Ob aktueller Job, Ausbildung, Zertifikate, Hobbys oder Kolleg:innen: Viele Mitarbeiter:innen geizen nicht, wenn es um die Veröffentlichung ihrer Profildaten auf Social Media geht. Dass sie damit eine Hochrisikogruppe für Spear-Phishing-Angreifer sind, belegt eine Studie von der Technischen Universität Darmstadt (TU) und IT-Seal.
So scheuen die zunehmend professionell organisierten Betrüger:innen weder Kosten noch Mühe, um online verfügbare Informationen über potenzielle Opfer aufzuspüren. Auch Arbeitgeber-Bewertungsportale und Unternehmenswebseiten werden akribisch nach Daten durchkämmt, um daraus persönlich zugeschnittene Phishing-Mails anzufertigen. Ein Beispiel bietet die russische Conti-Cybergang, die teure Open-Source-Intelligence-Tools (OSINT) zur automatisierten Sammlung öffentlich zugänglicher Daten einsetzt. Als Chefs, Kolleg:innen oder Geschäftspartner:innen getarnt, versuchen die Conti-Ganoven unter anderem, bei Mitarbeiter:innen Ransomware zu platzieren. Gelingt ein Coup, werden in der Regel Lösegeldzahlungen von mehreren Millionen US-Dollar erzielt.
Mit OSINT zu Angriffspotenzial-Analysen
Mit der Spear-Phishing-Engine von IT-Seal lässt sich das OSINT-Potenzial für die Unternehmen selbst nutzbar machen. Sie werden damit beim Aufbau einer nachhaltigen Sicherheitskultur unterstützt. Die patentierte Spear-Phishing-Engine sammelt eigenständig öffentlich zugängliche Mitarbeiter- und Unternehmensinformationen und analysiert diese auf ihr Phishing-Angriffspotenzial. Unternehmen erhalten Transparenz, wie bedroht ihre Sicherheit durch im Internet zugängliche Daten ist, und können bei den Mitarbeiter:innen gezielte Aufklärungsarbeit leisten.
IT-Seal bietet dazu Awareness Trainings an, bei denen Nutzer:innen mit ähnlichem Gefährdungspotenzial in Gruppen zusammengefasst und mit speziellen E-Learnings und Social-Media-Leitfäden ausgestattet werden. Diese bieten Orientierung, auf welche Profildaten man sich beschränken sollte und welche Datenschutzeinstellungen beachtet werden müssen. Dies gilt auch für Meinungsäußerungen in den sozialen Netzwerken. Um die persönliche Sphäre der Mitarbeiter:innen zu schützen, führt IT-Seal die Trainings anonymisiert und unter Einbeziehung des Betriebsrats durch.
Verhaltensänderung durch simulierte Angriffe
Darüber hinaus setzt IT-Seal die Spear-Phishing-Engine zur Erstellung authentischer Spear-Phishing-Mails ein, um die Mitarbeiter:innen im Rahmen simulierter Angriffe auf tatsächliche Attacken vorzubereiten. Fällt ein:e Nutzer:in auf eine gefälschte E-Mail herein, landet er direkt auf einer interaktiven Erklärseite. Dort erhält er detaillierte Informationen, welche verdächtigen Merkmale die E-Mail enthält: von Buchstabendrehern in der Adresszeile, über Fake-Subdomains, bis hin zu zweifelhaften Links. Um einen nachhaltigen Lerneffekt zu erzielen, werden die Phishing-Simulationen kontinuierlich durchgeführt und aktualisiert.
Phishing-Simulationen nutzen den „Most teachable Moment“ eine:r Mitarbeiter:in, indem sie ihn im richtigen Augenblick über sein potenziell schadhaftes Verhalten aufklären. Dies ist gerade für Social-Media-Fans vorteilhaft. So haben die TU Darmstadt und IT-Seal in ihrer Studie herausgefunden, dass diese für Phishing-Angriffe auch deshalb anfälliger sind, weil sie direkt und automatisiert auf Trigger, Aufforderungen und Hinweise reagieren. Informationen werden nicht so oft kritisch evaluiert. Da Spear-Phishing-Simulationen die impulsiven Entscheidungen der Nutzer:innen stärken, tragen sie zur dauerhaften Verhaltensänderung bei.
