#BeAware Homeoffice-Edition: Social Engineering

26. März 2020

Der Großteil von Ihnen arbeitet zurzeit im Homeoffice. Durchgehend im eigenen Zuhause zu arbeiten ist für viele von Ihnen eine neue Erfahrung: Sie arbeiten weitestgehend isoliert von Ihren Kolleginnen und Kollegen sowie der firmeneigenen IT und verfügen eventuell nicht über die gleiche technische Ausstattung wie im Büro. Diese Kombination macht Sie zu einem attraktiven Ziel von Angreifern, die mithilfe diverser Methoden versuchen, diese Situation für sich auszunutzen.

In unserer Mini-Serie informieren wie Sie über Sicherheitsrisiken, die Ihnen im Homeoffice begegnen können und Tipps, wie Sie diese bestmöglich minimieren können:

Beim Social Engineering versuchen Angreifer, mithilfe von psychologischen Tricks menschliche Eigenschaften wie beispielweise Respekt vor Autorität, Dringlichkeit oder Vertrauen für sich auszunutzen. Die Absicht der Täter ist es, Sie dazu zu manipulieren, vertrauliche Informationen herauszugeben, Sicherheitsfunktionen zu umgehen, Überweisungen zu tätigen oder Malware im Firmennetzwerk zu installieren. Aktuell beschränkt sich Ihre Kommunikation mit Ihren Kolleginnen und Kollegen zumeist auf E-Mail und Instant-Messaging. Dadurch erhöhen sich die Möglichkeiten für Angreifer, die Identitäten von Kollegen oder Vorgesetzen vorzutäuschen.

Phishing

Phishing-Mails werden genutzt, um Viren, Trojaner oder andere Malware auf Ihrem Rechner zu platzieren oder um an Ihre persönlichen Daten zu gelangen. Die Angreifer gehen dabei immer professioneller vor, bzw. passen sich aktuellen Situationen an. Derzeit werden viele Phishing-Mails mit vorgespiegelten Informationen zum Corona-Virus verschickt. Damit nutzen die Angreifer das allgemeine Interesse an dem Thema gezielt aus. Sie hoffen darauf, dass die kompromittierten Anhänge direkt auf dem Firmenrechner geöffnet werden oder auf den in der E-Mail enthaltenen Link geklickt wird.

Ein Beispiel für einen sehr gefährlichen Trojaner, der über Phishing-Mails verschickt wird, ist Emotet. Was ihn so gefährlich macht, erklären wir Ihnen in unserem Beitrag #BeAware: Emotet.

Spear-Phishing bzw. CEO-Betrug

Eine Art der Manipulation, in der sich Angreifer Ihrer isolierten Arbeitsweise bedienen, ist das sogenannte Spear-Phishing. Ein sehr bekanntes Beispiel dafür ist der CEO-Betrug: Ein Mitarbeiter wird mit schwer erkennbaren Phishing-Nachrichten im Namen des Vorgesetzten dazu aufgefordert, Geldsummen zu überweisen oder Unternehmensdaten auf private E-Mail-Konten weiterzuleiten. Die Aufforderung bzw. Bitte wird meist unterstützt durch Zeitdruck oder disziplinarische Maßnahmen.

Mehr dazu in unserem Beitrag #BeAware: Spear-Phishing.

Unser Tipp:

Bleiben Sie achtsam! Überprüfen Sie eingehende E-Mails auf die bekannten Phishing-Merkmale. Legen Sie in Ihrem Unternehmen zudem klare Regelungen fest. Nur mit eindeutig definierten Berechtigungswegen können Dienstanweisungen geeignet verifiziert werden. Halten Sie beispielsweise telefonisch Rücksprache mit Ihrem Vorgesetzten und nutzen Sie dazu die offizielle Telefon- oder Handynummer aus dem Firmenadressbuch – niemals die Kontaktdaten aus der potentiellen Phishing-Mail.


Über #BeAware:
Jedem begegnen sie im Berufsalltag: Sicherheitshinweise, neuste Virenmeldungen, Horrorgeschichten aus der Welt der Cyber Security. Mit #BeAware möchten die Security-Awareness-Experten der usd Ihnen dabei helfen, diese Meldungen zu verstehen. Die Artikel beleuchten relevante IT-Security-Themen, die gängigsten Methoden von Hackern und Kriminellen und geben Tipps, was jeder tun kann, um sich und sein Unternehmen zu schützen. Für mehr Sicherheit.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien