Wie gehen Angreifer vor?
Neun von zehn Cyberattacken beginnen mit einer E-Mail. Dies wird in Schulungen, die für viele von uns mehrmals im Jahr zum Alltag gehören, immer wieder erklärt. Viele sind davon überzeugt, bösartige E-Mails erkennen zu können. Dies mag vielleicht für Phishing-Mails gelten, die massenweise gestreut werden. Hacker, die jedoch explizit ein bestimmtes Unternehmen ins Auge gefasst haben, gehen dabei weitaus perfider vor. Social Engineering nennt sich die Methode.
Stellen Sie sich folgendes Szenario vor: Kurz nach Feierabend auf dem Mitarbeiterparkplatz finden Sie einen USB-Stick. Auf dem Stick klebt ein beschriftetes Post-It: «Löhne 2022». Bestimmt hat ihn die Kollegin aus dem HR verloren. Als zuverlässiger Kollege bringen Sie den USB-Stick gleich morgen der Kollegin vorbei, doch wagen Sie vielleicht noch einen Blick darauf, wie viel Ihre Chefin verdient?
Die Tatsache, dass soziale Medien auch den Weg ins Berufsleben gefunden haben, macht es Hackern immer leichter, via LinkedIn und Co. herauszufinden, wer die VAPs eines Unternehmens sind, mit wem sie auch privat befreundet sind, in welchem Verein sie sich engagieren und was sie sonst noch für Hobbies haben.
Aus den gewonnenen Informationen lassen sich ausgeklügelte Attacken starten, die das Vertrauen des Opfers gewinnen sollen, um eine bestimmte Reaktion hervorzurufen. Wer generische Phishing-E-Mails im Nu erkennt, wird weniger misstrauisch, wenn die E-Mail-Nachricht vermeintlich vom Chef versendet wurde und klickt auf den bösartigen Link, der gar nicht mehr so verdächtig wirkt.
Hacker, die wissen, mit welchen Tools eine Einkäuferin täglich interagiert oder welche Kunden sie betreut, können ihre Angriffe so aussehen lassen wie deren täglicher Bestellprozess. Die Folge: Was vertraut wirkt, lässt Menschen sich in falscher Sicherheit wiegen. Mit fatalen Folgen für das Unternehmen.