Spionage-Geheimnisse aufgedeckt: Cyber-Kriminelle recyceln Spionage-Handwerk

Es gibt viele Ähnlichkeiten zwischen den Taktiken, die von Spionen bei traditionellen Geheimoperationen auf der ganzen Welt eingesetzt werden, und denen, die von Cybersecurity-Bedrohern verwendet werden. Beide beruhen darauf, Menschen zu rekrutieren, die bereitwillig oder unwillig Zugang zu sensiblen, gehüteten Informationen gewähren. Im Falle eines traditionellen Spions ist es das Ziel von Regierungen, Informationen zu sammeln, zu analysieren und manchmal zu beeinflussen, die für die nationale Sicherheit und die strategischen Interessen eines Landes wichtig sind. Das Ziel eines Bedrohungsakteurs ist es, sich Zugangsdaten zu einer Organisation zu verschaffen und dort Fuß zu fassen, um Informationen zu sammeln, die er gewinnbringend verkaufen oder für Verbrechen nutzen kann.

Laut Shawnee Delaney, Gründerin und CEO der Vaillance Group und weltweit anerkannte Expertin für Human Risk Management, Insider-Bedrohungen und Sicherheitsuntersuchungen, "erfinden Social Engineers und Cyberkriminelle nichts Neues. Sie recyceln im Wesentlichen Spionagetechniken." Lassen Sie uns einen Blick auf einige dieser Taktiken werfen.

Meister der Manipulation

Erfolgreiche Cybersecurity-Bedrohungsakteure sind Meister der Manipulation und nutzen oft menschliche Emotionen, insbesondere Angst, aus, um ihre bösartigen Ziele zu erreichen. Indem sie Nachrichten verfassen, die ein Gefühl von Dringlichkeit oder Panik erzeugen, wie z. B. gefälschte Warnungen über kompromittierte Konten, unbezahlte Rechnungen oder drohende rechtliche Schritte, setzen sie Menschen unter Druck, ohne nachzudenken zu handeln.

Diese Social-Engineering-Taktiken nutzen unseren Instinkt aus, vermeintliche Bedrohungen schnell zu beseitigen, und verleiten die Opfer dazu, auf bösartige Links zu klicken, schädliche Anhänge herunterzuladen oder sensible Informationen wie Anmeldedaten anzugeben. Angst ist ein mächtiger Motivator, und Cyberkriminelle nutzen sie, um unser rationales Urteilsvermögen zu umgehen und selbst die vorsichtigsten Personen anfällig für ihre Machenschaften zu machen. Das Erkennen dieser emotionalen Auslöser ist der Schlüssel, um wachsam zu bleiben und uns davor zu schützen, in ihre Fallen zu tappen.

Voreingenommenheit der Behörden

Menschen sind besonders anfällig für Manipulationen durch böswillige E-Mails und Nachrichten von vermeintlichen Autoritätspersonen, was auf ein psychologisches Phänomen zurückzuführen ist, das als Autoritätsverzerrung bekannt ist. Diese Voreingenommenheit rührt von unserer angeborenen Neigung her, Bitten oder Anweisungen von Personen zu befolgen, die wir als mächtig, kompetent oder einflussreich ansehen.

Cyberkriminelle nutzen dies aus, indem sie sich als Manager, leitende Angestellte oder andere maßgebliche Personen ausgeben und Nachrichten verfassen, die ein Gefühl der Dringlichkeit oder Verpflichtung vermitteln. Eine E-Mail, die den Anschein erweckt, von einem CEO zu stammen, könnte beispielsweise sensible Informationen oder eine sofortige Handlung verlangen und so den Wunsch des Empfängers ausnutzen, jemandem in einer Machtposition zu gefallen und ihn nicht zu enttäuschen. Die Angst vor Konsequenzen oder der Instinkt, Befehle zu befolgen, ohne sie in Frage zu stellen, kann das kritische Denken außer Kraft setzen und macht es wahrscheinlicher, dass Menschen Opfer von Phishing-Betrug oder anderen Formen des Social Engineering werden. Dies unterstreicht, wie wichtig es ist, eine Kultur der Skepsis zu fördern und die Mitarbeiter darin zu schulen, Anfragen, selbst aus vertrauenswürdigen Quellen, zu überprüfen, bevor sie Maßnahmen ergreifen.

Gegenseitigkeit und Neugierde

Reziprozität und Neugier sind zwei psychologische Auslöser, die in bösartigen E-Mails oft ausgenutzt werden, um Menschen dazu zu verleiten, auf schädliche Links zu klicken. Reziprozität spielt mit der menschlichen Tendenz, sich verpflichtet zu fühlen, einen Gefallen zu erwidern. Eine E-Mail könnte beispielsweise ein kostenloses Geschenk, einen exklusiven Rabatt oder eine hilfreiche Ressource im Austausch für das Klicken auf einen Link anbieten. Dadurch entsteht ein Gefühl der Verschuldung, das den Empfänger dazu veranlasst, zu handeln, ohne die Risiken vollständig zu berücksichtigen.

