Zum Hauptinhalt springen

Schutz Ihres Arbeitsbereichs vor Social Engineering

Verfasst von Penny Gray

Social Engineering ist eine Taktik, bei der Angreifer Menschen manipulieren, um Zugang oder sensible Informationen zu erhalten. Es kann in Kundensupport-Szenarien auftreten, wenn sich jemand als legitimer user ausgibt, der keinen Zugriff auf sein Konto hat.

Selbst bei guten Authentifizierungspraktiken ist es schwierig, diese Fälle vollständig zu verhindern – daher ist es wichtig, Ihr Team zu schulen und Ihren Arbeitsbereich defensiv zu konfigurieren.

Dieser Leitfaden erklärt, wie Sie die Funktionen von Intercom nutzen können, um Ihre Anfälligkeit zu verringern und Ihrem Team zu helfen, effektiv zu reagieren, wenn ein Gespräch verdächtig erscheint.

1️⃣ Sichern Sie Ihren Messenger

Wenn Sie Intercom für angemeldete users verwenden, sollten Sie Ihre users immer mit einem JSON Web Token (JWT) authentifizieren. Dies stellt sicher, dass der Messenger nur für echte, authentifizierte Sitzungen Ihrer users startet. Versuche, Identitäten zu fälschen (z. B. ein Gespräch als ein anderer user zu beginnen), schlagen fehl, wenn das JWT nicht gültig ist. Weitere Informationen finden Sie unter: Authenticating users in the Messenger with JSON web tokens (JWTs)

Überprüfen Sie, ob Ihr Messenger in einem sicheren Zustand ist in Ihren Messenger-Sicherheitseinstellungen

Beachten Sie, dass dies nur für users mit user_ids funktioniert. Lesen Sie weiter, um zu erfahren, wie Sie Ihr Team gegen verdächtige lead-Gespräche schützen können.

Unterscheidung zwischen Leads und Users

Beim Anzeigen von Gesprächen im Inbox:

  • Leads sind Personen, die Gespräche starten, während sie ausgeloggt sind. Sie erscheinen oft mit minimalen oder keinen identifizierenden Informationen.

  • Users sind diejenigen, die eingeloggt und authentifiziert sind oder während des Gesprächs authentifiziert werden.

Leads und users werden im Seitenbereich innerhalb des Inbox identifiziert. Es ist nützlich zu wissen, wie sie identifiziert werden. Hier ist ein lead, der ein Gespräch im Messenger gestartet hat, ohne eine E-Mail-Adresse einzugeben:

Hier ist derselbe lead, nachdem er eine E-Mail-Adresse im Messenger eingegeben hat.

ℹ️ Intercom überprüft nicht, ob leads die im Messenger angegebenen E-Mail-Adressen besitzen.

Wenn der user eingeloggt ist, wird er stattdessen als user angezeigt.

Wenn sich ein user im selben Browser anmeldet, nachdem er ein Gespräch als lead begonnen hat, wie im Screenshot gezeigt, wird er zu einem user hochgestuft.

Weitere Informationen zum Unterschied zwischen leads und users finden Sie unter: Wie funktionieren Besucher, leads und users in Intercom?

Um mehr über das Zusammenführen von user- und lead-Profilen zu erfahren, siehe: Lead- und user-Profile zusammenführen

Automatisierungen einrichten, um identifizierende Informationen zu sammeln

Automatisierungen und Workflows sind sehr leistungsstarke Möglichkeiten, Intercom an Ihre Prozesse anzupassen. Je nach lead, user oder Nachrichteninhalt können Sie spezifische Aktionen durchführen.

Mit einfachen Automatisierungen können Sie Intercom so konfigurieren, dass es:

  • Leads auffordert, ihre E-Mail-Adresse anzugeben, bevor sie mit dem Chatten beginnen

  • Nach zusätzlichen Kontextinformationen wie Name, Firma oder Konto-ID fragen

  • Diese Chats bestimmten inboxes oder Teams zur zusätzlichen Überprüfung zuweisen

Maßgeschneiderte workflows für risikoreiche Szenarien erstellen

Sie können workflows erstellen, die je nachdem, wer das Gespräch startet, unterschiedlich reagieren.

  • 🟡 Ist es jemand, der nur stöbert? Stellen Sie leichte Fragen oder leiten Sie zu Self-Service-Inhalten weiter.

  • 🔁 Ist es ein echter user, der vergessen hat, sich einzuloggen? Fordern Sie zur Anmeldung auf und überprüfen Sie die E-Mail.

  • 🚨 Ist es ein echter user, der keinen Zugriff auf sein Konto hat? Leiten Sie zu einem sicheren Ablauf mit Datenüberprüfung, Notizen für Teammitglieder und klaren Antwortzeit-Erwartungen weiter.

Sie können Fin so konfigurieren, dass:

  • Leads aufgefordert werden, sich vor dem Fortfahren einzuloggen

  • Optionen zur Kontowiederherstellung anbieten (z. B. „Ich bin ausgesperrt“-Button)

  • Bei Bedarf an einen Menschen eskalieren – und das Gespräch klar kennzeichnen, damit Ihr Teamkollege vorsichtig sein kann

Hier ist ein Beispiel für eine workflow-Einrichtung für Leads. In diesem Fall versuchen wir, alle 3 oben genannten Szenarien zu berücksichtigen:

Separate inboxes und Ansichten haben

Zum zusätzlichen Schutz könnten Sie auch Gespräche mit nicht authentifizierten leads in einen anderen inbox verschieben, damit klar ist, dass alles in diesem inbox besondere Aufmerksamkeit verdient.

Dies können Sie mit Team Inboxes erreichen. Mehr dazu unter Team-Inboxes organisieren

Bleiben Sie wachsam gegenüber Social Engineering

Selbst mit den besten Automatisierungen spielen menschliche Agenten eine Schlüsselrolle.

Bereiten Sie Ihr Team vor, indem Sie:

  • Sie darin schulen, user-Details immer zu überprüfen, bevor Konten geändert werden

  • Sie ermutigen, nach passenden user-Datensätzen, E-Mail-Adressen und Anmeldeverlauf zu suchen

  • Interne Notizen und Tags hinzufügen, um Verdachtsmomente intern zu kommunizieren

FAQ

Wie kann ich überprüfen, ob leads die E-Mail-Adressen besitzen, die sie im Messenger eingeben?

Wir haben derzeit keine Funktion, um E-Mail-Adressen zu überprüfen, die im Messenger eingegeben werden. Wenn Sie diese Funktion wünschen, reichen Sie bitte eine Funktionsanfrage bei unserem Support-Team ein. In der Zwischenzeit empfehlen wir, workflows einzurichten, um leads entweder zur Anmeldung oder zum Login zu bewegen oder die Gespräche mit mehr Vorsicht zu behandeln.

Das heißt, Sie könnten möglicherweise einen Data Connector verwenden, um Adressen zu überprüfen, wenn Sie diese Funktionalität anderswo haben.

Verwandte Artikel
Helpdesk Glossar
Lead- und Benutzerprofile zusammenführen
Was ist Identitätsprüfung? [Veraltet]
Inbox FAQs
Sichtbarkeit der Benutzer-Konversationshistorie
Hat dies deine Frage beantwortet?