Während der Bedarf an Anti-Phishing-Schulungen immer offensichtlicher wird, darf der Wert einer breiteren Social-Engineering-Schulung nicht übersehen werden. Da sich Phishing-Taktiken ständig weiterentwickeln, hilft es den Endbenutzern, die zugrunde liegenden Social-Engineering-Prinzipien zu verstehen. Mit dem Wissen können sie besser auf die sich verändernde Bedrohungslandschaft reagieren.
MENSCHLICHE ZIELE
Die Manipulationstaktiken im Social Engineering werden seit langem von Betrügern und Schwindlern eingesetzt, und sie werden regelmäßig angepasst, um neue Methoden und Möglichkeiten zu nutzen – mit verheerenden Ergebnissen. Schließlich verändert sich die Technologie viel schneller als die menschliche Psychologie und das soziale Verhalten.
Der Fokus von Social Engineering auf den blinden Flecken des Menschen wird in einer Definition auf WhatIs.com von TechTarget hervorgehoben:
SOCIAL ENGINEERING IST EIN ANGRIFFSVEKTOR, DER IN HOHEM MAßE VON MENSCHLICHER INTERAKTION ABHÄNGT UND OFT DIE MANIPULATION VON MENSCHEN BEINHALTET, UM NORMALE SICHERHEITSVERFAHREN UND BEWÄHRTE PRAKTIKEN ZU DURCHBRECHEN UND ZUGANG ZU SYSTEMEN, NETZWERKEN ODER PHYSISCHEN STANDORTEN ZU ERHALTEN ODER UM EINEN FINANZIELLEN GEWINN ZU ERZIELEN. ... VIELE SOCIAL-ENGINEERING-ANGRIFFE NUTZEN EINFACH DIE BEREITSCHAFT DER MENSCHEN AUS, HILFREICH ZU SEIN.
Für Betrüger stellen Endbenutzer ein attraktives Ziel dar, weil die Kompromittierung einer Person in der Regel weniger schwierig ist als andere Methoden, wie z. B. technische Angriffe auf Netzwerke oder Software. Wie TechTarget feststellt, sind Social-Engineering-Taktiken oft „ein erster Schritt in einer größeren Kampagne, um ein System oder Netzwerk zu infiltrieren und sensible Daten zu stehlen oder Malware zu verbreiten“.
WIE GUT SIND IHRE BENUTZER VORBEREITET?
In unserem letzten BEYOND-THE-PHISH®-BERICHT haben wir untersucht, wie groß das Verständnis der Endbenutzer für gängige Social-Engineering-Techniken ist und welche Möglichkeiten es gibt zur Erkennung und Vermeidung von elektronischen, telefonischen und persönlichen Betrügereien. Der Bericht untersucht das Wissen der Mitarbeiter über eine breite Palette von bewährten Verfahren für Cyberhygiene, Sicherheit und Compliance und analysiert Daten im Zusammenhang mit fast 130 Millionen Fragen, die von Benutzern über einen Zeitraum von 13 Monaten beantwortet wurden.
Unsere Daten zeigten, dass die Endbenutzer 15% der Fragen zu Social Engineering falsch beantwortet haben. Dieses Ergebnis ist zwar relativ ermutigend – die durchschnittliche Fehlerquote über alle Themenkategorien hinweg lag bei 22% – aber es gibt eindeutig Raum für Verbesserungen. Hier kommt die Social-Engineering-Schulung ins Spiel.
Zudem stellten wir eine erhebliche Diskrepanz zwischen den Leistungen verschiedener Branchen fest. Das beste Verständnis von Social Engineering zeigte das Gastgewerbe, wo nur 11% der Fragen falsch beantwortet wurden. Im Gegensatz dazu schnitten die Anwender in den Branchen Bildung und Energie mit 18% am schlechtesten ab. (Laden Sie den 2019 BEYOND-THE-PHISH-BERICHT herunter, um weitere Einzelheiten zu den Branchen zu erfahren).
WARUM EINE SOCIAL ENGINEERING-SCHULUNG?
Stellen Sie sich vor, Sie nehmen Fahrunterricht und Ihr Fahrlehrer bringt Ihnen lediglich bei, wie Sie eine Kollision an einer bestimmten Kreuzung vermeiden können. Dieser Unterricht, wie rigoros er auch sein mag, hätte nur einen begrenzten Wert im Vergleich zum Erlernen von Prinzipien und Taktiken, die auf eine Vielzahl potenziell gefährlicher Situationen angewendet werden können.
In ähnlicher Weise hilft die Social-Engineering-Schulung dabei, Endbenutzer darauf vorzubereiten, sich gegen mehr als nur E-Mail-basierte Phishing-Angriffe zu verteidigen. Cyberkriminelle versuchen häufig, Benutzer außerhalb des Posteingangs durch Vishing (Phishing per Stimme), Smishing (Phishing per SMS/Text) und andere stoische Engineering-Angriffe zu kompromittieren.
Kurt Wescoe, Chief Security Awareness Architect von Proofpoints Schulungen für Security Awareness, spricht in einem Blogbeitrag über die Notwendigkeit eines breiteren Schulungsansatzes: „Die Taktiken, die unsere Posteingänge erreichen – Belohnungen ... Zeitdruck ... Angstmache – können in einer SMS- oder Chat-Nachricht genauso effektiv sein wie in einer E-Mail.“ Und vergessen wir nicht, dass Betrüger Social Engineering auch oft persönlich anwenden, um an der physischen Sicherheitsverteidigung vorbeizukommen.
Bei so vielen potenziellen Angriffsvektoren müssen die Endbenutzer einen klaren Kopf behalten. Anstatt sich nur auf einige wenige Aspekte der Cyberhygiene zu konzentrieren, ist es sinnvoll, einen umfassenden Ansatz für Social-Engineering-Schulungen als Teil Ihres größeren Cyber-Sicherheits-Programms zu wählen. Wir können Ihnen helfen, ein effektives, interaktives Schulungsprogramm für ein gesteigertes Sicherheitsbewusstsein aufzubauen, das Ihren Mitarbeitern und Ihrem Unternehmen zugutekommt.