(K)ein Cyberangriff per Phishing-mail – Wir testen Mitarbeiter
Immer mehr Cyberattacken auf Unternehmen! Besonders raffiniert: Social Engineering via Phishing-Mails! Worauf Mitarbeiter reinfallen, testen wir am IDD.
Wie bringt man unbescholtene Mitarbeiter dazu, dass sie geltende Sicherheitsstandards missachten, Cyberkriminellen die virtuelle Tür öffnen und die Hacker bei der Arbeit auch noch unterstützen? Das gelingt, indem Kriminelle emotional aufgeladene Situationen konstruieren, die im Arbeitsalltag jederzeit passieren könnten. Beliebte Werkzeuge sind E-Mails oder Telefonanrufe. Erste Namen, Positionen, Nummern und Adressen liefert die Firmenwebsite selbst. Dann braucht es nur noch ein Szenario, das das Opfer anspricht.
Wie Hacker Mitarbeiter manipulieren
Cyberkriminelle nutzen schamlos unsere Hilfsbereitschaft aus. Sie machen ihre Opfer neugierig, neidisch, ängstlich oder versetzen sie in Panik. So gehen wir auch vor! Unsere IT-Sicherheitsberater entwickeln fiktive Testszenarien, mit denen sich reale Hacker Zugang zu vertraulichen Informationen oder ganze Systeme erschleichen könnten, vorausgesetzt, das Opfer spielt mit. Um möglichst viele Mitarbeiter auszutricksen, gehen wir stufenweise und in Variationen vor:
Ein einfacher Test fragt z.B. wie Mitarbeiter mit falsch zugestellten E-Mails umgehen. Löschen, weiterleiten oder lesen? Viele lesen, was nicht für sie bestimmt ist. Als Social Engineering Attacke haben sich Bewerbungsmails schon vielfach bewährt. Sie wecken Neugier wie Neid und die Dateianhänge wirken ganz normal. Die Klickraten sind gut, denn gerade in Bewerbermails lassen sich diverse Fallstricke verstecken: gefährliche Links, gefälschte E-Mail-Adressen oder Social Media Buttons. Ein Klick genügt und schon öffnet das Opfer eine schadhafte Datei oder landet auf einer bösartigen Website, die von der echten kaum zu unterscheiden ist. Unbemerkt wird ein Software Download auslöst, die sich ungefragt auf dem Rechner installiert. Wer sich so nicht ködern lässt, der braucht sozialen Druck. Echte Kriminelle erzeugen häufig Panik, damit das Opfer handelt ohne nachzudenken. Attacken basieren auch auf Unvorsicht und Nachlässigkeit. Hacker hören zu und kommen so an interne Informationen.
Mitarbeiter mit Hacker Methoden fit machen
Wir tarnen uns als IT-Kollege und informieren die Kollegen: Ein IT-Sicherheitsproblem sei aufgetreten, man überprüfe die Login-Daten des Mitarbeiters. So eine Nachricht erzeugt Angst, Unsicherheit und appelliert an die eigene Hilfsbereitschaft. Solch eine Nachricht funktioniert umso besser, je dringender das Problem und je mehr der Adressat mit in Verantwortung gezogen wird. Hat die Mail wohlmöglich eine Chefsignatur, kontrolliert kaum einer die Adress- Syntax.
Durch diese Art der Beeinflussung (Social Engineering) führen Opfer Handlungen aus, die geltenden Sicherheitsstandards widersprechen. Firewalls, Spamfilter und Autoresponder fangen zwar einen Großteil der Fake E-Mails ab, aber wirklich gute und kreative Social Engineer Angreifer kommen durch.
Wie gehen Ihre Mitarbeiter damit um? Lassen sie sich leicht manipulieren oder handeln sie grundsätzlich richtig? Welche Emotionen greifen, wie viel Druck ist nötig? Wie ausgeklügelt muss der Angriff sein, um potenzielle Opfer zu überlisten? Das und mehr prüfen wir. Unsere kreativen IT-Sicherheitsberater erfinden Social Engineering Cyberattacken, die unterschiedliche Mitarbeitertypen ansprechen. Wir messen die Reaktionen und werten sie aus: Wie oft wurde die falsche Mail munter weitergeleitet, wurde sie ernsthaft beantwortet? Wie oft wurden Dateianhänge geöffnet oder manipulierte Links geklickt? Wurden sensible Daten weitergegeben?
Sind Sie gegen alle Tricks gefeit? Warten Sie nicht, bis echte Kriminelle das herausfinden. Kontaktieren Sie besser die Experten vom Institut für Datenschutz und Datensicherheit. Wir testen und schulen auch Ihr Unternehmen, denn das ist der beste Schutz vor Social Engineering Cybercrime.
