Email-Sicherheit

Wie das Home Office Social Engineering erleichtert

Adrien Gendre

30. April 2020

4 min

Die COVID-19-Pandemie hat fast jeden Bereich des Lebens verändert. Unternehmen waren gezwungen, für optimale Arbeitsumgebungen im Home Office zu sorgen, und die Cyberkriminellen haben sich sofort an die Arbeit gemacht, hacken sich in Zoom-Meetings ein und überschwemmen Mitarbeiter mit Phishing, Spear-Phishing, Malware und Spam.

Das Arbeitsleben kollidiert darüber hinaus so stark mit dem Familienleben, dass eine Konzentration auf die Arbeit extrem schwierig ist. Arbeitnehmern mit Kindern, die während der Quarantäne ebenfalls zu Hause bleiben, kann es so vorkommen, als könnten sie sich überhaupt nicht mehr auf die Arbeit konzentrieren. Optimale Voraussetzungen für Social Engineering. Abgelenkte Benutzer achten bei E-Mails wahrscheinlich weniger genau auf Bedrohungen und reagieren schneller auf Nachrichten oder Updates über die Pandemie.

Ohne die schützenden Wände eines echten Büros kann der Komfort zu Hause den Mitarbeitern ein falsches Gefühl der Sicherheit geben. Und ohne IT-Personal im Hause, kann das zu einer schlechten Cyberhygiene und einer allgemeinen Gleichgültigkeit gegenüber der Cybersicherheit führen.

Social Engineering-Techniken

Social Engineering macht sich psychologische Manipulation zunutze, um ein Opfer auf einen Cyberangriff vorzubereiten, insbesondere auf E-Mail-Angriffe wie beim Spear-Phishing oder Phishing. Es erfordert keine besonderen technischen Fähigkeiten, Werkzeuge oder Software. Alles, was ein Hacker braucht, ist die Fähigkeit, zu lügen und zu manipulieren – Eigenschaften, die Hacker in Hülle und Fülle mitbringen.

Bei den meisten E-Mail-Angriffen müssen die Opfer mitarbeiten, normalerweise, indem sie eine angeforderte Aktion durchführen, z. B. Informationen über ein Phishing-Formular preisgeben, eine mit Malware geladene Datei herunterladen, Geld überweisen oder einen Kauf tätigen. Um ein Opfer zur Teilnahme zu bewegen, muss ein Hacker sein Interesse wecken. Das Social Engineering an den Opfern kann auf vielfältige Weisen erfolgen:

Angst

Phishing-E-Mails, bestimmte Betreffzeilen, enthalten oft Wörter und Phrasen, die Angst oder Besorgnis auslösen sollen, wie z. B. „Sicherheitsalarm“, „Gefährdetes Konto“ und „Unautorisierte Anmeldung“. Bei Spear-Phishing-Angriffen setzen Hacker ihre Opfer unter Druck und erzeugen so die Notwendigkeit, schnell zu handeln, da ansonsten Konsequenzen – typischerweise beruflicher Art – für die Nichterfüllung der angeforderten Aktion zu befürchten sind.

Im Zusammenhang mit COVID-19 müssen Cyberkriminelle nicht lange suchen, um bei den Opfern Angst zu schüren. Von Spam-E-Mails, in denen für Mundschutze geworben wird, die weltweit Mangelware sind, bis hin zu Phishing-E-Mails, die vorgeben, von der Weltgesundheitsorganisation zu stammen – E-Mail-Bedrohungen, die sich auf COVID-19 beziehen, sollen sich unsere Ängste zunutze machen und uns mit dem Versprechen der Hoffnung locken.

Pretexting

Spear-Phishing-E-Mails beginnen oft mit einem freundschaftlichen Austausch, der das Opfer vorbereiten soll. Eine Pretexting-E-Mail könnte einfach mit einem freundlichen „Hallo“ beginnen und dann eine Bitte enthalten. Eventuell soll das Opfer auch bestätigen, dass es in der Lage ist, eine angeforderte Aktion, wie z. B. eine Überweisung, zu tätigen.

Die Arbeit im Home Office hat die persönliche Interaktion bei der Arbeit verdrängt und zwingt die Menschen, kreativ mit Kollegen in Kontakt zu treten und die informelle Kommunikation über Text, Chat und E-Mail zur Normalität werden zu lassen. Diese neue Normalität öffnet die Türen auf eine Weise, die vor COVID-19 Alarm ausgelöst hätte. So erfolgt z. B. eine Anfrage zur Überweisung eines großen Geldbetrags in der Regel eher persönlich als per E-Mail, aber da ein persönliches Gespräch nicht möglich ist, erscheint eine E-Mail nicht verdächtig. Darüber hinaus kann der Zielmitarbeiter die Anfrage nicht persönlich überprüfen und müsste zum Telefon greifen, um die Anfrage zu bestätigen. Tut er das? Wahrscheinlich eher nicht.

