Aktuelles, Branche - geschrieben von dp am Donnerstag, November 26, 2020 20:25 - noch keine Kommentare
HP-Warnung vor typischen Psycho-Tricks Cyber-Krimineller
HP geht auf psychologische Grundlagen von Social-Engineering-Angriffe ein
[datensicherheit.de, 26.11.2020] HP geht in einer aktuellen Stellungnahme auf die Frage ein, wie Hacker an fremde Zugangsdaten und Passwörter gelangen: Sie fragen einfach danach. Schmeicheleien, gefährliche Neugier oder falsch verstandene Hilfsbereitschaft gerade in der Vorweihnachtszeit könnten die „Türöffner“ sein. HP warnt vor den sechs häufigsten Psycho-Tricks Cyber-Krimineller.
6 Psycho-Tricks Cyber-Krimineller laut HP
HP geht auf die psychologischen Grundlagen von Social-Engineering-Angriffe ein – es gehe um die Kunst, „jemanden dazu zu bringen, Dinge zu tun, die er oder sie eigentlich nicht tun sollte“. Die Angreifer bedienten sich dabei tief verwurzelten Mechanismen der menschlichen Psyche, um ihr Gegenüber zu manipulieren. Sie schalteten die gesunde Skepsis aus und verleiteten zu folgenreichen Handlungen. Dabei seien die Psycho-Tricks verblüffend simpel:
- Schmeicheleien als Türöffner
Für Schmeicheleien sei jeder empfänglich: Cyber-Kriminellen nutzten menschliche Schwächen wie Eitelkeit und Stolz aus. „Berichten Mitarbeiter in den Sozialen Netzwerken über ihre Errungenschaften oder Erfolge verwenden Hacker diese Infos gerne, um durch Schmeicheleien an sensible Daten zu kommen.“ - Hilfsbereitschaft ausnutzen
Die ureigene Hilfsbereitschaft werde ausgenutzt, hätten doch die meisten Menschen einen mehr oder weniger starken Drang, anderen Menschen zu helfen – Hacker machten sich diese edle Motiv zunutze. Dabei nutzten sie saisonale Gelegenheiten wie die Vorweihnachtszeit oder sie erfänden eine Notsituation, bei der sie auf die Hilfsbereitschaft ihrer Opfer vertrauten. „So geben sich die Angreifer zum Beispiel als gestresste Kollegen aus, die unter Druck stehen und dringend Unterstützung brauchen.“ Besonders bei großen Firmen sei eben die Wahrscheinlichkeit hoch, „dass sich nicht alle Mitarbeiter untereinander kennen und deswegen in Bezug auf Firmenzugehörigkeit oder Kompetenzen leicht getäuscht werden können“. Spendenaufrufe in der Weihnachtszeit seien ein beliebtes Mittel Cyber-Krimineller. - Druck aufbauen und Angst schüren
In einer Stresssituation reagierten Menschen anders – kritisches Hinterfragen falle dann oft unter den Tisch. Diese Tatsache nutzten Angreifer aus und drohten mit schwerwiegenden Konsequenzen oder möglichen Strafen bei Nichthandeln. „Ein beliebtes Beispiel sind Mahngebühren in gefälschten Rechnungs-Mails.“ Eine andere Methode der Phishing-Betrüger sei das Erzeugen von künstlichem Zeitdruck: Mit Sätzen wie „Handeln Sie jetzt oder ein wichtiges Projekt ist in Gefahr“ gäben sich Angreifer als Vorgesetzte oder Behörde aus und nutzten so die natürliche Hierarchie (in Unternehmen) aus. - Auf Gemeinsamkeiten setzen
Indem Cyber-Kriminellen „vermeintliche Gemeinsamkeiten anführen“, schafften sie das notwendige Vertrauen für ihre weiteren Machenschaften. Da werde auf ein kürzlich geführtes Gespräch zu einem Thema verwiesen oder Detailinformationen angeführt, die theoretisch nur die jeweilige Person und ihr Gesprächspartner kennen könnten. Das Wissen darüber bezögen die Angreifer aus Lauschangriffen oder von Konten in Sozialen Medien. - Neugier wecken
Die menschliche Neugier sei noch immer einer der sichersten Wege, um Kapital zu schlagen. Als Aufhänger nutzten Cyber-Kriminellen bevorzugt aktuelle Themen. Mit Anklicken des infizierten Dateianhangs in einer E-Mail würden den Mitarbeitern vermeintlich brisante Informationen in Aussicht gestellt oder „schockierende Bilder“ zu aktuellen Ereignissen versprochen. - Belohnung versprechen
Spam- und Phishing-Betrüger versuchten, die menschliche Gier anzusprechen. Dazu reichten einfache Versprechen aus: Eine Belohnung oder mögliche Vorteile etwa durch Mitarbeiterrabatte würden in Aussicht gestellt. „Besonders zur Weihnachtszeit, wenn Anbieter mit extrem günstigen Deals werben und viele bei der Jagd nach dem perfekten Geschenk schnell zugreifen wollen, reißt die Betrugswelle nicht ab.“
HP warnt vor Vertrauensmissbrauch
„Gegen Lügengeschichten, Manipulation oder Schmeichelei ist niemand immun. Die Social-Engineering-Angreifer verwenden dafür Informationen, die sie aus Lauschangriffen oder dem Ausspionieren Sozialer Medien gewonnen haben“, erläutert Jochen Koehler, „Sales Director Security Solutions“ bei HP. Er warnt: Hätten sie das Vertrauen ihres Gegenübers gewonnen, versuchten sie mit Hilfe von mit Malware infizierten E-Mail-Anhängen, kompromittierten Links oder durch die Preisgabe sensibler Daten tief ins Unternehmensnetzwerk vorzudringen
HP empfiehlt Micro-Virtualisierung für einzelne Anwendungen
Mit klassischen Sicherheitslösungen kämen Unternehmen nicht gegen diese raffinierten Methoden an. Einzige sinnvolle technische Schutzmaßnahme für diese Art von Angriffen sei neben der stetigen Sensibilisierung der Mitarbeiter die Isolation der jeweiligen Anwendung durch Micro-Virtualisierung. Koehler: „Mit einer Lösung wie ,HP Sure Click Enterprise‘ wird jede riskante Anwenderaktivität wie das Downloaden und Öffnen eines Dokuments in einer eigenen Micro-Virtual-Machine gekapselt.“ Eine mögliche Schädigung durch Malware bleibe dadurch immer auf die jeweilige Micro-VM beschränkt.
Weitere Informationen zu Thema:
datensicherheit.de, 11.09.2018
Schutz vor psychologischen Tricks von Cyberkriminellen
Aktuelles, Experten - Nov 12, 2024 12:21 - noch keine Kommentare
Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
weitere Beiträge in Experten
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
Aktuelles, Branche - Nov 13, 2024 12:21 - noch keine Kommentare
Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe
weitere Beiträge in Branche
- Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen
- Ymir: Kaspersky warnt vor neuentdeckter Ransomware
- Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen
- JFrog-Analyse zur Gefährdung Maschinellen Lernens: Kritische Schwachstellen in ML-Frameworks entdeckt
- Sophos X-Ops analysieren Cyber-Attacken per Quishing
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren