Melani: mehr Angriffe durch "Social Engineering"

Die Melde- und Analysestelle Informationssicherung (Melani) des Bundes erhält vermehrt Meldungen über Betrugsvarianten, welche "Social-Engineering-Methoden" verwenden. Sie erklärt, wie ein solcher Angriff abläuft und gibt einige Ratschläge, wie sich Unternehmen schützen können.
24. August 2014

     

Social Engineering ist ein Euphemismus für Ausspionieren: Bei den gemeldeten Fällen werden durch die Angreifer im Vorfeld Informationen über die Firma eingeholt, um sich so ein genaues Bild über das Umfeld des Ziels zu machen. Gesammelt werden beispielsweise Informationen zu Betätigungsfeldern, Schlüsselposten oder das verwendete Format bei E-Mail-Adressen, schreibt die Melani in einer Medienmitteilung. Dabei nutzten die Betrüger Informationen aus offenen Quellen, wie sie beispielsweise auf der Firmenwebseite zu finden sind. Diese Informationen würden jedoch zum Teil durch ergänzt, indem die Betrüger mit der Firma via E-Mail oder Telefon Kontakt aufnehmen und so versuchen, an Informationen der Firma zu gelangen.
Für den Angriff werde typischerweise eine E-Mail an die Finanzabteilung versendet, welche vorgibt, von einem Mitglied des Kaders zu stammen. In der Regel sind die Absenderadressen gefälscht, doch in vereinzelten Fällen stammen die Mails tatsächlich von den Absenderkonten, weil diese durch die Angreifer gehackt worden sind. Die E-Mails handeln von laufenden Finanzgeschäften und das Opfer wird vermeintlich mit der juristischen Abteilung der Firma in Kontakt gebracht, welche mit den Angaben der Überweisung betraut sein soll. Die Betrüger betonen den einmaligen Charakter und die Vertraulichkeit des Auftrages, jedoch auch die Dringlichkeit, welche die Situation erfordere. In manchen Fällen versuchen sie, mit parallelen Telefonanrufen dem Szenario noch mehr Glaubwürdigkeit zu verleihen.
Meist sei das Ziel, das Opfer zu einer Zahlung an ein von den Betrügern angegebenes Konto zu bewegen. Es seien aber auch andere Szenarien denkbar. So können die Angreifer, nachdem sie beim Opfer das Vertrauen geweckt haben, auch eine gezielte E-Mail mit einer Schadsoftware oder mit einem Link zu einer Seite mit Schadsoftware senden.

Melani empfiehlt dazu folgende Massnahmen:


• Die Grundregel, bei zweifelhaften oder ungewöhnlichen Kontaktaufnahmen keine internen Informationen preiszugeben und keinen Aufforderungen nachzukommen, ist angesichts der derzeitigen Fälle aktueller denn je.

• Bei ungewöhnlichen Kontaktaufnahmen und Aufforderungen ist es empfehlenswert, innerhalb der Firma telefonisch Rücksprache zu nehmen, um die Richtigkeit des Auftrages zu verifizieren.

• Sämtliche Prozesse, welche den Zahlungsverkehr betreffen, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden.

• Mitarbeiterinnen und Mitarbeiter sollten auf diese Vorfälle sensibilisiert werden, insbesondere solche in Schlüsselpositionen.

• Opfer haben die Möglichkeit, speziell im Falle eines erfolgreichen Betruges, eine Strafanzeige bei der örtlich zuständigen Kantonspolizei zu erstatten.
(dl)


Weitere Artikel zum Thema

Internet-Erpressung nimmt zu

16. April 2014 - Immer häufiger werden Besitzer eines Rechners Opfer von Schadsoftware, die von den Angreifern dazu ausgenutzt werden, sie zu erpressen. Dabei werden die Methoden der Cyberkriminellen immer raffinierter. Sorgen bereiten der Melde- und Analysestelle Informationssicherung (Melani) dabei insbesondere Cryptolocker, die den Opfern den Zugriff auf ihre Daten verweigert.

Phishing-Methoden werden immer raffinierter

3. Mai 2013 - Der neueste Halbjahresbericht der Melde- und Analysestelle Informationssicherung Melani offenbart, dass die Phishing-Methoden bei E-Banking-Angriffen immer ausgefeilter werden. Zudem haben die DDoS-Attacken auf US-Banken zugenommen.

Social Engineering - Theorie und Praxis

4. Dezember 2011 - von Reto C. Zbinden

«Guten Tag Frau Müller, hier ist Herr Meier von der IT. Wir haben gerade ein grosses Systemproblem und brauchen unbedingt Ihre Hilfe. Wie lautet Ihr Passwort?» Ein plumper, aber umso erfolgreicherer Trick, wenn es darum geht an vertrauliche Informationen mittels Social Engineering zu gelangen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER