Share
Beitragsbild zu Social Media & Co: Fundgrube für Spear-Phishing-Angreifer

Social Media & Co: Fundgrube für Spear-Phishing-Angreifer

Social-Media-Fans sind für Spear-Phishing-Angriffe besonders gefährdet. Dies sollten Unternehmen ihren Mitarbeitern im Rahmen gezielter Awareness Trainings klar machen – und sie für den richtigen Umgang mit betrügerischen E-Mails sensibilisieren.  

Eine Studie der Technischen Universität (TU) Darmstadt und IT-Seal zeigt: Eifrige Social-Media-Nutzer sind eine Hochrisikogruppe für Spear-Phishing-Attacken. Ob aktueller Job, Ausbildung, Zertifikate, Hobbys oder Kolleginnen und Kollegen: Viele Mitarbeiter machen ihre persönlichen Daten und Informationen in den sozialen Netzwerken zugänglich, wo sie von Cyberkriminellen gesammelt und zum Aufbau gezielter Phishing-Mails genutzt werden können.

Eine ähnlich lohnende Fundgrube stellen Arbeitgeber-Bewertungsportale und Unternehmenswebseiten dar. Auch mit den dort veröffentlichten Informationen können die Betrüger authentisch wirkende E-Mails erstellen, um ihre Opfer zur Preisgabe vertraulicher Informationen, zu Klicks auf schädliche Links und Dateianhänge oder zu Überweisungen auf falsche Konten zu verleiten.

Hochprofessionelle Betrügerbanden am Werk    

Dies wiegt umso schwerer, als die Spear-Phishing-Attacken zunehmend von hochprofessionellen Betrügerbanden ausgeführt werden. Sie können es sich leisten, viel Zeit und Geld in die Recherche nach im Internet verfügbaren Informationen über mögliche Opfer zu stecken. Daraus lassen sich dann Phishing-Mails mit vermeintlich großer persönlicher Relevanz für den Empfänger erstellen, die meist hohe Klickraten erreichen.

Ein Beispiel ist die berühmt-berüchtigte russische Conti-Cybergang, die 2020 erstmals in Erscheinung trat. So setzt diese Gruppe kostspielige Open-Source-Intelligence-Tools (OSINT) zur automatisierten Sammlung öffentlich zugänglicher Daten für Spear-Phishing-Mails ein. Als Vorgesetzte, Kollegen oder Geschäftspartner getarnt, nutzen die Gauner diese Mails unter anderem, um bei Mitarbeitern Ransomware zu platzieren. Nach einem erfolgreichen Erpressungsversuch bei einem Unternehmen erzielt die Conti-Gang in der Regel Lösegeldzahlungen in Höhe von mehreren Millionen US-Dollar. Insgesamt soll die Gruppe bereits rund 2,8 Milliarden US-Dollar mit Cyberkriminalität erbeutet haben.

Nachhaltige Sicherheitskultur etablieren     

Doch auch die Unternehmen selbst können OSINT-Technologien nutzen, um eine nachhaltige Sicherheitskultur zum Schutz vor Spear-Phishing-Attacken zu etablieren. Ein Beispiel dafür ist die patentierte Spear-Phishing-Engine von IT-Seal, die zunächst eigenständig öffentlich zugängliche Mitarbeiter- und Unternehmensinformationen sammelt – und damit für die Unternehmen von doppeltem Vorteil ist.

Zum einen werden damit OSINT-basierte Angriffspotenzial-Analysen durchgeführt, um zu ermitteln, wie bedroht ein Unternehmen durch die online verfügbaren Informationen tatsächlich ist. Ist die Angriffsfläche bekannt, werden die Mitarbeiter im Rahmen spezieller E-Learnings über die Risiken der Informationspreisgabe aufgeklärt und mit Social-Media-Leitfäden ausgestattet. Diese bieten Orientierung, auf welche persönlichen Angaben sich die Nutzer beschränken und welche Datenschutzeinstellungen sie wählen sollten, um Phishing-Angriffen einen Riegel vorzuschieben. Zurückhaltung sollte auch bei Meinungsäußerungen in den sozialen Netzwerken geübt werden, da diese Anknüpfungspunkte für betrügerische E-Mails bieten.

Um die persönliche Sphäre der Nutzer am Arbeitsplatz zu schützen, finden die Awareness Trainings anonymisiert und unter Einbeziehung des Betriebsrats statt. IT-Seal hat dafür Best Practices entwickelt und fasst Mitarbeiter mit ähnlichem Gefährdungspotenzial in einzelnen Trainingsgruppen zusammen. So lassen sich die Mitarbeiter sowohl gruppenbasiert als auch individuell auf ein gemeinsames Ziel hin schulen, ohne explizit herausgedeutet werden zu müssen.

