Cyber-Risiken für Unternehmen in sozialen Medien

Social Media (Bild: Shutterstock)

Bergen TikTok, LinkedIn, Twitter und andere Social-Media-Plattformen auch für Unternehmen Security-Risiken?

Die Ausgaben für Markenwerbung in den sozialen Medien ist 2021 sprunghaft um 53 Prozent gestiegen. Darin sind nicht einmal Investitionen der Unternehmen in die Entwicklung und Verbreitung von Inhalten berücksichtigt. Unternehmen setzen auf virale Videos, lustige Memes, Podcasts und vieles mehr, um die potenziellen Kunden anzusprechen. Und dies nicht nur über altbewährte Kanäle wie Facebook und Twitter, sondern auch über Plattformen wie TikTok, Instagram, YouTube oder LinkedIn.

Mit der Ausweitung der Social-Media-Marketing-Aktivitäten steigt für die Unternehmen auch das Risiko. Denn diese Plattformen sind ein Nährboden für Cyberangriffe und Betrügereien, auch in den Bereichen künstliche Intelligenz, Deepfakes und Biometrie. Daher heißt es, genau hinzuschauen bei Social-Media-Investitionen. 

Futter für biometrische Angriffe

Eine neue Studie von TrendMicro beschreibt, wie das Teilen von hochauflösenden Fotos und Videos eine langfristige Bedrohung für Einzelpersonen und Führungskräfte in Unternehmen darstellen kann. Sie dienen als Kanonenfutter für das Hacken biometrischer Schutzmaßnahmen. Denn wer Bilder und Vidoes in hoher Auflösung teilt, gibt unbeabsichtigt sensible biometrische Muster preis. Ein hochauflösendes Video oder Bild kann Details zu Gesicht, Augen oder Fingerabdrücken enthalten, die zum Aushebeln von Gesichtserkennungs- oder Fingerabdruckscannern verwendet werden könnten. Ebenso könnten Audiodaten aufgedeckt werden, die die biometrische Stimmerkennung manipulieren könnten.

Gefälschtes Material

Deepfakes, die auf sozialen Inhalten basieren, lassen sich für eine Reihe verschiedener cyberkrimineller Zwecke verwenden. Cyberkriminelle greifen Inhalte von Plattformen ab und manipulieren sie. Da billige und kostenlose KI-Tools zur Verfügung stehen, die zur Erstellung dieser synthetischen Inhalte verwendet werden können,  geht das FBI davon aus, dass böswillige Akteure aller Art Deepfakes zunehmend für ihre Angriffe nutzen werden – als Erweiterung bestehender Spearphishing- und Social-Engineering-Kampagnen.

Spionage und Auskundschaftung

Der Umfang und die Tiefe persönlicher und geschäftlicher Informationen, die Menschen in den sozialen Medien preisgeben, machen die sozialen Netzwerke zu einem Jagdgebiet staatlicher Akteure, Unternehmensspione und gewöhnliche Betrüger, die ihre Social-Engineering-Methoden verbessern wollen. Sie erfahren eine Menge über hochrangige Führungskräfte oder Unternehmensaktivitäten,  zum Beispiel mit wem sie regelmäßig Geschäfte machen, welcheReisegewohnheiten sie haben und mit wem sie innerhalb ihrer Organisation am meisten interagieren. Spione können sogar noch mehr Schaden anrichten, wenn sie über gefälschte Profile mit ihren Zielpersonen in Kontakt treten.

Übernahme von Konten in sozialen Medien

Laut einer im letzten Monat vom Identity Theft Resource Center (ITRC) veröffentlichten Analyse sind die Übernahmen von Konten in sozialen Medien im letzten Jahr um mehr als 1.000 Prozent sprunghaft angestiegen. Die Angreifer haben es auf jedes Social-Media-Konto abgesehen, aber Unternehmenskonten sind besonders interessant, da sie für lukrative Betrügereien oder zur Bloßstellung und Diffamierung von Marken genutzt werden können. Jüngst wurde beispielsweise das Twitter-Konto der Kryptowährungsbörse Gate.io von Betrügern übernommen, vor einigen Jahren das Twitter-Konto von McDonald’s.

Perfekte Plattform für die Kompromittierung von Geschäfts-E-Mails

Mit einer Mischung aus verschiedenen Techniken, einschließlich Deepfakes, Social-Media-Aufklärung und Übernahme von Social-Media-Konten, können Angreifer die sozialen Medien von Unternehmen und Führungskräften als ultimative Werkzeuge für die Kompromittierung von Geschäfts-E-Mails (BEC) nutzen. Bei BEC-Angriffen geht es darum, eine sehr überzeugende Identität einer hochrangigen Person zu schaffen, um jemanden in einem Unternehmen zu einem Fehler zu verführen, zum Beispiel zur Überweisung großer Geldsummen. Soziale Medien können den Bösewichten alle Hinweise und Anhaltspunkte liefern, die sie brauchen, um den Anschein von Vertrauenswürdigkeit zu erwecken.

LinkedIn-Recruitment-Betrügereien

Bei vielen Rekrutierungs- und Einstellungsaktivitäten auf und rund um die LinkedIn-Plattform suchen Cyberkriminelle nach einer Möglichkeit, diese Aktivitäten auszunutzen. Erst vor wenigen Monaten warnte das Internet Crime Complaint Center (IC3) des FBI vor Kriminellen, die das Online-Interview-Verfahren für Remote-Arbeitsplätze ausnutzen. Die Betrüger verwenden eine Kombination aus gefälschten Videos, gestohlenen persönlichen Informationen und anderen Taktiken, um sich als Bewerber auszugeben. Sicherheitsexperten vermuten, dass dies ein Weg für Angreifer sein könnte, sich als vertrauenswürdige Insider innerhalb eines Unternehmens auszugeben, um weitere Betrügereien und Spionage durchzuführen.

Compliance-Risiken nicht übersehen

Die intensive Nutzung von Social-Media-Kanälen innerhalb eines Unternehmens – sowohl über Firmenkonten als auch über private Konten von Mitarbeitern – zur beruflichen Kommunikation birgt eine ganze Reihe von Compliance-Risiken für Unternehmen. Unternehmen können gegen die “Quiet Period”-Vorschriften der Börsenaufsichten verstoßen. Oder sie könnten gegen eine Reihe von Datenschutz- oder Vertraulichkeitsregeln verstoßen.