"Linkedin ist voll von Fake Accounts"

23. November 2022 um 08:44
image

Gezielte Social-Engineering-Attacken nehmen zu. Psychologin und Expertin Christina Lekati sagt im Interview, dass technische Hilfsmittel beim Schutz dagegen nichts nützen.

Sicherheitsrisiko Mensch: Ohne Verhaltenstraining sei es unmöglich, sich gegen personalisierte Social-Engineering-Attacken zu schützen. Diese Aussage ist nicht ganz uneigennützig, schliesslich bietet Christina Lekati mit ihrer Firma genau solche Ausbildungen an. Dennoch sind die Aussagen bemerkenswert. Besonders Linkedin-Nutzerinnen und -Nutzer müssen sich künftig noch stärker vorsehen.
Wie häufig kommen gezielte Social-Engineering-Angriffe in der Schweiz heute vor? Die Zahlen, die vorliegen, sind ungenau und wohl nur die Spitze des Eisbergs. Das NCSC spricht von wöchentlich 350-400 Fraud- und Phishing-Attacken. Hinzu kommen viele Angriffe, die gar nicht erst gemeldet werden.
Was passiert mit Opfern von solchen Attacken? Ich kenne Fälle, in denen die Social-Media-Konten gekapert wurden und die Personen beispielsweise aufgrund des Inhalts ihrer Privatnachrichten erpresst wurden. Dasselbe passiert, wenn sich die Cyberkriminellen Zugriffe auf Firmeninhalte verschaffen und ohne Zahlung von Lösegeld mit Veröffentlichung drohen.
Letzteres kennen wir ja eher von Ransomware-Angriffen. Was ist der Unterschied? Sie haben vor allem ein gemeinsames Ziel. Cyberkriminelle können sich auch für Ransomware-Angriffe mittels Social-Engineering-Techniken, also massgeschneiderten Angriffen, Zugang zum Zielunternehmen verschaffen. Ob schlussendlich über Massen-Phishing-Mails oder einen gezielten Angriff in ein Netzwerk eingedrungen werden kann, spielt keine Rolle. Drin ist drin.
Die grösste Gefahr von Social-Engineering-Attacken ist meiner Ansicht nach der Identitätsdiebstahl. Passiert das auch in der Schweiz? Ja, es gibt Fälle von Identitätsdiebstahl. In denen in fremdem Namen Bankkonten eröffnet oder Kredite aufgenommen worden sind. Die Schweiz in der Cybercrime-Szene den Ruf, dass hier viel zu holen ist. Besonders auch im Bereich Romance-Scam, der hierzulande sehr häufig versucht wird.
Wie suchen sich Cyberkriminelle ihre Opfer aus? Gezielte Angriffe beginnen meistens durch das Scannen von Social-Media-Profilen, um Personen zu identifizieren – und diese dann entweder über persönliche oder geschäftliche Themen anzusprechen. Aber niemand ist verletzlicher als andere. Es kann jede und jeden treffen.
Und wie ist das Vorgehen im Unternehmenskontext? Die Angreifer suchen sich Personen aus, die innerhalb eines Unternehmens entweder Zugriff auf möglichst viele Systeme haben oder normalerweise über ein grosses Budget verfügen. Anschliessend kreieren sich die Angreifer Fake-Profile, verknüpfen sich mit der Person und verfolgen, was die Person postet und wie sie kommuniziert. Dann beginnen sie zuerst öffentlich zu interagieren und bei entsprechender Reaktion folgt eine private Nachricht. Darin nehmen die Angreifer Bezug auf Themen, über die das potenzielle Opfer zuerst gepostet hatte. Das Vorgaukeln von gemeinsamem Interesse oder Komplimenten kommt häufig vor.
Welche Plattformen werden häufig genutzt? Linkedin wird sehr häufig für den Erstkontakt genutzt. Die Plattform ist voll von Fake-Profilen. Je nach Gesprächsverlauf wird versucht, auf privatere Plattformen wie Facebook oder Instagram zu wechseln.
Bei solchen Methoden sind technische Hilfsmittel nutzlos und es kommt allein auf das aufmerksame Verhalten von Nutzerinnen und Nutzern an? Das stimmt. Social-Engineering-Attacken sind zu 100% verhaltensbasiert. Natürlich ist es wichtig, sämtliche Software aktuell zu halten und die normalen Schutzmechanismen einzusetzen, aber helfen tut das bei personalisierten Angriffen wenig.
Kann man das üben, stets aufmerksam zu sein und nicht auf entsprechende Angriffe hereinzufallen? Es gibt Simulationstrainings, die helfen dabei sicher. Aber schlussendlich muss man im entscheidenden Moment aufmerksam sein und sich genau überlegen: Warum kontaktiert mich die Person, was ist ihr Interesse und wie viele persönliche Informationen darf und will ich dem oder der Unbekannten preisgeben, auch wenn sie oder er mir so sehr schmeichelt? Darauf kommt es an.
Christina Lekati spricht am 29. November an der Konferenz "Click. Click. Boom." in Zürich über Targeted Social Engineering Attacks.

Loading

Mehr zum Thema

image

Vogt am Freitag: Die halbe Wahrheit

Auf den ersten Blick lässt die 'NZZ' in einem Artikel zum erlebten Cyberangriff die Hosen runter. Bei genauem Hinsehen fehlen aber wichtige Informationen.

publiziert am 23.2.2024 1
image

3 Millionen für externe Security-Spezialisten im Kanton Zug

Die Innerschweizer brauchen Unterstützung im Aufbau und Betrieb eines Security Operation Centers.

publiziert am 23.2.2024
image

Die Schlinge um Lockbit zieht sich zu

Eine internationale Polizeiaktion hat die Ransomware-Bande empfindlich getroffen. Dennoch lässt sich ein Comeback der Cyberkriminellen nicht ganz ausschliessen.

publiziert am 22.2.2024
image

Haufenweise Kundendaten von Schweizer Personalvermittler gestohlen

Die Firma Das Team ist eines der jüngsten Opfer der Ransomware-Bande Black Basta. Sie publizierte eine Vielzahl heikler Daten im Darkweb.

publiziert am 22.2.2024 14