Aktuelles, Branche - geschrieben von dp am Donnerstag, November 26, 2020 20:25 - noch keine Kommentare
HP-Warnung vor typischen Psycho-Tricks Cyber-Krimineller
HP geht auf psychologische Grundlagen von Social-Engineering-Angriffe ein
[datensicherheit.de, 26.11.2020] HP geht in einer aktuellen Stellungnahme auf die Frage ein, wie Hacker an fremde Zugangsdaten und Passwörter gelangen: Sie fragen einfach danach. Schmeicheleien, gefährliche Neugier oder falsch verstandene Hilfsbereitschaft gerade in der Vorweihnachtszeit könnten die „Türöffner“ sein. HP warnt vor den sechs häufigsten Psycho-Tricks Cyber-Krimineller.
6 Psycho-Tricks Cyber-Krimineller laut HP
HP geht auf die psychologischen Grundlagen von Social-Engineering-Angriffe ein – es gehe um die Kunst, „jemanden dazu zu bringen, Dinge zu tun, die er oder sie eigentlich nicht tun sollte“. Die Angreifer bedienten sich dabei tief verwurzelten Mechanismen der menschlichen Psyche, um ihr Gegenüber zu manipulieren. Sie schalteten die gesunde Skepsis aus und verleiteten zu folgenreichen Handlungen. Dabei seien die Psycho-Tricks verblüffend simpel:
- Schmeicheleien als Türöffner
Für Schmeicheleien sei jeder empfänglich: Cyber-Kriminellen nutzten menschliche Schwächen wie Eitelkeit und Stolz aus. „Berichten Mitarbeiter in den Sozialen Netzwerken über ihre Errungenschaften oder Erfolge verwenden Hacker diese Infos gerne, um durch Schmeicheleien an sensible Daten zu kommen.“ - Hilfsbereitschaft ausnutzen
Die ureigene Hilfsbereitschaft werde ausgenutzt, hätten doch die meisten Menschen einen mehr oder weniger starken Drang, anderen Menschen zu helfen – Hacker machten sich diese edle Motiv zunutze. Dabei nutzten sie saisonale Gelegenheiten wie die Vorweihnachtszeit oder sie erfänden eine Notsituation, bei der sie auf die Hilfsbereitschaft ihrer Opfer vertrauten. „So geben sich die Angreifer zum Beispiel als gestresste Kollegen aus, die unter Druck stehen und dringend Unterstützung brauchen.“ Besonders bei großen Firmen sei eben die Wahrscheinlichkeit hoch, „dass sich nicht alle Mitarbeiter untereinander kennen und deswegen in Bezug auf Firmenzugehörigkeit oder Kompetenzen leicht getäuscht werden können“. Spendenaufrufe in der Weihnachtszeit seien ein beliebtes Mittel Cyber-Krimineller. - Druck aufbauen und Angst schüren
In einer Stresssituation reagierten Menschen anders – kritisches Hinterfragen falle dann oft unter den Tisch. Diese Tatsache nutzten Angreifer aus und drohten mit schwerwiegenden Konsequenzen oder möglichen Strafen bei Nichthandeln. „Ein beliebtes Beispiel sind Mahngebühren in gefälschten Rechnungs-Mails.“ Eine andere Methode der Phishing-Betrüger sei das Erzeugen von künstlichem Zeitdruck: Mit Sätzen wie „Handeln Sie jetzt oder ein wichtiges Projekt ist in Gefahr“ gäben sich Angreifer als Vorgesetzte oder Behörde aus und nutzten so die natürliche Hierarchie (in Unternehmen) aus. - Auf Gemeinsamkeiten setzen
Indem Cyber-Kriminellen „vermeintliche Gemeinsamkeiten anführen“, schafften sie das notwendige Vertrauen für ihre weiteren Machenschaften. Da werde auf ein kürzlich geführtes Gespräch zu einem Thema verwiesen oder Detailinformationen angeführt, die theoretisch nur die jeweilige Person und ihr Gesprächspartner kennen könnten. Das Wissen darüber bezögen die Angreifer aus Lauschangriffen oder von Konten in Sozialen Medien. - Neugier wecken
Die menschliche Neugier sei noch immer einer der sichersten Wege, um Kapital zu schlagen. Als Aufhänger nutzten Cyber-Kriminellen bevorzugt aktuelle Themen. Mit Anklicken des infizierten Dateianhangs in einer E-Mail würden den Mitarbeitern vermeintlich brisante Informationen in Aussicht gestellt oder „schockierende Bilder“ zu aktuellen Ereignissen versprochen. - Belohnung versprechen
Spam- und Phishing-Betrüger versuchten, die menschliche Gier anzusprechen. Dazu reichten einfache Versprechen aus: Eine Belohnung oder mögliche Vorteile etwa durch Mitarbeiterrabatte würden in Aussicht gestellt. „Besonders zur Weihnachtszeit, wenn Anbieter mit extrem günstigen Deals werben und viele bei der Jagd nach dem perfekten Geschenk schnell zugreifen wollen, reißt die Betrugswelle nicht ab.“
HP warnt vor Vertrauensmissbrauch
„Gegen Lügengeschichten, Manipulation oder Schmeichelei ist niemand immun. Die Social-Engineering-Angreifer verwenden dafür Informationen, die sie aus Lauschangriffen oder dem Ausspionieren Sozialer Medien gewonnen haben“, erläutert Jochen Koehler, „Sales Director Security Solutions“ bei HP. Er warnt: Hätten sie das Vertrauen ihres Gegenübers gewonnen, versuchten sie mit Hilfe von mit Malware infizierten E-Mail-Anhängen, kompromittierten Links oder durch die Preisgabe sensibler Daten tief ins Unternehmensnetzwerk vorzudringen
HP empfiehlt Micro-Virtualisierung für einzelne Anwendungen
Mit klassischen Sicherheitslösungen kämen Unternehmen nicht gegen diese raffinierten Methoden an. Einzige sinnvolle technische Schutzmaßnahme für diese Art von Angriffen sei neben der stetigen Sensibilisierung der Mitarbeiter die Isolation der jeweiligen Anwendung durch Micro-Virtualisierung. Koehler: „Mit einer Lösung wie ,HP Sure Click Enterprise‘ wird jede riskante Anwenderaktivität wie das Downloaden und Öffnen eines Dokuments in einer eigenen Micro-Virtual-Machine gekapselt.“ Eine mögliche Schädigung durch Malware bleibe dadurch immer auf die jeweilige Micro-VM beschränkt.
Weitere Informationen zu Thema:
datensicherheit.de, 11.09.2018
Schutz vor psychologischen Tricks von Cyberkriminellen
Aktuelles, Branche, Gastbeiträge - Feb. 13, 2025 13:16 - noch keine Kommentare
Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
weitere Beiträge in Experten
- Verbraucherzentrale NRW warnt: Betrügerische E-Mails immer schwerer zu durchschauen
- Safer Internet Day 2025: Mythen zur E-Mail-Sicherheit auf dem Prüfstand
- Online-Marktplätze: Verbraucherzentrale Bundesverband (vzbv) fordert mehr Sorgfaltspflichten
- OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
- Cyber-Nation: TeleTrusT veröffentlicht Forderungskatalog zur Umsetzung des Konzeptes
Aktuelles, Branche, Gastbeiträge - Feb. 13, 2025 13:16 - noch keine Kommentare
Digitale Identitätssicherheit: Fünf Best-Practice-Empfehlungen
weitere Beiträge in Branche
- Sichere Authentifizierung: Thales präsentiert neue Lifecycle-Managementlösung für FIDO-Schlüssel
- OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt
- OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion
- KRITIS immer öfter im Visier Cyber-Krimineller
- Fake-Romance: Scams mit KI-gestützten Deepfake-Promis fordern Opfer
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren