Eine von zehn Bedrohungen schafft es immer noch bis zum Endpunkt

Trotz guter Absichten, mehrschichtiger Sicherheitsmaßnahmen und Wirksamkeitsbehauptungen von Anbietern von Sicherheitslösungen zeigen neue Daten, dass E-Mail-basierte Bedrohungen immer noch bis in den Posteingang vordringen.

Angesichts all dessen, was Ihr Unternehmen getan hat, um das Eindringen von Bedrohungen in Ihre Umgebung zu verhindern, möchten Sie glauben, dass alles gestoppt wird. Ihre Sicherheitsanbieter sagen Ihnen sicherlich, dass ihre Lösung einen sehr hohen Prozentsatz von Angriffen stoppt – wahrscheinlich im 99-Punkte-Bereich. Und die von Ihnen implementierte mehrschichtige Verteidigung ist darauf ausgelegt, Angriffe aus verschiedenen Richtungen abzuwehren, wodurch Sie eine erhöhte Chance haben, einen Angriff zu stoppen, bevor er Schaden anrichtet.

Aber neue Daten von Acronis in ihrem End-of-Year Cyberthreats Report zeigen, dass 11,7 % aller Angriffe immer noch den Endpunkt erreichen. Dies ist eine Steigerung von fast 11 % gegenüber dem Vorquartal – was bedeutet, dass Bedrohungsakteure immer besser darin werden, der Erkennung zu entgehen und die bösartige Natur ihrer E-Mails zu verschleiern.

Ein Teil dieses „Erfolgs“ kann auf die kurze Lebensdauer einer bestimmten Malware zurückzuführen sein – laut dem Bericht:

Die durchschnittliche Lebensdauer von Malware-Samples im November 2022 betrug 1,7 Tage, danach verschwand eine Bedrohung und wurde nie wieder gesehen . Im zweiten Quartal 2022 lag diese Zahl bei 2,3 Tagen, was zeigt, dass Malware heute noch kurzlebiger ist, da Angreifer die Automatisierung nutzen, um neue und personalisierte Malware mit einer Häufigkeit zu erstellen, die die herkömmliche signaturbasierte Erkennung übertrifft. 74 % der beobachteten Proben wurden nur einmal in unserem Kundenstamm gesehen.

Mit diesen neu gewonnenen Daten sollte es offensichtlich sein, dass Sie damit rechnen sollten, dass bösartige E-Mails ihren Weg an Ihren Sicherheitslösungen vorbei finden werden, was es absolut notwendig macht, dass Ihre Benutzer eine Rolle bei der Unternehmenssicherheit spielen, indem sie bei der Interaktion mit E-Mails und dem Internet wachsam sind web – etwas, das durch kontinuierliche Schulungen zum Sicherheitsbewusstsein gelehrt wird .

Die weltweit größte Bibliothek mit Schulungsinhalten zum Sicherheitsbewusstsein ist jetzt nur noch einen Klick entfernt!

In Ihrem Kampf gegen Phishing und Social Engineering können Sie jetzt die simulierte Phishing-Plattform in Kombination mit der weltweit größten Bibliothek mit Schulungsinhalten für das Sicherheitsbewusstsein einsetzen. Einschließlich über 1000 interaktiver Module, Videos, Spiele, Poster und Newsletter.

Sie können jetzt auf KnowBe4’s neues ModStore-Vorschauportal zugreifen , um die vollständige Bibliothek mit Inhalten zur Sensibilisierung für Sicherheit anzuzeigen. Sie können nach Titel, Kategorie, Sprache oder Inhaltsthemen suchen.

Die ModStore-Vorschau beinhaltet:

  • Interaktive Trainingsmodule
  • Videos
  • Trivia-Spiele
  • Plakate und Kunstwerke
  • Newsletter und mehr!

Starten Sie Ihre Vorschau

Der Finanz- und Versicherungssektor ist der Sektor, der 2022 am stärksten von Datenschutzverletzungen betroffen ist

Die Analyse der Verstöße des Jahres zeigt, dass Finanz- und Versicherungsunternehmen am stärksten betroffen sind und infolgedessen eine erhebliche Anzahl von Daten verloren haben.

Es macht Sinn, dass Bedrohungsakteure „hingehen wollen, wo das Geld ist“. Die Daten in der Finanz- und Versicherungsbranche können Bankinformationen, Kontostände und den Zugriff darauf enthalten. Der Wert davon ist unermesslich mehr als nur ein gestohlener Benutzername und ein gestohlenes Passwort, da es einen finanziellen Zusammenhang mit den Daten selbst gibt. Es macht also Sinn, dass dieser Industriesektor „wo das Geld ist“ und daher ein größeres Ziel für Bedrohungsakteure ist.

