Cyberangriffe sind laut neuen Untersuchungen der Bank of England das größte Risiko für das britische Finanzsystem.

Finanzinstitute sind jedoch weiterhin zuversichtlich, dass sie Angriffe abwehren können, und glauben, dass sie eher unter den Auswirkungen der steigenden Inflation leiden.

Die Umfrage zu systemischen Risiken der Bank befragte 65 Führungskräfte im britischen Finanzsektor und zeigt, dass 74 % der Befragten einen Cyberangriff sowohl kurz- als auch langfristig als das höchste Risiko für den Finanzsektor betrachteten, dicht gefolgt von Inflation oder einem geopolitischen Vorfall.

Die Zahl der Befragten, die glauben, dass ihr Unternehmen einem hohen Angriffsrisiko ausgesetzt ist, stieg in diesem Jahr schnell, von 31 % in der ersten Jahreshälfte auf 62 % im zweiten. Diejenigen, die die Bedrohung für gering halten, sind um 20% auf nur 3% gesunken. Darüber hinaus glauben 83%, dass das Cyberrisiko im Finanzsektor im vergangenen Jahr zugenommen hat.

Vollständiger Artikel bei TechMonitor: https://techmonitor.ai/technology/cybersecurity/cyberattacks-bank-of-england

---

Der Benchmarking-Bericht der Phishing-Branche 2022

KnowBe4’s Phishing By Industry Benchmarking Report 2022 stellt die Ergebnisse der fünften jährlichen Studie von KnowBe4 zusammen und zeigt gefährdete Benutzer in 19 Branchen auf, die anfällig für Phishing- oder Social-Engineering-Angriffe sind. Wenn man einen Schritt weiter geht, zeigt die Forschung radikale Rückgänge beim unvorsichtigen Klicken nach 90 Tagen und 12 Monaten simulierten Phishing-Tests und Sicherheitsbewusstseinstrainings mit der KnowBe4-Plattform.

Sicherheitsforscher bei Akamai identifizieren in diesem Jahr jeden Monat durchschnittlich 13 Millionen neu beobachtete Domains (NOD), was etwa 20% der NODs entspricht, die im selben Zeitraum erstellt wurden.

In einem kürzlich veröffentlichtem Blogbeitrag diskutieren Forscher von Akamai, wie sie bösartige Domains identifizieren. Wenn man bedenkt, dass eine der Techniken, die von Cyberkriminellen verwendet werden, um eine Erkennung zu vermeiden, darin besteht, Domänen ständig zu wechseln, ist das Beobachten von NODs sinnvoll.

Laut Akamai sind NODs (sowohl böswillig als auch legitim) reichlich vorhanden; täglich erscheinen etwa 12 Millionen neue NODs, von denen knapp über 2 Millionen in DNS aufgelöst werden.

Und wir sprechen nicht über lesbare Domainnamen; laut Akamai sind die Domains eher wie die folgenden:

Quelle: Akamai

Kurz gesagt, Cyberkriminelle nutzen etwa 20% der NODs als Teil ihrer Phishing- und Social-Engineering-Angriffe und nutzen diesen ständig aktualisierten Satz von Domainnamen, um eine Erkennung als böswillig zu vermeiden.

Während die Guten – wie die Leute in Akamai – daran arbeiten, wachsam zu bleiben, denken Sie daran, dass alle Bemühungen in der Natur reaktiv sind; das heißt, die Guten können theoretisch den Bösen nicht voraus sein, da niemand weiß, was der nächste Schritt des Bösewichts ist. In der Welt der NODs besteht die Absicht also darin, Heuristikregeln (190 davon laut Akamai) zu erstellen, um einen NOD zu identifizieren, der bösartig ist.

Aber es ist immer noch möglich, dass einige NODs es durch die Überprüfung schaffen und einen Phishing-Angriff erleichtern. Dies ist einer der Gründe, warum es selbst bei wirklich starken Sicherheitstechnologien notwendig ist, Ihre Benutzer mit Security Awareness Training auszustatten, damit sie Teil Ihrer Verteidigung werden, wirklich lächerliche Domainnamen – wie die oben genannten – erkennen und die E-Mails als das sehen, was sie wirklich sind: einen Angriff.

---

Können Hacker eine E-Mail-Adresse Ihrer eigenen Domain fälschen?

Sind Sie sich bewusst, dass eines der ersten Dinge, die Hacker versuchen, ist zu sehen, ob sie die E-Mail-Adresse Ihres CEO fälschen können? Wenn sie in der Lage sind, „CEO-Betrug“ zu begehen, ist das Eindringen in Ihr Netzwerk nicht mehr sehr schwer.

Jetzt können die Cyberkriminellen einen Speer-Phishing-Angriff auf Ihr Unternehmen starten. Diese Art von Angriff ist sehr schwer zu verteidigen, es sei denn, Ihre Benutzer sind hochgradig im Sicherheitsbewusstsein geschult.

Finden Sie jetzt heraus, ob Ihre Domain gefälscht werden kann. Der Domain Spoof Test (DST) ist ein einmaliger kostenloser Service. Führen Sie diesen Test aus, damit Sie alle gefundenen Probleme mit der Mailserver-Konfiguration beheben können.

Versuchen Sie Ihre Domain zu spoofen!

Forscher von Mandiant haben eine Analyse eines Phishing-as-a-Service-Kits namens „Caffeine“ veröffentlicht, das die Messlatte für unerfahrene Cyberkriminelle weiter senkt, indem es einen öffentlich zugänglichen, benutzerfreundlichen Phishing-Service anbietet.

„Im Gegensatz zu den meisten PhaaS-Plattformen, denen Mandiant begegnet, ist Caffeine insofern etwas einzigartig, als es einen völlig offenen Registrierungsprozess bietet, der es fast jedem mit einer E-Mail ermöglicht, sich für seine Dienste zu registrieren, anstatt direkt über spezielle Kommunikationskanäle (wie Dark-Web Foren oder verschlüsselte Messaging-Dienste) zu gehen. Zusätzlich bietet Caffeine, um die Unterstützung für eine Vielzahl von Kunden zu maximieren, auch Phishing-E-Mail-Vorlagen, die für die Verwendung gegen chinesische und russische Ziele vorgesehen sind; eine sehr ungewöhnliche und bemerkenswerte Funktion der Plattform“.

Das Phishing-Kit bietet auch einen Kundendienst für unerfahrene Benutzer sowie eine einfache Benutzeroberfläche.

„Nach der Registrierung wird ein neuer Caffeinebenutzer dann auf die Hauptindexseite des Dienstes weitergeleitet, um seine Phishing-Aktivitäten zu beginnen“, schreiben die Forscher. „Es ist erwähnenswert, dass Managed Defense im Laufe seiner Untersuchung der Caffeine-Plattform beobachtete, wie die Administratoren von Caffeine mehrere wichtige Plattformverbesserungen über den Caffeine-Newsfeed ankündigten, darunter Funktionsaktualisierungen und Erweiterungen ihrer akzeptierten Kryptowährungen“.

Das Phishing-Kit erleichtert auch die Suche nach Hosting-Diensten für Phishing-Kampagnen.

„Für die meisten traditionellen Phishing-Kampagnen verwenden Phisher im Allgemeinen zwei Hauptmechanismen, um ihre bösartigen Inhalte zu hosten“, sagt Mandiant. „Sie werden in der Regel eine speziell entwickelte Webinfrastruktur nutzen, die ausschließlich zu dem Zweck eingerichtet wurde, ihre Phishing-Attacken zu erleichtern, legitime Websites und Infrastrukturen von Drittanbietern zu nutzen, die von Angreifern kompromittiert wurden, um ihre Inhalte zu hosten, oder eine Kombination aus beidem.“

Schulungen zur Sensibilisierung für die Sicherheit können es Ihren Mitarbeitern ermöglichen, Phishing- und andere Social-Engineering-Angriffe zu erkennen.

Mandiant hat die Geschichte.

---

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

• Starten Sie sofort Ihren Test für bis zu 100 Benutzer
• Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
• Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
• Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
• Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
• Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Check Point Software ist eines der weltweit bekanntesten und größten Infosec-Unternehmen. Im September 2021 erwarben sie das E-Mail-Sicherheitsunternehmen Avanan und veröffentlichten kürzlich die erste Studie von Check Point über die E-Mail-Sicherheitseffektivität von Microsoft 365 und Defender.

Der Bericht ist sehr gut und beginnt mit den Worten: „Im allgemeinen ist Microsoft 365 ein sehr sicherer Dienst. Das ist das Ergebnis einer massiven und kontinuierlichen Investition von Microsoft. Tatsächlich ist es einer der sichersten SaaS-Dienste auf dem Markt. Dieser Bericht weist auf nichts anderes hin.“

Was dieser Bericht bemerkt, ist die Herausforderung für Microsoft. Als Standardsicherheit für die meisten Organisationen betrachten viele Hacker E-Mail und Microsoft 365 als ihre ersten Kompromisspunkte. Ein gutes Beispiel dafür, wie Hacker sich auf Microsoft 365 konzentrieren, ist in einer Reihe von Blogs von Microsoft, die die Versuche einer staatlich geförderten Gruppe, ihre Dienste zu kompromittieren, detailliert beschreiben.

Hacker haben ihr Spiel intensiviert

Microsoft ist der am häufigsten verwendete und zielgerichteteste E-Mail-Dienst der Welt. Nach einer gründlichen Analyse von fast drei Millionen E-Mails stellte Check Point fest, dass Microsoft Defender derzeit 18,8% der Phishing-E-Mails nicht erkennt. Ihre vorherige Analyse für 2020 ergab, dass 10,8 Prozent der Phishing-E-Mails den Posteingang erreichten, so dass die nicht erkannten Phishing-Raten von Defender um 74 Prozent gestiegen sind. Dies stellt keinen Rückgang der Microsoft-Effektivität dar, sondern eine Zunahme gezielter Angriffe, die direkt darauf abzielen, Microsoft zu umgehen. Mit anderen Worten, die Hacker haben ihr Spiel intensiviert.

Ein weiteres interessantes Ergebnis im Bericht zeigte, dass Defender sieben Prozent der Phishing-Nachrichten an den Junk-Ordner sendet, so dass der Benutzer immer noch darauf zugreifen und möglicherweise darauf klicken kann.

Es sind aber nicht alles schlechte Nachrichten

Es gibt mehrere Bereiche, in denen Defender recht gut abschneidet. Zum Beispiel fängt Defender 90 Prozent der unbekannten Malware ein, und ist auch gut darin, Angriffe zu erkennen, die DMARC fälschen. Nur 2,5 Prozent von ihnen schaffen es in den Posteingang. Es funktioniert auch ziemlich gut mit Business-E-Mail-Kompromittierung, wo nur 2 Prozent durchkommen.

Allerdings…

Wenn finanziell basierte Phishing-Angriffe speziell entwickelt wurden, um Defender zu umgehen, erkannte Defender 42 Prozent von ihnen nicht. Diese Kategorie umfasst Dinge wie gefälschte Rechnungen und Bitcoin-Überweisungen. Markenwechsel ist eine weitere beliebte Methode, mit der Hacker Defender umgehen und 22 Prozent dieser E-Mails kommen durch. 21 Prozent der Credential Harvesting-Angriffe gelangen auch in die Posteingänge der Benutzer.

Verpasste Phishing-Rate in größeren Organisationen höher

Die Rate der nicht erkannten Phishings ist in größeren Organisationen höher und erreicht zwischen 50 und 70 Prozent. Dies trotz der Mitarbeiter des Security Operations Center in großen Unternehmen, die einen großen Prozentsatz ihrer Zeit für E-Mail-Probleme aufwenden. Ein großes Unternehmen untersuchte, dass 910 Phishing-E-Mails innerhalb einer Woche gemeldet wurden, aber das IT-Team konnte nur 59 davon oder weniger als sieben Prozent beheben.

Verteidiger vs. Sichere E-Mail-Gateways

In einer anderen Studie, die 300 Millionen E-Mails analysierte, stellte Check Point fest, dass sich Microsoft im Vergleich mit der Konkurrenz im Bereich E-Mail Gateway auch gut behaupten kann. Pro 100.000 E-Mails ist die Fangrate von Phishing-E-Mails von Microsoft besser als bei einigen sicheren E-Mail-Gateways. Der Bericht vergleicht Avanan, Mimecast, Google, Proofpoint und Barracuda. Um den Bericht zu erhalten, müssen Sie sich bei Betanews registrieren (zum Artikel).

SEGs sind nur ein Teil des Bildes

Es ist wichtig zu bedenken, dass keine dieser SEGs die Phishings mit einem anderen Medium außer von E-Mail (und vielleicht webbasiertem Social Engineering mit Inhaltsfilterung) stoppt. Sie fangen keine SMS-Phishes, Voice-Call-Phishes, Social-Media-Phishes, WhatsApp-Phishes, Tailgating und so weiter ab.

