Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr

Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

[datensicherheit.de, 08.07.2021] Jelle Wieringa, „Security Awareness“ bei KnowBe4, geht in seiner aktuellen Stellungnahme aus die Zunahme sogenannter Social Engineering Scams ein und erläutert Gegenmaßnahmen. „Laut einer Untersuchung von Ayelet Biger-Levin von der US-Firma BioCatch haben im ersten Quartal 2021 die ,Social Engineering Scams‘ im Vergleich zum Vorjahr um 87 Prozent zugenommen“, berichtet Wieringa. Bei drei Vierteln der erfolgreichen Betrügereien hätten die Angreifer Informationen über das Opfer verwendet, um dem Betrug Glaubwürdigkeit zu verleihen.

Foto: KnowBe4

Jelle Wieringa empfiehlt, regelmäßig simuliertes Social Engineering durchzuführen, um Benutzer auf Trab zu halten…

Social Engineering: Mehr Zeit für Erkundungsphase als für den Angriff

In der Finanzbranche gebe es nach Ansicht von Biger-Levin zwei Haupttypen von Social-Engineering-Angriffen:

• das Abgreifen von Online-Banking-Zugangsdaten und/oder persönlichen Informationen
• und Echtzeit-Betrügereien, wie Betrügereien mit autorisierten Zahlungen oder per „Remote Access Tool“ (RAT).

Die zweite Art von Betrug erfordere wenig technologische Raffinesse, aber die Betrüger müssten den Opfern beweisen, dass sie vertrauenswürdig sind, „daher verbringen sie in der Erkundungsphase mehr Zeit damit, Informationen zu sammeln und etwas über ihr Opfer zu erfahren als den eigentlichen Angriff auszuführen“.

BioCatch gebe an, dass laut einem Bericht der US Federal Trade Commission 75 Prozent der Opfer bestätigt hätten, dass ein Betrüger bereits über ihre persönlichen Informationen verfügt habe, „als er sie für den Betrug instrumentalisierte“.

Social Engineering zielt auf Schwachstelle Mensch ab

Die Ergebnisse von BioCatch gäben einen Einblick in die Vorgehensweise von Scammern, die mit ihren Methoden vor allem auf die „Schwachstelle Mensch“ abzielten.
Social-Engineering-Angriffe, einschließlich Ransomware, BEC und Phishing stellten die IT vor Probleme, die technisch niemals vollständig gelöst werden könnten. Deshalb sollten Unternehmen nicht mehr nur in Technologien, sondern vor allem in die Aus- und Weiterbildung ihrer Mitarbeiter investieren, rät Wieringa:
Ein „Security Awareness“-Training könne Unternehmen einen wichtigen weiteren Schutz geben, „indem es die Mitarbeiter sensibilisiert, wie sie Social-Engineering-Scams erkennen können“.

3 Schritte, um Unternehmen Social Engineering besser zu wappnen

Die folgenden drei Schritte helfen laut Wieringa Unternehmen darüber hinaus, sich gegen „Social Engineering“ besser zu wappnen:

1. Beginnen Sie mit einem grundlegenden Phishing-Sicherheitstest, um den „Prone Percentage™“ (PPP) des Unternehmens zu ermitteln!
2. Führen Sie die Benutzer durch ein interaktives „New School-Security Awareness“-Training!
3. Führen Sie regelmäßig simulierte Social-Engineering-Tests durch, um die Benutzer auf Trab zu halten und die Sicherheit zu gewährleisten!

Weitere Informationen zum Thema:

KnowBe4
Social engineering attacks include phishing, spear phishing, CEO fraud, ransomware and more. Learn about different attack methods and how you can manage this ongoing problem

THE PAYPERS, Alin Popa, 28.06.2021
Voice of the Industry / When authorised payments are not: spotting coercion in online transactions

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

datensicherheit.de, 25.08.2020
Schutz vor Social-Engineering-Attacken: 5 einfache Maßnahmen / Social Engineering gegenwärtig eine der zentralen Bedrohungen der IT-Sicherheit

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks / Christoph M. Kumpa erläutert in seinem Gastbeitrag die häufigsten Angriffe