Diese neue Art von Social Engineering, die Opfer mit einem realistisch und legitim aussehenden gefälschten Browserfenster nutzt, um Steam-Konten zu stehlen, kann ein Zeichen für kommende Dinge sein.

Wir haben schon oft über gefälschte Marken, gefälschte Websites und gefälschte Anmeldeseiten in unzähligen Phishing-Betrug und Angriffen geschrieben. Aber dieser Angriff zeichnet sich durch einen höheren Grad an Raffinesse als alles, was Sie bisher gesehen haben und setzt möglicherweise die Messlatte für zukünftige Social-Engineering-Angriffe zurück.

Laut Sicherheitsforschern von GroupIB erscheint die neue Technik – genannt „Browser-in-the-Browser“ – wie ein neues Fenster, das für die Authentifizierung verwendet wird; nur ist sie tatsächlich Teil der ursprünglichen bösartigen Website. Im folgenden Beispiel werden den Nutzern der Spieleplattform Steam ansprechende Steam-bezogene Angebote (z. B. die Teilnahme an einem Turnier) mitgeteilt, die wahrscheinlich eine Authentifizierung bei Steam erfordern würden. Sobald Sie sich auf der Seite mit dem vermeintlichen Angebot befinden, erscheint ein neues Fenster, in dem der Benutzer aufgefordert wird, sich zu authentifizieren.

Quelle: GroupIB

Schauen Sie sich die Details im Screenshot an – was wie eine gültige URL aussieht, wird zusammen mit einem grünen Schloss im „Fenster“ platziert, das auf ein richtiges SSL-Zertifikat hinweist. Wenn Sie es nicht besser wüssten (und jetzt tun Sie es), würden Sie denken, dass es legitim ist. Was tatsächlich passiert, ist, dass es kein neues Fenster gibt; es ist nur eine sehr beeindruckend gestaltete In-Site-Seite, die Anmeldeinformationen und sogar zusätzliche „Fenster“ für Zwei-Faktor-Authentifizierungsanforderungen sammelt.

Was diesen Angriff so sehr gefährlich macht, ist sein Potenzial. Denken Sie jedes Mal daran, wenn Sie die Authentifizierung von Drittanbietern verwenden (wie Google, Facebook, Microsoft 365 oder einen anderen Cloud-basierten Verzeichnisdienst) – diese Technik könnte verwendet werden, um Benutzer dazu zu bringen, geschäftliche Anmeldeinformationen anzugeben.

Die Antwort hier ist nicht, den Benutzern zu sagen, „immer überprüfen Sie, ob es ein echtes Fenster ist“ – das ist nicht das Problem; was ein guter Rat ist (der im Rahmen des kontinuierlichen Security Awareness Training gelehrt wird), ist, sich niemals mit unerwünschten Nachrichten zu beschäftigen (ob per E-Mail, in sozialen Medien oder in der Plattform), da Cyberkrimin Möglichkeiten, Sie aus Ihren Anmeldeinformationen zu täuschen.

Fordern Sie eine Demo an: Security Awareness Training

Das Security Awareness Training der neuen Schule ist entscheidend, damit Sie und Ihre IT-Mitarbeiter mit Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen.

Dies ist kein einmaliger Deal, kontinuierliche Schulungen und simuliertes Phishing sind beide erforderlich, um Benutzer als letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der Sicherheitsbewusstseinsschulung und der simulierten Phishing-Plattform von KnowBe4 an und sehen Sie, wie einfach es sein kann!

Kontaktieren Sie uns für eine Demo!

Da der Einzelhandel die Auswirkungen von mehr Ransomware-Angriffen sieht und spürt als fast jede andere Branche, konzentriert sich ein neuer Bericht darauf, wie die Auswirkungen auf diesen Sektor aussehen … und er ist nicht gut.

Letztes Jahr schrieben wir darüber, wie der Einzelhandel nicht auf Social-Engineering-Angriffe vorbereitet war – eine Schlüsselkomponente bei Phishing-Angriffen, die als anfänglicher Angriffsvektor für Ransomware verwendet wurden. Es scheint, dass die Vorhersagen, die in den damals vorgelegten Daten gefunden wurden, zum Tragen gekommen sind, da der Bericht von Sophos über den State of Ransomware in Retail 2022 genau hervorhebt, was Organisationen im Einzelhandel im Zusammenhang mit Ransomware-Angriffen erlebt haben.

Dem Bericht zufolge ist der Prozentsatz der Einzelhandelsorganisationen, die von Ransomware (77%) betroffen sind, fast 17 % höher als der Durchschnitt in allen Branchen, was zeigt, dass Cyberkriminelle einen besonderen Schwerpunkt darauf legen. Es scheint auch, dass diese Organisationen auch zur Kenntnis genommen haben: 

• 55% geben an, dass sie ein erhöhtes Volumen an Cyberangriffen erlebt haben
• 55% geben an, dass sie eine zunehmende Komplexität von Cyberangriffen erlebt haben
• 51% geben an, dass sie eine Zunahme der Auswirkungen von Cyberangriffen erlebt haben.

Das sind definitiv keine guten Nachrichten. Und aus dem Aussehen der Daten, die sich auf die Auswirkungen dieser Ransomware-Angriffe auf den Einzelhandel konzentrierten, spürten sie auch die Auswirkungen:

• 92% der Einzelhandelsunternehmen gaben an, dass der Ransomware-Angriff ihre Fähigkeit zum Betrieb beeinträchtigte
• 89% gaben an, dass es Auswirkungen auf ihre Einnahmen hatte
• Die durchschnittlichen Kosten für die Behebung eines Angriffs im Einzelhandel betrugen 1,27 Millionen Dollar
• Der Prozentsatz der Unternehmen, die alle ihre Daten zurückerhalten haben, nachdem sie das Lösegeld bezahlt hatten, sank auf nur 5%, verglichen mit 9% im Vorjahr.

Alles in allem hatte der Einzelhandel kein gutes Jahr. Mehr Angriffe, höhere Kosten, beeinträchtigte Operationen und geringere Einnahmen. Vielleicht gibt es noch etwas Wahrheit in meinem Artikel vom letzten Jahr – vielleicht muss sich der Einzelhandel auf das Security Awareness Training konzentrieren, um zu verhindern, dass Social Engineering- und Phishing-Betrug an Halt gewinnt und als Ausgangspunkt für Ransomware-Angriffe fungiert.

Kostenloses Ransomware-Simulator-Tool

Bedrohungsakteure kommen ständig mit neuen Varianten heraus, um der Erkennung zu entgehen. Blockiert Ihr Netzwerk effektiv alle von ihnen, wenn Mitarbeiter auf Social-Engineering-Angriffe hereinfallen?

„RanSim“ von KnowBe4 gibt Ihnen einen schnellen Einblick in die Wirksamkeit Ihres bestehenden Netzwerkschutzes. RanSim simuliert 22 Ransomware-Infektionsszenarien und 1 Kryptomining-Infektionsszenario und zeigt Ihnen, ob eine Workstation anfällig ist.

Und so funktioniert’s:

• 100% harmlose Simulation von echten Ransomware- und Cryptomining-Infektionen
• Verwendet keine eigenen Dateien
• Testet 23 Arten von Infektionsszenarien
• Laden Sie einfach die Installation herunter und führen Sie sie aus
• Ergebnisse in wenigen Minuten!

Hier kommen Sie zum Ransomeware Simulator

GitHub hat eine Warnung vor einer Phishing-Kampagne ausgegeben, die sich an Benutzer richtet, indem es sich als das beliebte DevOps-Tool CircleCI ausgibt, berichtet BleepingComputer. Die Phishing-E-Mails informieren die Benutzer, dass sie auf einen Link klicken und sich bei ihrem GitHub-Konto anmelden müssen, um die neuen Nutzungsbedingungen von CircleCI zu überprüfen. Die Phishing-Site wurde entwickelt, um Anmeldeinformationen sowie zeitbasierte TOTP-Authentifizierungscodes (One-Time-Password) zu sammeln.

