Je besser IT-Sicherheitsverantwortliche diese Techniken verstehen, desto besser können sie ihren Mitarbeitern und Unternehmen helfen, die Sicherheit zu gewährleisten. Ganz so einfach gestaltet es sich in der Praxis allerdings nicht. Je besser es den Sicherheitsteams gelingt, Social-Engineering-Taktiken zu erkennen und abzuwehren, desto mehr entwickeln die Kriminellen ihre Methoden weiter. Als Folge stimmen die Erwartungen der Sicherheitsteams an das Verhalten von Cyberkriminellen nicht mit den Methoden überein, die Kriminelle nutzen, um Mitarbeiter in die Falle zu locken.

Eine Reihe weit verbreiteter Missverständnisse führt dazu, dass Unternehmen einem erhöhten Risiko ausgesetzt sind, weil ihre Massnahmen nicht mehr dem heutigen Vorgehen der Cyberkriminellen entsprechen.

Fünf gängige Missverständnisse

1.    Cyberkriminelle bauen vor Angriffen keine Beziehungen auf
Obwohl Vertrauen und Echtheit entscheidende Komponenten eines erfolgreichen Social-Engineering-Angriffs sind, glauben viele, dass Cyberkriminelle wenig Zeit damit verbringen, eine Beziehung zu ihren Opfern aufzubauen. In Wirklichkeit ist es umgekehrt!

Cyberkriminelle legen den Grundstein für Ihre Attacken oft mit harmlosen E-Mails und Themen, welche die Opfer in einem falschen Sicherheitsgefühl wiegen sollen. Lässt sich das Opfer erst einmal auf eine Konversation ein und hat Vertrauen gefasst, gehen die Cyberkriminellen einen Schritt weiter und bitten um Unterstützung bei dringenden Anliegen, bitten um Änderungen von Zahlungsinformationen oder erlangen wertvolle Anmeldedaten. Proofpoint identifiziert und blockiert jeden Monat etwa 80.000 dieser E-Mails.

Einzeln agierende Cyberkriminelle nutzen diese Taktik ebenso wie Gruppen, die von Staaten unterstützt werden. TA453, eine Gruppe Cyberkrimineller mit Unterstützung aus dem Iran, die nordkoreanische Gruppe TA406 und die für Russland arbeitende Gruppe TA499 sind bekannt dafür, dass sie gutartige E-Mails als Türöffner nutzten.

2.    Legitime Dienste sind immer sicher
Angesichts der Tatsache, dass Google, Microsoft und Dropbox stets mit ihrer Sicherheit werben, ist es vielleicht nicht verwunderlich, dass viele glauben, diese Plattformen seien frei von Social Engineering. Dies entspricht jedoch bei weitem nicht der Realität.

Cyberkriminelle missbrauchen ganz bewusst legitime Dienste, um Anmeldedaten zu ergattern und Malware zu verbreiten, weil diese Dienste ihren Aktionen die erforderliche Glaubwürdigkeit verleihen. Proofpoint hat 2021 fast 1.000 Kampagnen beobachtet, die diese Dienste missbrauchen. Das entspricht etwa 14 Prozent aller beobachteten Kampagnen.
Dabei wurden URLs mit scheinbarem Google-Bezug am häufigsten missbraucht. Allerdings führte der Missbrauch vermeintlicher Microsoft-URLs zu mehr als doppelt so vielen Klicks. Insgesamt ist OneDrive der am häufigsten von Cyberkriminellen missbrauchte Dienst, gefolgt von Google Drive, Dropbox, Discord, Firebase und SendGrid.

3.    Cyberkriminelle telefonieren nicht
Entgegen einer weit verbreiteten Meinung sind Attacken, die E-Mails nutzen nicht auf Computer beschränkt. Tatsächlich ist bei modernen Social-Engineering-Angriffen fast immer digitale Kommunikation im Spiel. Aber es ist es nicht ungewöhnlich, dass eine E-Mail lediglich ein Ausgangspunkt ist.

Im vergangenen Jahr gab es eine deutliche Zunahme von Angriffen, die ein grosses Netzwerk von Callcentern nutzten. In diesen Fällen enthalten die E-Mails der Cyberkriminellen keine bösartigen Anhänge oder Links. Stattdessen verleiten sie die Opfer dazu, eine gefälschte Kundendienstnummer anzurufen, um weiter mit den Cyberkriminellen zu kommunizieren.

Am Telefon werden die Opfer dann dazu gebracht, bösartige Websites zu besuchen oder Fernwartungssoftware auf ihren Geräten zu installieren. Cyberkriminelle nutzen diesen Zugang sodann, um Geld zu stehlen, Zugangsdaten zu sammeln und Malware zu verbreiten. Proofpoint beobachtet jeden Tag mehr als 250.000 dieser Bedrohungen.

4.    Antworten auf bereits bestehenden E-Mail-Austausch sind sicher vor Social Engineering
Menschen werden ständig gewarnt, auf alles Ungewöhnliche oder Verdächtige in ihrem Posteingang zu achten. Eine neue E-Mail von einem neuen Absender lässt sie daher eher aufhorchen als eine Antwort auf eine bereits bestehenden E-Mail-Konversation. Cyberkriminelle sind sich dessen bewusst und verwenden verschiedene Techniken, von Phishing bis hin zu Malware, um Zugang zu legitimen Postfächern zu erhalten.

Wenn sie sich erstmal Zugang verschafft haben, kapern sie bestehende Konversationen mit bösartigen Links und Anhängen oder fordern die Opfer auf, in ihrem Namen Aktionen auszuführen. Und da die E-Mail-Adresse, die Domäne und der Absender dem Opfer bekannt sind, ist es viel wahrscheinlicher, dass das Opfer der Aufforderung nachkommt. Diese Angriffsmethode ist bei BEC-Angriffen besonders beliebt, insbesondere bei Rechnungs- und Zahlungsbetrug.

5.    Cyberkriminelle verwenden nur geschäftliche Themen
Natürlich sind Organisationen meistens ein attraktiveres Ziel als eine einzelne Person. Aus diesem Grund sind die Posteingänge von Unternehmen zu jeder Stunde des Tages einer Flut von Bedrohungen ausgesetzt. Und die meisten Cyberkriminellen haben ein Auge auf das Geld von Unternehmen und deren Daten geworfen. Sie wissen allerdings genau, dass sie über die Mitarbeiter an ihre Ziele gelangen müssen, denn Mitarbeiter sind auch nur Menschen.

Cyberkriminelle missbrauchen mit Vorliebe menschliche Schwächen, indem sie ihre Köder mit aktuellen Ereignissen, Nachrichten und so ziemlich allem spicken, was das Interesse einer Person wecken könnte. Das kann bedeuten, dass sie beliebte Ereignisse wie den ersten August, den Blackfriday oder den Valentinstag nutzen, um mit den Opfern in Kontakt zu treten, oder dass sie sich die Angst vor COVID-19, die Situation der Lockdowns oder die Abgabefrist für Steuererklärungen zunutze machen.

In vielen Fällen ist es weitaus trivialer. Letztes Jahr nutzten die Kriminellen hinter der Dridex-Malware die Popularität des Netflix-Hits Squid Game, um mit popkulturellen Themen Opfer in die Falle zu locken. Die Gruppe gab vor, an der Produktion beteiligt zu sein, und bot einen frühzeitigen Zugang zur neuen Staffel an.

Social Engineering einen Schritt voraus bleiben

Die künftigen Methoden der Cyberkriminellen kennen wir nicht. Trotzdem können wir sicher sein, dass Social Engineering noch lange eine beliebte Waffe in ihrem Arsenal bleiben wird. Ganz einfach, weil es funktioniert.

Wir wissen, dass Cyberkriminelle jede Taktik, die sich als erfolgreich erweist, erneut einsetzen werden. Aus diesem Grund werden wir auch weiterhin Phishing- und BEC-Köder beobachten, die sich um Ereignisse wie die Abgabefrist für Steuererklärungen oder die Feiertage drehen. Wir sollten auch damit rechnen, dass sie weiterhin Dateien verwenden, die für das tägliche Geschäft unerlässlich sind (Tabellenkalkulationen, Rechnungen, Mahnungen und ähnliche Dokumente), um Benutzer auszutricksen und Malware zu verbreiten. Vor allem können wir sicher sein, dass sich diese Angriffe weiterhin auf die schwächste Stelle der Verteidigung konzentrieren werden – die Mitarbeiter. Es steht daher ausser Frage, dass Unternehmen sich dieser Schwachstelle widmen müssen.

Dies erfordert eine regelmässige, kontinuierliche und gezielte Schulung des Sicherheitsbewusstseins; viel mehr als nur eine einmal im Jahr durchgeführte Pro-Forma-Übung, um eventuelle Vorschriften einzuhalten. Ein Schulungsprogramm hilft, eine Kultur zu schaffen, in der sich jeder Mitarbeiter der Rolle bewusst ist, die er bei der Abwehr von Cyberangriffen auf das Unternehmen spielt – und der schwerwiegenden Folgen einer misslungenen Abwehr.

Wenn das Bewusstsein für gängige Angriffsmethoden wächst, ändert sich das Verhalten. Und es sind genau diese Verhaltensweisen – ein einziger Klick, eine übereilte Antwort oder eine nachlässige Aktion –, die Unternehmen am meisten gefährden.

proofpoint.