Laut einer Untersuchung von der US-Firma BioCatch haben im ersten Quartal 2021 die Social Engineering Scams im Vergleich zum Vorjahr um 87 Prozent zugenommen. Bei drei Viertel der erfolgreichen Betrügereien verwendeten die Angreifer Informationen über das Opfer, um dem Betrug Glaubwürdigkeit zu verleihen.
BioCatch gibt an, dass laut einem Bericht der US Federal Trade Commission 75 Prozent der Opfer bestätigten, dass ein Betrüger bereits über ihre persönlichen Informationen verfügte, als er sie für den Betrug instrumentalisierte.
In der Finanzbranche gibt es nach Ansicht von BioCatch zwei Haupttypen von Social-Engineering-Angriffen: das Abgreifen von Online-Banking-Zugangsdaten und/oder persönlichen Informationen und Echtzeit-Betrügereien, wie Betrügereien mit autorisierten Zahlungen oder Remote Access Tool (RAT)-Betrügereien.
Die zweite Art von Betrug erfordert wenig technologische Raffinesse, aber die Betrüger müssen den Opfern beweisen, dass sie vertrauenswürdig sind, daher verbringen sie in der Erkundungsphase mehr Zeit damit, Informationen zu sammeln und etwas über ihr Opfer zu erfahren als den eigentlichen Angriff auszuführen.
Die Ergebnisse von BioCatch geben einen Einblick in die Vorgehensweise von Scammern, die mit ihren Methoden vor allem auf die Schwachstelle Mensch abzielen. Social Engineering-Angriffe, einschließlich Ransomware, BEC und Phishing stellen die IT vor Probleme, die technisch niemals vollständig gelöst werden können.
Deshalb sollten Unternehmen nicht mehr nur in Technologien, sondern vor allem in die Aus- und Weiterbildung ihrer Mitarbeiter investieren. Ein Security Awareness-Training kann Unternehmen einen wichtigen weiteren Schutz geben, indem es die Mitarbeiter sensibilisiert, wie sie Social Engineering-Scams erkennen können.
Die folgenden drei Schritte helfen Unternehmen darüber hinaus, sich gegen Social Engineering besser zu wappnen:
- Beginnen Sie mit einem grundlegenden Phishing-Sicherheitstest, um den Phish Prone Percentage (PPP) des Unternehmens zu ermitteln.
- Führen Sie die Benutzer durch ein interaktives, „New School-Security Awareness“-Training
- Führen Sie regelmäßig simulierte Social-Engineering-Tests durch, um die Benutzer auf Trab zu halten und die Sicherheit zu gewährleisten.