„Wenn Sie auf den Link klicken, führt der Benutzer zu einer Phishing-Site, die wie die GitHub-Anmeldeseite aussieht, aber alle eingegebenen Anmeldeinformationen stiehlt“, sagt GitHub. „Für Benutzer mit aktivierter TOTP-basierter Zwei-Faktor-Authentifizierung (2FA) leitet die Phishing-Site auch alle TOTP-Codes in Echtzeit an den Bedrohungsakteur und GitHub weiter, so dass der Bedrohungsakteur in Konten einbrechen kann, die durch TOTP-basierte 2FA geschützt sind. Konten, die durch Hardware-Sicherheitsschlüssel geschützt sind, sind nicht anfällig für diesen Angriff“.

Die Warnung beschreibt die folgenden Maßnahmen, die der Angreifer nach der Kompromittierung eines Kontos ergriffen hat:

• „Wenn der Bedrohungsakteur erfolgreich Anmeldeinformationen für GitHub-Benutzerkonten stiehlt, kann er schnell GitHub Personal Access Tokens (PATs) erstellen, OAuth-Anwendungen autorisieren oder SSH-Schlüssel zum Konto hinzufügen, um den Zugriff zu erhalten, falls der Benutzer sein Passwort ändert.
• „In vielen Fällen lädt der Bedrohungsakteur sofort private Repository-Inhalte herunter, auf die der kompromittierte Benutzer zugreifen kann, einschließlich derjenigen, die Organisationskonten und anderen Mitarbeitern gehören.
• „Der Bedrohungsakteur verwendet VPN- oder Proxy-Anbieter, um private Repository-Daten über kompromittierte Benutzerkonten herunterzuladen.
• „Wenn ein kompromittiertes Konto über Organisationsverwaltungsberechtigungen verfügt, kann der Bedrohungsakteur neue GitHub-Benutzerkonten erstellen und sie einer Organisation hinzufügen, um Persistenz herzustellen“.

CircleCI gab die folgende Erklärung zur Kampagne ab:

„CircleCI verlangt von den Benutzern nicht, sich anzumelden, um Aktualisierungen unserer Nutzungsbedingungen zu überprüfen. Darüber hinaus enthalten diese Phishing-Versuche Links, die Benutzer an circle-ci[.]com senden, das nicht im Besitz von CircleCI ist. Alle E-Mails von CircleCI sollten nur Links zu circleci.com 52 oder seinen Subdomains enthalten. Wenn Sie glauben, dass Sie oder jemand in Ihrem Team versehentlich auf einen Link in dieser E-Mail geklickt haben, drehen Sie bitte sofort Ihre Anmeldeinformationen für GitHub und CircleCI und überprüfen Sie Ihre Systeme auf nicht autorisierte Aktivitäten.“

Schulungen zur Sensibilisierung für die Sicherheit können es Ihren Mitarbeitern ermöglichen, Phishing-Versuche zu erkennen.

BleepingComputer hat die Geschichte.

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

• Starten Sie sofort Ihren Test für bis zu 100 Benutzer
• Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
• Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
• Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
• Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
• Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Neue vierteljährliche Daten der Anti-Phishing-Arbeitsgruppe zeigen eine beispiellose Phishing-Aktivität mit zunehmendem BEC, Nutzung sozialer Medien, Vishing und Smishing.

Es ist nie gut, wenn sich Phishing-Angriffe „nach oben und rechts“ bewegen. Aber genau das sehen wir im Phishing Activity Trends Report der APWG für das zweite Quartal dieses Jahres. Laut dem Bericht ist Phishing aller Art auf dem Vormarsch, wobei einige Metriken einen neuen Höchststand erreichen:

• Im zweiten Quartal gab es insgesamt 1.097.811 Phishing-Angriffe – eine Vervierfachung der Angriffe pro Quartal im Vergleich zu Anfang 2020, wo APWG durchschnittlich 81.000 Angriffe in einem einzigen Monat meldete
• Im Juni gab es über 381.000 Angriffe – ein Allzeithoch seit der Gründung der Phishing Berichte
• Der durchschnittliche BEC-Überweisungsbetrag lag knapp über 1090.000 USD – ein Anstieg von fast 20% gegenüber dem ersten Quartal
• Social-Media-basierte Bedrohungen steigen im ersten Quartal um 47 %
• Betrug auf Mobiltelefonen basierend steigt, wobei Smishing und Vishing kollektiv einen Anstieg von fast 70 Prozent gegenüber dem ersten Quartal verzeichneten.

Es ist schlimm. Wirklich schlecht.

Unternehmen, die es ernst meinen, diese Bedrohung zu stoppen, benötigen eine mehrschichtige Sicherheitsstrategie, die DNS-Schutz, Webschutz, E-Mail-Schutz, Endpunktschutz und Sicherheitsbewusstseinstraining umfasst, um sicherzustellen, dass entweder nichts Bösartiges eintritt, und – wenn dies der Fall ist – Benutzer geschult werden, dieses zu erkennen und in die Lage versetzt, das sofort zu melden.

Kostenloser Phishing-Button

Wissen Ihre Benutzer, was zu tun ist, wenn sie eine Phishing-E-Mail erhalten? Der Phishing-Button von KnowBe4 bietet Ihren Benutzern eine sichere Möglichkeit, E-Mail-Bedrohungen zur Analyse an Ihr Sicherheitsteam weiterzuleiten und löscht die E-Mail aus dem Posteingang des Benutzers, um eine zukünftige Exposition zu verhindern. Und das alles mit nur einem Klick! 

Vorteile des Phish Alert Button:

• Stärkt die Sicherheitskultur Ihres Unternehmens
• Benutzer können verdächtige E-Mails mit nur einem Klick melden
• Ihr Incident Response Team erhält frühe Phishing-Warnungen von Benutzern und schafft ein Netzwerk von „Sensoren“
• E-Mails werden aus dem Posteingang des Benutzers gelöscht, um eine zukünftige Exposition zu verhindern
• Einfache Bereitstellung über MSI-Datei für Outlook, G Suite-Bereitstellung für Gmail (Chrome) und Manifest-Installation für Microsoft 365

Hier können Sie den Phish Alert Button downloaden!

Das US Federal Bureau of Investigation (FBI) hat eine Warnung vor einer Zunahme von Phishing- und anderen Social Engineering–Angriffen auf Zahlungsabwickler im Gesundheitswesen herausgegeben.

„In jedem dieser Berichte verwendeten unbekannte Cyberkriminelle die öffentlich zugänglichen personenbezogenen Daten (PII) und Social-Engineering-Techniken der Mitarbeiter, um sich als Opfer auszugeben und Zugriff auf Dateien, Gesundheitsportale, Zahlungsinformationen und Websites zu erhalten“, sagt das FBI. „In einem Fall änderte der Angreifer die direkten Einzahlungsinformationen der Opfer in ein vom Angreifer kontrolliertes Bankkonto und leitete 3,1 Millionen Dollar aus den Zahlungen der Opfer um.“

Das FBI beschreibt drei erfolgreiche Social-Engineering-Angriffe gegen diese Unternehmen:

• „Im April 2022 entdeckte ein Gesundheitsunternehmen mit mehr als 175 medizinischen Anbietern einen nicht autorisierten Cyberkriminellen, der sich als Mitarbeiter ausgibt, hatte die Anweisungen des Automated Clearing House (ACH) eines seiner Zahlungsabwicklungsanbieter geändert, um Zahlungen an den Cyberkriminellen und nicht an die beabsichtigten Anbieter zu leiten. Der Cyberkriminelle hat vor der Entdeckung erfolgreich etwa 840.000 Dollar über zwei Transaktionen umgeleitet.“
• „Im Februar 2022 erhielt ein Cyberkrimineller Anmeldeinformationen von einem großen Gesundheitsunternehmen und änderte die Bankinformationen für Direkteinlagen von einem Krankenhaus in ein Verbraucherkonto des Cyberkriminellen, was zu einem Verlust von 3,1 Millionen Dollar führte. Mitte Februar 2022 verwendete ein anderer Cyberkrimineller bei einem separaten Vorfall die gleiche Methode, um etwa 700.000 Dollar zu stehlen.
• „Von Juni 2018 bis Januar 2019 zielten Cyberkriminelle auf mindestens 65 Zahlungsabwickler im Gesundheitswesen in den gesamten Vereinigten Staaten ab und haben darauf zugegriffen, um legitime Kundenbank- und Kontaktinformationen durch Konten zu ersetzen, die von den Cyberkriminellen kontrolliert werden. Ein Opfer meldete einen Verlust von etwa 1,5 Millionen Dollar. Die Cyberkriminellen verwendeten eine Kombination aus öffentlich zugänglichen PII- und Phishing-Systemen, um Zugang zu Kundenkonten zu erhalten. Unternehmen, die an der Verarbeitung und Verteilung von Zahlungen im Gesundheitswesen über Auftragsverarbeiter beteiligt sind, bleiben anfällig für eine Ausbeutung durch diese Methode.“

Schulungen zur Sensibilisierung für die Sicherheit können es Ihren Mitarbeitern ermöglichen, Social-Engineering-Angriffe zu vereiteln.

Das FBI hat die Geschichte.

Lassen Sie sich nicht von Social-Media-Phishing-Angriffen hacken!

Viele Ihrer Nutzer sind auf Facebook, LinkedIn und Twitter aktiv. Cyberkriminelle nutzen diese Plattformen, um Profilinformationen Ihrer Benutzer und Ihres Unternehmens zu  sammeln, um gezielte Spear-Phishing-Kampagnen zu erstellen, um Konten zu übernehmen, den Ruf Ihres Unternehmens zu schädigen oder Zugang zu Ihrem Netzwerk zu erhalten.

Der Social-Media-Phishing-Test  ist ein kostenloses IT-Sicherheitstool, mit dem Sie feststellen können, welche Benutzer in Ihrem Unternehmen für diese Art von Phishing-Angriffen anfällig sind, die Ihre Benutzer und Ihr Unternehmen gefährden könnten.

So funktioniert der Social Media Phishing Test:

• Starten Sie sofort Ihren Test mit drei Social-Media-Phishing-Vorlagen Ihrer Wahl
• Wählen Sie die entsprechende Zielseite aus, die Ihre Benutzer nach dem Klicken sehen
• Zeigen Sie Benutzern, welche roten Flags sie übersehen haben, oder senden Sie sie an eine gefälschte Anmeldeseite
• Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Prozentsatz an Klicks und eingegebenen Daten

Hier kommen Sie zum Social Media Phishing Test!

Es war überall in den Nachrichten, aber Eileen Yu von ZDNet war eine der ersten. — „Es wird angenommen, dass Hacker das gesamte Netzwerk von Uber bei einem Social-Engineering-Angriff durchbrochen hat, von dem ein Sicherheitsanbieter sagt, dass er umfangreicher ist als die globale Datenschutzverletzung und die Zugriffsprotokolle des Unternehmens im Jahr 2016.

Der Artikel fährt fort: „Es wurde angenommen, dass ein Hacker am Donnerstag in mehrere interne Systeme mit administrativem Zugriff auf die Cloud-Dienste von Uber, einschließlich Amazon Web Services (AWS) und Google Cloud (GCP), eingedrungen ist.

„Der Angreifer behauptet, Uber vollständig kompromittiert zu haben und zeigt Screenshots, wo er Full-Admin auf AWS und GCP ist“, schrieb Sam Curry in einem Tweet. Der Sicherheitsingenieur von Yuga Labs, der mit dem Hacker korrespondierte, fügte hinzu: „Dies ist eine totale Kompromittierung, so wie es aussieht“.

Uber hatte den Online-Zugriff auf seine internen Kommunikations- und Engineering-Systeme eingestellt, während es den Verstoß untersuchte, so ein Bericht der New York Times (NYT), der die Nachricht verbreitete. Die interne Messaging-Plattform des Unternehmens, Slack, wurde ebenfalls offline genommen.

Der Hacker, der behauptete, 18 Jahre alt zu sein, sagte NYT, er habe eine SMS an einen Uber-Mitarbeiter geschickt und konnte den Mitarbeiter davon überzeugen, ein Passwort preiszugeben, nachdem er behauptet hatte, ein IT-Mitarbeiter des Unternehmens zu sein. Der Social-Engineering-Hack ermöglichte es ihm, Ubers Systeme zu durchbrechen, wobei der Hacker die Sicherheitslage des Unternehmens als schwach bezeichnete.

Mit dem Passwort des Mitarbeiters konnte der Hacker in das interne VPN gelangen, sagte Kevin Reed, CISO von Acronis, in einem LinkedIn-Post. Der Hacker erhielt dann Zugriff auf das Unternehmensnetzwerk, fand hochprivilegierte Anmeldeinformationen für Netzwerkdateifreigaben und verwendete diese, um auf alles zuzugreifen, einschließlich Produktionssysteme, Unternehmens-EDR-Konsole (Endpoint Detection and Response) und Ubers Slack-Verwaltungsschnittstelle.“

Zitat von WIRED: „Ein unabhängiger Sicherheitsingenieur beschrieb den OneLogin-Kontozugriff, auf den der Uber-Hacker anscheinend Zugriff hatte, als „den goldenen Ticket-Jackpot“.

„Sie blitzen alles, es gibt nichts, auf das sie nicht zugreifen können“, fügte der Sicherheitsingenieur hinzu. „Es ist Disneyland. Es ist ein Blankoscheck im Süßwarenladen und Weihnachten, alles zusammen. Aber die Daten der Kundenfahrten waren nicht betroffen. OK“.

Lassen Sie das bei Ihnen nicht passieren. Trainieren Sie Ihre Benutzer.

Der vollständige Artikel ist bei ZDNet:

https://www.zdnet.com/article/uber-security-breach-looks-bad-potentially-compromitting-all-systems/

Update 17.09.2022 10:31 ausführlicher Artikel von WIRED:

https://www.wired.com/story/uber-hack-mfa-phishing/

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

• Starten Sie sofort Ihren Test für bis zu 100 Benutzer
• Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
• Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
• Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
• Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
• Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Angreifer nutzen eine legitime Website der französischen Regierung aus, um Phishing-Nachrichten zu senden, so Forscher von Vade. Die Website Pôle Emploi ist eine Karriereseite für Unternehmen, die nach Jobrekruten suchen. Die Angreifer reagieren auf Stellenausschreibungen mit gefälschten Lebensläufen, die einen Link zu einem Google-Formular enthalten, das entwickelt wurde, um Anmeldeinformationen zu sammeln.

„Das Recruiting-Unternehmen – wenn nicht wachsam – öffnet den Anhang und denkt, dass es sich um einen Lebenslauf handelt und mit bösartigen Verbindungen konfrontiert ist“, schreiben die Forscher. „Wenn sie auf die Links klicken, werden sie zu einem bösartigen Formular weitergeleitet, in der sie nach ihren Pôle Emploi-Kontoinformationen gefragt werden. Diese neue Technik ist besonders effizient, da die generierte E-Mail von legitimen Pôle Emploi-Servern, einem legitimen Absender und einer legitimen IP-Adresse stammt.“

Der gefälschte Lebenslauf weist das Opfer an, auf den Link zu klicken, um sein Konto zu sichern.

„Die Nachricht des Hackers besagt, dass der Empfänger (das Rekrutierungsunternehmen) den Anhang öffnen muss, um auf den Lebenslauf eines Bewerbers zuzugreifen“, schreiben die Forscher. „Der Hacker fügt hinzu, dass der Anhang URLs enthält, die der Empfänger öffnen muss, um das Rekrutierungskonto von Pôle Emploi zu aktualisieren und zu sichern“.

Vade stellt fest, dass das Phishing-Dokument auch entwickelt wurde, um die Multifaktor-Authentifizierungscodes der Benutzer zu stehlen.

