Jeder kann von einem Prahler ausgetrickst werden. Hier erfahren Sie, was das bedeutet und wie Sie sich verteidigen können.
Angeberei hört sich vielleicht wie eine komplizierte Hacking-Technik an, ist aber viel einfacher. Auch wenn es nicht so hochtechnologisch ist wie bei anderen Cyberkriminalität, kann Prahlerei dennoch ernsthaften Schaden anrichten, wenn Unternehmen nicht darauf vorbereitet sind.
Was ist Angeberei und wie funktioniert es?
Was ist Angeberei und wie funktioniert es?
Angeberei liegt vor, wenn hinterlistige Betrüger versuchen, Menschen dazu zu bringen, vertrauliche Informationen preiszugeben, zu denen sie keinen Zugang haben sollten.
Diese Prahler werden sich die Geschichte ausdenken, die sie brauchen, um ihr Ziel davon zu überzeugen, Daten preiszugeben, die für zwielichtige Zwecke wie Identitätsdiebstahl, Spionage von Unternehmen oder Erpressung von Menschen verwendet werden könnten.
Wie funktioniert es also genau? Hier sind einige gängige Prahltechniken:
- Identitätswechsel: Der Betrüger gibt vor, jemand anderes zu sein, beispielsweise ein Kollege, ein Bankvertreter oder ein Polizist. Dies schafft Vertrauen und erhöht die Wahrscheinlichkeit, dass die Zielperson vertrauliche Informationen weitergibt. Sie können beispielsweise anrufen und sich als IT-Techniker ausgeben, der ein Passwort benötigt, um ein Computerproblem zu beheben.
- Ein falsches Gefühl der Dringlichkeit erzeugen: Der Betrüger setzt das Ziel unter Druck, indem er die Anfrage zeitkritisch erscheinen lässt. Drohungen mit der Schließung eines Kontos oder rechtliche Schritte werden genutzt, um schnell Informationen zu erhalten, bevor die Zielperson Zeit hat, die Gültigkeit der Anfrage zu überprüfen.
- Phishing: Blaggers werden Verwenden Sie Phishing-E-Mails oder Links, die Malware enthalten Zielsysteme zu infizieren und Daten zu stehlen. Die E-Mails sind so gestaltet, dass sie den Anschein erwecken, als kämen sie von einer vertrauenswürdigen Quelle, um das Opfer zum Klicken oder Herunterladen zu verleiten.
- USB-Drop-Angriff: Diese Taktik hinterlässt Infektionen Malware-beladene Geräte wie USB-Laufwerke an öffentlichen Orten wo Ziele sie wahrscheinlich finden und anschließen, um dem Prahler Zugriff zu ermöglichen. Parkplätze und Aufzüge sind beliebte Köder für Ahnungslose.
- Namensnennung: Der Betrüger nennt Namen legitimer Manager, Führungskräfte oder Kontakte, um den Eindruck zu erwecken, dass er berechtigt ist, über ansonsten vertrauliche Informationen zu verfügen. Dies verleiht ihrem zwielichtigen Anliegen Glaubwürdigkeit.
- Beileidsbekundungen: Der Betrüger appelliert an das Mitgefühl der Zielperson und erfindet Schluchzergeschichten, um sie zu manipulieren. Es kann funktionieren, Dinge zu sagen, als wären sie alleinerziehende Eltern, die Geld auf einem Konto benötigen, um ihre Familie zu ernähren.
- Gegenleistung: Der Betrüger verspricht als Gegenleistung für Informationen eine Prämie, Freizeit oder Bargeld. Natürlich handelt es sich dabei um leere Versprechungen, mit denen man bekommt, was man will.
- Zu dichtes Auffahren: Der Prahler folgt einem Mitarbeiter physisch in ein Gebäude oder einen Sperrbereich, um sich Zutritt zu verschaffen. Sie verlassen sich darauf, dass Menschen anderen die Tür offenhalten oder ihre Anwesenheit nicht in Frage stellen.
- Erhebung: Blagger werden versuchen, sich in freundlichem Geplauder zu engagieren, um Ziele dazu zu bringen, unbeabsichtigt Informationen über Systeme, Prozesse oder Schwachstellen preiszugeben. Es ist gefährlich, weil es so harmlos erscheint.
Das Wichtigste, woran Sie denken sollten, ist, dass diese Angreifer Meister der Täuschung sind und alles sagen oder tun, was nötig ist, um zu bekommen, was sie wollen.
So verteidigen Sie sich gegen heftige Angriffe
Wie können Sie sich und Ihr Unternehmen vor solchen Betrügereien schützen, wenn Prahler so viele hinterlistige Taktiken anwenden? Hier sind einige wichtige Möglichkeiten, sich gegen großspurige Angriffe zu verteidigen.
Ansprüche überprüfen
Nehmen Sie niemanden für bare Münze – bestätigen Sie immer seine Geschichte.
Wenn jemand anruft und behauptet, der technische Support benötige Zugriff oder ein Kollege benötige Informationen, legen Sie auf und rufen Sie unter einer offiziellen Nummer zurück, um zu bestätigen, dass es legitim ist.
Überprüfen Sie E-Mail-Adressen, Namen und Kontaktinformationen genau, um sicherzustellen, dass auch sie übereinstimmen.
Anfragen validieren
Als Mitarbeiter eines Unternehmens achten Sie auf ungewöhnliche Anfragen, auch wenn diese dringend erscheinen oder die Geschichte glaubwürdig ist. Angenommen, Sie müssen die Angelegenheit an einen Vorgesetzten weiterleiten oder über geeignete Kanäle ein Ticket einreichen.
Verlangsamen Sie die Interaktion, damit Sie weitere Nachforschungen anstellen können, bevor Sie vertrauliche Daten weitergeben.
