Wie Identitätsdiebstahl beginnt
... von Heiko Wruck
RATGEBER
Lassahn/gc. Plötzlich wehte auf einem virtuellen beruflichen Netzwerk die Kontaktanfrage einer attraktiven Frau im Business Look herein. Dunkle lange Haare, vielleicht zwischen 25 und 35 Jahre alt. Schönes Gesicht, freundliches Lächeln. Ein Klick: vernetzt. Wenige Sekunden später bedankt sie sich auf Englisch: „Es ist toll, mit Ihnen in Kontakt zu kommen. Wie geht es Ihnen?“ Schnell entspinnt sich ein sehr persönliches Gespräch mit der sympathischen jungen Frau. Sie fragt, ob man sich auch auf Whats App austauschen könne? Klar. Schon steht der private Kontakt außerhalb des beruflichen Netzwerkes. Ein Freizeit der Schönen prangt im Profil. Ein paar Floskeln weiter schickt sie ein weiteres Foto von sich. Business Style. Auch hübsch.
Die Fragen werden privater. Als was arbeiten Sie? Was machen Sie heute? Wie lange dauert Ihr Arbeitstag? Arbeiten Sie im Büro oder daheim? Woran arbeiten Sie? Der Ton wird immer vertraulicher. Eine Gegenrecherche ergibt, dass Ihr Unternehmen in Dubai sitzt und Außenstellen in vielen Teilen der Welt hat. Sie sei Projektleiterin und Bauleiterin. Für das Unternehmen prüfe sie Öl- und Gasunfälle sowie deren Auswirkungen. Finden und prüfen lässt sich sich die Person auf den Unternehmensseiten nicht. In wohl den meisten Fällen können Mitarbeiter auf den Firmenseiten im Web nicht gefunden werden. Dafür bringt eine Fotorecherche im Web (immerhin liegen zwei Profilfotos vor) eine Unmenge weiterer Fotos von ihr. Darunter auch das, welches sie sie bereits auf Whats App unvermittelt nachgeschoben hat. Die Frau hat ganz klar Modelqualitäten. Dann fragt sie: „Welche Hobbys haben Sie?“ Sie selbst geht gern spazieren am Strand und liebt den Wald, macht Gymnastik und Yoga. Natürlich liest sie gern und mag Musik. Das Gespräch wird leicht emotionaler.
Social Engineering
Social Engineering ist eine Methode der Manipulation von Menschen. Sie sollen veranlasst werden, vertrauliche Informationen preiszugeben. Dafür eignen sich berufliche virtuelle Netzwerke besonders gut. Hier ist gut ersichtlich, welchen Berufs das Opfer hat. Welche Fähigkeiten und Interessen beziehungsweise Hobbys angegeben wurden. Die beruflichen Stationen, Positionen, Qualifizierungen bis hin zu aktuellen Fotos sind auffindbar. Selbst politische Präferenzen, private Neigungen und mit wem die Person bereits vernetzt ist, lässt sich nachvollziehen. Ergänzt wird das Profil durch Likes und Kommentare der Zielperson auf in anderen Sozialen Netzwerken. Vor diesem Hintergrund haben Kriminelle es leicht, sich im Netz geeignete Zielpersonen für ihre Angriffe zu suchen. Was dann folgt, lässt sich mit dem süßen Duft von Honig vergleichen. Er lockt, verfängt und klebt. Einmal in der klebrigen Falle gefangen, entkommt das Opfer nur schwer.
Zielsetzung: Was ist interessant?
Nicht immer geht es beim Social Engineering um die Erpressung einer bestimmten Person. Es geht viel mehr darum, kleine Informationsfetzen über Vorgesetzte, Kollegen, Verfahrensweisen, tägliches Bürogerede und Hierarchien zusammenzutragen. Diese Informationen könnten später dazu benutzt werden, dass sich Kriminelle glaubhaft als Insider des Unternehmens ausgeben können – um sich mit Telefonaten, E-Mails oder bei persönlichen Besuchen vor Ort Zugang zu wichtigen Projekten, vertraulichen Dokumenten oder gesperrten Unternehmensbereichen zu verschaffen. Die „Währungen“ dafür sind Sympathie, Vertrauen, Vertraulichkeit, Gemeinschaft, Verbundenheit und Autorität. Es geht um scheinbar Banales. Aber es öffnet Türen und Herzen gleichermaßen.
Welche Folgen sind zu erwarten?
Die Folgen von Social Engineering können gravierend sein. Es können Identitäten gestohlen werden, die für weitere Straftaten benutzt werden und zu finanziellen Verlusten führen können. Sie können auch zu Datenschutzverletzungen führen bei denen sensible Informationen wie Kundendaten, Geschäftsgeheimnisse oder andere vertrauliche Informationen preisgegeben werden. Es kann ein Reputationsschaden entstehen, der sowohl Einzelpersonen als auch Unternehmen, Behörden oder Organisationen betreffen kann. Auf der persönlichen Ebene kann Social Engineering zu großer Verunsicherung führen. Mitarbeiter können sich fälschlicherweise veranlasst sehen, Aktivitäten auszuführen oder zu unterlassen beziehungsweise zu be- oder verhindern, die schädlich sind. So entstehen Gefühle der Verletzlichkeit, Angst, Unsicherheit oder Stress.
Wie schützt man sich gegen Social Engineering?
● Geben Sie persönliche Informationen nur weiter,
wenn Sie die Person selbst persönlich kennen
und sich gewiss sind, dass diese Person auf
jeden Fall authentisch ist.
● Vergewissern Sie sich, dass die Anfrage tatsächlich
legitim ist. Dies gilt besonders bei sensiblen Daten:
Passwörter, Sozialversicherungsnummern, Bankdaten.
● Benutzen Sie starke, unterschiedliche und einzigartige
Passwörter für Ihre Konten. Ändern Sie diese regelmäßig.
● Vorsicht bei verdächtigen E-Mails, Nachrichten oder Chats.
Klicken Sie auf keine fremden Links. Öffnen Sie keine unge-
prüften E-Mail-Anhänge. Öffnen Sie keine Mails von unbe-
kannten Absendern. Prüfen Sie die E-Mail-Adresse des
Absenders. Beraten Sie sich mit Ihrer IT-Abteilung.
● Nutzen Sie zuverlässige, aktuelle Sicherheitssoftware. Ver-
wenden Sie ausnahmslos nur Software, die von Ihrem
Arbeitgeber autorisiert wurde. Nutzen Sie keine privaten
Speichermedien und Accounts auf Firmencomputern und
mobilen Geräten.
● Obacht bei unerwarteten Anrufen! Bleiben Sie skeptisch,
wenn Sie aufgefordert werden, persönliche Informationen
preiszugeben. Prüfen Sie die Identität des Anrufers genau.
● Nutzen Sie Schulungen, tauschen Sie sich mit Kollegen aus.
Treffen Sie sich regelmäßig persönlich am Arbeitsplatz mit
anderen Kollegen.
Kontakt:
Heiko.Wruck@t-online.de
______________________________________