Schulungen zum Sicherheitsbewusstsein

    Köder: Wie Cyber-Kriminelle die menschliche Natur ausnutzen

    Durch geschickte Taktiken, die als Köder bekannt sind, werden Mitarbeiter dazu verleitet, auf Weblinks zu klicken oder Geräte anzuschließen, die katastrophale Folgen für Ihr Unternehmen haben können.

    by Dr. Matthew Canham
    GettyImages-1175944492-1200px.jpg

    Wichtige Punkte

    • Baiting ist eine Taktik, bei der mächtige Prinzipien der sozialen Beeinflussung genutzt werden, um Menschen in Fallen zu locken, sowohl online als auch in der realen Welt.
    • Online versuchen bösartige E-Mails, Mitarbeiter zu ködern, damit sie Unternehmensinformationen preisgeben oder Gelder herausgeben.
    • Offline schließt die Hälfte der Personen, die ein USB-Laufwerk finden, dieses an ihr Gerät an und riskiert damit die Verbreitung der Infektion.
    • Es ist wichtig, den Mitarbeitern beizubringen, wie sie Social Engineering sowohl online als auch offline vermeiden können.

    Als Baiting bezeichnet man eine Social-Engineering-Taktik, bei der einem Mitarbeiter etwas Verlockendes versprochen wird, um ihn in eine Falle zu locken, die letztendlich das Netzwerk des Unternehmens infizieren oder dessen sensible Daten stehlen könnte. Baiting kann als Taktik für eine Vielzahl von Angriffen verwendet werden, sowohl online als auch offline.

    Online beruht ein Großteil der Phishing- und Business-E-Mail-Kompromittierungen auf Ködern, wobei jüngsten Schätzungen zufolge 50 % der Mitarbeiter auf ungeprüfte Links in E-Mails klicken.[1] Offline ist eine der bösartigsten Arten von Ködern als "USB-Drop" bekannt, bei der Flash-Laufwerke mit bösartigen Nutzdaten in die Hände ahnungsloser Mitarbeiter gelangen. Eine gut dokumentierte Studie ergab, dass etwa die Hälfte der Personen, die ein verlassenes USB-Laufwerk entdeckten, dieses später in ein Gerät einsteckten.[2]

    Die Verlagerung zur Telearbeit in den letzten Jahren hat dazu geführt, dass sich die Sicherheitsgemeinschaft verstärkt auf die Abwehr von Social-Engineering-Angriffen im Internet konzentriert. Es wäre jedoch ein Fehler, die physische Sicherheit zu vernachlässigen.

    Kriminelle sind agil und werden ihre Taktiken so anpassen, dass sie die besten Erfolgsquoten erzielen. Es ist wahrscheinlich, dass in dem Maße, in dem sich die Sicherheitsgemeinschaft mehr auf die Stärkung der Abwehr von Online-Angriffen konzentriert, physische Angriffe zu einem attraktiveren Angriffsvektor werden könnten. Ein kürzlich veröffentlichter FBI-Bericht warnte davor, dass "Malware per Post" wieder auftaucht, wobei bösartige USB-Laufwerke mit der Post verschickt werden.[3]

    Köderfalle Nr. 1: Autorität ausüben

    Wenn Sie verstehen möchten, warum Social-Engineering-Taktiken so effektiv sind, lesen Sie Dr. Robert Cialdinis Buch Influence.[4] Darin beschreibt er sechs Prinzipien der Beeinflussung, die für den Verkauf, religiöse Kulte und Social Engineering gelten. Eine der wirkungsvollsten Beeinflussungstaktiken ist der Rückgriff auf Autorität. Autorität kann durch Macht (z. B. juristische Autorität), durch Fachwissen (z. B. technische Unterstützung) oder durch die Schaffung von Legitimität (durch ein "offizielles" Auftreten) genutzt werden.

    Der Vorwand der Autorität findet sich in Phishing-E-Mails, die sich als Regierungsbehörden wie die IRS oder das FBI ausgeben. Ein Krimineller kann auch in der physischen Welt Legitimität herstellen, indem er einen Aufkleber mit einem Firmenlogo auf einem USB-Gerät anbringt und es dann an einem Ort ablegt, an dem es wahrscheinlich von Mitarbeitern entdeckt wird, z. B. auf einem Firmenparkplatz. Wenn der Kriminelle ein paar Dollar mehr für eine teuer aussehende Lasergravur ausgibt, steigen die Erfolgsaussichten enorm.

    Köderfalle Nr. 2: Goodwill-Jagd

    In der bereits erwähnten Studie steckten die meisten Personen, die USB-Laufwerke fanden, diese ein, weil sie sie den Besitzern zurückgeben wollten. Als den USB-Laufwerken ein Schlüsselsatz beigefügt wurde, stieg die Zahl der Einsteckvorgänge deutlich an. Die am häufigsten geöffnete Datei trug die Bezeichnung "Lebenslauf", den die Befragten vermutlich öffneten, um die Kontaktdaten des Eigentümers zu finden.

    Leider macht sich diese Social-Engineering-Taktik den altruistischen Wunsch zu helfen zunutze, indem sie ihn in einen Angriffsvektor verwandelt. Dieser Wunsch, anderen zu helfen, kann auch auf andere Weise genutzt werden, z. B. indem man mehrere große Pakete in der Hand hält und einen Angestellten um Hilfe beim Öffnen einer Tür bittet, um sich in einen gesperrten Bereich zu schleichen. Die Online-Parallele dazu könnte sein, sich als Online-Wohltätigkeitsorganisation auszugeben, um Spenden von ahnungslosen Menschen zu erhalten.[5]

    Köderfalle Nr. 3: Die Verlockung des Geheimnisses

    Ein gutes Geheimnis ist schwer zu ignorieren. In einem anderen Buch erörtert Dr. Cialdini drei "Magnetisatoren", die Taktiken der sozialen Beeinflussung verstärken: das Geheimnisvolle, das Unfertige und das Selbstrelevante.[6] Diese Magnetisatoren können die Wahrscheinlichkeit, dass ein Social-Engineering-Versuch erfolgreich sein wird, unabhängig von der verwendeten Taktik erheblich erhöhen.

