Betrüger setzen auf die Angst der Anwender

Menschliche Schwächen mittels "Social Engineering" ausnutzen


Cyberkriminelle verwenden immer öfter persönliche Informationen, die sie auf Social-Networking-Sites oder durch Ausnutzung von Sicherheitslecks gewinnen. Zu diesem Ergebnis kommen die Autoren des McAfee Security Journal. Die Experten haben in der aktuellen Ausgabe dargestellt, wie Internetverbrecher menschliche Schwächen mittels "Social Engineering" zu ihrem Vorteil nutzen. Die neuen Cyberattacken haben gemeinsam, dass sie auf Gefühle wie Angst, Habgier oder Geiz setzen und durch Verwendung persönlicher Daten äußerst glaubwürdig auf die Adressaten wirken. Sie nutzen zum Teil auch den Bezug zu aktuellen Ereignissen,  wie etwa die Präsidentschaftswahl in den Vereinigten Staaten.  

Für die Sicherheitsexperten haben sich bei der Nutzung von Social Engineering vier große Trends herauskristallisiert:

  1. Angriffe werden zunehmend personalisiert. Die Zahl der interaktiven Angebote im Web wächst ebenso wie die Bereitschaft der Nutzer, persönliche Informationen öffentlich zugänglich zu machen. Immer öfter werden diese Informationen daher auch von Cyberkriminellen missbraucht. Die Autoren geht davon aus, dass sich die Opfer von Online-Angriffen zunehmend durch eine treffsichere persönliche Ansprache überrumpeln lassen.
  2. Auf Social Engineering basierter Spam nimmt zu. Immer öfter verleihen Cyberkriminelle ihren Spam-Nachrichten dadurch Glaubwürdigkeit, dass sie sie mit echten Informationen über die Adressaten anreichern. So nutzen sie beispielsweise illegal erworbene Kundendaten, um Käufern vermeintliche Preisnachlässe oder Treuegeschenke anzubieten. Die Autoren prognostizieren, dass dieser Trend anhält und öffentlich zugängliche Social-Networking-Sites, aber auch Sicherheitslecks in Kundendatenbanken verstärkt dazu genutzt werden, um neben Daten wie Kreditkarteninformationen auch Erkenntnisse über das Verhalten und die individuellen Interessen und Vorlieben der potenziellen Opfer in Erfahrung zu bringen.
  3. Aktienkursmanipulation schreitet voran. Aktienbetrug per Internet funktioniert üblicherweise nach der Methode „pump and dump“. Dabei wird der Kurs von Aktien niedrig bewerteter Unternehmen – sogenannter Pennystocks – durch massenhaft versandte Kaufempfehlungen gezielt in die Höhe getrieben („pump“), worauf der Betreiber seine zuvor gekauften Anteile unter Ausnutzung des Kurssprungs mit Gewinn auf einen Schlag wieder abstößt („dump“). Die Autoren rechnen damit, dass Betrüger den Wertpapiermarkt in Zukunft noch dreister versuchen zu manipulieren, indem sie beispielsweise unter Spekulation auf einen kurzfristigen Kurseinbruch falsche Informationen über Sicherheitslücken einer Software streuen oder angebliches Insiderwissen über personelle Veränderungen in der Unternehmensleitung verbreiten.
  4. Betrüger setzen auf die Angst der Anwender. Die Autoren haben außerdem eine zunehmende Verbreitung bösartiger Programme registriert, die sich als Anwendungen von „Sicherheitsanbietern“ ausgeben und Internetnutzern mittels Pop-ups angedient werden. Es wird auf eine vermeintliche Infizierung des Rechners hingewiesen, die sich nur unter Anwendung eines bestimmten Programms beheben lässt. Installiert der Nutzer das beworbene Programm, öffnet dieses oft weiterer Malware die Tür. McAfee erwartet, dass die Zahl der Versuche, Anwender mit falschen Sicherheitsupdates zu ködern, zunimmt.

Online-Angriffe in Zahlen

  • 1.100.000 >> Gesamtbetrag in US-Dollar, der Kunden der schwedischen Bank Nordea im größten bekannten Online-Bankraub gestohlen wurde
  • 84 % >> Prozentsatz der Sicherheitslecks, die nach Schätzung des US-Innenministeriums auf menschliches Versagen zurückgehen
  • 1980 >> Jahr, in dem die ersten Trojaner in Online-Foren auftauchten
  • 419 >> Ziffer des Abschnitts im nigerianischen Strafgesetzbuch, der den unter Bezeichnungen wie Nigeria-Brief oder Nigeria-Connection bekannt gewordenen Vorschussbetrug behandelt
  • 150 % >> Prozentsatz, um den die Zahl der Trojaner, die Social Engineering nutzen, seit 2006 zugenommen hat
  • 320 >> Zahl der Typosquatting-Domains für YouTube, mit denen deren Inhaber von Tippfehlern in der Adresseingabe profitieren wollen


Themengebiete
In Verbindung stehende Artikel
Risiko-Management und Compliance: Erste Schritte zur Sicherheit
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.