Selbst wenn eine magische Lösung entstanden wäre, die das E-Mail-Phishing-Problem löst (sehr unwahrscheinlich), müssten alle Organisationen immer noch das laufende Social-Engineering-Problem bewältigen. Deshalb sollten Sie Ihre Mitarbeiter mit Security Awareness Trainings für diese Gefahren sensibilisieren.

Es ist wichtig, die Sicherheitskultur Ihres gesamten Unternehmens zu verbessern. Beginnen Sie mit dem 2022 Phishing Industry Benchmarking Report und sehen Sie, wie Sie im Vergleich zu Ihren Branchenkollegen punkten.

---

Der KnowBe4 Phishing-Benchmarking-Bericht 2022

Der Phishing By Industry Benchmarking Report 2022 stellt die Ergebnisse der fünften jährlichen Studie von KnowBe4 zusammen und zeigt gefährdete Benutzer in 19 Branchen auf, die anfällig für Phishing- oder Social-Engineering-Angriffe sind. Wenn man einen Schritt weiter geht, zeigt die Forschung radikale Rückgänge beim unvorsichtigen Klicken nach 90 Tagen und 12 Monaten simulierten Phishing-Tests und Sicherheitsbewusstseinstrainings mit der KnowBe4-Plattform.

Betrüger werden weiterhin kreativ, wenn es um aktuelle Ereignisse geht – und dieser neue Betrug ist keine Ausnahme.

Betrüger geben sich als enger Verbündeter von Wladmir Putin, Präsident Russlands, mit einer gefälschten E-Mail von Viktor Zubkov aus. Viktor Zubkov war vor über einem Jahrzehnt der 36. Premierminister Russlands. Diese Art von Betrug stützt sich auf die pro-russische Allianz des Opfers und ist als Erbbetrug konzipiert.

Hier ist ein Beispiel für eine solche E-Mail:

Quelle: Cybernews

Die Opfer erklären sich damit einverstanden, ihre Bank- und persönliche Daten mit den Cyberkriminellen zu teilen können, die in Folge ihre Konten plündern.

Dem können Sie vorbeugen, indem Sie Ihre Mitarbeiter gegen Phishingbetrug schulen.

Wenn Sie ein KnowBe4-Kunde sind gibt es bereits folgende aktuelle Phishingvorlage für Sie.

---

Fordern Sie eine Demo an: Security Awareness Training

Das Security Awareness Training der neuen Schule ist entscheidend, damit Sie und Ihre IT-Mitarbeiter mit Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. 

Dies ist kein einmaliger Deal, kontinuierliche Schulungen und simuliertes Phishing sind beide erforderlich, um Benutzer als letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der Sicherheitsbewusstseinsschulung und der simulierten Phishing-Plattform von KnowBe4 an und sehen Sie, wie einfach es sein kann!

Kontaktieren Sie uns für eine Demo!

Das deutsche Bundeskriminalamt (BKA) durchsuchte am Donnerstag, den 29. September, drei Häuser im Rahmen einer Untersuchung einer Cyberkriminellen Operation. Das BKA geht davon aus, dass die Cyberkriminellen durch den Einsatz von Phishing-Taktiken etwa 4.000.000 € von ihren Opfern ergaunert hat. Zwei Verdächtige wurden verhaftet und angeklagt; die Verhaftung der dritten Person hängt von den Ergebnissen weiterer Ermittlungen ab.

Eine Aussendung des BKA beschreibt den Phishingbetrug. Dabei wurden täuschend echte und überzeugende Mitteilungen von Banken verwendet, um die Opfer zu schädigen. In den E-Mails wurde den Opfern mitgeteilt, dass sich Änderungen am Sicherheitssystem der Bank auf ihre Konten auswirken würden und dass sie einem Link folgen sollten, um den fortgesetzten Zugriff auf ihre Konten sicherzustellen. Der Link führte zu einer täuschend echten Phishing-Seite. „Dort wurden die Phishing-Opfer gebeten, ihre Login-Daten und eine aktuelle TAN [Transaktionsnummer – eine mit einer bestimmten Transaktion verbundene Nummer] einzugeben, was es den Betrügern wiederum ermöglichte, alle Daten auf dem Konto des jeweiligen Opfers zu sehen – einschließlich der Höhe und Verfügbarkeit von Krediten.“ Ein weiteres Engagement mit den Opfern veranlasste sie, zusätzliche TANs bekannt zu geben, mit denen die Kriminellen die Gelder der Opfer abzogen.

Der Betrug ist auch auf andere Weise interessant. Zum einen verwendeten die Kriminellen Distributed Denial-of-Service (DDoS)-Angriffe auf Bank-Websites als Irreführung für ihren Betrug. Die legitimen Websites hatten unter einer eingeschränkten Verfügbarkeit gelitten, aber die Phishing-Sites blieben natürlich zugänglich. Ein weiterer interessanter Aspekt des Falls ist die angebliche Beschäftigung der Kriminellen von „anderen Cyberkriminellen, die verschiedene Formen von Cyberangriffen als „Crime-as-a-Service“ verkaufen“. Einige Details werden bis zur weiteren Untersuchung zurückgehalten.

Der Betrag, den die Kriminellen nach Aussagen des BKA gestohlen haben, beträgt 4 Millionen Euro. Dieses besondere Verbrechen scheint hauptsächlich Einzelpersonen betroffen zu haben, aber sein Umfang und sein Ansatz deuten darauf hin, dass auch Unternehmen anfällig für ähnliche Betrügereien sein könnten. Schulungen zur Sensibilisierung für Sicherheit können Ihren Mitarbeitern helfen, mit dieser und anderen Formen des Social Engineering fertig zu werden.

---

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

• Starten Sie sofort Ihren Test für bis zu 100 Benutzer
• Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
• Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
• Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
• Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
• Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Jai Vijayan, Contributing Writer bei Dark Reading, erklärt: „Es ist an der Zeit, Deepfakes als aufkommende Bedrohung wahrzunehmen. Alle Teile für weit verbreitete Angriffe sind vorhanden und stehen Cyberkriminellen, auch unerfahrenen, leicht zur Verfügung.“

Der Artikel beginnt mit einer Schlussfolgerung, die schwer zu umgehen ist. „Böswillige Kampagnen, die den Einsatz von Deepfake-Technologien beinhalten, sind viel näher, als viele vielleicht annehmen. Darüber hinaus ist es schwierig, sie zu erkennen.“

Eine neue Studie über die Verwendung und den Missbrauch von Deepfakes durch Cyberkriminelle zeigt, dass alle notwendigen Elemente für die weit verbreitete Nutzung der Technologie vorhanden und im Darkweb und offenen Foren leicht verfügbar sind. Die Studie von Trend Micro zeigt, dass viele Deepfake-fähige Phishing-, Business-E-Mail-Kompromittierung (BEC) und Werbebetrug bereits verfügbar sind und damit die Bedrohungslandschaft schnell umgestalten.

Keine hypothetische Bedrohung mehr

„Aus hypothetischen und Proof-of-Concept-Bedrohungen ist jetzt die Phase eingetreten, in der unerfahrene Kriminelle in der Lage sind, solche Technologien zu verwenden“, sagt Vladimir Kropotov, Sicherheitsforscher bei Trend Micro und Hauptautor eines Berichts über das Thema, das der Sicherheitsanbieter diese Woche veröffentlicht hat.

Sofortige Verfügbarkeit von Werkzeugen

Eine der wichtigsten Erkenntnisse aus der Studie von Trend Micro ist die schnelle Verfügbarkeit von Tools, Bildern und Videos zur Generierung von Deepfakes. Der Sicherheitsanbieter stellte beispielsweise fest, dass mehrere Foren, einschließlich GitHub, jedem, der es wünscht, Quellcode für die Entwicklung von Deepfakes anbieten.

In vielen Diskussionsgruppen fand Trend Micro, dass Benutzer aktiv Möglichkeiten diskutierten, Deepfakes zu verwenden, um Bank- und andere Kontoüberprüfungskontrollen zu umgehen – insbesondere solche, die Video- und persönliche Verifizierungsmethoden beinhalten.

Deepfake-Erkennung jetzt schwieriger

Unterdessen haben Entwicklungen in Technologien wie KI-basierten Generative Adversarial Networks (GANs) die Deepfake-Erkennung erschwert. „Das bedeutet, dass wir uns nicht auf Inhalte verlassen können, die „Artefakt“-Hinweise enthalten, dass es Änderungen gegeben hat“, sagt Lou Steinberg, Mitbegründer und geschäftsführender Gesellschafter von CTM Insights.

Drei Bedrohungskategorien

Steinberg sagt, dass Deepfake-Bedrohungen in drei große Kategorien fallen.

1. Die erste sind Desinformationskampagnen, bei denen hauptsächlich Änderungen an legitimen Inhalten vorgenommen werden, um die Bedeutung zu ändern. Als Beispiel weist Steinberg darauf hin, dass nationalstaatliche Schauspieler gefälschte Nachrichtenbilder und Videos in sozialen Medien verwenden oder jemanden in ein Foto einfügen, das ursprünglich nicht vorhanden war – etwas, das oft für Dinge wie implizite Produktempfehlungen oder Rachepornos verwendet wird.
2. Eine andere Kategorie beinhaltet subtile Änderungen an Bildern, Logos und anderen Inhalten, um automatisierte Erkennungstools zu umgehen, wie sie zur Erkennung von Knockoff-Produktlogos, Bildern, die in Phishing-Kampagnen verwendet werden, oder sogar Tools zur Erkennung von Kinderpornografie verwendet werden.
3. Die dritte Kategorie umfasst synthetische oder zusammengesetzte Deepfakes, die aus einer Sammlung von Originalen abgeleitet sind, um etwas völlig Neues zu schaffen, sagt Steinberg.

Vollständiger DARKReading-Artikel hier mit Links zu zahlreichen Quellen und Beispielen: https://www.darkreading.com/threat-intelligence/threat-landscape-deepfake-cyberattacks-are-here

---

Fordern Sie eine Demo an: Security Awareness Training

Das Security Awareness Training der neuen Schule ist entscheidend, damit Sie und Ihre IT-Mitarbeiter mit Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. 

Dies ist kein einmaliger Deal, kontinuierliche Schulungen und simuliertes Phishing sind beide erforderlich, um Benutzer als letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der Sicherheitsbewusstseinsschulung und der simulierten Phishing-Plattform an und sehen Sie, wie einfach es sein kann!

Kontaktieren Sie uns für eine Demo!

Reaktionsbasierte Angriffe steigern sich enorm – sowohl nach Anzahl als auch nach Anteil am Volumen mit anderen Arten von Phishing-Betrug – und sind auf dem höchsten Stand seit 2020 und wachsen weiter.

Trotz des großen Fokus auf den Diebstahl von Anmeldeinformationen tendieren Cyberkriminelle zu reaktionsbasierten Betrügereien – bei denen der Betrug darauf beruht, dass der Benutzer über einen vom Betrüger gewählten Kommunikationskanal reagiert. Wir haben Beispiele für diese Art von Phishing-Angriffen gesehen, die Chatbots, WhatsApp und sogar Telefonanrufe genutzt haben, um Glaubwürdigkeit zu schaffen und die Kontrolle über das Gespräch zu übernehmen.

Neue Daten von Agari und Phish Labs in ihrem Quartalsbericht über Bedrohungstrends und Nachrichtendienste für August 2022 zeigen, dass reaktionsbasierte Betrügereien auf dem Vormarsch sind und für 41 % der Bedrohungen verantwortlich sind, die auf Unternehmensposteingänge abzielen. Während sie immer noch hinter Angriffen auf Anmeldeinformationendiebstahl zurückbleiben, haben Reaktionsfälle in den letzten zwei Jahren ein kontinuierliches Wachstum erlebt.

Laut dem Bericht können die reaktionsbasierten Betrügereien in die folgenden Arten unterteilt werden:

• Vorschussbetrug – 54%
• Vishing – 25%
• Geschäfts-E-Mail-Kompromiss – 16%
• Jobbetrug – 4,8%
• Technischer Support – 0,2%

Von diesen ist das Vishing gegenüber dem ersten Quartal des Vorjahres um über 625% gestiegen und hat im Laufe des vergangenen Jahres stetig zugenommen.

Man sollte sollte noch einmal betonen, dass sich diese Betrügereien alle auf Geschäftsanwender konzentrieren und laut dem Bericht Malware wie Emotet, QBot, SnakeKeyLogger enthalten können.

