COVID-19-Pandemie – der perfekte Zeitpunkt zum Angreifen.
Die einfachste und effektivste Angriffsart von Betrügern ist Phishing. Die am häufigsten verwendeten Handlungsmethoden basieren auf Kommunikationskanälen: E-Mail, www, SMS und Telefonanrufe.
Das Wissen von Organisationen und Menschen zum Thema Sicherheit nimmt zu. Dies zwingt Angreifer dazu, neue Mechanismen zu aktivieren. Heutzutage wird eine E-Mail, die von einer „seltsamen“ Adresse mit inkonsistentem Inhalt gesendet wird, von einem Antiviren- oder Antispam-System abgefangen. Eine SMS über einen fantastischen Gewinn oder eine unbekannte Stimme am Telefon erregen unsere Aufmerksamkeit nicht mehr.
Es besteht keine Bedrohung? Ist! Besser versteckt und personalisiert, daher muss man wachsam sein.
Eine Krise ist eine ideale Situation, um Social Engineering einzusetzen, um die angestrebten Ziele zu erreichen.
Der Mensch ist die stärkste und zugleich schwächste Seite der IT-Sicherheit.
Die Situation, in der die Welt vom Coronavirus überrascht wurde, ist ein Test für Wissen, Vorgehensweise und Verhalten in einer Krise. Überlassen Sie die Verantwortung für die Sicherheit nicht der besten und teuersten Firewall, denn ein Klick auf den Link kann Ihr Unternehmen lahmlegen. Kenntnis des Problems und entsprechendes Verhalten sind der beste Schutz.
Mir kommt der Gedanke, das ist nicht mein Problem, schließlich habe ich keinen Zugriff auf Firmenkonten oder vertrauliche Informationen. Sie haben etwas ebenso Wertvolles: E-Mail-Adressen, Telefonnummern, Fotos von Personen, die Zugriff auf diese Daten haben. Ja, das reicht aus, um einen Phishing-Angriff auszulösen. Dieses Verfahren verlängert sich zeitlich. Geplant ist eine Dauer von Wochen bis Monaten, was dem Bild eines typischen Hackerangriffs widerspricht. Ich werde später beschreiben, wie diese Daten verwendet werden.
Zeit anzugreifen.
Ich schicke dir (mir) eine E-Mail, du siehst es so.
Es handelt sich um eine gewöhnliche E-Mail, die bis auf „Guten Morgen“ um 21:14 Uhr keinen Verdacht erregt.
Jetzt müssen Sie nur noch klicken.
Sie haben geklickt und eine Seite ohne Fotos oder mit der Aufforderung zur Eingabe eines Benutzernamens und Passworts geöffnet.
Wenn Sie den Browser schließen, zeigt das Antivirenprogramm keine Meldung über die Infektion an. Der Computer funktioniert wie gewohnt. Währenddessen werden im Hintergrund Informationen über Ihre Organisation gestohlen (E-Mail-Adressen, Mobil- und Festnetznummern, Messenger-Logins). Jetzt hat der Angreifer Informationen über die Struktur der Organisation, er weiß, wer der Vorstandsvorsitzende und wer der Hauptbuchhalter ist. Er weiß auch, wie man eine gefälschte E-Mail mit einer passenden Fußzeile und Signatur formatiert.
Ziel erreicht! Der Betrüger gibt sich als Präsident aus und sendet möglicherweise eine E-Mail an den Buchhalter mit der Bitte um eine schnelle Überweisung.
Das vorgestellte Beispiel ist eine von vielen Phishing-Angriffstechniken. Es gibt viele andere Möglichkeiten, Unternehmensdaten zu extrahieren. Sie können beispielsweise auf einen Link in einer gefälschten Nachricht klicken und auf eine Website weitergeleitet werden, die der ursprünglichen Website zum Verwechseln ähnlich ist. Die dort von Ihnen angegebenen Zugangsdaten werden von Betrügern abgefangen.
Das Ausmaß des Problems
Laut einer 2019 von Wissenschaftlern der Breslauer Universität für Wissenschaft und Technologie durchgeführten Studie zeigt sie, dass 45 % der Menschen, die elektronisches Banking in Polen nutzen, am anfälligsten für Online-Angriffe sind.
Von Januar bis März 2020 verzeichnete Google einen Anstieg der erstellten Phishing-Websites um 350 %.
Um das sichere Funktionieren der Organisation zu gewährleisten, sollten Sie sich bestmöglich schützen. Grundlage ist das Bewusstsein für die bestehende Problematik und eine entsprechende IT-Infrastruktur.
Um das Bewusstsein der Mitarbeiter zu schärfen, empfehlen wir Ihnen, sich mit unserem Angebot – CYBER SECURITY TRAINING – vertraut zu machen . Bei der Schulung achten wir auf zentrale Themen, die dazu beitragen, das Bewusstsein für die Widerstandsfähigkeit gegen Cyberangriffe zu stärken.
Phishing-Tests sind ebenfalls ein interessantes Element – mehr darüber finden Sie auf unserer Website www.phishingstop.pl .
Wir ermutigen Unternehmen, Schulungen zu organisieren, da ein ahnungsloser Mitarbeiter ein leichtes Ziel für Cyberkriminelle sein kann.
Quellen:
https://bankomania.pkobp.pl/finanse/bezpieczenstwo/jak-oszusci-kradna-pieniadze-z-kont-niczy-vishing-phishing-i-smishing-w-akcji/
https://www.forbes.com/ sites/jessedamiani/2020/03/26/google-data-reveals-350-surge-in-phishing-websites-during-coronavirus-pandemic/#6f94a56419d5
Przemysław Budzyński
Online-Support der Vertriebsabteilung