Das deutsche Bundeskriminalamt (BKA) durchsuchte am Donnerstag, den 29. September, drei Häuser im Rahmen einer Untersuchung einer Cyberkriminellen Operation. Das BKA geht davon aus, dass die Cyberkriminellen durch den Einsatz von Phishing-Taktiken etwa 4.000.000 € von ihren Opfern ergaunert hat. Zwei Verdächtige wurden verhaftet und angeklagt; die Verhaftung der dritten Person hängt von den Ergebnissen weiterer Ermittlungen ab.
Eine Aussendung des BKA beschreibt den Phishingbetrug. Dabei wurden täuschend echte und überzeugende Mitteilungen von Banken verwendet, um die Opfer zu schädigen. In den E-Mails wurde den Opfern mitgeteilt, dass sich Änderungen am Sicherheitssystem der Bank auf ihre Konten auswirken würden und dass sie einem Link folgen sollten, um den fortgesetzten Zugriff auf ihre Konten sicherzustellen. Der Link führte zu einer täuschend echten Phishing-Seite. “Dort wurden die Phishing-Opfer gebeten, ihre Login-Daten und eine aktuelle TAN [Transaktionsnummer – eine mit einer bestimmten Transaktion verbundene Nummer] einzugeben, was es den Betrügern wiederum ermöglichte, alle Daten auf dem Konto des jeweiligen Opfers zu sehen – einschließlich der Höhe und Verfügbarkeit von Krediten.” Ein weiteres Engagement mit den Opfern veranlasste sie, zusätzliche TANs bekannt zu geben, mit denen die Kriminellen die Gelder der Opfer abzogen.
Der Betrug ist auch auf andere Weise interessant. Zum einen verwendeten die Kriminellen Distributed Denial-of-Service (DDoS)-Angriffe auf Bank-Websites als Irreführung für ihren Betrug. Die legitimen Websites hatten unter einer eingeschränkten Verfügbarkeit gelitten, aber die Phishing-Sites blieben natürlich zugänglich. Ein weiterer interessanter Aspekt des Falls ist die angebliche Beschäftigung der Kriminellen von “anderen Cyberkriminellen, die verschiedene Formen von Cyberangriffen als “Crime-as-a-Service” verkaufen”. Einige Details werden bis zur weiteren Untersuchung zurückgehalten.
Der Betrag, den die Kriminellen nach Aussagen des BKA gestohlen haben, beträgt 4 Millionen Euro. Dieses besondere Verbrechen scheint hauptsächlich Einzelpersonen betroffen zu haben, aber sein Umfang und sein Ansatz deuten darauf hin, dass auch Unternehmen anfällig für ähnliche Betrügereien sein könnten. Schulungen zur Sensibilisierung für Sicherheit können Ihren Mitarbeitern helfen, mit dieser und anderen Formen des Social Engineering fertig zu werden.
Kostenloser Phishing-Sicherheitstest
Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.
Und so funktioniert’s:
- Starten Sie sofort Ihren Test für bis zu 100 Benutzer
- Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
- Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
- Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
- Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
- Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.