Heartbleed ganz anders — wenn Cybercrime zur Herzenssache wird

Scamming. Kennen Sie nicht? Das Wort “scam” meint im Englischen soviel wie “Betrug”, “Masche” oder “Schwindel”. Scamming im Kontext von Cybercrime bedeu­tet dabei kon­kret, Menschen (häu­fig über das Vorgaukeln von Liebe und Hoffnung auf eine gemein­sa­me Zukunft in Zweisamkeit) dazu zu bewe­gen, viel Geld an das ver­meint­li­che Herzblatt zu über­wei­sen. Leider stellt sich für die geprell­ten Opfer irgend­wann her­aus, dass Herzblatt und Geld weg sind — für immer. Es gibt hier­zu im Internet zahl­rei­che Dokumentationen, die die Muster ein­drucks­voll erklä­ren. Wir haben hier exem­pla­risch mal eine für Sie aus­ge­sucht.

Kann mir nie pas­sie­ren!” sagen Sie? Vielleicht haben Sie Recht. Vielleicht nicht. Denn die Taktiken, mit denen Scamming funk­tio­niert sind die sel­ben, wie sie auch (sehr erfolg­reich) im Social Engineering Anwendung fin­den. Die Betrüger appel­lie­ren an Neugier (Sehnsucht nach einer Beziehung), Hilfsbereitschaft, Leichtgläubigkeit, Angst (allein zu sein), spen­den Lob und Anerkennung (Aussehen, Art) und wecken damit Emotionen des Opfers. Man(n) / Frau ist ver­liebt. Liebe macht blind. Hängt das Opfer an der Angel, wird nicht sel­ten Druck auf­ge­baut. Alles typi­sche Triggerpunkte, die im Scamming zur Anwendung kom­men und bewusst “gedrückt” wer­den, damit sich das Opfer wie gewünscht ver­hält. Meist dau­ert die­ser Vertrauensaufbau lang und wird bewusst geschickt Schritt für Schritt inten­si­viert, bis dann das Opfer ver­liebt, die Zeit reif und das Bankkonto leer ist.

Nun wer­den Sie sagen — was hat das mit Informationssicherheit mei­ner Organisation zu tun? Vielleicht nichts. Vielleicht (?) noch nichts. Denn es ist sicher nur eine Frage der Zeit, dass Scamming-Attacken auch dazu genutzt wer­den, Wirtschaftsspionage in Unternehmen zu betrei­ben. Man zielt dann viel­leicht nicht mehr auf das Geld der eigent­li­chen Zielperson.

Wir glau­ben, es wird nur eine Frage der Zeit sein, bis mit Scamming ganz gezielt Herzen von Personen an Schlüsselpositionen des Unternehmens gewon­nen wer­den. Personen, die Zugriff auf die wert­volls­ten Informationen des Unternehmens haben und mit Scamming dazu bewegt wer­den, am Arbeitsplatz Dinge zu tun, um die der Angreifer sie “bit­tet”.  Zielpersonen kön­nen pri­vi­le­gier­te Personen mit beson­de­ren Rechten wie bspw. die Assistenz des Vorstands oder der Leitung Forschung & Entwicklung sein. Hier sind die Regeln der IT-Security zu Gunsten erfor­der­li­cher Flexibilität am Arbeitsplatz meist nicht so streng. Und man ist ja tech­nisch meist sehr gut und umfang­reich gegen Angriffe “von drau­ßen” geschützt.

Komplett unge­schützt ist man aber vor dem Gefallen, der aus Liebe gemacht wird: “Schatz, du wür­dest mir einen gro­ßen Gefallen tun, wenn du für mich was in Deiner Firma aus­druckst. Ich habe hier kein aktu­ell Internet. Daher schi­cke ich Dir mei­nen USB-Stick per Post. Wäre lieb, wenn du den auf dem Stick gespei­cher­ten Vertrag dru­cken könn­test. Es ist sehr wich­tig für mich.”  Und schon ist der Trojaner in Ihrem Netz …

Wenn Sie dem vor­beu­gen und die Prinzipien und Wirkungsweisen von Social Engineering ver­ste­hen möch­ten, bie­ten wir hier­zu einen entsprechenden Workshop für Ihre Organisation.