Laut dem jüngsten "Year in Review" Cloud and Threat Report von Netskope verschafften sich Cyberangreifer im Jahr 2023 am häufigsten Zugang zu Unternehmen durch Social Engineering.
Social Engineering ist zwar eine beliebte Taktik von Cyberkriminellen, aber im Kern geht es beim Social Engineering nicht darum, dass jemand Code knackt, während er über eine leuchtende Tastatur gebeugt ist. Es beruht auf der individuellen menschlichen Verwundbarkeit und verleitet Menschen dazu, die Tür für den Angreifer zu öffnen.
Schwachstellen erkennen
Während die meisten Menschen glauben, dass sie niemals auf solche Angriffe hereinfallen würden, ist die Wahrheit, dass wir alle zu unterschiedlichen Zeiten anfälliger werden können als andere. Jeder, der unter erhöhten Emotionen leidet, kann leicht dazu verleitet werden, Sicherheitsfehler zu begehen, unbefugten Zugriff auf sensible Informationen zu gewähren oder sogar selbst sensible Informationen preiszugeben.
Nehmen wir zum Beispiel den Valentinstag. Liebesbetrügereien sind ein ernstes Geschäft, wobei die gemeldeten Verluste der Opfer im Jahr 2022 in den USA erstaunliche 1,3 Milliarden US-Dollar und im Jahr 2023 in Großbritannien 92,8 Millionen Pfund erreichten. Wie die Romantik selbst sind auch diese Betrügereien nicht auf den 14. Februar beschränkt – aber dann können die Opfer am verwundbarsten sein.
Jemand, der auf der Suche nach Liebe ist, könnte klug genug sein, unerwünschte Nachrichten von einem gefälschten Dating-Profil 364 Tage im Jahr zu ignorieren, aber wenn der Valentinstags-Hype dazu geführt hat, dass er sich besonders einsam fühlt, ist es vielleicht wahrscheinlicher, dass er reagiert. Selbst diejenigen, die einen besonderen Menschen haben, können rund um den Valentinstag erhöhte Emotionen erleben. Wenn Sie sich darauf freuen, einen Meilenstein in Ihrer Beziehung zu feiern, oder wenn Sie eine Überraschung erwarten, klicken Sie möglicherweise eher auf das Geschenkkartenangebot im Wert von 100 US-Dollar, ohne vorher zu überprüfen, ob es von einer legitimen Quelle stammt.
Während Liebe, Einsamkeit und Aufregung leicht erkennbare Emotionen sind, die man sich zunutze machen kann, kann alles, was das Gefühlsleben einer Person beeinflusst, sie verletzlich machen. In letzter Zeit, da Unternehmen im gesamten Technologiesektor weiterhin Massenentlassungen ankündigen, könnten sich die Mitarbeiter von Technologieunternehmen unsicher über die Sicherheit ihrer Arbeitsplätze fühlen. Dies macht Tech-Mitarbeiter anfälliger für Phishing-Links im Zusammenhang mit der Personalabteilung oder Stellenangeboten.
Kontrolle des Risikos
Unternehmen können sich auf verschiedene Weise gegen diese Angriffe verteidigen. Das Risiko steigt unweigerlich mit der Verwendung von nicht-geschäftlichen Apps auf Unternehmensgeräten, so dass einige möglicherweise Richtlinien wählen, die den Zugriff auf persönliche Apps – wie z. B. Dating-Apps – auf Unternehmensgeräten vollständig blockieren. Der jüngste Anstieg der KI hat beispielsweise dazu geführt, dass viele Unternehmen darüber nachdenken, ChatGPT und generative KI-Tools auf ihren Systemen zu blockieren. Das vollständige Blockieren aller nicht-geschäftlichen Anwendungen kann jedoch zu einer erstickenden Kultur führen, Innovationen einschränken und einen Mangel an Vertrauen in die Belegschaft darstellen.
Unternehmen können stattdessen eine Light-Touch-Methode implementieren, die sich auf intelligente Tools und Sicherheitsteams stützt, die routinemäßig HTTP/HTTPS-Datenverkehr scannen, mit einem agileren Ansatz, der in einer Single-Pass-Architektur in die Cloud verlagert wird. Es können mehrere Sicherheitskontrollen verwendet werden, z. B. Cloud Access Security Broker (CASB), Secure Web Gateway (SWG), Threat and Data Loss Prevention (DLP).
Sie sollten sich auch auf die Aufklärung und Sensibilisierung konzentrieren und die Benutzer darin schulen, in den Momenten wachsam zu sein, bevor sie auf einen Link klicken oder auf eine nicht autorisierte Anwendung zugreifen. Um den Menschen zu helfen, ihre persönliche Verletzlichkeit zu verstehen, ist es wichtig, dass persönliche Risiken hervorgehoben werden, nicht nur die Auswirkungen auf das Unternehmen. Anhand von Beispielen, wie sich Angriffe auf das Privatleben von Menschen auswirken können – und von ihnen ausgehen –, können sie besser verstehen, wie sie ins Visier genommen werden könnten.
Förderung der Partnerschaft
Unabhängig davon, wofür sich ein Unternehmen entscheidet, ist es unmöglich zu verhindern, dass Mitarbeiter jemals auf einen schändlichen Link klicken, und das größte Risiko besteht oft, wenn Benutzer Cybervorfälle verheimlichen, insbesondere solche, die aus Social-Engineering-Angriffen resultieren, bei denen sie sich persönlich verantwortlich fühlen könnten.
Wenn Sie kompromittiert sind, ist es entscheidend, die Zeit zu verkürzen, die benötigt wird, um den Angriff abzuwehren, daher ist es der falsche Weg, den Opfern von Angriffen die Schuld zu geben. Der Schlüssel liegt darin, eine Kultur der Zusammenarbeit zu fördern, in der die Belegschaft Teil des Prozesses ist, anstatt eine Kultur der Angst zu schaffen. Die Aufklärung der Mitarbeiter in einem partnerschaftlichen Klima kann einen großen Beitrag dazu leisten, das Risiko zu verringern, dass Cyberkriminelle die Verwundbarkeit des Menschen ausnutzen, und dazu beitragen, Herzschmerz am Valentinstag und darüber hinaus zu vermeiden.
Um mehr über die Forschung der Netskope Threat Labs zu Cloud-Bedrohungen wie Social Engineering zu erfahren, lesen Sie unseren neuesten Cloud- und Bedrohungsbericht „Jahresrückblick 2023“.