    Meine eigenen Forschungen zur Anfälligkeit für Phishing haben ergeben, dass die Einbeziehung einer geheimnisvollen Komponente in simulierte Phishing-Nachrichten die Zahl der Klicks deutlich erhöht.[7] Die Studie über verlorene USB-Sticks ergab, dass ein Ordner mit der Bezeichnung "Winter Break Photos" am zweithäufigsten geöffnet wurde, nach "Resume". Die Leute wollten zwar den Besitzer identifizieren, um den USB-Stick zurückzugeben, waren aber auch neugierig und wollten schnüffeln. Ein Etikett mit der Aufschrift "Employee Payroll" (Gehaltsabrechnung) auf einem verlorenen USB-Stick verleitet selbst den sicherheitsbewusstesten Mitarbeiter.

    Schulung von Mitarbeitern zur Vermeidung von Betrug

    Indem er Taktiken der sozialen Beeinflussung nutzt, um Legitimität herzustellen, an den Wunsch zu helfen zu appellieren oder die Neugier eines Mitarbeiters zu wecken, kann ein böswilliger Akteur seine Erfolgschancen dramatisch verbessern. In den letzten Jahren ist ein Trend weg von persönlichen Schulungen zu beobachten, wie und die aktuelle Mimecast-Studie zeigen. Das Sicherheitspersonal sollte (wenn möglich) einige persönliche Schulungen durchführen, in denen die Risiken besprochen werden, die nicht nur mit Phishing, sondern auch mit dem Anschluss von USB-Geräten an unternehmenseigene Rechner verbunden sind. Diese Schulungen sind am nützlichsten, wenn sie Beispiele für Taktiken enthalten, die von Kriminellen verwendet werden (Firmenlogos, verlockende Aufkleber, Autoschlüssel, die am Laufwerk befestigt sind), um Mitarbeiter dazu zu verleiten, USB-Laufwerke an Firmencomputer anzuschließen.

    Ein weiterer wichtiger Punkt der Awareness-Schulung sollte sein, die Mitarbeiter darüber zu informieren, was zu tun ist, wenn sie einen USB-Stick oder ein ähnliches Gerät finden. Sollen sie es bei der Abteilung für Informationssicherheit abgeben? Sollen sie es im Fundbüro abgeben? Wenn ein USB-Laufwerk bei einer Abteilung abgegeben wird, die nicht für die Informationssicherheit zuständig ist, sollten zusätzliche Vorkehrungen getroffen werden, um sicherzustellen, dass die empfangende Abteilung das gefundene Gerät nicht an einen Arbeitsrechner anschließt.

    Einsatz von Technologie zur Verhinderung von Köderangriffen

    Die Technologie kann auch dazu beitragen, Online- und Offline-Köder zu verhindern, u. a. durch folgende Maßnahmen:

    • Online: Verwenden Sie Schutz vor Identitätsmissbrauch , um böswillige Akteure von außerhalb Ihres Unternehmens zu blockieren, die versuchen, sich als Mitarbeiter auszugeben. Es ist auch wichtig, Mitarbeiter vor schädlichen Aktionen zu schützen, wenn sie auf Online-Köderangriffe wie Phishing stoßen.
    • Offline: Deaktivieren Sie, wann immer möglich, USB-Anschlüsse an Produktionsrechnern. Deaktivieren Sie alternativ die Autorun-Funktion, die es Windows ermöglicht, Programme automatisch von Mediengeräten zu starten.[8]

    Die Quintessenz

    Mitarbeiter helfen Kriminellen oft unwissentlich dabei, sich Zugang zu Unternehmensressourcen zu verschaffen, indem sie sich willfährig, hilfsbereit oder neugierig zeigen. Bringen Sie Ihren Mitarbeitern bei, wie sie es vermeiden können, überlistet zu werden. Neben der Durchführung von Phishing-Simulationen im Rahmen von Schulungen sollten Sie auch "USB-Drops" in Ihr Schulungsprogramm aufnehmen. Wenn Ihr Unternehmen Außendienstmitarbeiter beschäftigt, sollten Sie ihnen gefälschte USB-Laufwerke per Post zusenden, damit sie lernen, wie sie damit umgehen. Kriminelle Taktiken entwickeln sich ständig weiter. Die beste Gegenmaßnahme ist die Aufrechterhaltung eines offenen Kommunikationskanals zwischen Mitarbeitern und Sicherheitsabteilungen.

    [1] "Phishing für lange Schwänze," Organizational Cybersecurity

    [2] "Benutzer schließen wirklich USB-Laufwerke an, die sie finden," IEEE Symposium on Security and Privacy

    [3] "FBI warnt, dass Cyberkriminelle versucht haben, US-Firmen zu hacken, indem sie bösartige USB-Sticks verschickt haben," CNN

    [4] Einflüsse , Harper Business

    [5] "Charity Fraud: Wie man Betrug vermeidet und klug spendet," Security Boulevard

    [6] Pre-Suasion , Simon & Schuster

    [7] Canham, Dawkins und Jacobs (Manuskript wird derzeit geprüft)

    [8] "So deaktivieren Sie den Autostart," Microsoft

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang