Schlagwort: Social Engineering

Erfolgsstory Erpressungstrojaner als Folge unzureichend geschulten Personals

4. Mai 2016 / Anja Szilard

Erpressungstrojaner schreiben zurzeit eine beeindruckende Erfolgsstory.

Laut einer Pressemitteilung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2016/Ransomware_Umfrage_27042016.html?nn=6655768) werden immer mehr Unternehmen und Institutionen Opfer von Cyberattacken, bei denen Schadcode meist als E-Mail-Anhang verschickt wird. Dessen Ausführung bewirkt zum Beispiel eine Verschlüsselung der Inhalte des infizierten Gerätes, die vonseiten der Kriminellen nur gegen Zahlung eines Lösegeldes wieder rückgängig gemacht wird.

Prominentes Beispiel ist der Verfassungsschutz des Landes Sachsen-Anhalt, der im April 2016 Opfer eines Erpressungstrojaners wurde, der den Inhalt mehrerer Arbeitsplatz-PCs verschlüsselt hat.

Phishing-E-Mails immer raffinierter

29. April 2016 / Anja Szilard

Zwei Jahre nach dem Datenklau bei ebay, bei dem eine große Anzahl Benutzernamen inklusive der zugehörigen Adressdaten und Telefonnummern entwendet wurden, verschicken nun offenbar die derzeitigen Besitzer der geklauten Daten vermehrt Phishing-E-Mails, in denen die Empfänger aufgefordert werden, eine offene Rechnung zu bezahlen.

Verknappung eines Gutes spielt Computergaunern in die Karten

28. Oktober 2015 / Anja Szilard

Menschen sind zu Handlungen, für die sie im Allgemeinen keine Motivation zeigen, oft dennoch zu bewegen, wenn sich ihnen die besondere Gelegenheit bietet, ein knappes Gut zu erwerben.

Viele Menschen wollen sich die Chance nicht entgehen lassen, als einer der ersten 500 neu registrierten Benutzer einer Website ein iPad zu gewinnen.

Sicherheitslücke durch Drang nach sozialer Bestätigung

17. Oktober 2015 / Anja Szilard

Wird jemand um einen Gefallen gebeten mit dem Hinweis, dass andere Menschen bereits mitmachen, wirkt diese Information wie ein Katalysator für eine Zustimmung. Menschen orientieren sich stark an ihrem sozialen Umfeld und neigen oft zum Mitmachen allein aufgrund der Tatsache, dass andere schon beteiligt sind.

Mit dem Hinweis, dass bereits eine Anzahl von Kollegen beim Test einer neuen Software mitarbeitet, kann die Installation einer Schadsoftware gelingen, ohne dass der Angreifer selbst einen Tastendruck ausführen müsste.

Konsequenz unter allen Umständen ermöglicht Cyberattacken

21. September 2015 / Anja Szilard

Sich vor anderen zu etwas zu bekennen führt bei den meisten Menschen dazu, dass sie bestrebt sind, künftig im Einklang mit ihrer Aussage zu handeln. Selbst wenn sich herausstellt, dass dies keine gute Idee ist, halten Menschen an ihrem Standpunkt fest, um gegenüber Dritten nicht als unzuverlässig, sprunghaft und mithin als inkonsequent zu erscheinen.

Das Bestreben, sich zu revanchieren, gefährdet die IT-Sicherheit

4. September 2015 / Anja Szilard

Menschen, die bereits etwas für sie Wertvolles erhalten haben, sind häufiger bereit, dem Geber auch ihrerseits einen Gefallen zu tun. Das Bestreben, einen Ausgleich für das Erhaltene zu schaffen, ist oft derart stark, dass sogar grundlegende Sicherheitsvorkehrungen außer Acht gelassen werden.

Gefälligkeit aus Sympathie öffnet Cyberkriminellen Tür und Tor

14. August 2015 / Anja Szilard

Wenn Menschen andere Menschen sympathisch finden, sind sie häufig bereit, auch einmal unbürokratisch zu helfen – selbst unter Umgehung eines etablierten Sicherheitsmechanismus.

So stellt die Dame vom Empfang dem ungewöhnlich freundlichen neuen Kollegen aus der Zweigniederlassung ganz unbürokratisch einen freien Besprechungsraum zur Verfügung, in dem er in Ruhe seine E-Mails checken kann. Der vermeintliche Kollege nutzt dann auch gleich die Möglichkeit, sich mit dem firmeninternen Netzwerk zu verbinden und sich darin ein wenig umzusehen.

Autoritätshörigkeit wird zum Sicherheitsrisiko

3. August 2015 / Anja Szilard

Menschen neigen dazu, Anweisungen ohne Nachfrage zu befolgen oder Wünsche zu erfüllen, wenn diese direkt durch eine Autoritätsperson oder indirekt in deren Auftrag geäußert werden. Sie vermeiden es tendenziell, durch Nachfrage oder Diskussion die Autorität einer vorgesetzten Person in Frage zu stellen und sich damit den Ärger dieser Person zuzuziehen.

Vor diesem Hintergrund sendet ein Mitarbeiter auch an eine unbekannte E-Mail-Adresse vertrauliche Dokumente, um die ein Anrufer, der vorgeblich für den Geschäftsführer arbeitet, gebeten hat.

Angreifer nutzen soziale Eigenschaften des Menschen

12. Juli 2015 / Anja Szilard

Wie in diesem Blog bereits thematisiert, dringen erfolgreiche Hacker heutzutage kaum noch über technische Einrichtungen in IT-Systeme ein. Wieso sollten sie mühevoll eine Firewall überwinden, wenn sie mit ein wenig Empathie die Menschen hinter dieser Firewall dazu bewegen können, das Tor ins Netzwerk ganz freiwillig weit zu öffnen?

Wie aber gelingt es immer wieder, selbst Mitarbeiter, die eine IT-Sicherheitsschulung genossen haben, zu Handlungen zu animieren, die die Informationssicherheit in hohem Maße bedrohen?

Zuvorkommende Schwachstellen in der IT-Sicherheit

9. Juli 2015 / Anja Szilard

IT-Sicherheit assoziiert die Mehrheit der Computernutzer mit sorgsam errichteten Firewalls, Rechenzentren im Hochsicherheitstrakt, Richtlinien für hochkomplexe Passworte und kaum zu durchdringenden Prozessen zur Vergabe von Benutzerrechten.

Derlei technische Hürden zu überwinden gestaltet sich für moderne Computergauner immer komplexer. Entsprechende Kopfstände müssen diese zu ihrem Glück aber gar nicht vollführen, denn sie können sich immer wieder auf die zuvorkommenden Schwachstellen zum Beispiel in Gestalt der Mitarbeiter am Empfang oder auch neuer und mit der Organisation noch nicht vertrauter Mitarbeiter verlassen, welche die bösen Buben tatkräftig dabei unterstützen, Informationen über die IT-Infrastruktur zu sammeln oder auch direkt Zugang zum Netzwerk zu bekommen. Das Liefern von Passwörtern ist oft eine Serviceleistung, die inklusive ist.

Sind Sie sicher, dass nicht auch in Ihrem Unternehmen menschliche Schwachstellen aktiv sind, die jeden Tag nicht nur gegenüber Ihren Kunden und Geschäftspartnern, sondern auch gegenüber Gaunern, die es auf Ihre Geschäftswerte abgesehen haben, freundlich und zuvorkommend auftreten? Sie meinen, dies sei ausgeschlossen?

Die folgende Schilderung wird Sie zum Nachdenken anregen:

« Ältere Beiträge