Das Wachstum von Reaktionsbetrug bedeutet, dass Bedrohungsakteure kontinuierlichen Erfolg verzeichnen – was wiederum bedeutet, dass die Benutzer reagieren. Um Ihre Benutzer daran zu hindern, zu antworten, ist es wichtig, dass Sie sie für ein kontinuierliches Sicherheitsbewusstseinstraining anmelden, um ihnen beizubringen, diese Betrügereien zu erkennen, bevor sie auf sie reagieren.

---

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

• Starten Sie sofort Ihren Test für bis zu 100 Benutzer
• Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
• Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
• Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
• Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
• Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Forscher von SentinelOne haben davor gewarnt, dass Nordkoreas Lazarus Group gefälschte Crypto.com-Stellenangebote verwendet, um macOS-Malware zu verbreiten. Die Forscher sind sich nicht sicher, wie die Köder verteilt werden, aber sie vermuten, dass die Angreifer Speer-Phishing-Nachrichten auf LinkedIn senden. SentinelOne stellt fest, dass diese Kampagne „die Ziele von Nutzern von Krypto-Börseplattformen auf ihre Mitarbeiter auszudehnen scheint, was möglicherweise eine gemeinsame Anstrengung sein kann, sowohl Spionage als auch Kryptowährungsdiebstahl durchzuführen“.

„Im August“, heißt es im Bericht von SentinelOne, „erkannten Forscher bei ESET eine Instanz von Operation In(ter)ception mit Ködern für offene Stellen auf der Kryptowährungsbörsenplattform Coinbase, um macOS-Benutzer mit Malware zu infizieren. In den letzten Tagen hat SentinelOne eine weitere Variante in derselben Kampagne gesehen, die Köder für offene Positionen an der rivalisierenden Börse Crypto.com verwendet.

„Die Kampagne scheint eine Art Zweier für Pjöngjang darzustellen. Einerseits soll es Kryptowährungsdiebstahl ermöglichen, und dies ist wünschenswert, um Nordkoreas chronischen Geldmangel zu beheben, der durch jahrzehntelange Sanktionen und Isolation angetrieben wird. Auf der anderen Seite ist es auch nützlich für Spionage. Sie sind daran interessiert, sowohl Benutzer als auch Mitarbeiter von Kryptowährungsbörsen zu suchen. Es gibt Kontinuität mit früheren Bemühungen, die auf Kryptowährungsbörsen abzielten, insbesondere die AppleJeus-Kampagne 2018.

So etwas haben wir schon einmal gesehen. Beachten Sie insbesondere den Missbrauch allgemein vertrauenswürdiger Plattformen wie LinkedIn, die sich an Fachleute richten. Schulungen zur Sensibilisierung für die Sicherheit können Ihren Mitarbeitern beibringen, Phishing und andere Social-Engineering-Angriffe zu erkennen. Die Welt der Kryptowährung ist vielleicht nicht (ziemlich) der Wilde Westen, aber es ist auch keine sichere Ecke des Cyberspace.

---

Lassen Sie sich nicht von Social-Media-Phishing-Angriffen hacken!

Viele Ihrer Nutzer sind auf Facebook, LinkedIn und Twitter aktiv. Cyberkriminelle nutzen diese Plattformen, um Profilinformationen Ihrer Benutzer und Ihres Unternehmens zu  sammeln, um gezielte Spear-Phishing-Kampagnen zu erstellen, um Konten zu übernehmen, den Ruf Ihres Unternehmens zu schädigen oder Zugang zu Ihrem Netzwerk zu erhalten.

Der Social-Media-Phishing-Test  ist ein kostenloses IT-Sicherheitstool, mit dem Sie feststellen können, welche Benutzer in Ihrem Unternehmen für diese Art von Phishing-Angriffen anfällig sind, die Ihre Benutzer und Ihr Unternehmen gefährden könnten.

So funktioniert der Social Media Phishing Test:

• Starten Sie sofort Ihren Test mit drei Social-Media-Phishing-Vorlagen Ihrer Wahl
• Wählen Sie die entsprechende Zielseite aus, die Ihre Benutzer nach dem Klicken sehen
• Zeigen Sie Benutzern, welche roten Flags sie übersehen haben, oder senden Sie sie an eine gefälschte Anmeldeseite
• Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Prozentsatz an Klicks und eingegebenen Daten

Hier kommen Sie zum Social Media Phishing Test!