Haben Sie Fragen zur Cyberkriminalität und wie Sie sich und Ihre Familie auch im privaten Bereich schützen können, dann schicken Sie uns ein Mail an:
security@berndorf.at
Wir unterstützen Sie gerne unkompliziert!
Das folgende reale Ereignis innerhalb der Berndorf Gruppe soll einmal mehr die Gefahr von Phishing-Mails und Logins, die ohne 2. Faktor abgesichert sind, aufzeigen.
Beachtenswert ist die Tatsache, dass Zufälle auch Security-Richtlinien leicht aushebeln können. Es wird immer klarer, dass Awareness-Schulungen im klassischen Sinn zwar ein wichtiges Instrument darstellen, wir aber ein Bewusstsein und gesundes Misstrauen entwickeln müssen.
Ein neuer Fall von Rechnungbetrug in der Gruppe - die Schritte:
1) Der Angreifer hat Zugriff auf das Mailkonto eines Kunden.
2) Eine reale Rechnung unserer Tochtergesellschaft wird abgefangen, das dazugehörige Mail im Account des Kunden wird gelöscht.
3) Auf Baiss der realen Rechnung wird eine Fälschung mit anderer Kontonummer erstellt.
4) Der Angreifer registriert eine sehr ähnliche Domain und verschickt über diese die gefakte Rechnung erneut an der Kunden...
Das Unangenehme: der Kunde hat bezahlt, aufgeflogen ist der Betrug erst nach einer Mahnung, weil kein Zahlungseingang erfolgt ist.
Wie kann man sich schützen?
Hier hilft nur die generelle Prüfung der Bankverbindungen von Kunden und Lieferanten. Bei bestehenden Geschäftsbeziehungen sollten diese ja grundsätzlich gespeichert sein, eine Überweisung auf ein unbekanntes Konto, sollte daher ohne Rückfrage nicht durchgeführt werden.
Eine neue, durchaus kreativ gestaltete, Phishingwelle hat Unternehmen der Berndorf Gruppe erreicht. Dabei mißbrauchen die Täter gekaperte O365-Mailkonten zur weiteren Verbreitung ihrer bösartigen Mails. Die Durchführung des Angriffs geht über mehrere Tage bzw. Wochen. Nach heutigem Stand der Analyse ist das eigentliche Motiv allerdings noch unklar.
Durch die Kompromittierung von Mailkonten und damit verbunden auch der mögliche Zugriff auf personenbezogene Daten, ergibt sich aber aus Sicht der betroffenen Gesellschaften auch ohne Verschlüsselungstrojaner oder Geldforderungen folgendes Schadenspotential:
- Aufwand für die Analyse und Bereinigung der betroffenen Systeme
- Imageschaden, wenn diese Mails auch Kunden und Geschäftspartner im eigenen Namen erreichen
- Meldepflicht nach DSGVO
Florian Bogner hat den gesamten Vorgang detailiert analysiert und kann hier abgerufen werden:
https://bogner.sh/2020/01/phishing-auf-der-schulter-von-riesen/
Die Unternehmensgruppe Heise wurde Mitte Mai vom Trojaner Emotet getroffen und stellt nun das gesamte Prozedere und die Aufarbeitung online zur Verfügung.
Vom Ablauf her entspricht dieser reale Fall ziemlich genau unserer Herangehensweise in den Hacking-Workshops und unterstreicht einmal mehr die nachwievor akute Gefahr durch den berühmten "falschen" Klick.
Zum Nachlesen:
https://www.heise.de/newsticker/meldung/heiseshow-Emotet-trifft-Heise-Einblicke-in-einen-Trojaner-Angriff-4439850.html
Das Video dazu:
https://podcasts.apple.com/de/podcast/heiseshow-hd-video/id1082309594
Eine neue Variante des CEO-Frauds (bereits auch innerhalb der Gruppe fast erfolgreich) ist im Umlauf. Der Betrüger bedient sich einer Methode namens Call-ID Spoofing. Diese Technik erlaubt es mit einer "fremden" Telefonnummer am Display des Angerufenen zu erscheinen (Mehr Info - www.wikipedia.at).
Zusätzlich zur Telefonnummer wurde auch die Stimme des angeblichen Auftraggebers einer Überweisung imitiert. Auch das kann neben einer "realen" Immitation (bekannt durch diverse Künstler) mittlerweile auch technisch realisiert werden.
Wir werden in Zukunft wahscheinlich noch weiter ausgefeilte Varianten dieses Betrugs sehen - allerdings können mit einer einfachen Regel auch noch so komplexe Methoden entlarvt werden:
Wechseln Sie den Kommunikationskanal und melden Sie sich aktiv beim vermeintlichen Auftraggeber - zB. durch einen Rückruf. Selbst beim Call-ID-Spoofing nehmen Sie so nicht Kontakt mit dem Betrüger sondern immer mit der richtigen Person auf.
Wikipedia: Deepfake, auch Deep Fake (von engl. Deep = tief und Fake = Fälschung) ist ein seit ca. 2017 gebräuchlicher Ausdruck für die Technik, mit Hilfe von Künstlicher Intelligenz täuschend echt wirkende Bilder oder Videos herzustellen, die nicht echt sind. Die Technik basiert auf künstlichen neuronalen Netzwerken, die die gefälschten Medien weitgehend autonom erzeugen -> Mehr auf Wikipedia
Beispiel:
https://www.mobilegeeks.de/video/deepfake-falscher-obama-beschimpft-trump/