Anzeige

Anzeige

VERANSTALTUNGEN

Be CIO Summit
26.09.19 - 26.09.19
In Design Offices Frankfurt Wiesenhüttenplatz, Frankfurt am Main

3. DIGITAL MARKETING 4HEROES CONFERENCE
08.10.19 - 08.10.19
In Wien

it-sa 2019
08.10.19 - 10.10.19
In Nürnberg, Messezentrum

3. DIGITAL MARKETING 4HEROES CONFERENCE
15.10.19 - 15.10.19
In München

PM Forum 2019
22.10.19 - 23.10.19
In Nürnberg, NCC Ost

Anzeige

Anzeige

Geschenk Chef

Zur Vorweihnachtszeit verzeichnet das Sicherheitsteam von Barracuda Networks aktuell einen starken Anstieg von Geschenkgutschein-Betrug durch Social Engineering-Angriffe: Hierbei stehlen Cyberkriminelle gezielt die Identität von CEOs oder Führungskräften und weisen Angestellte an, digitale Geschenkgutscheine für die Belegschaft zu kaufen und ihnen zuzuschicken, oder erschleichen Kreditkarteninformationen.

Bei Mitarbeitergutscheinen zwischen 50 und 100 Euro führt dies in großen Unternehmen schnell zu Betrugsschäden von mehreren zehntausend Euro.

Social Engineering-Angriffe dieser Form kommen ohne bösartigen Link oder Anhang aus und sind deshalb für traditionelle E-Mail-Filter besonders schwer zu erkennen. Stattdessen verlassen sich Cyber-Kriminelle allein auf Social Engineering und Identitätsdiebstahl, um ihre Zielpersonen zu täuschen. Durch die vermeintliche Anweisung des Vorgesetzten stehen Mitarbeiter häufig unter Druck, der Anweisung besonders schnell und ohne Rückfragen nachzukommen. Im Folgenden einige Beispiele der spezifischen Angriffstaktiken sowie Tipps, wie Unternehmen sich gegen diese Form von Attacken schützen können.

Taktik 1: CEO-Identitätsdiebstahl

In diesem ersten anonymisierten Beispiel gibt sich der Angreifer als CEO des Unternehmens aus und fragt gezielt nach einigen Google Play-Geschenkkarten. Es ist möglich, dass das Unternehmen bereits den Kauf solcher Geschenkgutscheine geplant hat und der Angreifer davon weiß.

CEO-Identitätsdiebstahl

Taktik 2: Bitte um Geheimhaltung

Im zweiten Beispiel bittet der Angreifer den Empfänger, die Anfrage vertraulich zu behandeln, weil die Geschenkgutscheine als Überraschung gedacht sind. So wird vermieden, dass das Opfer mit Kollegen über die Anweisung spricht und der Angreifer möglicherweise dadurch enttarnt wird.

Bitte um Geheimhaltung

Taktik 3: Recherche nach relevanten Details

Im dritten Beispiel ist das Zielunternehmen eine multinationale Organisation. Der Angreifer scheint zu wissen, dass Geschenkgutscheine in verschiedenen Währungen benötigt werden.

Recherche nach relevanten Details

Taktik 4: Implizite Dringlichkeit

In allen Beispielen verwendet der Angreifer eine Sprache, die Dringlichkeit impliziert. Die E-Mails enthalten sogar eine Signatur, die vorgibt, dass die Nachricht von einem mobilen Gerät gesendet wurde, um diesen Eindruck zu verstärken. Zudem scheint der Angreifer zu wissen, dass die Führungskraft nicht im Büro ist. So hat das Opfer keine Möglichkeit, den Vorgesetzten persönlich zu kontaktieren, um die Anfrage zu überprüfen. Alle durch Barracuda verzeichneten Angriffe wurden von kostenlosen bekannten E-Mail-Diensten mit relativ gutem Ruf versendet.

Wie Unternehmen sich schützen können: KI-basierte Email-Security

Der effektivste Weg, diese Art Angriffe zu stoppen, ist die Verwendung einer KI-basierten E-Mail-Sicherheitslösung. Diese erlernt die spezifischen Kommunikationsmuster eines Unternehmens und kann dadurch Anomalien aufdecken. Bei den oben gezeigten Angriffen erkennt die KI-Lösung beispielsweise, dass der Angreifer keine E-Mail-Adresse verwendet, die normalerweise durch die Führungskraft genutzt wird. Ebenso erkennt das System den dringenden Handlungsaufruf und die Anweisung für eine Finanztransaktion als Warnzeichen und schlägt Alarm.

Regelmäßige Mitarbeiterschulungen und Phishing-Simulationstrainings tragen ebenfalls dazu bei, diese Art Angriffe abzuwehren. Zudem sollten Unternehmen Richtlinien zur Kontrolle und Bestätigung von Anweisungen per E-Mail für Finanztransaktionen implementieren, ob für Banküberweisungen oder Geschenkgutscheinkäufe. So können kostspielige Fehler vermieden werden.

Klaus GheriKlaus Gheri, Vice President & General Manager Network Security bei Barracuda Networks

www.barracuda.com

 

GRID LIST
DDOS Attack

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und…
Marc Schieder

Patientendaten jahrelang einsehbar: Ein Warnschuss für den Healthcare-Bereich?

Laut Recherchen des Bayerischen Rundfunks und der US-Investigativplattform ProPublica…
KI Cybersecurity

KI in der Cybersicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark…
Malware

Malware im August 2019 – König Emotet gestürzt

Check Point Research bestätigt mit dem Global Threat Index für August 2019 die Ergebnisse…
Passwörter

Sichere Passwörter – so geht’s

E-Mail-Postfächer, Soziale Netzwerke oder Online-Shops - für jedes Konto benötigen wir…
QR Code

Braucht die beliebte Pixel-Matrix ein neues Sicherheitskonzept?

QR-Codes gibt es seit 1994, doch ihr Entwickler ist besorgt und der Meinung, dass sie ein…