Beschränken Sie den Kontozugriff
Unternehmer sollten ihren Mitarbeitern nur den Mindestzugang gewähren, den sie für ihre Arbeit benötigen, und nicht mehr. Beispielsweise benötigen Kundendienstmitarbeiter wahrscheinlich keinen Zugriff auf Finanzsysteme. Darin sind etwaige Schäden im Falle einer Kontokompromittierung enthalten.
Umsetzung des Prinzips der geringsten Privilegien kann verhindern, dass ein Prahler zu viel davon profitiert, wenn er eine Person betrügt.
Melden Sie Verdachtsmomente
Zögern Sie nicht, sich zu äußern, wenn Ihnen eine Anfrage seltsam vorkommt oder die Geschichte nicht aufgeht. Benachrichtigen Sie sofort den Sicherheitsdienst oder das Management, wenn Sie den Verdacht haben, dass es sich bei einer Interaktion um einen Angeberversuch handelt.
Überwachen Sie außerdem die Systeme und das Benutzerverhalten genau, um ungewöhnliche Aktivitäten zu erkennen, die auf einen Angeberversuch hinweisen könnten. Suchen Sie nach Dingen wie:
- Versuche, auf nicht autorisierte Systeme oder vertrauliche Daten zuzugreifen.
- Remote-Anmeldungen von unbekannten IP-Adressen oder Standorten.
- Große Datenmengen werden extern übertragen.
- Anomalien in typischen Benutzermustern wie die Ausführung neuer Prozesse oder ungewöhnliche Arbeitszeiten.
- Deaktivierte Sicherheitstools wie Antiviren-Suiten oder Anmeldeaufforderungen.
Je früher anomales Verhalten erkannt wird, desto schneller können Experten einen potenziell auffälligen Angriff untersuchen und abschwächen.
Sicherheitsbewusstseinstraining
Gut ausgebildete Mitarbeiter sind für Prahler viel schwerer zu täuschen. Kontinuierliche Weiterbildung stärkt die menschliche Firewall und befähigt Menschen, Social Engineering selbstbewusst zu stoppen.
Wenn Mitarbeiter wissen, wie sie prahlerische Taktiken überlisten können, verschaffen sich Unternehmen einen großen Vorteil. Die Schulung sollte Beispiele und Szenarien aus der Praxis beinhalten, damit die Mitarbeiter üben können, angemessen zu reagieren. Testen Sie sie mit simulierten Phishing-E-Mails und unerwarteten Besuchern, um ihre Reaktionen zu sehen. Es sollte auch allgemein erklärt werden Angebertechniken wie Vorwanden, Phishing und Gegenleistungen. Je besser Mitarbeiter Taktiken verstehen, desto besser können sie diese erkennen.
Bringen Sie Ihren Mitarbeitern bei, wie sie Anfragen ordnungsgemäß validieren, Identitäten überprüfen, Vorfälle melden und vertrauliche Daten gemäß den Richtlinien verarbeiten. Geben Sie klare Anweisungen zu den erwarteten Maßnahmen. Halten Sie es interessant, indem Sie ansprechende Videos, interaktive Module und Wettbewerbe nutzen, um den Fokus weiterhin auf die Sicherheit zu legen. Aktualisieren Sie das Training regelmäßig.
Und stellen Sie sicher, dass hochrangige Führungskräfte teilnehmen, um das Engagement der Organisation für die Sensibilisierung zu demonstrieren.
Verwenden Sie mehrschichtige Sicherheit
Verlassen Sie sich auf mehrere überlappende Sicherheitskontrollen statt auf einen einzigen Fehlerpunkt.
Zu den Ebenen, die Sie implementieren können, gehören:
- Physische Sicherheitskontrollen wie Ausweise, gesicherte Einrichtungen und Videoüberwachung, um Staus und unbefugten Zutritt zu verhindern.
- Perimeterschutzmaßnahmen wie Firewalls, IPS und Webfilter verhindern, dass bekannte Bedrohungen und riskante Websites in Ihr Netzwerk gelangen.
- Endpunktsicherheit mit Antivirus, Endpunkterkennung und -reaktionund Verschlüsselung, um Sicherheitsverletzungen vorzubeugen und Datendiebstahl zu erschweren.
- E-Mail-Sicherheit mit Gateways zum Filtern bösartiger E-Mails und Sandboxing zur Isolierung von Bedrohungen.
- Zugangskontrollen wie Multi-Faktor-Authentifizierung und rollenbasierte Berechtigungen, um den Kontomissbrauch einzuschränken, selbst wenn die Anmeldeinformationen gefährdet sind.
- Tools zur Verhinderung von Datenverlust, um große Übertragungen vertraulicher Daten zu verhindern.
Je größer die Hürden für Prahler sind, desto wahrscheinlicher ist es, dass sie entdeckt werden.
Seien Sie auf der Hut vor Angeberei
Auch wenn sich Prahlerei oft gegen Unternehmen richtet, ist jeder angreifbar. Jeder von uns könnte durch einen scheinbar harmlosen Anruf oder eine E-Mail eines Betrügers, der sich als technischer Support, Bankvertreter oder sogar ein hilfebedürftiges Familienmitglied ausgibt, getäuscht werden. Deshalb müssen wir alle Prahltechniken erlernen und wissen, wie man Warnsignale erkennt.
Und wenn Sie Unternehmer sind oder ein Unternehmen leiten, sollten Sie diese Bedrohung nicht unterschätzen. Mit umfassender Schulung des Sicherheitsbewusstseins und mehrstufigen technischen Abwehrmaßnahmen können Sie diesen Betrügern das Handwerk legen.
Mit den richtigen Sicherheitsvorkehrungen haben Prahler keine Chance.