HP-Warnung vor typischen Psycho-Tricks Cyber-Krimineller

HP geht auf psychologische Grundlagen von Social-Engineering-Angriffe ein

[datensicherheit.de, 26.11.2020] HP geht in einer aktuellen Stellungnahme auf die Frage ein, wie Hacker an fremde Zugangsdaten und Passwörter gelangen: Sie fragen einfach danach. Schmeicheleien, gefährliche Neugier oder falsch verstandene Hilfsbereitschaft gerade in der Vorweihnachtszeit könnten die „Türöffner“ sein. HP warnt vor den sechs häufigsten Psycho-Tricks Cyber-Krimineller.

6 Psycho-Tricks Cyber-Krimineller laut HP

HP geht auf die psychologischen Grundlagen von Social-Engineering-Angriffe ein – es gehe um die Kunst, „jemanden dazu zu bringen, Dinge zu tun, die er oder sie eigentlich nicht tun sollte“. Die Angreifer bedienten sich dabei tief verwurzelten Mechanismen der menschlichen Psyche, um ihr Gegenüber zu manipulieren. Sie schalteten die gesunde Skepsis aus und verleiteten zu folgenreichen Handlungen. Dabei seien die Psycho-Tricks verblüffend simpel:

• Schmeicheleien als Türöffner
  Für Schmeicheleien sei jeder empfänglich: Cyber-Kriminellen nutzten menschliche Schwächen wie Eitelkeit und Stolz aus. „Berichten Mitarbeiter in den Sozialen Netzwerken über ihre Errungenschaften oder Erfolge verwenden Hacker diese Infos gerne, um durch Schmeicheleien an sensible Daten zu kommen.“
• Hilfsbereitschaft ausnutzen
  Die ureigene Hilfsbereitschaft werde ausgenutzt, hätten doch die meisten Menschen einen mehr oder weniger starken Drang, anderen Menschen zu helfen – Hacker machten sich diese edle Motiv zunutze. Dabei nutzten sie saisonale Gelegenheiten wie die Vorweihnachtszeit oder sie erfänden eine Notsituation, bei der sie auf die Hilfsbereitschaft ihrer Opfer vertrauten. „So geben sich die Angreifer zum Beispiel als gestresste Kollegen aus, die unter Druck stehen und dringend Unterstützung brauchen.“ Besonders bei großen Firmen sei eben die Wahrscheinlichkeit hoch, „dass sich nicht alle Mitarbeiter untereinander kennen und deswegen in Bezug auf Firmenzugehörigkeit oder Kompetenzen leicht getäuscht werden können“. Spendenaufrufe in der Weihnachtszeit seien ein beliebtes Mittel Cyber-Krimineller.
• Druck aufbauen und Angst schüren
  In einer Stresssituation reagierten Menschen anders – kritisches Hinterfragen falle dann oft unter den Tisch. Diese Tatsache nutzten Angreifer aus und drohten mit schwerwiegenden Konsequenzen oder möglichen Strafen bei Nichthandeln. „Ein beliebtes Beispiel sind Mahngebühren in gefälschten Rechnungs-Mails.“ Eine andere Methode der Phishing-Betrüger sei das Erzeugen von künstlichem Zeitdruck: Mit Sätzen wie „Handeln Sie jetzt oder ein wichtiges Projekt ist in Gefahr“ gäben sich Angreifer als Vorgesetzte oder Behörde aus und nutzten so die natürliche Hierarchie (in Unternehmen) aus.
• Auf Gemeinsamkeiten setzen
  Indem Cyber-Kriminellen „vermeintliche Gemeinsamkeiten anführen“, schafften sie das notwendige Vertrauen für ihre weiteren Machenschaften. Da werde auf ein kürzlich geführtes Gespräch zu einem Thema verwiesen oder Detailinformationen angeführt, die theoretisch nur die jeweilige Person und ihr Gesprächspartner kennen könnten. Das Wissen darüber bezögen die Angreifer aus Lauschangriffen oder von Konten in Sozialen Medien.
• Neugier wecken
  Die menschliche Neugier sei noch immer einer der sichersten Wege, um Kapital zu schlagen. Als Aufhänger nutzten Cyber-Kriminellen bevorzugt aktuelle Themen. Mit Anklicken des infizierten Dateianhangs in einer E-Mail würden den Mitarbeitern vermeintlich brisante Informationen in Aussicht gestellt oder „schockierende Bilder“ zu aktuellen Ereignissen versprochen.
• Belohnung versprechen
  Spam- und Phishing-Betrüger versuchten, die menschliche Gier anzusprechen. Dazu reichten einfache Versprechen aus: Eine Belohnung oder mögliche Vorteile etwa durch Mitarbeiterrabatte würden in Aussicht gestellt. „Besonders zur Weihnachtszeit, wenn Anbieter mit extrem günstigen Deals werben und viele bei der Jagd nach dem perfekten Geschenk schnell zugreifen wollen, reißt die Betrugswelle nicht ab.“

HP warnt vor Vertrauensmissbrauch

„Gegen Lügengeschichten, Manipulation oder Schmeichelei ist niemand immun. Die Social-Engineering-Angreifer verwenden dafür Informationen, die sie aus Lauschangriffen oder dem Ausspionieren Sozialer Medien gewonnen haben“, erläutert Jochen Koehler, „Sales Director Security Solutions“ bei HP. Er warnt: Hätten sie das Vertrauen ihres Gegenübers gewonnen, versuchten sie mit Hilfe von mit Malware infizierten E-Mail-Anhängen, kompromittierten Links oder durch die Preisgabe sensibler Daten tief ins Unternehmensnetzwerk vorzudringen

HP empfiehlt Micro-Virtualisierung für einzelne Anwendungen

Mit klassischen Sicherheitslösungen kämen Unternehmen nicht gegen diese raffinierten Methoden an. Einzige sinnvolle technische Schutzmaßnahme für diese Art von Angriffen sei neben der stetigen Sensibilisierung der Mitarbeiter die Isolation der jeweiligen Anwendung durch Micro-Virtualisierung. Koehler: „Mit einer Lösung wie ,HP Sure Click Enterprise‘ wird jede riskante Anwenderaktivität wie das Downloaden und Öffnen eines Dokuments in einer eigenen Micro-Virtual-Machine gekapselt.“ Eine mögliche Schädigung durch Malware bleibe dadurch immer auf die jeweilige Micro-VM beschränkt.

Weitere Informationen zu Thema:

datensicherheit.de, 11.09.2018
Schutz vor psychologischen Tricks von Cyberkriminellen