Angelrute-Phishing

Schutz vor Phishing, Vishing & Co. - Sieben goldene Regeln gegen Social Engineering


Sehr geehrte Kundschaft,

leider kam es in letzter Zeit vermehrt zu VorfÀllen mit bei uns hinterlegten Daten.
Wir bitte Sie daher Ihre Daten [HIER] zu ĂŒberprĂŒfen und gegebenenfalls zu aktualisieren.
Bei Missachtung mĂŒssen wir Ihren Account aufgrund gesetzlicher Vorschriften leider schließen.

Ihr Support

Hatten Sie eine solche E-Mail bereits in Ihrem Postfach? Haben Sie auch einen kurzen Moment der Angst verspĂŒrt, wertvolle Daten oder einen oft genutzten Account zu verlieren? HĂ€tten Sie auf den Link geklickt?

In diesem Fall wĂ€ren Sie vermutlich auf einer gefĂ€lschten Webseite des vermeintlichen Unter­neh­mens gelandet, welche Sie zur Eingabe Ihrer Account-Daten aufgefordert hĂ€tte. Wie Sie wahr­schein­lich bereits vermuten, handelt es sich bei diesem Beispiel um eine typische Phishing-E-Mail.

Phishing ist der Versuch persönliche Daten eines Opfers zu erhalten

Der Begriff „Phishing“ setzt sich hierbei aus den Wörtern „Password Harvesting“ und „Fishing“ zusammen und ist zugleich eine Referenz zum „Phreaking“, einer frĂŒhen Art des Hacking. GefĂ€lschte E-Mails, Kurznachrichten oder Webseiten geben vor von einer legitimen Quelle zu stammen. Auf den ersten Blick vertrauenswĂŒrdig, leiten sie eine nutzende Person in der Regel zu ebenfalls gefĂ€lschten Anmeldeportalen weiter und fordern dort zum Login oder zum Download eines versteckten Trojaners auf. HĂ€ufig wird versucht Dringlichkeit zu erzeugen, um den Opfern keine Möglichkeit zur Absprache oder ÜberprĂŒfung des Sachverhaltes zu bieten. Zudem wird mit schlimmen Konsequenzen gedroht, wenn nicht sofort agiert wird. Ziele sind hĂ€ufig die PlĂŒnderung eines privaten Bankkontos oder der Diebstahl vertraulicher Unternehmensinformationen, die nur mit den Anmeldedaten des Opfers erreichbar sind. Phishing wird der Kategorie der Social Engineering-Angriffe zugeordnet .

Social Engineering bezeichnet die psychologische Manipulation der Opfer

Mit Social Engineering wird das Ziel verfolgt vertrauliche Informationen zu erhalten oder eine bestimmte Handlung zu erwirken. Psychologische Grundprinzipien wie Sympathie mit Menschen in Not oder ReziprozitĂ€t bei Hilfeleistungen werden geschickt ausgenutzt. EvolutionĂ€r betrachtet waren diese Eigenschaften in kleinen Gruppen wichtig, um das eigene Überleben zu sichern. In einer digitalisierten und globalisierten Welt können diese Eigenschaften schnell zur SchwĂ€che werden. Beim Social Engineering wird demnach keine technische Schwachstelle, sondern primĂ€r die „Schwachstelle“ Mensch ausgenutzt. Neben dem Phishing sind hier beispielsweise „Vishing“, also das Betreiben von Social Engineering ĂŒber das Telefon, oder der „CEO Fraud“ relevante Angriffsvektoren. Ein Blick in die Medien bestĂ€tigt, dass Phishing- und Social Engineering-Angriffe weiterhin hoch­relevant sind. Aktuell wird hĂ€ufig die Corona-Krise als vermeintlicher Anlass der Kontaktaufnahme gewĂ€hlt.

Menschliche SchwÀchen machen einen gesamtheitlichen Ansatz notwendig

Wer das eigene Unternehmen oder sich selbst informationssicherheitstechnisch absichern möchte, sollte nicht nur rein technische Angriffs­vektoren und Schutzmaßnahmen betrachten. Ein gesamt­heitlicher Ansatz ist notwendig, der die eigenen menschlichen SchwĂ€chen und die der FĂŒhrungs­krĂ€fte und Mitarbeitenden in die Überlegungen zur Infor­mations­sicher­heit miteinbezieht. Das Ziel sollte ein hohes Bewusstsein aller menschlichen Akteure sein, die mit Informations­systemen arbeiten. Nur wer ĂŒber die Gefahren informiert ist und diese identifizieren kann hat eine Chance, Social Engineering vor der Preisgabe sensitiver Daten zu erkennen. Eine zentrale Stellschraube hierfĂŒr ist die Unternehmens­kultur, weshalb insbesondere FĂŒhrungskrĂ€fte besonders sensibilisiert sein sollten. Auch regelmĂ€ĂŸige Social-Hacking-Übungen, Schulungen mit Live-Hacking-Demonstrationen und Trainings im Rahmen einer Sicherheitsberatung tragen maßgeblich zu einem höheren Bewusstsein unter den Mitarbeitenden bei.

Die sieben goldenen Regeln schĂŒtzen vor Social Engineering

Die aramido GmbH stellt ein Merkblatt mit effektiven Strategien gegen Social Engineering zur VerfĂŒgung. Diese helfen dabei Phishing-E-Mails, Vishing-Telefonate und andere Social-Engineering-Angriffe zu identifizieren und erfolgreich damit umzugehen. Nutzen Sie es gerne um Ihre Team- und Familienmitglieder ĂŒber Social-Engineering-Angriffe aufzuklĂ€ren und damit aktiv zum grĂ¶ĂŸeren Bewusstsein fĂŒr Cybersicherheit in der Gesellschaft beizutragen.

Merkblatt Sieben goldene Regeln gegen Social Engineering
Ab­bildung 1 Merkblatt „Sieben goldene Regeln gegen Social Engineering" zum Download

Mit dem Merkblatt sowie einer Demonstration des Cold-Boot-Angriffs beteilgt sich aramido am European Cyber Security Month (ECSM). Unter dem Motto „Think Before You Click #ThinkB4UClick“ veranstalten Institutionen der EuropĂ€ischen Union den diesjĂ€hrigen Aktionsmonat um BĂŒrger, Un­ter­nehmen und Gesellschaft fĂŒr Cybersicherheit zu sensibilisieren und ĂŒber Gefahren be­zieh­ungs­weise Schutzmaßnahmen zu informieren. Dieses Jahr liegen die Themen-Schwerpunkte bei „Digital Skills“ und „Cyber Scams“. In Deutschland wird der Aktionsmonat vom BSI koordiniert. Bisher sind bereits ĂŒber 200 Aktionen mit einer großen Vielfalt an Themen und Adressaten beim BSI eingegangen.

Banner zum ECSM
Ab­bildung 2 Der ECSM 2020: Wir machen mit!
Wir begleiten Sie gerne auf dem Weg der sicheren IT. Bitte senden Sie uns eine Anfrage per E-Mail. Wir rufen Sie zeitnah zurĂŒck und klĂ€ren mit Ihnen die Details fĂŒr ein verbindliches Angebot ab.