Laut Year In Review: 2022 Financial Threat Landscape des Sicherheitsanbieters Flashpoint zeigt ein Querschnitt der Datenschutzverletzungen nach Branche, dass Unternehmen in der Finanz- und Versicherungsbranche am stärksten ins Visier genommen wurden:

Jahresrückblick: Finanzielle Bedrohungslandschaft 2022

Quelle: Flashpoint

Insgesamt verzeichnete Flashpoint 566 Datenschutzverletzungen mit über 254 Millionen durchgesickerten Datensätzen. Sie stellen fest, dass dieselbe Branche in Bezug auf Ransomware-Angriffe nicht an der Spitze stand – was durch den Bericht „ The State of Ransomware in Financial Services 2022 “ von Sophos bestätigt wurde , in dem nur 55% der Finanz- und Versicherungsunternehmen einen Ransomware-Angriff erlebten – a weit entfernt vom Gesamtdurchschnitt von 66% über alle Branchen hinweg.

Und da ein erheblicher Teil dieser Angriffe auf ungeschulte Mitarbeiter zurückzuführen ist, müssen Finanz- und Versicherungsunternehmen Schritte unternehmen, um sicherzustellen, dass ihre Mitarbeiter mithilfe von Schulungen zum Sicherheitsbewusstsein über Cyberangriffe, anfängliche Angriffsvektoren, Social-Engineering-Taktiken und mehr angemessen geschult werden – Alle Praktiken, die von Bedrohungsakteuren verwendet werden, die versuchen, Zugriff auf Ihre Daten, Anwendungen und Systeme zu erhalten.

Fordern Sie eine Demo an: Security Awareness Training

Das Security Awareness Training der neuen Schule ist entscheidend, damit Sie und Ihre IT-Mitarbeiter mit Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. 

Dies ist kein einmaliger Deal, kontinuierliche Schulungen und simuliertes Phishing sind beide erforderlich, um Benutzer als letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der Sicherheitsbewusstseinsschulung und der simulierten Phishing-Plattform von KnowBe4 an und sehen Sie, wie einfach es sein kann!

Kontaktieren Sie uns für eine Demo!

Die Phishing-Aktivitäten stiegen in der zweiten Hälfte des Jahres 2022 um 130%

Neue Daten, die sich auf Cyberangriffe in der zweiten Hälfte des Jahres 2022 konzentrieren, zeigen, dass Phishing die überwältigende Führung als erster Angriffsvektor einnimmt.

Wir wissen seit langem, dass Phishing-Angriffe ein primärer Angriffsvektor bei Cyberangriffen sind – es war relativ konstant in allen Coveware Quarterly Ransomware -Berichten, und es gibt die Statistik „90 Prozent aller Cyberangriffe beginnen mit einer E-Mail“, die immer wieder herumschwirrt und die niemand zu diskreditieren scheint.

Aber neue Daten aus dem End-of-Year Cyberthreats Report von Acronis zeigen, dass Phishing nicht nur führend ist; es macht große Fortschritte, um jeden anderen anfänglichen Angriffsvektor in den Schatten zu stellen.

Dem Bericht zufolge wird Phishing bei 76% aller E-Mail-basierten Erstangriffe verwendet, wobei die Zustellung von Malware per E-Mail bei 18%, einem „erweiterten Angriff“ und BEC bei 3% liegen. Phishing stieg um 31% gegenüber seiner Position in der ersten Jahreshälfte 2022 (die bei 58 % aller E-Mail-basierten Angriffe lag). Die interessante Perspektive in diesem Bericht ist, dass das massive Wachstum von Phishing den Dezember 2022 nicht einschließt – was bedeutet, dass das Wachstum noch größer sein wird!

Da Phishing weiterhin ein wachsendes Problem sein wird, bedeutet der Einsatz immer besserer Social-Engineering-Fähigkeiten seitens der Bedrohungsakteure, dass Ihre Mitarbeiter in der Lage sein müssen, verdächtige E-Mails zu erkennen, bevor sie sich mit ihnen beschäftigen. Dieses Maß an Wachsamkeit wird mithilfe von Security Awareness Training vermittelt , das dazu beiträgt, die Sicherheitshaltung eines Unternehmens zu verbessern und das Risiko eines erfolgreichen Angriffs zu verringern.

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

  • Starten Sie sofort Ihren Test für bis zu 100 Benutzer
  • Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
  • Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
  • Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
  • Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
  • Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Es gibt einen neuen Trend im Social Engineering mit einem ekelhaften Namen; „Schweineschlachtung“

Die Technik begann in der chinesischen Unterwelt und läuft auf eine ungewöhnlich langwierige Form des Social Engineering hinaus. Die Analogie ist, ein Schwein zu mästen und es dann zu schlachten. 

Es beginnt mit einem Kaltakquise, ohne dass es notwendigerweise einer anderen Vorbereitung bedarf. „Betrüger kontaktieren Personen über SMS-Textnachrichten oder andere soziale Medien, Dating- und Kommunikationsplattformen“, schreibt Wired. „Oft sagen sie einfach ‚Hallo‘ oder so etwas wie ‚Hey Josh, es hat Spaß gemacht, letzte Woche auf dem Laufenden zu bleiben!‘“

Und ein Akt der allgemeinen Höflichkeit, dem Anrufer tatsächlich mitzuteilen, dass er die falsche Nummer hat, setzt das Social Engineering in Gang. „Wenn der Empfänger antwortet, dass der Angreifer die falsche Nummer hat, nutzt der Betrüger die Gelegenheit, um ein Gespräch anzufangen und dem Opfer das Gefühl zu geben, sich mit einem neuen Freund verstanden zu haben. Nach dem Herstellen einer Beziehung wird der Angreifer die Idee einbringen, dass er viel Geld mit Kryptowährungsinvestitionen verdient hat, und dem Ziel vorschlagen, sich zu engagieren, solange es noch möglich ist.“ 

Wie jedes klassische Vertrauensspiel funktioniert das Schlachten von Schweinen, indem es eine Beziehung zum Opfer aufbaut. Dieses Verhältnis kann in Einsamkeit verwurzelt sein (viel Schweineschlachten beginnt mit dem Kontakt auf Dating-Sites) oder es kann in dem Wunsch nach finanziellem Gewinn verwurzelt sein. Dieses zweite Motiv wird oft als „Gier“ verspottet, aber das erscheint unfair – es ist meistens der Wunsch nach finanzieller Sicherheit, und die Kriminellen nutzen das Vertrauen, das die Opfer ihnen im Laufe der Zeit entgegenbringen, um sie dazu zu bringen, Gelder in Scheinfinanzdienstleistungen zu verschieben Konten, auf die die Kriminellen schließlich zugreifen, sie leeren und schließen können.

„Als nächstes lässt der Betrüger das Ziel mit einer schädlichen App oder Webplattform einrichten, die vertrauenswürdig erscheint und sich sogar als die Plattformen legitimer Finanzinstitute ausgeben kann“, erklärt Wired. „Sobald sie das Portal betreten haben, können die Opfer oft kuratierte Echtzeit-Marktdaten sehen, die das Potenzial der Investition aufzeigen sollen. Und sobald die Zielperson ihr „Anlagekonto“ finanziert, kann sie damit beginnen, zu sehen, wie ihr Guthaben „wächst“. Die bösartigen Finanzplattformen so zu gestalten, dass sie legitim und raffiniert aussehen, ist ein Markenzeichen des Schweineschlachtbetrugs, ebenso wie andere Berührungen, die die Wahrhaftigkeit erhöhen, wie Opfern einen Videoanruf mit ihrem neuen „Freund“ zu ermöglichen oder ihnen zu erlauben, ein wenig Geld abzuheben die Plattform, um sie zu beruhigen. Letzteres ist eine Taktik, die Betrüger auch in traditionellen Schneeballsystemen anwenden.“

Die öffentliche Bildung gilt weithin als Schlüssel zur Kontrolle des Schlachtens von Schweinen. „Wenn die Leute die verräterischen Anzeichen kennen und die Konzepte verstehen, die den Betrügereien zugrunde liegen, ist es weniger wahrscheinlich, dass sie verstrickt werden“, schreibt Wired. „Die Herausforderung, sagen sie, besteht darin, die breite Öffentlichkeit zu erreichen und Menschen, die etwas über das Schlachten von Schweinen lernen, dazu zu bringen, die Informationen an andere in ihren Familien und sozialen Kreisen weiterzugeben.“ Wenn es also um die Abwehr von Social Engineering geht, kann hier wie anderswo ein neues Sicherheitsbewusstseinstraining dazu beitragen, die Menschen davor zu schützen, auf den Betrug hereinzufallen. (Und wenn Sie diese Schulung erhalten haben, geben Sie die Warnungen an Ihre Familie und Freunde weiter.)

Wired hat die Geschichte .

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

  • Starten Sie sofort Ihren Test für bis zu 100 Benutzer
  • Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
  • Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
  • Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
  • Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
  • Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Riesiger LastPass-Datenhack kann Spear-Phishing-Angriffe beschleunigen

LastPass, einer der weltweit beliebtesten Passwort-Manager, hatte kürzlich eine schwere Datenschutzverletzung, wie LastPass selbst berichtet: https://blog.lastpass.com/2022/12/notice-of-recent-securityincident/.

LastPass gab bekannt, dass, obwohl nicht auf die Klartext-Passwörter der Benutzer zugegriffen wurde, die Hacker die folgenden Informationen erhielten:

  • Website-URLs für die gespeicherten Passwörter des Benutzers
  • Endnutzernamen
  • Rechnungsadressen
  • E-Mailadressen
  • Telefonnummern
  • Firmennamen
  • IP-Adressen, von denen aus Kunden auf den LastPass-Dienst zugegriffen haben.

Die Hacker erhielten auch verschlüsselte Passwörter von LastPass-Benutzern für jede gespeicherte Anmeldung. Der Verschlüsselungsschutz ist stark, SOLANGE das für LastPass verwendete Master-Passwort stark war. Zusammenfassend lässt sich sagen, dass Ihr LastPass-Passwort mindestens 12 Zeichen lang sein sollte (der aktuelle LastPass-Standard), etwas komplex und kein leicht zu erratendes Passwort ist und nicht auf einer anderen Website oder einem anderen Dienst verwendet wird. Wenn nicht, müssen Sie sofort alle Ihre Passwörter ändern, sowohl das LastPass-Masterpasswort als auch alle Passwörter, die Sie in LastPass gespeichert haben.

Die gestohlenen Klartextinformationen (siehe oben) sind jedoch unglaublich nützlich für jeden Hacker, der Social Engineering und Phishing Angriffe durchführt . Es ermöglicht einem Angreifer, ein potenzielles Opfer unter Verwendung von Informationen, die der allgemeinen Öffentlichkeit und anderen Hackern nicht bekannt sind, gezielt anzugreifen (z. B. Spear-Phishing). Beispielsweise kann ein Phisher mit einer Liste der Websites, auf denen sich jemand anmeldet, bestimmte Phishing-E-Mails erstellen, die vorgeben, von dieser Website zu stammen. Es könnte den Namen, die Telefonnummer und die Postanschrift des Benutzers enthalten. Jedes hinzugefügte Detail verstärkt den Schleier falscher Legitimität einer Social-Engineering-E-Mail. Jedes enthaltene Detail erhöht den Prozentsatz der Menschen, die Opfer werden.

Die Kenntnis der Telefonnummern von Personen und deren Websites eröffnet eine Möglichkeit für einen gefälschten Anruf beim technischen Support. Postanschriften können ausgeklügelte Betrügereien per Post ermöglichen. Hier ist ein dreistes Beispiel für einen solchen Betrug: https://www.nasdaq.com/articles/inside-the-scam%3A-victims-of-ledger-hack-are-receiving-fake-hardware-wallets-2021-06 -17 . Die Arten von Spear-Phishing-Betrug, die mit den bei der LastPass-Verletzung gestohlenen Informationen erstellt und übermittelt werden können, sind grenzenlos.

Ein großes Lob an LastPass dafür, dass sichergestellt wurde, dass die wichtigsten Benutzerinformationen, die Passwörter der Benutzer, in verschlüsseltem Zustand gespeichert wurden. Aber dieser Verstoß, wie alle anderen davor, wirft die Frage auf, welche Art von Benutzerinformationen als „kritische Informationen“ betrachtet und immer in verschlüsseltem Zustand gespeichert werden sollten oder nicht. Wenn die Informationen verwendet werden können, um Sie zu identifizieren oder zu kontaktieren, sollten sie wahrscheinlich standardmäßig verschlüsselt werden.

LastPass-Benutzer waren erleichtert, als sie erfuhren, dass ihre gespeicherten Passwörter nicht direkt kompromittiert wurden, aber welche Informationen von den Hackern gestohlen wurden, wird wahrscheinlich in den kommenden Jahren Auswirkungen auf Spear-Phishing haben.

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

  • Starten Sie sofort Ihren Test für bis zu 100 Benutzer
  • Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
  • Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
  • Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
  • Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
  • Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!