Human Hacking erfreut sich bei Cyberkriminellen stark wachsender Beliebtheit und bietet mittlerweile wesentlich höhere Erfolgsquoten als das klassische Phishing oder ähnliche Methoden.
Wir verraten, wie Hacker aktuell die Schwachstelle Mensch ausnutzen und welche Social-Engineering-Trends Unternehmen bedrohen.
Human Hacking – das Einfallstor Mensch
Kurz zum Verständnis beziehungsweise zur Auffrischung: Als „Human Hacking“ bezeichnen IT-Experten Methoden, bei denen sich die Angreifer die Psychologie des Menschen zunutze machen. Die Bandbreite ist dabei groß und reicht vom Ausnutzen des „guten Glaubens“ bis zu sehr aufwendigen Szenarien, bei denen der Hacker eine falsche Identität annimmt, um sein Opfer zu manipulieren.
Human Hacking ist dabei nahezu synonym mit dem Begriff „Social Engineering“ zu verwenden, worüber wir hier im Blog auch schon mehrfach berichtet haben. Als regelrechter „Klassiker“ dieser Betrugsmasche gilt mittlerweile der so genannte „CEO-Fraud“. Hier nimmt der Cyberkriminelle die Rolle des Chefs ein und sorgt in der Regel durch eine entsprechend gefälschte E-Mail-Adresse dafür, dass ein folgsamer Angestellter Überweisungen beispielsweise ins Ausland vornimmt, in dem guten Glauben, er würde eine Anweisung von ganz oben befolgen.
Aber das ist natürlich nur ein Beispiel. Aktuelle Berichte zeigen, dass die Human-Hacking-Methoden immer vielfältiger werden. Wie genau das aussieht, verraten wir Ihnen natürlich gern!
Von der Angst bis zu den Glücksgefühlen
Die Aussicht auf großen Ärger mit dem Vorgesetzten oder gar die Angst vor einer Abmahnung wegen Arbeitsverweigerung kann Menschen ebenso dazu bringen, sämtliche Skepsis über Bord zu werfen, wie ein in Aussicht gestellter Lotto-Gewinn. Und genau diese menschlichen Gefühle sind die Grundlage für erfolgreiche Human-Hacking-Angriffe.
So unterschiedlich die Methoden und Vorgehensweisen auch sein mögen, das Ziel ist nahezu immer dasselbe: Es geht um Geld. Meistens sogar um viel Geld. Wahlweise wird selbiges direkt abgegriffen, wenn der Trick beispielsweise darin besteht, eine angeblich unbezahlte Rechnung schnell zu begleichen. In anderen Fällen verschaffen sich die Hacker zunächst Zugriff auf sensible Daten, um dann das Online-Banking zu knacken. Oder: Sie schleusen via Human Hacking eine Ransomware ins Unternehmensnetzwerk ein. Diese verschlüsselt dann sämtliche Daten und fordert für die Freigabe ein entsprechendes Lösegeld in Form von Bitcoin oder anderen Kryptowährungen.
Neue Human-Hacking-Methoden auf dem Vormarsch
Im Folgenden haben wir einmal die neuesten und beliebtesten Social-Engineerings-Trends zusammengestellt, die Berichten und Experten zufolge aktuell im großen Stil durchgeführt werden:
- Tech-Support-Scam:
Die Angreifer geben sich als Techniker von Microsoft oder anderen Konzernen aus, die angeblich das System von Viren befreien oder ein dringendes Update installieren möchten. Sie schalten sich via Remote auf den Rechner und platzieren dann wahlweise Trojaner oder Spyware. In einigen Fällen folgt später sogar noch eine Rechnung für die angebliche Support-Leistung. - Hotline-Betrug:
Eine Abwandlung der ersten Methode ist die Hotline-Variante. Hier erscheint dem Nutzer plötzlich ein Pop-up-Fenster, das vor einem angeblichen Virus warnt, der bereits auf dem Rechner sein soll. Der Nutzer wird dann aufgefordert, sofort die Support-Hotline anzurufen. Dann passiert entweder dasselbe wie bei der ersten Variante und/oder es werden horrende Summen für die Telefonverbindung fällig. - Rechnungsbetrug:
Ins Mail-Postfach der Buchhaltung flattert eine Rechnung oder gar Mahnung im PDF-Format herein. Selbige soll bitte sofort bezahlt werden. Und um sicherzugehen, dass die vermeintlichen Rechnungssteller auch endlich an ihr Geld kommen, fordern sie den Mitarbeiter auf, sich via Remote zuschalten zu können, um die Überweisung live mitzuverfolgen. An dieser Stelle greifen sie dann Login-Daten für das Banking ab und räumen anschließend die Konten leer. - Dealply-Adware:
„Herzlichen Glückwunsch, Sie haben gewonnen“ heißt es plötzlich im Pop-up-Fenster. Um seinen Gewinn zu erhalten, wird „lediglich“ eine kleine Bearbeitungsgebühr fällig. Am Ende ist das Geld natürlich weg und den Gewinn gibt es nie.
Bei den ersten drei Methoden stehen vor allem Unternehmen im Fokus, lediglich die vierte Masche zielt vermehrt auf Privatverbraucher ab.
Erfolgsmasche Human Hacking
Dass der Mensch leider viel zu häufig so leicht- und gutgläubig ist, ist der Erfolgsfaktor der genannten und auch vieler anderer Methoden. Daher verwundert es auch nicht, dass Experten ein starkes Wachstum im Bereich Social Engineering festgestellt haben. Die Zahl der Angriffe soll sich sogar versiebenfacht haben. Und da ist eine etwaige Dunkelziffer gar nicht mit eingerechnet.
Was aber kann helfen, das eigene Unternehmen und auch sich selbst als Privatnutzer erfolgreich vor derartigen Methoden zu schützen? Die Antwort ist recht einfach: Aufklärung, Aufklärung und nochmals Aufklärung. Für Unternehmen bieten sich spezielle Security-Awareness-Schulungen an, die in regelmäßigen Abständen durchgeführt werden sollten. Hier zeigen IT-Sicherheitsexperten anhand anschaulicher Praxis-Beispiele die vielfältigen Gefahren für die IT- und Datensicherheit auf – und zwar nicht nur aus dem Bereich des Human Hackings.
Parallel dazu sollte sich jeder Nutzer angewöhnen, von Natur aus immer skeptisch zu bleiben. Getreu des „Zero Trust“-Ansatzes, der auch die Basis für Sicherheitssoftware und Security-Technologien ist, gilt: Vertraue erst einmal nichts und niemandem.
Hacking-Risiko minimieren: Tipps für Unternehmen
Unsere Experten aus dem IT-SERVICE.NETWORK stehen Ihnen gerne zur Verfügung, wenn Sie etwas gegen die „Schwachstelle Mensch“ unternehmen möchten. Dabei bieten Ihnen unsere erfahrenen IT-Dienstleister nicht nur die Möglichkeit, die erwähnten Sicherheitstrainings durchzuführen, sondern unterstützen Sie auch bei der Implementierung moderner Security-Technologie.
Denn selbst wenn der Mensch auf eine Human-Hacking-Masche hereinfällt, können Mechanismen wie beispielsweise eine Zwei-Faktor-Authentifizierung oder ein Zugriffsmanagement das Unternehmen vor größerem Schaden schützen. Sie möchten mehr erfahren? Dann nehmen Sie doch gerne unverbindlich Kontakt zu einem unserer Partner aus Ihrer Region auf und lassen Sie sich individuell zu den Möglichkeiten beraten.
Weiterführende Links:
Security Insider, Markus Bender Informatik
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung