So stehlen Hacker Ihre Daten

(Bildnachweis: Kym Winters)

Zwar entwickeln Angreifer ständig komplexere Viren und Malware, die zunehmend und häufig vergessen werden, doch die größte Sicherheitsbedrohung für Unternehmen geht nicht von Software aus, sondern von Menschen selbst.

Unternehmen können mit Lösungen wie Firewalls, VPNs und sicheren Gateways die sicherste Infrastruktur der Welt aufbauen, um ihre Daten vor externen Bedrohungen zu schützen. Dies verringert jedoch nicht das Risiko böswilliger oder sonstiger Bedrohungen innerhalb des Unternehmens. Diese Low-Tech-Art des Hackens ist in den letzten Jahren immer beliebter geworden. Bekannte Marken sind Opfer von Betrügern geworden, die sich nach einer kleinen Untersuchung durch LinkedIn an Junior-Finanzadministratoren gewandt haben, um Geld anzufordern.

Da das Internet einen großen Teil des Tagesablaufs der meisten Menschen ausmacht und sich viele Mitarbeiter am Arbeitsplatz in persönliche Konten einloggen, ist es wichtig zu bedenken, dass es auch in Bezug auf die Online-Sicherheit einen Übergang zwischen persönlichen Daten und Ihren Geschäftsinformationen gibt. Wenn ein Hacker Ihre persönlichen Daten erhält, kann er auch auf Ihre professionellen Daten zugreifen.



Hier sind also vier Möglichkeiten, wie Hacker Ihre Sicherheit umgehen und Ihre Daten stehlen können.

01. Social Engineering

Die Entstehung einer von Menschen geführten Bedrohung durch Cybersicherheit ist Social Engineering. der Akt der Manipulation vertraulicher Daten von einer Person. Sicher, Hacker könnten ein Netzwerk mit Malware infizieren und durch die Hintertür hineingehen, oder noch besser, sie könnten einen Mitarbeiter dazu verleiten, ein Passwort herauszugeben und direkt durch die Front zu schlendern, ohne Alarmglocken zu läuten. Sobald ein Hacker das Passwort einer Person hat, können Sie wenig tun, um sie zu stoppen, da ihre Aktivität anscheinend autorisiert ist.

Social-Engineering-Techniken mussten im Laufe der Jahre immer ausgefeilter werden, da der durchschnittliche Benutzer die traditionellen Methoden, die Hacker verwenden, besser beherrscht. Daher müssen Hacker jetzt klüger sein, wie sie Daten erhalten. In geschäftlicher Hinsicht kann der Angreifer durch einen einfachen Trick zum Klicken auf einen böswilligen Link auf das gesamte Netzwerk zugreifen. Die Leute wissen, dass sie E-Mails von plädierenden Fremden ignorieren müssen, die dringend Bankdaten benötigen. Wenn diese E-Mail jedoch von jemandem stammt, den Sie kennen, ist es viel weniger wahrscheinlich, dass Sie auf 'Als Spam markieren' klicken.

Hacker können einfach durch das Facebook-Konto eines potenziellen Ziels scrollen, um den Namen eines Freundes des Opfers zu finden. Dann können sie dem Opfer eine E-Mail senden, die vorgibt, dieser Freund zu sein, und das Opfer wird eher darauf hereinfallen, wenn sie glauben, dass es von jemandem stammt, den sie kennen.

TRINKGELD: Gehen Sie beim Thema Social Media vorsichtig mit den persönlichen Daten um, die Sie preisgeben. Was wie ein harmloses Spiel erscheint, bei dem 'Ihr Rap-Name ist der Name Ihres ersten Haustieres plus der Mädchenname Ihrer Mutter', könnte tatsächlich ein Phishing-Betrug sein, mit dem die Antworten auf häufig gestellte Fragen zur Wiederherstellung von Konten ermittelt werden.

Abbildung: Kym Winters

Abbildung: Kym Winters

02. Die interne Low-Tech-Bedrohung

Anstelle eines gesichtslosen Feindes kommen die meisten internen Cybersicherheitsbedrohungen tatsächlich von aktuellen oder ehemaligen Mitarbeitern. Diese Mitarbeiter können unbefugten Zugriff auf vertrauliche Daten erhalten oder das Netzwerk mit etwas Bösartigem infizieren. Diese internen Bedrohungen können verschiedene Formen annehmen:

  • Schulter-Surfen
    'Schulter-Surfen' ist der einfache Vorgang, bei dem eine Person beobachtet, wie jemand sein Passwort eingibt. Es gibt einen Präzedenzfall dafür. Ein verärgerter oder bald verlassender Mitarbeiter könnte beiläufig hinter einem Schreibtisch stehen und beobachten, wie andere Mitarbeiter ihre Passwörter eingeben. Diese einfache Handlung kann zu unbefugtem Zugriff führen, was für ein Unternehmen katastrophal sein kann.
  • Passwörter auf Haftnotizen
    Noch einfacher als das Speichern eines über die Schulter beobachteten Passworts können interne Bedrohungen von Mitarbeitern ausgehen, die Passwörter aufschreiben und auf ihre Computermonitore kleben - ja, das passiert tatsächlich. Dies macht es offensichtlich unglaublich einfach für jemanden, Anmeldedaten zu erhalten, die dann verwendet werden können, um ein Unternehmen zu betrügen oder zu infizieren. Die gute Nachricht ist, dass diese Nachlässigkeit leicht zu korrigieren ist.
  • In Computer eingesetzte USB-Sticks
    Mitarbeitercomputer können mit Keylogging-Software infiziert werden, die auf ein einfaches USB-Laufwerk geladen ist. Ein Angreifer müsste lediglich das USB-Laufwerk in die Rückseite eines Computers schleichen und hätte Zugriff auf die persönlichen Daten und Passwörter des Benutzers.

TRINKGELD: Um diese internen Bedrohungen zu vermeiden, sollten Unternehmen ihre Mitarbeiter mit Sicherheitskursen und Mitteilungen darüber informieren, wie wichtig es ist, mit ihren Passwörtern wachsam zu sein. Passwort-Manager-Software wie KeePass oder Dashlane kann Passwörter sicher speichern, sodass Sie sich nicht alle merken müssen. Alternativ können Sie auch die USB-Anschlüsse Ihrer Workstations sperren, um zu verhindern, dass auf nicht autorisierte Geräte über USB zugegriffen werden kann. Dieser Ansatz muss jedoch sorgfältig abgewogen werden, da er jede Workstation weniger flexibel macht und die Arbeitsbelastung für die IT-Abteilung erhöht, da jedes neue USB-Gerät vor seiner Verwendung einer Genehmigung bedarf.

03. Köder

Ähnlich wie beim Social Engineering täuschen Ködermethoden Benutzer vor, indem sie Informationen über die Person verwenden. Ein Hacker könnte beispielsweise Social-Media-Websites überprüfen und feststellen, dass das Ziel ein Interesse an Game of Thrones hat. Dieses Wissen gibt dem Angreifer einen Köder. Anstelle einer generischen E-Mail kann der Angreifer dem Ziel eine E-Mail mit der Aufschrift 'Klicken Sie hier, um die neueste Game of Thrones-Episode anzusehen' senden. Es ist wahrscheinlicher, dass der Benutzer auf die Schaltfläche klickt, bei der es sich natürlich um einen Malware-Link handelt und nicht um die neueste Episode von Game of Thrones.

In ähnlicher Weise kann es bei so vielen Informationen, die öffentlich auf LinkedIn aufgeführt sind, für Angreifer einfach sein, eine Berichtsstruktur zu recherchieren, einen Junior als CEO zu bestimmen und eine Überweisung auf ein bestimmtes Konto zu beantragen. So weit hergeholt das auch scheinen mag, es gibt bekannte Vorfälle, in denen dies geschieht. Das Abhören ist eine ähnliche Methode, bei der Angreifer Geschäftsgespräche in Cafés, in öffentlichen Verkehrsmitteln und sogar als Lieferant in einer Büroumgebung abhören.

04. Schaltflächen zum Abbestellen

Ein anderer Weg, wie Angreifer Benutzer dazu verleiten, Malware aus E-Mails herunterzuladen, sind Schaltflächen zum Abbestellen. Laut Gesetz muss jede Marketing-E-Mail einen Link zum Abbestellen enthalten, damit Verbraucher den Empfang von Mitteilungen ablehnen können. Ein Angreifer kann wiederholt E-Mails an einen Benutzer senden, die wie spezielle Marketingangebote eines Bekleidungsunternehmens (oder ähnlichem) aussehen. Die E-Mails sehen harmlos aus, aber wenn der Benutzer nicht an dem Unternehmen interessiert ist oder der Meinung ist, dass die E-Mails zu häufig sind, kann er auf die Schaltfläche zum Abbestellen klicken, um den Empfang von E-Mails zu beenden. Außer in der Phishing-E-Mail dieses Hackers wird durch Klicken auf die Schaltfläche zum Abbestellen die Malware heruntergeladen.

TRINKGELD: Ein ordnungsgemäß konfigurierter Anti-Spam-Filter sollte diese E-Mails stoppen, aber auch hier ist es am besten, wachsam zu bleiben.

Der Schlüssel zum Erfolg ist es, wachsam und auf dem neuesten Stand zu bleiben, was Hacker tun können, um Ihre Daten zu stehlen. Informieren Sie Ihre Mitarbeiter, damit sie über die in diesem Artikel aufgeführten Techniken informiert sind, mit denen Inhalte erfasst werden können, z. B. ihre Anmeldedaten oder persönlichen Daten. Ermutigen Sie die Mitarbeiter, jemanden zu befragen, den sie nicht kennen, und sich bewusst zu sein, dass jemand Gespräche hört oder auf der Schulter surft.

Abgesehen davon ist jedoch zu beachten, dass das Internet nach wie vor ein überwiegend positiver und kreativer Ort ist und die Welt dafür wesentlich reicher ist. Vorausgesetzt, Sie sind wachsam, können wir alle weiterhin von den Vorteilen profitieren.

Dieser Artikel wurde ursprünglich in Ausgabe 303 von veröffentlicht Netz , das weltweit meistverkaufte Magazin für Webdesigner und Entwickler. Ausgabe 303 kaufen oder Abonnieren Sie hier .

Holen Sie sich jetzt Ihr Ticket für Generate New York

Das branchenweit beste Webdesign-Event New York generieren ist zurück. Zu den Hauptrednern, die vom 25. bis 27. April 2018 stattfinden, gehören Dan Mall von SuperFriendly, der Berater für Webanimationen Val Head, der Full-Stack-JavaScript-Entwickler Wes Bos und weitere.

Es gibt auch einen ganzen Tag voller Workshops und wertvoller Networking-Möglichkeiten - verpassen Sie es nicht. Holen Sie sich jetzt Ihr Generate-Ticket .

Zum Thema passende Artikel: