Ein neuer Coup der Cyberkriminellen bewegt gerade die Informationssicherheitsbranche. Angreifer haben per sogenanntem Scraping die Daten von mehr als 500 Millionen LinkedIn-Profilen ausgelesen und bieten diese nun anderen Cyberkriminellen zum Verkauf an. Es handelt sich nicht um ein Datenleck im engeren Sinne, wie LinkedIn betont, sondern um offiziell zugängliche Profilinformationen.
David Kelm, CEO von IT-Seal, ist Social Engineering & Security Awareness Experte und beschäftigt sich seit fast 10 Jahren mit diesem Thema.
Was können Cyberkriminelle mit diesen Informationen nun gefährliches anstellen?
David Kelm: Auch wenn es auf den ersten Blick scheint, als wären diese öffentlich zugänglichen Daten von LinkedIn weniger brisant, bieten sie Cyberangreifern dennoch ein sehr wirksamen Werkzeug. Sie können diese persönlichen Informationen effektiv nutzen, um gezielte Spear-Phishing-Angriffe auf Unternehmen und ihre Mitarbeiter durchzuführen. Da die Phishing-Mails mit persönlichen Informationen angereichert sind, sind sie viel schwerer als Phishing zu erkennen als generische Massen-Phishing-Mails. Die Angreifer setzen hier den Hebel beim Faktor Mensch an und versuchen über ihn ins Unternehmen einzudringen. Die spezielle Form dieser Spear-Phishing-Mails auf Basis von öffentlich zugänglichen Informationen nennt sich OSINT-Phishing.
Was bedeutet die Veröffentlichung der LinkedIn-Daten nun für Unternehmen im speziellen?
David Kelm: Die Angreifer können versuchen via Social Engineering Mitarbeiter zu manipulieren – ohne, dass es der Mitarbeiter überhaupt merkt. Durch die persönlichen Informationen, die den Angreifern nun zur Verfügung stehen, lassen sich realistische Szenarien in E-Mails abbilden, die den Mitarbeiter verleiten, Links anzuklicken, Dateien herunterzuladen oder Log-In-Daten einzugeben. Erst kürzlich konnte man dies für SMS-Phishings beobachten, bei denen man persönlich angesprochen wurde und einen angeblichen Tracking-Link erhielt.
Ist eine solche Nachricht erstmal angekommen und wurde geöffnet bzw. Daten eingegeben, haben die Cyberkriminellen freie Hand: Die Konsequenzen reichen von Ransomware-Infektionen, bei denen die Unternehmen zur Zahlung von Lösegeld erpresst werden, über Datenverlust und finanzielle Verluste aufgrund von Betriebsausfällen oder Überweisungsbetrug. Zudem stellt auch die Schädigung des Unternehmensrufs im Rahmen eines Phishing-Angriffs eine nicht zu unterschätzende Konsequenz für viele Unternehmen dar.
Nun sind bereits die beiden Schlagworte Social Engineering und OSINT im Zusammenhang mit Phishing gefallen – Was genau steckt hinter diesen beiden Begriffen?
David Kelm: Der Begriff Social Engineering beschreibt zwischenmenschliche Techniken zur Beeinflussung anderer, mit deren Hilfe ein bestimmtes Ziel erreicht werden soll. Angreifer nutzen hierfür verschiedene psychologische Tricks und soziale Normen, um Situationen zu schaffen, die im ersten Moment als nicht gefährlich wahrgenommen werden. Als Kanal werden alltägliche soziale Interaktionen (z.B. ein Telefongespräch oder eine E-Mail) genutzt. Die Cyberkriminellen versuchen die Zielperson dazu zu bringen, bestimmten Aufforderungen zu folgen und so Zugang zu Informationen oder Firmennetzwerken zu erlangen.
Da der Schutz durch technische Sicherheitssysteme immer schwieriger zu umgehen ist, gewinnt Social Engineering an Beliebtheit: Oft ist es technisch unmöglich, solche Angriffe zu erkennen. Daher ist es unabdingbar, dass jeder Mitarbeiter dem Thema IT-Security Aufmerksamkeit schenkt und sich möglicher Bedrohungen bewusst ist.
OSINT steht für Open Source Intelligence, was die Informationsgewinnung aus frei öffentlich zugänglichen Quellen, beispielsweise Soziale Medien, beschreibt. Diese Daten werden analysiert, um aus ihnen verwertbare Erkenntnisse zu gewinnen. Beim OSINT-Phishing werden frei zugängliche Daten über den Empfänger dahingehend verwertet, sodass eine individuelle und persönliche Spear-Phishing-Mail entsteht, die kaum als solche erkannt wird. Somit ist OSINT-Phishing ein besonders effektives und gefährliches Werkzeug von Cyberkriminellen.
Wie können sich Unternehmen effektiv und langfristig vor Cyberangriffen schützen?
David Kelm: Um sich und sein Unternehmen vor Cybergefahren zu wappnen bedarf es einer gelebten Sicherheitskultur im Unternehmen. Nur so lassen sich Mitarbeiter nachhaltig zu Informationssicherheit sensibilisieren und Fehlverhalten und Sicherheitsvorfälle effektiv vermeiden.
Für eine solche Sicherheitskultur müssen drei Aspekte berücksichtigt werden: Das Mindset, Skillset und Toolset. Bei Ersterem kommt es darauf an, die Security-Awareness-Kampagne richtig zu kommunizieren, um bei Mitarbeitern Verständnis für die Gefahren zu schaffen, die wichtigsten Stakeholder abzuholen und Sicherheitskultur als Unternehmensziel festzulegen. Nur durch die mentale Bereitschaft sich für die Unternehmenssicherheit einzusetzen können die folgenden Schritte erfolgreich sein. Dafür ist es hilfreich, solche Angriffe nahbar zu machen – bspw. per Live-Hackings oder Phishing Simulationen.
Beim Skillset kommt es darauf an, Fähigkeiten und Wissen, wie man sich sicher verhält, so praxisnah wie möglich mit den Mitarbeitern zu trainieren, um es langfristig zu verinnerlichen. Für ein passendes Toolset werden technische und organisatorische Maßnahmen eingesetzt, um den Mitarbeitern die Umsetzung des im Awareness-Training erlangten Know-Hows zu vereinfachen.
Wie kann IT-Seal Unternehmen bei der Etablierung einer Sicherheitskultur unterstützen?
David Kelm: IT-Seal hat langjährige Erfahrung im Bereich Social Engineering und Security Awareness Training und damit bereits über 400 Unternehmen trainiert. Wir bieten einen einfachen und verlässlichen Workflow für IT-Sicherheitsverantwortliche um ihre Mitarbeiter effizient zu sensibilisieren.
Hierfür nutzen wir eine Kombination aus vielfältigen Trainingsmaßnahmen wie Phishing-Simulationen und interaktives E-Learning. Dafür stehen uns einige innovative Technologien zur Verfügung, wie unsere patentierte Spear-Phishing-Engine: Sie betreibt, wie ein realer Angreifer auch, OSINT-Recherche und nutzt die gesammelten Informationen für authentische, realitätsnahe Spear-Phishing-Mails. Dies ist gerade in Anbetracht der LinkedIn-Datenveröffentlichung ein wichtiges Security-Awareness-Training.
Unsere Awareness Engine wiederum sorgt für Awareness Training im Autopilot und dass jeder Mitarbeiter so viel wie nötig aber so wenig wie möglich trainiert wird. Die Awareness Engine entlastet somit den IT-Sicherheitsbeauftragten, stellt aber gleichzeitig das kontinuierliche und bedarfsgerechte Training aller Mitarbeiter sicher.
