Je nach Land, Branche und Zielpersonen sind zwischen 70 und 90 % der Cyberangriffe auf Social Engineering zurückzuführen. Deshalb möchten wir Sie noch einmal daran erinnern, worum es sich genau handelt, damit Sie vorbereitet sind und jede betrügerische Kommunikation rechtzeitig erkennen können.
Was ist Social Engineering?
Hierbei handelt es sich um eine Reihe von Cyberangriffstechniken und -methoden, die von Cyberkriminellen eingesetzt werden, um Benutzer zu täuschen. Am häufigsten wird die Identität eines vertrauenswürdigen Kontakts oder einer vertrauenswürdigen Einrichtung (z. B. eines Managers, einer Bank, einer öffentlichen Einrichtung oder einer anderen vertrauenswürdigen Einrichtung) vorgetäuscht. Dies macht es uns leichter, einen Fehler zu machen und vertrauliche Informationen, persönliche Daten oder sogar Zugangswege (z.B. Links zu internen Ressourcen oder Plattformen, Passwörter, Dokumentationen usw.) preiszugeben.
Da es dem Cyberkriminellen außerdem gelingt, direkt mit dem Benutzer in Kontakt zu treten (sowohl im beruflichen als auch im privaten Bereich), wird er von einer Sicherheitssoftware, die die Computersysteme von Unternehmen schützt (Antivirus und Firewall), nicht erkannt.
Der sozial konstruierte Cyberkriminelle kann durch verschiedene Interessen motiviert sein:
- Sie können ganz einfach Passwörter für den Zugriff auf Plattformen, Anwendungen, Mailboxen und andere verwendete Technologien abrufen.
- Die erfolgreiche Installation eines Virus oder einer Malware über infizierte Links oder Anhänge, auf die der Benutzer klicken oder die er herunterladen muss.
- Erpressung des Unternehmens durch Versendung einer Drohbotschaft und Forderung einer Geldsumme als Gegenleistung für die Wiedererlangung der Kontrolle über Informationen, die Verhinderung des Durchsickerns gestohlener Daten oder die Verhinderung, dass der Cyberkriminelle Systeme beschädigt oder Daten von ihnen löscht.
Wie können wir das vermeiden? Wir werden uns in den kommenden Wochen mit diesem Thema befassen und die verschiedenen Techniken (Phishing, Vishing, Smishing) erklären und Ihnen spezifische Empfehlungen für jede dieser Techniken geben.
Bis dahin gilt die allgemeine Faustregel, dass Sie bei jeder ungewöhnlichen Kommunikation vorsichtig sein und „doppelt prüfen“ sollten, d.h. das Gespräch abbrechen und den angeblichen Absender auf anderem offiziellen Wege kontaktieren, um zu fragen, ob das, was angefordert wird, echt ist.
WICHTIGER HINWEIS: Wenn Sie den geringsten Verdacht bezüglich einer Kommunikation haben oder glauben, dass Sie Opfer eines Cyberangriffs geworden sein könnten, zögern Sie nicht, dies Ihrem Vorgesetzten, dem CISO Security Manager und der IT-Abteilung zu melden, damit diese Sie entsprechend beraten können. Melden Sie den Cyberangriff auf persönlicher Ebene den Polizeibehörden.
*Versanddatum: 17. März 2025