Social Engineering: Wenn Mails vom Geschäftspartner zur gefährlichen Falle werden

Die Personalisierung der digitalen Angebote hat sich zum absoluten Trend beim Business im Web entwickelt, den inzwischen auch Cyberkriminelle für sich nutzen. Gefälschte Mails von Amazon oder PayPal, die in schlechtem Deutsch zur Passworteingabe auffordern, sind längst keine A-Ware mehr im illegalen Web-Business. Social Engineering hat sich dagegen zum absoluten Kassenschlager entwickelt, denn wer denkt bei einer Email vom Geschäftsführer oder Auftraggeber direkt an Betrug?

Auf der Info-Base tauchen wir heute in eine Welt aus geklauten Identitäten, detektivischem Geschickt und unfassbaren Betrugsmaschen.

Identitätsdiebstahl im Web

Sie spionieren Unternehmensstrukturen aus, erforschen wer wem was zu sagen hat und wer wann im Urlaub ist. Dann schlagen Sie zu, mit perfekt inszenierten Emails, die so echt wirken, dass auf den ersten Blick niemand an Betrug denkt. Cyberkriminelle haben Phishing-Mails auf eine neue Stufe gehoben und gehen damit ganz gezielt auf das wohl größte Sicherheitsrisiko im Business zu: Den Menschen!

Den Spielzeughersteller Mattel hat genau dieses Vorgehen von Internetkriminellen kürzlich unglaubliche 3 Millionen US-Dollar gekostet. Chinesische Betrüger haben einem Mitglied des Finanzvorstandes eine Phishing-Mail geschickt, die vorgaukelte, dass ein neuer Geschäftsführer eine 3 Millionen Dollar Überweisung an einen neuen Händler in China in Auftrag gab.

Die Nachricht wirkte nicht nur echt, sie war auch zu einem idealen Zeitpunkt platziert. Der neue Geschäftsführer hat gerade erst die Verantwortung übernommen und die Geschäfte im asiatischen Raum steigen ohnehin rasant an. Obwohl der Zahlungsauftrag nach internem Protokoll geprüft wurde, fiel der Betrug erst auf, als das Geld bereits überwiesen war. 3 Millionen Dollar waren erst mal unwiederbringlich auf chinesischen Konten verschollen. Inzwischen soll Mattel die Summe jedoch zurückerhalten haben.

Der Mensch ist das Ziel

Diese Betrugsmasche nennt sich Social-Engineering und sie betrifft nicht nur Weltkonzerne wie Mattel, sondern auch kleinere Unternehmen und Selbständige. Eine aktuelle Umfrage zu Vorfällen von Computerkriminalität in Deutschland zeigt, dass Social Engineering noch vor klassischen Hacking-Angriffen oder Datendiebstählen liegt.

Die befragten Unternehmen, die in den vergangenen zwei Jahren von Cyberkriminellen angegriffen wurden, gaben in 19 Prozent der Fälle an, dass sie Social Engineering (also die Beeinflussung von Mitarbeitern) zum Opfer gefallen sind.

 

 

Selbständige und Freelancer sind auch betroffen

Die Angreifer gehen so geschickt vor, dass nicht nur unpersönliche Großkonzerne, Social Engineering zum Opfer fallen, sondern auch kleinere Unternehmen und Selbständige. Eine unvorsichtig formulierte Abwesenheitsnotiz kann Angreifern schon eine wichtige Information geben, die am Ende gegen Sie verwendet wird.

Ein Beispiel, wie Social Engineering auch Selbständige treffen kann:

Sie sind IT-Dienstleister und richten für Ihren Kunden im eCommerce-Bereich ein neues Shop-CMS ein. In wenigen Tagen soll alles live gehen, weshalb Sie bereits die Kundendaten aus dem alten System ins neue migriert haben. Ihr Auftraggeber hat Sie informiert, dass er in den kommenden Tagen nur sporadisch erreichbar sei, da er geschäftlich in Berlin sein werde.

Nun bekommen Sie eine E-Mail des Geschäftsführers, er bräuchte bitte nochmal die Zugangsdaten zum CMS, da er von unterwegs keinen Zugriff auf die gespeicherten Daten an seinem Desktop PC hätte. Die E-Mail trägt die bekannte Signatur, ist im typischen Tonfall des Auftraggebers geschrieben und enthält die Information (die Sie persönlich ja ebenfalls erhalten haben), dass der Geschäftsführer zu einem Termin in Berlin sei. Auf den ersten Blick gibt es also keinen Grund misstrauisch zu sein – woher sollten Sie auch wissen, dass der Email-Account ihres Kunden gehackt wurde?

Sie schicken die Zugangsdaten. Im nächsten Gespräch mit dem Auftraggeber erwähnen Sie zufällig jene E-Mail und blicken plötzlich in verwirrte Gesichter, denn der Geschäftsführer versichert Ihnen, er habe nie nach den Zugangsdaten gefragt. Schnell wird klar, Sie sind Opfer einer gut inszenierten Phishing-Attacke geworden und haben den Angreifern die Zugangsdaten zum CMS gegeben, in dem sensible Daten tausender Kunden gespeichert waren.

Absicherung ist wichtig!

Im eben beschriebenen Beispiel würde der Auftraggeber sicherlich versuchen, den IT-Dienstleister für den erfolgreichen Angriff der Kriminellen und den daraus entstandenen Schaden verantwortlich zu machen. Immerhin hat der IT-Dienstleister Zugangsdaten an einen unberechtigten Dritten weitergegeben. Deshalb verfügen alle Berufshaftpflichtversicherungen über exali.de bereits im Basisschutz über eine Absicherung für Daten- und Cyber-Drittschäden. Wer sich selbst darüber hinaus vor den finanziellen Folgen einer Cyberattacke schützen möchte, kann dies mit der optionalen „Datenschutz- und Cyber-Eigenschaden-Deckung“.

Weiterführende Informationen:

© Sarah-Yasmin Fließ – exali AG