„Die Anmeldeinformationen und der Validierungscode des Rekrutierungskontos des Zielunternehmens von Pôle Emploi werden per E-Mail von Google Docs an den Hacker gesendet“, sagt Vade. „Mit diesen Anmeldeinformationen kann der Hacker leicht auf das Pôle Emploi-Portal des Recruiting-Unternehmens zugreifen.“

Die Forscher fügen hinzu, dass der Zugriff auf diese Konten zu weiteren gezielten Angriffen innerhalb der Organisationen führen könnte.

„Die meisten Phishing-Angriffe sind darauf ausgelegt, Kontoanmeldeinformationen zu stehlen, und in diesem Fall könnte der Schaden erheblich sein“, sagt Vade. „Das Pôle Emploi-Portal enthält wahrscheinlich die persönlichen Informationen von Unternehmen und Bewerbern. Mit diesen Informationen können Hacker auf sensible Unternehmensinformationen zugreifen und persönliche Daten stehlen, die sie später an andere Hacker verkaufen können. Sie könnten auch zusätzliche Angriffe auf Benutzer mit gestohlenen Daten starten, einschließlich Phishing- und Angriffen auf Geschäfts-E-Mail-Kompromittierung.“

Schulungen zur Sensibilisierung für die Sicherheit können Ihren Mitarbeitern ein gesundes Gefühl des Misstrauens vermitteln, damit sie nicht auf Social-Engineering-Angriffe hereinfallen können.

Vade hat die Geschichte.

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

• Starten Sie sofort Ihren Test für bis zu 100 Benutzer
• Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
• Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
• Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
• Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
• Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Die Tageszeitung Sun hat gerade berichtet, dass Experten eine Warnung vor Online-Betrug in Bezug auf den Tod von Königin Elizabeth senden.

Diese Bedrohungsakteure nutzen Social-Engineering-Taktiken, indem sie gefälschte Twitter-Konten verwenden, um Tickets für die Beerdigung der verstorbenen Königin nächste Woche anzubieten. Der Link zu den Tickets führt Sie stattdessen zu einer betrügerischen Website, die nach Ihrem Bank-Login fragt. Es gibt auch einen weiteren Betrug, der durch E-Mail- und Social-Media-Betrug identifiziert wurde, den die Königin große Geldsummen für die Einnahme hinterlassen hat.

Aktuelle Ereignisse führen sehr oft zu Phishing. Daher ist es wichtig, dass Ihre Benutzer über die neuesten Phishing-Trends auf dem Laufenden bleiben. Schulungen zur Sensibilisierung für die Sicherheit können sicherstellen, dass Ihre Benutzer verdächtige Aktivitäten in ihrem täglichen Arbeitsbetrieb melden.

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

• Starten Sie sofort Ihren Test für bis zu 100 Benutzer
• Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
• Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
• Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
• Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
• Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Die niederländischen Behörden berichten, dass ein inhaftierter Betrüger eine Phishing-Operation von seiner Gefängniszelle aus durchführte, berichtet Cybernews. Der Gauner benutzte vier Mobiltelefone, um bösartige Anzeigen auf Marktplaats, einer beliebten niederländischen Kleinanzeigen-Website, zu veröffentlichen. Die Bezirksstaatsanwaltschaft Nordniederlande sagte in einer Erklärung, dass der Betrüger im Laufe weniger Monate mehr als tausend Menschen ins Visier genommen habe.

„Im Sommer 2021, wenige Monate nachdem der 23-jährige Verdächtige aus Groningen wegen groß angelegter Cyberkriminalität zu 42 Monaten Gefängnis verurteilt wurde, wurde die Staatsanwaltschaft darüber informiert, dass ein Telefon in seiner Zelle gefunden worden war“, heißt es in der Erklärung. „Diese Untersuchung zeigt, dass dieser Verdächtige in genau die gleichen Straftaten verwickelt war, für die er verurteilt wurde: Phishing und Betrug. Im selben Sommer wurde ein weiteres Gerät in der Zelle des Verdächtigen gefunden. Und kurz darauf Gerät drei, das in der Nahrung seines Vogels gefunden wurde, und einige Zeit später ein viertes Gerät. Alle Telefone, die in der Zelle des Verdächtigen gefunden werden, enthalten dasselbe: Phishing und Betrug. Auf seinem Telefon gab es mehr als 1000 Gespräche, die er auf Marktplaats führte, um die Leute dazu zu bringen, auf einen Link zu klicken.“

Die Behörden haben auch einen 22-jährigen Mann aus den Niederlanden beschuldigt, bei der Kampagne mitgeholfen zu haben.

„Der Phishing-Betrug bestand darin, Käufer auf Marktplaats dazu zu verleiten, 0,01 Euro über einen Zahlungslink zu überweisen, woraufhin die Login-Daten dieser Opfer erhalten wurden“, fuhr die Erklärung fort. „Damit war es möglich, sich auf das Bankkonto der Opfer einzuloggen, und Geld wurde abgebucht, überwiesen oder Waren wurden online bestellt. Die Form des Betrugs von „Freund im Notfall“ wurde ebenfalls angewendet, wobei Sie vorgeben, der Bekannte des Opfers über Whatsapp zu sein, woraufhin er überzeugt wird, Geld zu überweisen. Der 23-jährige Verdächtige hat auf diese Weise mindestens 16 Opfer gemacht, die dies gemeldet haben. Insgesamt wären es mehr als 34.000 Euro. Der andere beteiligte 22-jährige Mann gab dafür die notwendigen Anweisungen und Phishing-Panels, war aber auch an der Anmeldung bei den Bankkonten beteiligt.“

Schulungen zur Sensibilisierung für die Sicherheit in neuen Schulen können Ihren Mitarbeitern ein gesundes Gefühl des Misstrauens vermitteln, damit sie nicht auf Social-Engineering-Angriffe hereinfallen können. Und lassen Sie uns die Nachteile damit beschäftigen, Nummernschilder zu machen, okay?

Cybernews hat die Geschichte.

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

• Starten Sie sofort Ihren Test für bis zu 100 Benutzer
• Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
• Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
• Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
• Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
• Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Während Cyberkriminelle ihre Techniken weiterentwickeln, verlassen sie sich laut neuen Daten von Acronis weiterhin auf Phishing als die erfolgreichste bewährte Methode des ersten Angriffs.

Im gerade veröffentlichten Mid-Year Cyberthreats Report 2022 des Sicherheitsanbieters Acronis stellten sie fest, dass Phishing weiterhin als bevorzugte Methode des ersten Zugriffs des Cyberangriffs dominiert.

Inhalt des Berichts:

• 1% aller E-Mails sind böswilliger Natur
• Im zweiten Quartal stieg die Anzahl der identifizierten bösartigen URLs um 10% gegenüber dem ersten Quartal.

Details zu den bösartigen E-Mails:

• 58% von ihnen sind Phishing-bezogen
• 28% enthalten Malware
• 81% sind Teil von Phishing-Kampagnen
• Die durchschnittliche Kampagne richtet sich an 10 Organisationen.

Und das Ziel? Aus den Daten behauptet Acronis, dass durchgesickerte oder gestohlene Anmeldeinformationen die Ursache für fast die Hälfte der gemeldeten Verstöße im ersten Halbjahr 2022 waren, was deutlich macht, dass Cyberkriminelle den Wert einer Unternehmensanmeldeinformationen verstehen.

Dies sollte den Fokus der Cybersicherheit des Unternehmens deutlich darauf legen, dass seine Benutzer nicht auf Social-Engineering-Taktiken hereinfallen, die bei Phishing-Angriffen verwendet werden. Sicherheitslösungen sind ein Teil der Antwort, aber der Benutzer selbst muss über das Security Awareness Training unterrichtet werden, um eine Rolle des wachsamen Mitarbeiters zu spielen, der immer vor E-Mail- und webbasierten Angriffen auf der Hut ist, die nach seinen Anmeldeinformationen suchen.

Indem sie es dem Benutzer ermöglichen, diese Angriffe zu stoppen, reduzieren Unternehmen die Bedrohungsoberfläche erheblich und minimieren die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs jeglicher Art.

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

• Starten Sie sofort Ihren Test für bis zu 100 Benutzer
• Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
• Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
• Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
• Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
• Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!