Cloud
Sicherheitsmythen: Der erste Kontakt
Viele lassen sich durch die direkte Ansprache in einer Mail in Sicherheit wiegen. Auch die Überzeugung, dass Cyberkriminelle immer als erstes nach Geld fragen, ist weit verbreitet. Doch so einfach ist es nicht – was steckt tatsächlich dahinter?
Save to Folio
Man sollte es nicht vermuten, aber auch die IT-Sicherheit ist vor Mythen nicht gefeit: Vom unbesiegbaren Hacker bis zum Glauben an die eigene Unverwundbarkeit -- als Sicherheitsberater trifft man alle Schattierungen dieser „Legenden“ an, sowohl bei IT-Sicherheitsverantwortlichen in Unternehmen als auch im Privatumfeld. Wir haben einige dieser Mythen gesammelt und wollen zeigen, was dahintersteckt.
Wer mich kennt, der ist auch mein Freund!
… natürlich nicht, sagt jetzt der aufgeklärte Leser. Schon Kindern bringt man bei, dass keiner, der uns beim Namen ruft, automatisch auch unser Freund ist. Und dennoch ist dies eines der häufigsten Eintrittstore für Betrüger überhaupt.
Stellen Sie sich die Situation im Alltag vor: Jemand spricht Sie mit Ihrem Namen an. Natürlich geben Sie ihm die Möglichkeit, Ihnen zu erklären, woher er Sie kennt. Das ist menschlich, und es ist der erste Schritt im Bereich „Social Engineering“. Die korrekte Ansprache innerhalb einer Nachricht (Mail, Messenger oder SMS) verleitet dazu, die ersten Zeilen zu lesen. Was nun folgt, ist eine Frage der Überzeugungskraft des anderen. Abhängig von der Situation und der Vorbereitung des Gegenübers ist fast jeder anfällig für diese Tricks.
Denken Sie daran, wenn wieder jemand Ihren Namen verwendet, den Sie nicht kennen!
Cyberkriminelle fragen immer nach Geld
Ja, es ist richtig. Man kann Cyberkriminelle daran erkennen, dass sie nach Geld fragen. Dies sollte immer eine „Red Flag“ sein! Beispiele dafür finden sich genug: Beim „Romance Scam“ verspricht die „Partnerin mit den schönen Fotos“ ihren Traumprinzen zu besuchen, doch fehlt ihr leider das Geld für das Flugticket. Der berüchtigte „Prinz von Nigeria“ oder dessen juristischer Vertreter möchte Ihnen Geld überweisen, -- aber erst nachdem er über eine kleine Anzahlung Ihrerseits das Konto „verifiziert“ hat.
Im Unternehmenskontext befiehlt „der Chef“ auch einfach mal per Mail, dass Geld überwiesen werden soll. Der Trick nennt sich Business E-Mail Compromise – oder „Boss-Fraud“ -- und ist eine der finanziell erfolgreichsten cyberkriminellen Maschen überhaupt.
Und nein, nicht immer fragen Cyberkriminelle nach Geld. Und bleibt die Forderung aus, so ist das keineswegs beruhigend. Denn im „Pig-Butchering Scam“ bitten Sie selbst den Kriminellen darum, Ihr Geld genauso erfolgreich wie er anlegen zu dürfen. Es ist vermutlich ein Missverständnis, denn Sie legen es „bei ihm“ an und nicht „wie er“.
Last but not least haben auch Daten wie E-Mailadressen, Passwörter oder andere Informationen ihren hohen Wert für Kriminelle und werden oft einfach mittels Phishing-Methoden abgefragt. Und dann gibt es da noch so genannte „Money Mule“-Dienste, die Unbedarfte für Kriminelle tätigen. Das Schema kommt als Job-Angebot. Man braucht nur ein Bankkonto. Der Kriminelle überweist Geld und der „Geldesel“ soll es für ihn z.B. in Kryptowährungen „investieren“ – abzüglich eines kleinen Honorars für den Aufwand – natürlich. Das Geld fordern in diesem Fall nicht die Kriminellen, sondern die Strafverfolgungsbehörden, die nach kurzer Recherche den Geldwäschetransfer stoppen.
Sie können sich also zwar darauf verlassen, dass es immer um Geld geht, aber nicht, dass sich dies bereits beim ersten Kontakt zeigt!
Als nächstes in unserer Reihe widmen wir uns dem Mythos, „Zur Polizei zu gehen bringt nichts“ und „Multifaktor-Authentifizierung (MFA) ist sicher“. Auch diese beiden Legenden werden wir entzaubern!