IT-Sicherheit

Human Hacking

Diese neuen Social-Engineering-Trends sind bei Hackern beliebt

von 12.07.2023
zu sehen ist ein verzweifelt wirkender Mann in seinem Büro vor seinem Laptop. Human Hacking Angriffe gegen Unternehmen nehmen zu. Bild: Pexels/Kampus Production
Human Hacking Angriffe gegen Unternehmen nehmen zu. Bild: Pexels/Kampus Production

Human Hacking erfreut sich bei Cyberkriminellen stark wachsender Beliebtheit und bietet mittlerweile wesentlich höhere Erfolgsquoten als das klassische Phishing oder ähnliche Methoden.

Wir verraten, wie Hacker aktuell die Schwachstelle Mensch ausnutzen und welche Social-Engineering-Trends Unternehmen bedrohen.

Inhaltsverzeichnisexpand_more
  1. Human Hacking – das Einfallstor Mensch
  2. Von der Angst bis zu den Glücksgefühlen
  3. Neue Human-Hacking-Methoden auf dem Vormarsch
  4. Erfolgsmasche Human Hacking
  5. Hacking-Risiko minimieren: Tipps für Unternehmen

Human Hacking – das Einfallstor Mensch

Kurz zum Verständnis beziehungsweise zur Auffrischung: Als „Human Hacking“ bezeichnen IT-Experten Methoden, bei denen sich die Angreifer die Psychologie des Menschen zunutze machen. Die Bandbreite ist dabei groß und reicht vom Ausnutzen des „guten Glaubens“ bis zu sehr aufwendigen Szenarien, bei denen der Hacker eine falsche Identität annimmt, um sein Opfer zu manipulieren.

Human Hacking ist dabei nahezu synonym mit dem Begriff „Social Engineering“ zu verwenden, worüber wir hier im Blog auch schon mehrfach berichtet haben. Als regelrechter „Klassiker“ dieser Betrugsmasche gilt mittlerweile der so genannte „CEO-Fraud“. Hier nimmt der Cyberkriminelle die Rolle des Chefs ein und sorgt in der Regel durch eine entsprechend gefälschte E-Mail-Adresse dafür, dass ein folgsamer Angestellter Überweisungen beispielsweise ins Ausland vornimmt, in dem guten Glauben, er würde eine Anweisung von ganz oben befolgen.

Aber das ist natürlich nur ein Beispiel. Aktuelle Berichte zeigen, dass die Human-Hacking-Methoden immer vielfältiger werden. Wie genau das aussieht, verraten wir Ihnen natürlich gern!

zu sehen sind sechs Mitarbeiter mit Laptops an einem Tisch. Thema des Artikels ist Human Hacking. Bild: Pexels/Fauxels

Human Hacking kann jeden aus dem Team treffen. Bild: Pexels/Fauxels

Von der Angst bis zu den Glücksgefühlen

Die Aussicht auf großen Ärger mit dem Vorgesetzten oder gar die Angst vor einer Abmahnung wegen Arbeitsverweigerung kann Menschen ebenso dazu bringen, sämtliche Skepsis über Bord zu werfen, wie ein in Aussicht gestellter Lotto-Gewinn. Und genau diese menschlichen Gefühle sind die Grundlage für erfolgreiche Human-Hacking-Angriffe.

So unterschiedlich die Methoden und Vorgehensweisen auch sein mögen, das Ziel ist nahezu immer dasselbe: Es geht um Geld. Meistens sogar um viel Geld. Wahlweise wird selbiges direkt abgegriffen, wenn der Trick beispielsweise darin besteht, eine angeblich unbezahlte Rechnung schnell zu begleichen. In anderen Fällen verschaffen sich die Hacker zunächst Zugriff auf sensible Daten, um dann das Online-Banking zu knacken. Oder: Sie schleusen via Human Hacking eine Ransomware ins Unternehmensnetzwerk ein. Diese verschlüsselt dann sämtliche Daten und fordert für die Freigabe ein entsprechendes Lösegeld in Form von Bitcoin oder anderen Kryptowährungen.

Neue Human-Hacking-Methoden auf dem Vormarsch

Im Folgenden haben wir einmal die neuesten und beliebtesten Social-Engineerings-Trends zusammengestellt, die Berichten und Experten zufolge aktuell im großen Stil durchgeführt werden:

  1. Tech-Support-Scam:
    Die Angreifer geben sich als Techniker von Microsoft oder anderen Konzernen aus, die angeblich das System von Viren befreien oder ein dringendes Update installieren möchten. Sie schalten sich via Remote auf den Rechner und platzieren dann wahlweise Trojaner oder Spyware. In einigen Fällen folgt später sogar noch eine Rechnung für die angebliche Support-Leistung.
  2. Hotline-Betrug:
    Eine Abwandlung der ersten Methode ist die Hotline-Variante. Hier erscheint dem Nutzer plötzlich ein Pop-up-Fenster, das vor einem angeblichen Virus warnt, der bereits auf dem Rechner sein soll. Der Nutzer wird dann aufgefordert, sofort die Support-Hotline anzurufen. Dann passiert entweder dasselbe wie bei der ersten Variante und/oder es werden horrende Summen für die Telefonverbindung fällig.
  3. Rechnungsbetrug:
    Ins Mail-Postfach der Buchhaltung flattert eine Rechnung oder gar Mahnung im PDF-Format herein. Selbige soll bitte sofort bezahlt werden. Und um sicherzugehen, dass die vermeintlichen Rechnungssteller auch endlich an ihr Geld kommen, fordern sie den Mitarbeiter auf, sich via Remote zuschalten zu können, um die Überweisung live mitzuverfolgen. An dieser Stelle greifen sie dann Login-Daten für das Banking ab und räumen anschließend die Konten leer.
  4. Dealply-Adware:
    „Herzlichen Glückwunsch, Sie haben gewonnen“ heißt es plötzlich im Pop-up-Fenster. Um seinen Gewinn zu erhalten, wird „lediglich“ eine kleine Bearbeitungsgebühr fällig. Am Ende ist das Geld natürlich weg und den Gewinn gibt es nie.

Bei den ersten drei Methoden stehen vor allem Unternehmen im Fokus, lediglich die vierte Masche zielt vermehrt auf Privatverbraucher ab.

zu sehen ist eine Frau am Schreibtisch vor ihrem PC, die telefoniert. Das Thema ist der Pretext als Instrument für Social Engineering Angriffe. Bild: Pexels/Karolina Grabowska

Die Anzahl  von Human-Hacking-Angriffen via Telefon steigt. Bild: Pexels/Karolina Grabowska

Erfolgsmasche Human Hacking

Dass der Mensch leider viel zu häufig so leicht- und gutgläubig ist, ist der Erfolgsfaktor der genannten und auch vieler anderer Methoden. Daher verwundert es auch nicht, dass Experten ein starkes Wachstum im Bereich Social Engineering festgestellt haben. Die Zahl der Angriffe soll sich sogar versiebenfacht haben. Und da ist eine etwaige Dunkelziffer gar nicht mit eingerechnet.

Was aber kann helfen, das eigene Unternehmen und auch sich selbst als Privatnutzer erfolgreich vor derartigen Methoden zu schützen? Die Antwort ist recht einfach: Aufklärung, Aufklärung und nochmals Aufklärung. Für Unternehmen bieten sich spezielle Security-Awareness-Schulungen an, die in regelmäßigen Abständen durchgeführt werden sollten. Hier zeigen IT-Sicherheitsexperten anhand anschaulicher Praxis-Beispiele die vielfältigen Gefahren für die IT- und Datensicherheit auf – und zwar nicht nur aus dem Bereich des Human Hackings.

Parallel dazu sollte sich jeder Nutzer angewöhnen, von Natur aus immer skeptisch zu bleiben. Getreu des „Zero Trust“-Ansatzes, der auch die Basis für Sicherheitssoftware und Security-Technologien ist, gilt: Vertraue erst einmal nichts und niemandem.

Hacking-Risiko minimieren: Tipps für Unternehmen

Unsere Experten aus dem IT-SERVICE.NETWORK stehen Ihnen gerne zur Verfügung, wenn Sie etwas gegen die „Schwachstelle Mensch“ unternehmen möchten. Dabei bieten Ihnen unsere erfahrenen IT-Dienstleister nicht nur die Möglichkeit, die erwähnten Sicherheitstrainings durchzuführen, sondern unterstützen Sie auch bei der Implementierung moderner Security-Technologie.

Denn selbst wenn der Mensch auf eine Human-Hacking-Masche hereinfällt, können Mechanismen wie beispielsweise eine Zwei-Faktor-Authentifizierung oder ein Zugriffsmanagement das Unternehmen vor größerem Schaden schützen. Sie möchten mehr erfahren? Dann nehmen Sie doch gerne unverbindlich Kontakt zu einem unserer Partner aus Ihrer Region auf und lassen Sie sich individuell zu den Möglichkeiten beraten.

Weiterführende Links:
Security Insider, Markus Bender Informatik

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

Deepfakes

Wie Fake-Inhalte die IT-Sicherheit von Unternehmen fordern

von • 24.04.2024

Deepfakes – also durch KI und maschinelles Lernen erzeugte Bilder, Videos und Audiodaten – sind längst keine lustige Spielerei mehr. In der Geschäftswelt haben sie enormes Potenzial für Betrug....

Weiterlesen
IT-Sicherheit

Pikabot-Malware

Aktuelle Angriffskampagne nutzt Social-Engineering-Taktiken

von • 15.04.2024

Anfang 2023 ist sie erstmals entdeckt worden, seit Anfang 2024 sorgt sie vermehrt für Schlagzeilen: Die Pikabot-Malware ist eine raffinierte Bedrohung und wird durch Social Engineering verbreitet. ...

Weiterlesen
IT-Sicherheit

TeamViewer-Sicherheitslücke

Schwachstelle verhilft Nutzern zu Admin-Rechten

von • 10.04.2024

Die Entwickler der beliebten Remote-Support-Software TeamViewer warnen vor einer Schwachstelle, über die sich Nutzer Admin-Rechte verschaffen können. Ein Update für die TeamViewer-Sicherheitslücke...

Weiterlesen