Social-Engineering
Spear-Phishing die Stirn bieten
Was haben Barack Obama, PayPal und Vodafone Deutschland gemeinsam? Sie sind kürzlich Opfer von Hackerattacken geworden. Die Kriminellen nutzten Lücken im Sicherheitsnetz um sich unerlaubt Zugang zu sensiblen Informationen wie Passwörtern, Kredit- und Kundendaten zu verschaffen. Doch wie gelingt ihnen das? Und was bedroht Deutschlands Know-How aktuell am meisten?
Der Mensch und die E-Mail
Sieht man von internen Faktoren ab, wie beispielsweise Mitarbeitern, die Daten gewollt oder ungewollt nach Außen tragen, ist der Unternehmensfeind Nummer eins heute die Spear-Phishing-Attacke. Stolze 91 Prozent aller Attacken zählen zu dieser Methodik. Cyberkriminelle suchen sich hierbei nur wenige Schlüsselziele im Unternehmen und besonders oft auf C-Level, da hier die umfangreichsten Zugriffsrechte liegen. Zudem ist das Executive-Management über frei zugängliche Informationen im Web oft sehr gut als Ziel auszumachen.
Genau dieses Hintergrundwissen zu den Zielpersonen benötigen die Hacker, um die E-Mails, die das Einfallstor in das Unternehmensnetzwerk werden sollen, möglichst realistisch und relevant zu gestalten. Diese Methodik wird auch Social Engineering genannt und hat nur ein Ziel: Vertrauen beim Empfänger zu wecken und ihn zum Anklicken eines schadhaften Anhangs oder Links in der Mail zu bewegen.
Warum wir klicken
Cyberkriminelle sind bei der Suche nach geeigneten Aufhängern kreativ und suchen sich Themen aus, die von aktuellem und weitreichendem Interesse sind. Zur Weihnachtszeit ist das oft die gefälschte Amazon- oder eBay-Kaufbestätigung eines beliebten Geschenkartikels. Das ganze Jahr über erfolgreich sind vermeintliche Kontaktanfragen auf Xing und Linked-In über die Anwender sich in der Regel per E-Mail informieren lassen. Auch ein Aufruf dazu, das private PayPal- oder Mitgliedskonto bei der Lieblingsairline zu überprüfen, ist nicht selten eine Fälschung. Der User fragt sich, was er gekauft hat, wer ihn kontaktieren will oder vertraut auf den guten Rat des vertrauten Dienstleisters und klickt.
Doch der Erfolg der Phishing-Mails basiert im Unternehmensumfeld nicht nur auf der täuschend echten Gestaltung, sondern auch auf der zunehmenden Vermischung von privatem und geschäftlichem Gebrauch von mobilen Endgeräten und E-Mail-Konten. Erst kürzlich gab es eine Phishing-Welle, dessen E-Mails über eine angeblich erhaltene WhatsApp-Sprachnachricht informierten. Diese Nachricht sollte auf einer verlinkten Website abzurufen sein. Der Messenger ist auf mobilen Geräten sehr verbreitet und das Voice-Feature noch neu. Tausende klickten auf den Link, obwohl sie nach etwas Nachdenken sicher hätten sagen können, bei WhatsApp nie eine E-Mail-Adresse hinterlegt zu haben und schon gar nicht die geschäftliche. Das sind nur einige Beispiele dafür, wie verändertes Nutzerverhalten und raffiniertes Vorgehen von Kriminellen dazu führen, dass Phishing heute ein ernsthaftes Sicherheitsrisiko für Unternehmen darstellt.
- Spear-Phishing die Stirn bieten
- Gefahr und Schaden in Zahlen
- Expertenkommentar: "Wasserloch-Attacken - neuer Sidekick des Spear-Phishing"
- Expertenkommentar: Social-Engeneering
Lesen Sie mehr zum Thema