Die Neugier hingegen zapft unser angeborenes Verlangen an, das Unbekannte zu entdecken. Eine geschickt formulierte Betreffzeile wie "Sie werden nicht glauben, was wir über Sie herausgefunden haben!" oder "Dringend: Unbeanspruchte Gelder in Ihrem Namen" kann die Neugierde der Empfänger wecken und sie zum Klicken verleiten. Zusammen erzeugen diese Taktiken eine starke psychologische Anziehungskraft, die selbst vorsichtige Personen anfälliger für Phishing-Methoden macht.

Unsere Gefühle ausnutzen

Ähnlich wie Spione sind auch Cyberkriminelle sehr geschickt darin, die Emotionen ihrer Zielpersonen auszunutzen. Sie nutzen die Gier aus, indem sie verlockende Nachrichten verfassen, die finanzielle Belohnungen, Lotteriegewinne oder exklusive Angebote versprechen und die Opfer dazu bringen, auf schädliche Links zu klicken oder vertrauliche Informationen weiterzugeben. In ähnlicher Weise nutzen sie unsere Hilfsbereitschaft aus, indem sie sich als vertrauenswürdige Kollegen, Freunde oder Autoritätspersonen in Not ausgeben und so ein Gefühl der Dringlichkeit erzeugen, das die Abwehrkräfte senkt und zu schnellem, unkritischem Handeln verleitet. Durch die Kombination von emotionaler Manipulation und Social Engineering täuschen diese Taktiken effektiv Menschen und öffnen die Tür für Cyberangriffe.

Außerdem nutzen Cyberkriminelle übermäßiges Vertrauen, Routine und Selbstgefälligkeit, um ihre Machenschaften voranzutreiben. Viele Menschen glauben, dass sie zu schlau sind, um auf Betrügereien hereinzufallen, überfliegen E-Mails während ihrer geschäftigen Routine oder verlassen sich zu sehr auf die Sicherheitsvorkehrungen ihres Unternehmens, wodurch sie weniger wachsam sind. Indem sie vertraute Muster imitieren, wie z.B. arbeitsbezogene Anfragen, Paket-Updates oder Finanzmitteilungen, und KI-Tools verwenden, um Nachrichten auf der Grundlage von Aktivitäten in sozialen Medien und Online-Verhalten zu personalisieren, erstellen Cyberkriminelle äußerst überzeugende E-Mails. Diese maßgeschneiderten Nachrichten beziehen sich auf bestimmte Details, wie z.B. kürzlich getätigte Einkäufe oder berufliche Meilensteine, wodurch sie authentisch wirken und die Wahrscheinlichkeit eines Engagements erhöhen.

Der Akt des Nicht-Handelns

Shawnee Delaney hat einen guten Ratschlag für Menschen, die entweder beruflich oder privat Opfer von Spionagetaktiken von Cyberkriminellen geworden sind: "Ich sage meinen Kindern immer, dass sie nichts tun sollen, wenn sie eine E-Mail oder einen Anruf erhalten... und sie ein großes Gefühl dabei empfinden."

Wenn Menschen auf eine zeitkritische E-Mail oder Nachricht stoßen, die potenziell bösartig sein könnte, ist es wichtig, dem Drang zu widerstehen, sofort zu handeln. Cyberkriminelle nutzen oft die Dringlichkeit aus, um rationale Entscheidungen zu umgehen und übereilte Aktionen wie das Klicken auf schädliche Links oder die Weitergabe sensibler Informationen zu veranlassen. Eine Pause, um die Echtheit einer Nachricht zu überprüfen, kann den Unterschied ausmachen, ob man einem Betrug zum Opfer fällt oder die persönliche oder organisatorische Sicherheit gewährleistet.

Einfache Schritte wie die Überprüfung der E-Mail-Adresse des Absenders oder die Kontaktaufnahme mit dem Absender über einen vertrauenswürdigen Kanal können helfen, die Legitimität zu bestätigen. Wenn Sie Vorsicht vor Schnelligkeit setzen, können Sie sich und Ihr Unternehmen vor Phishing-Angriffen und anderen Cyber-Bedrohungen schützen. 

Mehr erfahren

Dieser Blog kratzt nur an der Oberfläche unserer Diskussion zwischen Shawnee Delaney und Mimecasts Chief Marketing Officer Adenike Cosgrove und Chief Product Officer Rob Juncker. Sehen Sie sich die vollständige Sitzung an, Spy Secrets Revealed: Mastering Human Risk, und wenn Sie schon dabei sind, erhalten Sie exklusiven Zugriff auf das Cybersecurity Awareness Kit von Mimecast, das Best Practices für IT-, Sicherheits- und Unternehmensleiter sowie hilfreiche Benutzerschulungen für Mitarbeiter enthält.