Nach den Ergebnissen des Data Breach Investigations Report von Verizon sind 74% der Sicherheitsverletzungen auf erfolgreiche Social-Engineering-Angriffe, Fehler, Missbrauch und andere menschliche Schwächen zurückzuführen. Auch in vielen Unternehmen.
Eine kleine gute Nachricht: Im Vorjahr wurden noch 82 Prozent an Sicherheitsverletzungen verzeichnet. Aber 74 Prozent bleiben laut Data Breach Investigations Report von Verizon Social Engineering-Angriffe. Dabei ist die erfolgreichste Angriffsmethode mit 50 Prozent Pretexting, also eine Social Engineering-Aktivität mit einem bestimmten Vorwand als Auslöser. Das ist eine Steigerung um das Doppelte im Vergleich zum letzten Jahr.
Phishing, Phishing, Phishing
Pretexting ist eine Art „Evergreen“ dieser Berichte, was allerdings auch das Bedrohungspotential dieser Social Engineering-Variante verdeutlicht. Die am weitesten verbreitete Form ist Phishing, genauer gesagt, E-Mail Phishing. Im Betreff und in der Ansprache des vermeintlichen Opfers wird unter einem Vorwand Kontakt aufgenommen.
Der Gesprächsaufhänger ist je nach Art des Pretextings mal mehr, mal weniger spezifisch auf den Empfänger ausgerichtet. Klassische Strategien bei Opfern im Unternehmensumfeld sind der CEO-Fraud, der Business-E-Mail Compromise, die IT-Support-Anfrage oder aber ein angeblicher externer oder ehemaliger Mitarbeiter, der Unterstützung braucht. Die Grenzen zwischen beruflich und privater Ebene können je nach Empfänger bzw. dessen Social Media-Präsenz durchaus verschwimmen.
Einfachste Attacken sind immer wieder erfolgreich
Die Ergebnisse des Berichts bestätigen nun einmal mehr, wie erfolgreich die im Grunde genommen einfachen Mittel der Cyberkriminellen sind. Dazu kommt, dass die meisten dieser Aktivitäten die Absicht verfolgen dem Opfer finanziellen Schaden zuzufügen. Das Problem besteht weiterhin darin, dass es trotz kontinuierlich verbesserten E-Mailfiltern und professionellem Endpunktschutz den Angreifern noch immer gelingt Schutzmechanismen zu umgehen und derartige E-Mails an ausgewählte Opfer zu versenden.
Die technologische Revolution rund um ChatGPT und anderen KI-Sprachmodellen beschleunigt diesen Trend, da die Inhalte schneller erstellt und zielgenauer auf den Empfänger verfasst werden können.
Haben Sie kurz Zeit?
Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen! Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender. Hier geht es direkt zur UmfragePretexting wird durch ChatGPT unterstützt
Gegen Pretexting hilft keine Technologie, da Cyberkriminelle immer neue Wege finden, um Sicherheitskontrollen zu umgehen. Aus diesem Grund sollten zumindest Unternehmen ihre Mitarbeiter auf diese Bedrohungen vorbereiten. Dies gelingt mit Security Awareness Trainings. Allerdings nur dann, wenn diese gut gemacht sind und den Alltag der Mitarbeiter reflektieren. Deshalb empfiehlt sich ein ganzes Programm mit abwechslungsreichen Inhalten zusammenzustellen, um mit spielerischen Ansätzen aber auch mit simulierten Phishing E-Mails kontinuierlich auf die neuesten Pretexting-Versuche zu schulen.
Mehr bei Knowbe4.de
Über KnowBe4 KnowBe4, der Anbieter der weltweit größten Plattform für Security Awareness Training und simuliertes Phishing, wird von mehr als 60.000 Unternehmen auf der ganzen Welt genutzt. KnowBe4 wurde von dem IT- und Datensicherheitsspezialisten Stu Sjouwerman gegründet und hilft Unternehmen dabei, das menschliche Element der Sicherheit zu berücksichtigen, indem es das Bewusstsein für Ransomware, CEO-Betrug und andere Social-Engineering-Taktiken durch einen neuen Ansatz für Sicherheitsschulungen schärft. Kevin Mitnick, ein international anerkannter Cybersicherheitsspezialist und Chief Hacking Officer von KnowBe4, half bei der Entwicklung der KnowBe4-Schulung auf der Grundlage seiner gut dokumentierten Social-Engineering-Taktiken. Zehntausende von Organisationen verlassen sich auf KnowBe4, um ihre Endbenutzer als letzte Verteidigungslinie zu mobilisieren.