Das Social Engineering-Risiko in geschäftlicher Hinsicht einrahmen

C-Suite-Mitarbeiter müssen das Risiko verstehen, das von Social-Engineering-Angriffen  ausgeht, so CSO. Terry Thompson, Dozent für Cybersicherheit an der Johns Hopkins University, sagte CSO, dass Business Email Compromise (BEC) ein Unternehmen „Ransomware, E-Mail-Spoofing und damit verbundenen Bedrohungen“ aussetzen kann.

Alex Holden, Gründer und CISO bei Hold Security, sagte CSO, dass Führungskräfte besonders wertvolle Ziele sind, da ihre Konten eher sensible Informationen enthalten.

„In vielen Fällen von BEC würden die Cyberkriminellen kritische / vertrauliche Daten in den E-Mails von C-Suite-Opfern finden“, sagte Holden.

Holden fügte hinzu, dass Führungskräfte noch wachsamer sein müssten als normale Mitarbeiter.

„C-Suite-Mitglieder sind keine regulären Angestellten; sie sind die prominentesten Mitarbeiter“, sagte Holden. „Sie sind Vorbilder und nicht über den Regeln. Sie sollen die am besten geschützten Personen im Unternehmen sein. Sie benötigen möglicherweise mehr Erinnerungen, um die Cybersicherheitsinitiativen mit gutem Beispiel voranzugehen und nicht die Ausnahme zu sein.“

Holden fügte hinzu, dass Führungskräfte trotzdem manchmal dazu neigen, Sicherheitsabkürzungen zu nehmen und sich selbst (und ihre Organisationen) einem Risiko auszusetzen.

„[C-Suite-Führungskräfte] ändern eher die Technologie und bestehen eher darauf, die Regeln zu brechen“, sagte Holden. „Sie sind auch prominenter und daher leichter zu zielen und für Missbrauch nachzuahmen.“

Michael Del Giudice, Principal in der Beratungsgruppe bei Crowe, sagte CSO, dass eine Defense-in-Depth-Strategie unerlässlich ist, um diese Angriffe zu verhindern. Neben der Schulung von Mitarbeitern, um nach Social-Engineering-Angriffen Ausschau zu halten, sollten Unternehmen auch eine Multi-Faktor-Authentifizierung verlangen, falls es einem Angreifer gelingt, ein Passwort in die Hände zu bekommen.

„Ergänzen Sie das mit technischen Kontrollen, implementieren Sie Dinge wie Multifaktor-Authentifizierung in E-Mails, so dass selbst wenn sie Anmeldeinformationen erhalten, es immer noch verhindert, dass sie sich authentifizieren“, sagte Del Giudice.

Führungskräfte und Vorstände verstehen Geschäftsrisiken. Cyberbedrohungen, die durch Social Engineering funktionieren, können als persönliches Risiko in eine Schublade gesteckt werden. Tatsächlich stellen sie jedoch ein klares Geschäftsrisiko dar und stellen oft die Art von Geschäftsrisiken dar, für die die Führungskräfte eines Unternehmens gut positioniert sind. Das Risiko von Social Engineering als Geschäftsrisiko zu formulieren, ist ein wichtiger erster Schritt beim Management dieses Risikos. Sicherheitsschulungen der neuen Schule können es Ihren Mitarbeitern ermöglichen, gezielte Social-Engineering-Angriffe zu vermeiden.

CSO hat die Geschichte.

Telekommunikationsunternehmen, das für das routing von Milliarden von Textnachrichten verantwortlich ist, erkennt jährlich einen mehrjährigen Verstoß an

Syniverse wurde beiläufig als Teil einer Einreichung der Securities and Exchange Commission (SEC) erwähnt und gibt zu, dass Hacker fünf Jahre lang Zugriff haben, was sich möglicherweise auf Millionen von Mobiltelefonnutzern weltweit auswirkt.

In der Mitte einer kürzlich 837-seitigen SEC-Einreichung erwähnte das Telekommunikationsunternehmen Syniverse den Aktionären eine Datenschutzverletzung aus dem Jahr 2016, die erst Anfang dieses Jahres entdeckt wurde. Unter dem Thema, wie sich Verstöße, Datenschutzlücken und andere Schäden am IT-Betrieb auf den Geschäftsbetrieb von Syniverse auswirken könnten, räumte Syniverse den Verstoß von 2016 flapsig ein und präsentierte ihn lediglich als „Beispiel“. Aus der Einreichung (Hervorhebung ist meine):

Zum Beispiel wurde Syniverse im Mai 2021 auf den unbefugten Zugriff auf seine Betriebs- und Informationstechnologiesysteme durch eine unbekannte Person oder Organisation aufmerksam (der „Vorfall vom Mai 2021“). Prompt nachdem Syniverse den unbefugten Zugriff erkannt hatte, leitete Syniverse eine interne Untersuchung ein, benachrichtigte die Strafverfolgungsbehörden, leitete Abhilfemaßnahmen ein und nahm spezialisierte Rechtsberater und andere Incident-Response-Experten in Anspruch. Syniverse hat den Vorfall gründlich untersucht.

Die Ergebnisse der Untersuchung ergaben, dass der unbefugte Zugriff im Mai 2016begann. Die Untersuchung von Syniverse ergab, dass die Person oder Organisation bei mehreren Gelegenheiten unbefugten Zugriff auf Datenbanken in ihrem Netzwerk erhielt und dass Anmeldeinformationen, die den Zugriff auf oder von ihrer electronic Data Transfer („EDT“) -Umgebung ermöglichten, für etwa 235 ihrer Kunden kompromittiert wurden. Alle EDT-Kunden wurden benachrichtigt und ihre Anmeldeinformationen wurden zurückgesetzt oder deaktiviert, auch wenn ihre Anmeldeinformationen von dem Vorfall nicht betroffen waren. Alle Kunden, deren Anmeldeinformationen betroffen waren, wurden über diesen Umstand informiert.

Es ist nicht genau klar, wie Hacker das Syniverse-Netzwerk kompromittieren konnten, aber für die Perspektive habe ich berichtet, dass die durchschnittliche Verweildauer für die letzten Ransomware-Angriffe 13 Tage beträgt – während die Syniverse-Verletzung 5 Jahre (1825 Tage) dauerte !!! In der Einreichung wird erwähnt: „Alle Kunden, deren Anmeldeinformationen betroffen waren, wurden über diesen Umstand informiert“, was bedeutet, dass die Anmeldeinformationen kompromittiert wurden und eine seitliche Bewegung wahrscheinlich ist.

Der potenzielle Zugriff, die exfiltrierten Daten, der Missbrauch von Systemen und der angerichtete Schaden sind unkalkulierbar – trotz der Behauptungen von Syniverse, dass „es keinen Versuch gab, die unbefugte Aktivität zu monetarisieren“. Cyberforensik ist nur so gut wie die Protokollierung, die existiert und ob der Bedrohungsakteur daran gearbeitet hat, seine Spur zu löschen.

Dieser Angriff ist eine Erinnerung daran, dass die beste Position bei einer Datenschutzverletzung darin besteht, so gut geschützt zu sein, dass die Verletzung nie auftritt. Und da das IT-Team von Syniverse 5 Jahre gebraucht hat, um den Angriff überhaupt zu identifizieren, ist es auch eine Erinnerung daran, dass Ihre Sicherheitsstrategie neben Prävention und Schutz auch Erkennung und Behebung umfassen muss.

Neuer James Bond Film ist Cyberkriminelle Shiniest Phishbait

Cyberkriminelle nutzen den neuen James-Bond-Film No Time to DiealsPhishbait, berichtet der National. Forscher von Kaspersky warnen davor, dass bösartige Anzeigen und  Phishing-Websites  fälschlicherweise behaupten, kostenlosen Zugriff auf den vollständigen Film anzubieten. Die Websites zeigen den Anfang des Films an und fordern die Benutzer dann auf, ihre Kreditkarteninformationen einzugeben, um die Wiedergabe fortzusetzen.

„Wenn Benutzer eine Website besuchen, in der Hoffnung, den lang erwarteten No Time to Die-Film zu  sehen, werden sie aufgefordert, ihre Daten zu registrieren, nachdem sie die ersten Minuten des neuesten Films gesehen haben“, sagt The National. „Während der Registrierung müssten die Opfer ihre Kreditkarteninformationen eingeben. Nach Abschluss der Registrierung kann der Benutzer jedoch möglicherweise nicht mehr weiterschauen. Das Geld wird von ihrer Karte abgebucht und die Zahlungsdaten landen in den Händen des Betrügers.“

Tatyana Shcherbakova, Sicherheitsexpertin bei Kaspersky, erklärte, dass Phishing-Kampagnen häufig beliebte Filmveröffentlichungen als Phishing-Material verwenden.

„Mit den Premieren neuer Filme und TV-Serien, die online gehen, hat dies das Interesse nicht nur bei Cinephilen, sondern auch bei Betrügern und Betrügern geweckt. Unweigerlich sorgt eine so lang erwartete Premiere wie ‚No Time to Die‘ für Aufsehen“, sagte Shcherbakova. „Benutzer sollten auf die von ihnen besuchten Seiten achten, keine Dateien von nicht verifizierten Websites herunterladen und vorsichtig sein, mit wem sie persönliche Informationen teilen.“

The National bietet die folgenden Empfehlungen, um Benutzern zu helfen, nicht auf diese Angriffe hereinzufallen:

  1. „Vermeiden Sie Links, die eine frühe Betrachtung von Filmen oder TV-Serien versprechen. Wenn Sie Zweifel an der Authentizität des Inhalts haben, wenden Sie sich an Ihren Dienstanbieter.
  2. „Überprüfen Sie die Authentizität der Website, bevor Sie persönliche Daten eingeben. Verwenden Sie nur offizielle, vertrauenswürdige Webseiten, um Filme anzusehen oder herunterzuladen.
  3. „Achten Sie auf die Erweiterungen der Dateien, die Sie herunterladen, und überprüfen Sie die Schreibweise des Firmennamens.
  4. „Verwenden Sie eine zuverlässige Sicherheitslösung, die bösartige Anhänge identifiziert und Phishing-Websites blockiert.“

Sicherheitsschulungen der neuen Schule können Ihren Mitarbeitern beibringen, Best Practices für die Sicherheit zu befolgen, damit sie Social-Engineering-Angriffe vereiteln können.

The National hat die Geschichte.

WAS IST XDR (EXTENDED DETECTION AND RESPONSE)?

ReliaQuest hat vor einiger Zeit einen guten Artikel veröffentlicht, der XDR schnell definiert und was es für Sie tun kann. Dies kann Ihnen etwas Zeit sparen und Sie auf dem neuesten Stand der Sicherheitsebene machen.

XDR steht für Extended Detection and Response und ist eine plattformübergreifende Strategie zur Erkennung und Reaktion auf Bedrohungen. XDR ist eine neue Kategorie, die in der Welt der Cybersicherheit einen großen Hype ausgelöst hat, und das aus gutem Grund: Zu ihren Markenzeichen gehören die Zentralisierung normalisierter Daten, die Korrelation von Sicherheitsdaten und Warnungen zu Vorfällen sowie die automatisierte Datensortierung und -analyse.

XDR VS. EDR UND SOAR

Traditionellere Cybersicherheitsmethoden wie Endpoint Detection and Response (EDR) und Security Orchestration, Automation and Response (SOAR) beinhalten im Allgemeinen reaktive Ansätze für erkannte Bedrohungen. Die schiere Menge an Sicherheitswarnungen, die von EDRs und SOARs bereitgestellt werden, die aus SIEM-Daten abgeleitet werden, führt häufig zu Burnout des Sicherheitsteams und zu mehr Zeitaufwand für die Optimierung von Tools, um Fehlalarme zu vermeiden, als zur Verwaltung der Bedrohungsreaktion.

EDR, NDR, MDR, XDR: Es kommt immer noch auf erkennungs- und reaktions- >

XDR hingegen ermöglicht einen proaktiven Ansatz, indem es Transparenz über Clouds, Endpunkte und Netzwerke hinweg in Daten bietet und gleichzeitig Automatisierung einsetzt und Analysen zur Bewältigung von Bedrohungen einsetzt. Durch die automatische Gruppierung von Aktivitäten mit geringerer Luftfeuchtigkeit in einzelne Ereignisse mit höherer Luftfeuchtigkeit werden weniger Warnungen für Aktionen priorisiert, wodurch das Sicherheitsteam für dringendere Aktionen frei wird.

DIE VORTEILE VON XDR

Während traditionellere Sicherheitsprogramme Daten aus der Perspektive einer bestimmten Funktion sammeln und bereitstellen, bietet XDR Zugriff auf einen vollständigen Data Lake von Aktivitäten – einschließlich Erkennungen, Metadaten, Telemetrie, NetFlow usw. – über eine Vielzahl von einzelnen Sicherheitsprogrammen. Und während die Datenanalyse umfassender ist, werden die Bedrohungswarnungen verfeinert und fokussiert, um eine Überlastung der Reaktionen zu verhindern. Das erleichtert die Analyse und bedeutet weniger Fehlalarme.

XDR VS. XDR ÖFFNEN

Während XDR in der Welt der Cybersicherheit und Der Reaktion auf Bedrohungen ein Schritt nach vorne ist, leidet es immer noch unter herstellerbasierten Einschränkungen. Einfach ausgedrückt sind XDR-Plattformen im Allgemeinen auf die Arbeit mit Produkten derselben Marke beschränkt, und jedes XDR-Tool ist auf die Perspektive seiner Schöpfer abgestimmt.

Als herstellerunabhängige Alternative verfolgt ReliaQuest GreyMatter einen offenen Ansatz für XDR,der als Klebstoff für mehrere XDR-Plattformen arbeitet und sie vereinheitlicht, um Ihr Netzwerk vor Bedrohungen aller Formen und Größen zu schützen.

Erfahren Sie mehr über den Open XDR-Ansatz bei Reliaquest:

Google Ads missbraucht, um Malware zu verbreiten

Cyberkriminelle verwenden bösartige Google Ads, um den Banking-Trojaner ZLoader auszuliefern, berichtet ZDNet. Forscher von Microsoft erklärten auf Twitter, dass Angreifer Google Ads kaufen, die auf kompromittierte Websites verweisen, und den Benutzer dann auf eine bösartige Website umleiten, die die Malware liefert. Die Kriminellen verwenden die Anzeigen, um Personen anzusprechen, die Google nach bestimmten Keywords durchsuchen.

„Bei der Analyse von ZLoader-Kampagnen Anfang September haben wir eine bemerkenswerte Verschiebung der Zustellmethode beobachtet: von den traditionellen E-Mail-Kampagnen zum Missbrauch von Online-Werbeplattformen“, sagte Microsoft. Angreifer kauften Anzeigen, die auf Websites verweisen, auf denen Malware gehostet wird, die sich als legitime Installationsprogramme ausgibt.“

Die Angreifer registrierten auch eine gefälschte Firma, um die Malware-Dateien kryptografisch zu signieren, wodurch sie für Antivirenprodukte eher gutartig erscheinen.

„Zusätzlich zur Erstellung bösartiger Installationsprogramme erforderte diese Verschiebung der Bereitstellungsmethode, um ein betrügerisches Unternehmen zu registrieren, damit es die bösartigen Dateien signieren kann“, sagte Microsoft. „Diese Dateien geben vor, legitime Apps zu installieren, liefern aber stattdessen ZLoader, der Zugriff auf ein betroffenes Gerät bietet.“

ZLoader ist ein Remote-Access-Trojaner, der als erstes Standbein für zusätzliche Malware, einschließlich Ransomware,dient.

„Die Betreiber dieser Kampagne können diesen Zugang dann an andere Angreifer verkaufen, die ihn für ihre eigenen Ziele nutzen können, wie z.B. den Einsatz von Cobalt Strike oder sogar Ransomware“, sagte Microsoft.

ZDNet stellt fest, dass die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) letzte Woche gewarnt hat, dass ZLoader zur Verbreitung von Conti-Ransomware verwendet wird.

„[CISA] und das Federal Bureau of Investigation (FBI) haben den verstärkten Einsatz von Conti-Ransomware bei mehr als 400 Angriffen auf US-amerikanische und internationale Organisationen beobachtet“, erklärte CISA. „Bei typischen Conti-Ransomware-Angriffen stehlen böswillige Cyberakteure Dateien, verschlüsseln Server und Workstations und verlangen eine Lösegeldzahlung.“

Sicherheitsschulungen der neuen Schule können Ihren Mitarbeitern ein gesundes Gefühl des Misstrauens vermitteln, damit sie nicht auf diese Art von Angriffen hereinfallen.

ZDNet hat die Geschichte.

Neue Taktik: Verkürzte LinkedIn-URLs werden jetzt als Phishing-Hooks verwendet

Betrüger verwenden verkürzte LinkedIn-URLs, um Phishing-Links zu verschleiern, so Jeremy Fuchs von Avanan. LinkedIn verkürzt automatisch Links, die länger als 26 Zeichen sind. Die URL wird zu einem „lnkd.in“-Link verkürzt, gefolgt von mehreren Zeichen. Angreifer missbrauchen diese Funktion, um die Erkennung durch Benutzer und Sicherheitsfilter zu vermeiden.

Avanan entdeckte eine Phishing-E-Mail, in der es heißt: „Guten Tag. Wir haben ein allgemeines Upgrade unserer neuen Systemdaten für 2021, und wir werden Ihre Hilfe benötigen, um die fehlenden Informationen unten zu korrigieren, damit wir einen genaueren und zuverlässigeren Service bieten können.“ Ironischerweise enthält der untere Rand der E-Mail eine Warnung, dass E-Mail-Betrug auf dem Vormarsch ist, und fordert die Benutzer auf, die Quelle zu validieren, bevor sie mit einer E-Mail interagieren.

Wenn ein Benutzer auf den verkürzten Link klickt, wird er durch mehrere Weiterleitungen weitergeleitet, bevor er auf einer Phishing-Seite landet, die ihn auffordert, eine PDF-Datei herunterzuladen. Durch die Verwendung eines verkürzten Links von einem legitimen Dienst sind Benutzer weniger wahrscheinlich misstrauisch. Die Verwendung mehrerer Weiterleitungen über harmlose Websites hilft, Sicherheitstechnologien zu täuschen, die nach Phishing-Seiten suchen.

„Diese spezielle E-Mail kann auf jeden abzielen“, sagt Fuchs. „Obwohl es sich als Standard-Credential-Harvesting- und Rechnungsschema präsentiert, kann die Verwendung einer LinkedIn-URL bedeuten, dass jeder Beruf – der Markt für LinkedIn – klicken könnte. Außerdem haben mehr Mitarbeiter Zugriff auf Rechnungs- und Rechnungsinformationen, was bedeutet, dass eine Spray-and-Pray-Kampagne effektiv sein kann. Sei es die Form „lnkd.in“ oder die https://www.linkedin[.] com/slink?code=aB-cDeF variation, die Idee ist, einen Link zu erstellen, der eine saubere Seite enthält und auf eine Phishing-Seite umleitet.“

Avanan stellt fest, dass LinkedIn zu den zehn am häufigsten als Marken bei Phishing-Angriffen bezeichnet wird, so dass Benutzer nach diesen Arten von Betrug Ausschau halten sollten. Sicherheitsschulungen der neuen Schule können Ihren Mitarbeitern ein gesundes Gefühl des Misstrauens vermitteln, damit sie nicht auf heimliche Phishing-Angriffe hereinfallen.

Avanan hat die Geschichte.