OSINT für Spear-Phishing-Simulationen

Zum zweiten können mit der Spear-Phishing-Engine aus den öffentlichen Informationen authentische, OSINT-basierte Spear-Phishing-Mails erstellt werden. IT-Seal nutzt diese Mails für Phishing-Simulationen, um die Mitarbeiter effektiv auf tatsächliche Angriffe vorzubereiten. Simulierte Phishing-Angriffe sind sehr vorteilhaft, um die schnellen, intuitiven Entscheidungen der Nutzer zu fördern. Fällt ein Mitarbeiter auf eine gefälschte E-Mail herein, landet er nicht am Haken der Betrüger, sondern direkt auf einer interaktiven Erklärseite. Dort erhält er detaillierte Informationen, auf welche verdächtigen Merkmale er hätte achten sollen: auf Buchstabendreher in der Mail-Adresszeile, Fake-Subdomains oder zweifelhafte Links.

Phishing-Simulationen nutzen den „Most teachable Moment“ eines Mitarbeiters, indem sie ihn im richtigen Augenblick über sein potenziell schadhaftes Verhalten aufklären. Dies hat den Vorteil, dass er in Zukunft viel vorsichtiger mit eingehenden E-Mails umgehen wird – auch wenn sie geschickt auf seine Gefühle zielen. Denn die Betrüger setzen zunehmend auf raffinierte psychologische Einflussfaktoren wie Autoritätshörigkeit, Neugier, Angst oder Neugier, um ihre Opfer zu unüberlegten Klicks auf eingehende E-Mails zu motivieren. Um einen nachhaltigen Lerneffekt zu erzielen, sollten die Phishing-Simulationen kontinuierlich wiederholt und auf die aktuellen Angreifer-Methoden zugeschnitten werden.

Umdenken bei Social-Media-Fans

Wie die Studie von der TU Darmstadt und IT-Seal belegt, bekommen Spear-Phishing-Angreifer die Profildaten von Social-Media-Nutzern auf dem Silbertablett serviert. Dies sollten Unternehmen ihren Mitarbeitern bewusst machen, um sie vor betrügerischen E-Mails zu bewahren. Mit der Awareness Academy von IT-Seal steht ein Full-Service-Angebot zur Verfügung, das sie bei der notwendigen Aufklärungsarbeit und nachhaltigen Schulung des Sicherheitsverhaltens ihrer Mitarbeiter unterstützt.  Das Angebot richtet sich besonders an mittelständische Unternehmen, in denen es an hausinternem didaktischem und pädagogischem Fachwissen fehlt, um effektive Sensibilisierungsmaßnahmen durchzuführen.

Im Fokus steht die OSINT-basierte Spear-Phishing-Engine. Sie macht das Gefährdungspotenzial öffentlich zugänglicher Mitarbeiter- und Unternehmensinformationen transparent – und nutzt diese zugleich für wirksame Trainings. So hat die Studie weiter ergeben, dass Social-Media-Fans für Phishing-Angriffe auch deshalb anfälliger sind, weil sie bestimmte Gewohnheiten entwickeln: zum Beispiel direkt und automatisiert auf Trigger, Aufforderungen und Hinweise reagieren. Sie nutzen seltener „langsames rationales Denken“ und evaluieren Informationen nicht so oft kritisch. Hier kann mit regelmäßigen Spear-Phishing-Simulationen Abhilfe geschaffen werden. Indem sie die impulsiven Entscheidungen der Nutzer stärken, tragen nachgestellte Phishing-Angriffe zu einer anhaltenden Verhaltensänderung der Mitarbeiter bei.

 

Autor: David Kelm ist Mitgründer und Geschäftsführer der IT-Seal GmbH, die auf den Schutz von Mitarbeitern gegen Social-Engineering-Angriffe spezialisiert ist. Seit Jahren beschäftigt er sich intensiv mit diesem Thema, unter anderem im Rahmen seiner Forschungstätigkeit an der TU Darmstadt. Kelms Erkenntnisse ließen IT-Seal zum führenden Anbieter von Security-Awareness-Trainings in Deutschland werden. Das Angebot bündelt innovative Methoden und Werkzeuge zur Messung und Schulung des Sicherheitsbewusstseins von Mitarbeitern.

Seit Mai 2022 gehört IT-Seal zur Hornetsecurity-Gruppe, Anbieter von E-Mail-Cloud-Security und -Backup Lösungen, der Unternehmen und Organisationen aller Größenordnungen absichert.


https://it-seal.de/