Remote Workers anfällig für Social Engineered Data Breaches

Ein erfolgreicher Social-Engineering-Datenverstoß kann den Aktienkurs Ihres Unternehmens schnell beeinflussen - und zwar in die falsche Richtung. Ist das Netzwerk Ihres Unternehmens auf einen Mega-Hack vorbereitet, der über Social Engineering durchgeführt wurde, wie der jüngste, der Twitter gelitten?  Mit der Verlagerung zur Telearbeit steigt die Gefahr von Social Engineering Hacks.  Wenn Mitarbeiter unfreiwillig zu Hause isoliert sind, können sich ihre Psyche und ihr Verhalten ändern. Die Beschäftigten machen sich möglicherweise übermäßig große Sorgen um ihre Arbeitsplatzsicherheit. Ein kürzlich veröffentlichter Bericht von ClearSky's Das Analyseteam beschrieb eine "Traumjob"-Kampagne, die von der Lazarus-Gruppe (auch bekannt als Hidden Cobra) entwickelt und durchgeführt wurde und die Gefühle der Arbeitsplatzunsicherheit sowie den Wunsch nach einer besseren Position ausnutzte. Die Gruppe zielte auf Arbeitnehmer mit einem "Traumjob" ab, die angeblich im Namen von Großunternehmen wie: Boeing, McDonnell Douglas und BAE. Nach Angaben von ClearSky hat diese Kampagne erfolgreich Unternehmen und Organisationen in der ganzen Welt infiziert.  Arbeitnehmer, die in einem Büro arbeiten, haben oft ein größeres Gefühl der Arbeitsplatzsicherheit als Menschen, die von zu Hause aus arbeiten. Im Büro werden Meilensteine gefeiert, Unternehmensrichtlinien besprochen und Geburtstage gefeiert.  Wenn es um Anträge geht, sehen die Mitarbeiter den Antragsteller vielleicht auf dem Flur oder sprechen mit einem Kollegen über den Antrag. Remote-Mitarbeiter arbeiten in Isolation von ihren Kollegen. Die Angst um die Sicherheit des Arbeitsplatzes kann groß sein. Mitarbeiter können handeln, bevor sie denken, wenn es darum geht, Anfragen zu erfüllen, die in Wirklichkeit Phishing-Methoden sind.  Fernarbeitskräfte sind oft bereit zu antworten, ohne eine Anfrage zu überprüfen. Dies ist eine Schwachstelle, auf die sich viele Unternehmen nicht vorbereitet haben. Social-Engineering-Hacker nutzen diese Schwachstelle zu ihrem Vorteil. Was ist die Lösung? Erinnern Sie Ihre Mitarbeiter an folgende Punkte und schulen Sie sie erneut sozial motivierte Angriffeund stets wachsam sein, wenn sensible Daten nach außen dringen. CybelAngel ist führend in der Unterstützung von Unternehmen bei der Aufdeckung und Behebung von Datenlecks.

Hacker versuchen, sich unter Ihre Mitarbeiter zu mischen

Beim Einsatz von Social Engineering für Angriffe ermitteln Hacker häufig Namen und Berufsbezeichnungen von Mitarbeitern. LinkedIn ist eine der besten Möglichkeiten, um an Namen, Titel und Hintergrund von Mitarbeitern zu gelangen. Mitarbeiterprofile enthalten alle Elemente, die ein Hacker benötigt, um ein Organigramm Ihres Unternehmens zu erstellen - und um herauszufinden, wer anfällig für Tricks ist. Um ein Unternehmen anzugreifen, kann ein Hacker ein gefälschtes LinkedIn-Profil erstellen und verwenden. Betrüger können Mitarbeiter kontaktieren, indem sie sich als Personalvermittler ausgeben und gefälschte Profile und ein falsches Erscheinungsbild verwenden. Mitarbeiter nehmen möglicherweise Einladungen von gefälschten Profilen an, weil die Profile den Anschein erwecken, dass es sich um Personen aus ihrer Umgebung handelt.  Nachdem sich Hacker mit Ihren Mitarbeitern verbunden haben, können sie auf das Kontaktnetz Ihrer Mitarbeiter zugreifen. Je mehr Mitarbeiter ein Hacker kontaktieren kann, desto mehr Wissen kann der Hacker über die Namen der Mitarbeiter, die Berufsbezeichnungen und die Mitarbeiter sammeln, die die einfachste Möglichkeit bieten, Informationen zu stehlen. Nachdem sich Hacker mit den Mitarbeitern eines Zielunternehmens in Verbindung gesetzt haben, suchen sie nach Schwachstellen, z. B. nach Mitarbeitern, die nicht im Büro sind. Hacker wissen, dass Mitarbeiter, die von zu Hause aus arbeiten, oft ein leichteres Ziel sind, weil sie auf Anfragen reagieren können, ohne sie zu überprüfen. Eine Möglichkeit, Ihre Anfälligkeit zu verringern und Bösewichte aus Ihrem Netzwerk fernzuhalten, ist die Schulung der Mitarbeiter sich nicht mit gefälschten Profilen auf LinkedIn zu verlinken.  

Woran man erkennt, dass ein LinkedIn-Profil gefälscht ist

Gefälschte LinkedIn-Profile sehen aus wie typische Mitarbeiter Ihres Unternehmens. Schauen Sie jedoch genauer hin, um zu sehen, ob das Profil diese Indikatoren enthält, die auf eine Fälschung hindeuten könnten. Einem Artikel zufolge, der von Sicherheit Boulevard im April heißt es, "Ein regelmäßiger Rhythmus klarer, einfacher Aufklärung und Tipps kann einen großen Beitrag zu einer effektiven Sicherheitsschulung leisten. Durch Aufklärung und die Befähigung der Mitarbeiter, potenzielle Bedrohungen zu erkennen, können sie sich an vorderster Front gegen die Bösewichte zur Wehr setzen."  Es obliegt den Unternehmen, die Kommunikation mit ihren externen Mitarbeitern aufrechtzuerhalten und sie regelmäßig daran zu erinnern, wie sie es vermeiden können, in eine sozialtechnische Falle zu tappen, z. B. durch ein gefälschtes LinkedIn-Profil und eine Kontaktaufnahme.

Verhindern Sie eine Datenpanne durch Social Engineering

Wenn wir über Social Engineering nachdenken, ist die erste Überlegung, welche Werte am wichtigsten zu schützen sind. Was sind die wertvollsten Daten in Ihrem Unternehmen? Sind das in der Cloud freigegebene Daten? Hosten fremde Netzwerke oder Anbieter Ihre Daten?  Dies sind die Fragen, die Hacker und Cyberkriminelle sich stellen, wenn sie entscheiden, welche Unternehmen sie angreifen wollen, um den größten Gewinn zu erzielen. Um diesen Kriminellen einen Schritt voraus zu sein, müssen wir die Gefährdung eines Unternehmens durch digitale Risiken ermitteln und dieses Risiko letztendlich verringern. Bei CybelAngel verwenden wir fortgeschrittenes maschinelles Lernen um riskante Datenlecks zu erkennen, bevor sie zu Datenschutzverletzungen werden. Wenn jemand vertrauliche Daten ausspäht, finden wir es zuerst, alarmieren Sie und beheben auf Wunsch den Vorfall. hier um zu sehen, wie viele Ihrer Daten über die Grenzen Ihres Unternehmens hinaus nach außen dringen. Denn Datenlecks sind unvermeidlich, aber Schaden ist optional.