Diesen Satz könnte der eine oder andere in letzter Zeit wieder verstärkt zu hören bekommen. Da Phishing per E-Mail inzwischen durch die stärkere Verbreitung wirksamerer Filter-Technologien immer aufwändiger wird, scheint sich sogar der Angriff per klassischem „Social Engineering“ zu lohnen. Diese Art des Betrugsversuches ist nicht neu, wird jedoch wieder verstärkt eingesetzt.
Das Ziel der Attacke sind unbedarfte Anwender
Sie erhalten einen Anruf einer Person, die sich als Microsoft Technik- oder Support-Mitarbeiter aus Kalifornien oder London ausgibt und vorgibt, man hätte in den letzten Tagen vom Betriebssystem verschiedene Warnmeldungen erhalten, dass eine Sicherheitslücke vorhanden sei.
Der "Beweis" für die Sicherheitslücke
Um dies zu bekräftigen wird man in die Ereignisanzeige der Computer-Verwaltung gelotst, wo erfahrungsgemäß immer Ereignisse gelistet sind. Der unbedarfte Anwender wird diese niemals zu sehen bekommen, könnte nun aber tatsächlich versucht sein zu glauben, dass etwas mit seinem Rechner nicht stimmt.
Das Opfer ist also nun weichgekocht
Es hat das Gefühl, gegen diese „kritischen und die Sicherheit gefährdenden“ Vorfälle, die „Viren oder Trojaner sind“ etwas tun zu müssen. Der freundliche Anrufer hilft gerne und bittet den Anwender, nun seinen Browser zu öffnen und auf eine bestimmte Webseite zu surfen, um sich dort eine Fernwartungssoftware (meist ammyy oder logmein) herunterzuladen, die frei verfügbar und an sich eigentlich harmlos ist.
Man würde die „gefährlichen Daten“ per Fernzugriff vom Technik-Zentrum von Microsoft aus entfernen und es würde nur eine kleine Gebühr fällig, die man per Kreditkarte zahlen könne, heißt es.
Das Ergebnis ist praktisch immer dasselbe:
- man hat den Rechner in die Hand eines Hackers gegeben, der nun frei ist, mit diesem zu tun und zu lassen was er will (Trojaner installieren, Daten auslesen, etc. etc.)
- im schlimmsten Fall hat hat man noch dazu Kreditkarten-Daten einem Kriminellen ausgeliefert.
Nun könnte man natürlich sagen „wer ist denn so dumm, darauf reinzufallen?“.
Berechtigter Einwand, solange sich die „Phisher“ noch so primitiv verhalten
Aber stellen wir uns vor, die Angreifer gehen raffinierter vor und setzen deutschsprachige Rattenfänger ein, die glaubhaft darstellen können, sie seien von Microsoft oder gar vom IT-Support der Firma. Die Opfer-Raten dürften ungleich höher sein.
Bei einem Unternehmen wäre ein erfolgreicher Angriff ein Datenschutzvorfall
Firmen sollten unabhängig von ihrer Größe und Mitarbeiterzahl immer festlegen, was im alltäglichen IT-Gebrauch erlaubt ist und was nicht. Diese schriftliche „Richtlinie“ sollte jedem Mitarbeiter bekannt gemacht werden.
Und ist "das Kind in den Brunnen gefallen" sollte jeder im Unternehmen den Prozess zur Meldung eines Datenschutzvorfalls gem. Art. 33 DSGVO kennen und sofort reagieren.
Alle meine Blog-Beiträge erhalten meine Newsletter-Abonnenten einige Wochen früher per E-Mail.