ONE4 IT - News

Aktuelle Meldungen und Informationen

Human Hacking: Neue Social-Engineering-Trends bei Hackern

Menschliches Hacken erfreut sich bei Cyberkriminellen rasant wachsender Beliebtheit und bietet inzwischen deutlich höhere Erfolgsquoten als klassisches Phishing oder ähnliche Methoden.

Wir zeigen, wie Hacker derzeit die menschliche Verwundbarkeit ausnutzen und welche Social-Engineering-Trends Unternehmen bedrohen.

Menschliches Hacken — das menschliche Tor

Kurz zum Verständnis oder zur Auffrischung: IT-Experten nennen „Human Hacking“ -Methoden, bei denen sich Angreifer die menschliche Psychologie zunutze machen. Das Spektrum ist breit und reicht von der Ausnutzung von „Treu und Glauben“ bis hin zu sehr komplexen Szenarien, in denen der Hacker eine falsche Identität annimmt, um sein Opfer zu manipulieren.

Human Hacking ist fast ein Synonym für den Begriff „Social Engineering“, über den wir hier im Blog bereits mehrfach berichtet haben. Der sogenannte „CEO-Betrug“ gilt heute als regelrechter „Klassiker“ dieser Masche. Hier schlüpft der Cyberkriminelle in die Rolle des Chefs und sorgt in der Regel mit einer entsprechend gefälschten E-Mail-Adresse dafür, dass ein gehorsamer Mitarbeiter beispielsweise Überweisungen ins Ausland tätigt, in dem guten Glauben, dass er Anweisungen von ganz oben befolgen würde.

Aber das ist natürlich nur ein Beispiel. Aktuelle Berichte zeigen, dass menschliche Hacking-Methoden immer vielfältiger werden. Wie das genau aussieht, sagen wir dir natürlich gerne!

zu sehen sind sechs Mitarbeiter mit Laptops an einem Tisch. Thema des Artikels ist Human Hacking. Bild: Pexels/Fauxels

Menschliches Hacken kann jeden im Team betreffen. Bild: Pexels/Fauxels

Von Angst zu Glücksgefühlen

Die Aussicht auf großen Ärger mit dem Vorgesetzten oder auch die Angst vor einer Abmahnung wegen Arbeitsverweigerung können genauso dazu verleiten, jegliche Skepsis über Bord zu werfen wie die Aussicht auf einen Lottogewinn. Und genau diese menschlichen Gefühle sind die Grundlage für erfolgreiche menschliche Hackerangriffe.

So unterschiedlich die Methoden und Verfahren auch sein mögen, das Ziel ist fast immer dasselbe: Es geht um Geld. Normalerweise sogar für viel Geld. Wahlweise wird selbiges direkt abgegriffen, zum Beispiel, wenn der Trick darin besteht, eine vermeintlich unbezahlte Rechnung schnell zu bezahlen. In anderen Fällen verschaffen sich Hacker zunächst Zugriff auf sensible Daten und brechen dann in das Online-Banking ein. Oder: Sie schmuggeln Ransomware per menschlichem Hacking in das Unternehmensnetzwerk. Dieser verschlüsselt dann alle Daten und verlangt zur Genehmigung ein entsprechendes Lösegeld in Form von Bitcoin oder anderen Kryptowährungen.

Neue menschliche Hacking-Methoden auf dem Vormarsch

Im Folgenden haben wir die neuesten und beliebtesten Social-Engineering-Trends zusammengestellt, die Berichten und Experten zufolge derzeit in großem Umfang durchgeführt werden:

Tech-Support-Scam:
Die Angreifer geben sich als Techniker von Microsoft oder anderen Unternehmen aus, die angeblich Viren aus dem System entfernen oder ein dringendes Update installieren wollen. Sie stellen per Fernzugriff eine Verbindung zum Computer her und platzieren dann entweder Trojaner oder Spyware. In einigen Fällen gibt es später sogar eine Rechnung für den angeblichen Support-Service.
Hotline-Betrug:
Eine Modifikation der ersten Methode ist die Hotline-Variante. Hier erscheint dem Benutzer plötzlich ein Popup-Fenster, das vor einem angeblichen Virus warnt, der sich bereits auf dem Computer befinden sollte. Der Benutzer wird dann gebeten, sofort die Support-Hotline anzurufen. Dann passiert entweder dasselbe wie bei der ersten Variante und/oder es werden horrende Summen für den Telefonanschluss berechnet.
Rechnungsbetrug:
Eine Rechnung oder auch eine Mahnung im PDF-Format flattert in das E-Mail-Postfach der Buchhaltung. Bitte zahlen Sie das Gleiche sofort. Und um sicherzugehen, dass die vermeintlichen Rechnungssteller endlich ihr Geld bekommen, bitten sie den Mitarbeiter, sich per Fernzugriff verbinden zu können, um die Überweisung live verfolgen zu können. Zu diesem Zeitpunkt greifen sie dann auf die Anmeldedaten für das Banking zu und leeren dann die Konten.
Dealply-Adware:
„Herzlichen Glückwunsch, du hast gewonnen“, heißt es plötzlich im Popup-Fenster. Um Ihren Gewinn zu erhalten, ist „nur“ eine geringe Bearbeitungsgebühr erforderlich. Am Ende ist das Geld natürlich weg und es gibt nie einen Gewinn.

Die ersten drei Methoden richten sich hauptsächlich an Unternehmen, nur der vierte Betrug richtet sich zunehmend an private Verbraucher.

zu sehen ist eine Frau am Schreibtisch vor ihrem PC, die telefoniert. Das Thema ist der Pretext als Instrument für Social Engineering Angriffe. Bild: Pexels/Karolina Grabowska

Die Zahl menschlicher Hackerangriffe per Telefon nimmt zu. Bild: Pexels/Karolina Grabowska

Erfolgsgeschichte beim Hacken von Menschen

Dass Menschen leider viel zu oft so leichtgläubig und leichtgläubig sind, ist der Erfolgsfaktor der oben genannten Methoden und auch vieler anderer Methoden. Es ist daher nicht verwunderlich, dass Experten ein starkes Wachstum im Bereich Social Engineering festgestellt haben. Die Zahl der Angriffe soll sich sogar versiebenfacht haben. Und das beinhaltet nicht einmal eine mögliche Dunkelziffer.

Doch was kann helfen, das eigene Unternehmen und auch sich selbst als privaten Nutzer erfolgreich vor solchen Methoden zu schützen? Die Antwort ist ganz einfach: Erleuchtung, Erleuchtung und noch mehr Erleuchtung. Für Unternehmen stehen spezielle Schulungen zum Thema Sicherheitsbewusstsein zur Verfügung, die in regelmäßigen Abständen durchgeführt werden sollten. Hier zeigen IT-Sicherheitsexperten anhand anschaulicher Praxisbeispiele die verschiedenen Bedrohungen für die IT- und Datensicherheit auf — und das nicht nur im Bereich Human Hacking.

Gleichzeitig sollte sich jeder Nutzer angewöhnen, von Natur aus immer skeptisch zu bleiben. Getreu dem „Zero Trust“ -Ansatz, der auch die Grundlage für Sicherheitssoftware und Sicherheitstechnologien ist, gilt: Vertraue zunächst nichts und niemandem.

Minimieren Sie das Hacker-Risiko: Tipps für Unternehmen

Wir helfen Ihnen gerne weiter, wenn Sie etwas gegen die „menschliche Verwundbarkeit“ tun möchten. Wir bieten Ihnen nicht nur die Möglichkeit, die oben genannten Sicherheitstrainings durchzuführen, sondern unterstützen Sie auch bei der Implementierung moderner Sicherheitstechnologie.

Denn selbst wenn Menschen auf einen menschlichen Hacker-Betrug hereinfallen, können Mechanismen wie die Zwei-Faktor-Authentifizierung oder das Zugriffsmanagement das Unternehmen vor größeren Schäden schützen. Möchten Sie mehr wissen? Dann wenden Sie sich gerne unverbindlich an uns und lassen Sie sich individuell zu den Möglichkeiten beraten.

Weitere Links:
Security Insider, Markus Bender Informatik

Lesen Sie den Originalartikel auf IT-SERVICE.network

← Vorheriger Beitrag: Gefälschte E-Mail-Adressen: Schützen Sie sich vor Domain-Spoofing-Angriffen! Nächster Beitrag: Sabotage in Unternehmen: Unternehmen sind Gefahren von innen und außen ausgesetzt →

← Vorheriger Beitrag Nächster Beitrag →