Nachahmung

Bei der Nachahmung bestimmter Marken, die für Phishing und Spear-Phishing-E-Mails extrem typisch ist, wird ein Gefühl der Vertrautheit geschaffen. Ein Opfer klickt wahrscheinlich eher auf eine E-Mail von einer vertrauenswürdigen Marke und reagiert auf eine E-Mail eines bekannten Kontakts, als es das bei einem unbekannten Absender tun würde.

Gesundheitsorganisationen und Regierungsbehörden waren in letzter Zeit eine ständige Informationsquelle für die Verbraucher und öffneten damit die Türen für Nachahmer auf der ganzen Welt. Verbraucher vertrauen darauf, dass diese Organisationen aktuelle Statistiken über COVID-19-Infektionsraten und lokale Verordnungen bereitstellen. E-Mails, die von einer dieser Organisationen zu kommen scheinen, können die emotionalen Reaktionen hervorrufen, die sich die Hacker wünschen. Je mehr Cloud-Anwendungen zur Unterstützung der Arbeit von zu Hause aus eingeführt werden, umso anfälliger werden Unternehmen für Phishing-E-Mails, die von Top-Anbietern zu kommen scheinen, wie z. B. Adobe, Google, Microsoft, DocuSign und Dropbox.

Cyber-Stalking

Konten in den soziale Medien bieten all die Munition, die ein Cyberkrimineller braucht, um einen personalisierten Angriff zu starten. Hacker stalken Opfer auf Social-Media-Plattformen wie LinkedIn und Twitter, um persönliche Informationen zu sammeln und dann ihr Wissen über das Opfer für den Angriff zu nutzen.

Auf der ganzen Welt befinden sich die Menschen in Quarantäne, und sie greifen in riesigen Mengen auf die sozialen Medien zu. Sie lesen nicht nur Inhalte, sondern tauschen sich auch über ihre persönlichen Erfahrungen während der Quarantäne aus, einschließlich ihres Arbeits- und Gesundheitszustands, finanzieller Schwierigkeiten und familiärer Probleme. Diese persönlichen Daten können dazu verwendet werden, ein soziales Profil eines Opfers zu erstellen, eine Art Checkliste der Möglichkeiten, die dann ausgenutzt werden kann.

Mithilfe der oben genannten Techniken können Hacker ihre Opfer so manipulieren, dass sie jede beliebige Aktion für sie ausführen. Social Engineering nimmt also dem Hacker die Arbeit ab und überlässt es dem Opfer, den Angriff abzuschließen.

Schützen Sie Ihr Unternehmen

Da der Großteil der globalen Wirtschaft aufgrund von COVID-19 ins Home Office gegangen ist, hat sich die Struktur der Arbeitsumgebung drastisch verändert – in mancherlei Hinsicht ist sie sogar verschwunden. Kombiniert mit dem psychologischen Preis, den das Beobachten des Zusammenbruchs der öffentlichen Gesundheit, der sozialen Normen und der globalen Wirtschaft fordert, sind die Arbeitnehmer abgelenkt, nervös und anfällig für Cyberangriffe. Für Cyberkriminelle, die genau hinschauen, ist Social Engineering die perfekte Waffe.

Obwohl Sie physisch von Ihren Mitarbeitern getrennt sind, können Sie Ihr Unternehmen auch aus der Ferne vor Social Engineering und anderen E-Mail-Bedrohungen schützen. Hier sind einige allgemeine Regeln, die Sie beachten sollten:

  • Melden Sie sich niemals ausgehend von einer E-Mail in Ihrem Konto an.
  • Bestätigen Sie alle finanziellen Anfragen telefonisch.
  • Öffnen Sie niemals einen Anhang von einem unbekannten Kontakt.
  • Schauen Sie sich alle PDFs und Anhänge vor dem Öffnen genau an.
  • Öffnen Sie keine Links in privaten Nachrichten in sozialen Medien.
  • Ermutigen Sie die Mitarbeiter, alle Bedrohungen der IT-Abteilung zu melden (auch wenn sie sich nicht sicher sind).

Sie sollten Ihre Schulungen zur Stärkung des Sicherheitsbewusstseins weiter aufrechterhalten und Ihren Mitarbeitern Materialien zur Verfügung stellen, die sie als Erinnerung auf ihren Schreibtischen aufbewahren können. Nachstehend finden Sie nur einige Infografiken und Ressourcen, die Sie mit Ihren Mitarbeitern teilen können.

Gute Praktiken in der Cyber-Hygiene
Erfahren Sie, wie Sie eine Spear-Phishing-E-Mail erkennen
Erfahren Sie, wie Sie eine Phishing-E-Mail erkennen
Phishing-IQ-Test
IsItPhishing.AI