens-IT einzudringen. Um dennoch an ihr Ziel zu kommen, müssen Hacker alternative Angriffsflächen nutzen. Der Mensch rückt dabei ins Visier und dient als ideales Einstiegstor. Im Vergleich zu der technischen Abwehr, wird in den Faktor Mensch nämlich kaum investiert.
Cyberkriminellen ist dieses Sicherheitsrisiko bekannt. Sie nutzen dieses aus und greifen Mitarbeiterinnen und Mitarbeiter eines Unternehmens gezielt an. Das kann sowohl direkt durch einen persönlichen Anruf oder auch indirekt durch eine E-Mail geschehen.
Auch interessant: In seiner jüngst veröffentlichten Studie bestätigt der Bitkom, dass eine Vielzahl an Angriffen mit Social Engineering beginnen. 41 Prozent der befragten Unternehmen gaben an, dass es solche Versuche gab: Bei 27 Prozent der Befragten wurden sie per Telefon und bei 24 Prozent per E-Mail kontaktiert.
Das Ziel ist aber immer das gleiche. Der Hacker möchte Zugang zu sensiblen Daten, Dokumenten und Informationen bekommen (z.B. Login-Informationen oder Bankdaten) oder er möchte eine bestimmte Handlung erwirken (z.B. Überweisung einer Geldsumme)*
Das lässt sich leicht erklären. Cyberkriminelle nutzen, Methoden, die vertraut sind, um Menschen zu manipulieren. Social Engineering begegnet einem fast tagtäglich. Sei es im Umgang mit Freunden, Familienmitgliedern oder auch fremden Menschen. Mit rhetorischen Mitteln oder verschiedenen psychologischen Vorgehensweisen, können Menschen gezielt geleitet und motiviert werden, eine bestimmte Verhaltensweise an den Tag zu legen. Man kann das Social Engineering als psychologische Waffe beschreiben.
Weitere Informationen über die Beeinflussung des menschlichen Verhaltens im Zuge des Social Engineerings, können Sie hier nachlesen.
Dabei muss auf das Gegenüber spezifisch eingegangen werden. Je nach Charakter funktionieren andere Anreize, die Hacker ansprechen können. Ein Mitarbeitender reagiert beispielsweise besonders auf Schmeicheleien, ein anderer auf besondere Wertschätzung und wieder ein anderer reagiert besonders auf Druck. Mit den richtigen Stimuli ist es Cyberkriminellen möglich, Menschen zu beeinflussen, dass sie das gewünschte Ergebnis liefern.
In der IT-Sicherheit kann Social Engineering in ganz verschiedenen Formen auftreten, die unterschiedlicher nicht sein könnten. Neben dem Pretexting, Tailgating oder dem CEO-Fraud, zählt vor allem das Phishing** zu den weitverbreitetsten Arten.
Beim Phishing versuchen Cyberkriminelle mithilfe von E-Mails, gefälschten Internetseiten oder anderen Methoden an sensible und vertrauliche Informationen zu gelangen. Auch beim Phishing werden Mitarbeiterinnen und Mitarbeiter mehr oder weniger persönlich angesprochen. Phishing-Kampagnen sind besonders erfolgreich, wenn der Inhalt der Phishing-E-Mail auf den Adressaten zugeschneidert ist bzw. wenn sich der Empfänger angesprochen fühlt. Laut einer Studie des US-Unternehmens Proof Points, funktionierten folgende Aufhänger 2020/2021 besonders gut:
Die letzten Monate zeigen es deutlich. Die Bedrohung durch Phishing-Attacken steigt stetig. Laut ENISA-Report ist die Zahl der Phishing-Angriffe via E-Mail Anfang 2020 in einem Monat um mehr als 600 Prozent gestiegen. Auch Perseus kann bestätigen, dass Phishing-Attacken zunehmen. Eine Studie, die Perseus Spätsommer 2020 veröffentlichte, zeigt, dass mehr als die Hälfte der Cyberangriffe im Jahr 2020 auf Phishing zurückgingen.
Die komplette Studie zum Thema Cybersicherheit im Homeoffice können Sie hier kostenlos downloaded.
Ein nachhaltiger Schutz gegen Social Engineering und u.a. Phishing-Attacken erfordert ein nachhaltiges Cybersicherheits-Konzept. Mit den gleichen Ressourcen, die ein Unternehmen für die technische Abwehr aufbringt, sollte auch in die “menschliche Firewall” investiert werden. Perseus bietet solch ein Awareness Paket an. Mit umfangreichen Online-Trainings, nützlichen Hinweisen und Tipps und vor allem mit automatisierten Phishing-E-Mail-Simulationen werden Mitarbeiterinnen und Mitarbeiter gezielt für Angriffsmuster sensibilisiert, im Umgang mit Phishing-E-Mails geschult und somit das Cybersicherheits-Niveau im Unternehmen spürbar gehoben.
Cyber security | Attack vectors | Human factor | Prevention
Most people have heard the term ‘social engineering’ before. But very few can actually imagine what it means. We provide some insights!
Put simply, social engineering means influencing or deceiving a person. Social engineering also plays a major role in IT security.
But why?
Hackers are like many people. They want to achieve maximum results with as little effort as possible.
Attacks on computers, operating systems or networks are often complex and very extensive. If cybercriminals cannot exploit existing security vulnerabilities in software and hardware, they have to go to great lengths to successfully carry out an attack on a company. First, a lucrative target must be identified. Then the firewall, VPN and other protective mechanisms must be overcome. Gaps and exploits must be found, and ultimately these must also work.
The technical protection that companies deploy today to ward off cyber attacks is relatively high. In this respect, cybercriminals find it very difficult to overcome systems and penetrate the inner workings of corporate IT. To achieve their goal, hackers must therefore use alternative points of attack. This puts people in the crosshairs and makes them the ideal entry point. Compared to technical defences, very little is invested in the human factor.
Cybercriminals are aware of this security risk. They exploit it and target a company’s employees. This can be done directly through a personal phone call or indirectly through an email.
Also interesting: In its recently published study, Bitkom confirms that a large number of attacks begin with social engineering. 41 percent of the companies surveyed stated that there had been such attempts: 27 percent of those surveyed were contacted by telephone and 24 percent by email.
However, the goal is always the same. The hacker wants to gain access to sensitive data, documents and information (e.g. login details or bank details) or they want to get someone to do something (e.g. transfer money).
It’s easy to explain. Cybercriminals use familiar methods to manipulate people.
We encounter social engineering almost every day, whether in our interactions with friends, family members or even strangers. Using rhetorical devices or various psychological techniques, people can be deliberately guided and motivated to behave in a certain way. Social engineering can be described as a psychological weapon.
You can find more information about influencing human behaviour through social engineering here.
It is important to address the other person specifically. Depending on their character, different incentives will work to appeal to hackers. For example, one employee may respond particularly well to flattery, another to special appreciation, and yet another to pressure. With the right stimuli, cybercriminals can influence people to deliver the desired result.
In IT security, social engineering can take many different forms that could not be more different. In addition to pretexting, tailgating and CEO fraud, phishing** is one of the most widespread types.
In phishing, cybercriminals use emails, fake websites or other methods to obtain sensitive and confidential information. Phishing also involves addressing employees more or less personally. Phishing campaigns are particularly successful when the content of the phishing email is tailored to the recipient or when the recipient feels that it is addressed to them. According to a study by the US company Proof Points, the following hooks worked particularly well in 2020/2021:
The last few months have clearly shown that the threat of phishing attacks is constantly increasing. According to the ENISA report, the number of phishing attacks via email rose by more than 600 percent in a single month at the beginning of 2020. Perseus can also confirm that phishing attacks are on the rise. A study published by Perseus in late summer 2020 shows that more than half of cyber attacks in 2020 were attributable to phishing.
The complete study on cyber security in the home office can be downloaded free of charge here.
Sustainable protection against social engineering and phishing attacks, among other things, requires a sustainable cyber security concept. The same resources that a company spends on technical defences should also be invested in the ‘human firewall’. Perseus offers such an awareness package. With comprehensive online training, useful information and tips, and, above all, automated phishing email simulations, employees are made aware of attack patterns, trained in how to deal with phishing emails, and thus the level of cyber security in the company is noticeably raised.