Wie Bleeping Computer berichtete haben Hacker hochrangige Führungskräfte eines deutschen multinationalen Konzerns angegriffen. Der Konzern ist Teil einer Task Force der Regierung und des Privatsektors, und konzentriert sich auf die Beschaffung von persönlicher Schutzausrüstung (PSA).
Wie Sicherheitsforscher des IBM X-Force Incident Response and Intelligence Services (IRIS) in einem Bericht erklärten, haben die Angreifer, die hinter dieser pandemiebedingten Spear-Phishing-Kampagne stehen, bereits versucht, die Benutzerdaten von über 100 Führungskräften zu stehlen.
Die Mitglieder der betreffenden Task Force wurden von der deutschen Regierung beauftragt, ihre Expertise und Kontakte in ausländischen Märkten zu nutzen, um bei der Beschaffung von PSA wie medizinischer Ausrüstung und Mund-Nase-Gesichtsmasken zu helfen. Dies betrifft laut Aussagen der Sicherheitsforscher von IBM „insbesondere Liefer- und Beschaffungsketten in China“.
Dazu ein Kommentar von Boris Cipot, Senior Security Engineer bei der Synopsys Software Integrity Group:
„Eine globale Krise wie die Corona-Pandemie ist leider eine der besten Gelegenheiten für Angreifer, um das zu bekommen, auf das sie es abgesehen haben. Menschliche Ängste, das Gefühl der Hilflosigkeit oder auch der Wunsch, Bedürftigen zu helfen, sind ein ausgesprochen fruchtbarer Boden für Social Engineering, Phishing- oder Spear-Phishing-Angriffe. Der Unterschied zwischen üblichen Phishing-Angriffen und Spear-Phishing ist klein, aber entscheidend. Phishing-Angriffe richten sich in aller Regel gegen ein breites Spektrum von möglichen Zielen, nicht gegen ein bestimmtes. Die Absicht der Angreifer ist es, möglichst viele potenzielle Opfer zu erreichen. Wie bei der überwiegenden Zahl von Ransomware-Angriffen macht Phishing seinem Namen alle Ehre: man wirft wie beim Angeln einen Köder ins Wasser und wartet bis hoffentlich ein Fisch anbeißt.
Bei Spear-Phishing-Angriffen ist das anders, und der Angreifer hat in der Regel ein bestimmtes Ziel im Auge. Er weiß genau, wen er angreifen will, er hat Informationen über das anvisierte Ziel und der Phishing-Angriff ist allem Anschein nach legitimer, personalisierter und vertrauenswürdiger. Dies ist oft das größte Problem bei derartigen Attacken.
Beispiele für länger zurückliegende Spear-Phishing-Angriffe, sind der Buchhalter, der noch einmal eine Excel-Tabelle mit Zahlen überprüfen soll, die von einem externen Partner kommt, die Personalabteilung, die angeblich eine Liste potenzieller Kandidaten von ihrer Personalvermittlung zugeschickt bekommen hat, oder der Mitarbeiter, der einen Link zu seinem Zielplanungs-Dokument von der Personalabteilung erhält und so weiter. Was uns diese Beispiele aus der Vergangenheit lehren: Anhängen und Links grundsätzlich nicht zu trauen.
Wenn Sie im Zweifel sind, rufen Sie den Absender, der Ihnen die Dokumente angeblich (oder tatsächlich) zugeschickt hat, direkt an, bevor Sie Anhänge öffnen oder auf die betreffenden Links klicken. Bevor Sie irgendetwas tun, prüfen Sie lieber einmal mehr um was es sich handelt. Der jüngste Fall zeigt, dass man nicht umhin kommt die psychische Gemengelage zu berücksichtigen. Wir leben in Zeiten einer welweiten Pandemie, Ängste sind nach wie vor Teil unserer Lebenswirklichkeit, ebenso wie der Wunsch anderen zu helfen oder Lösungen zur Bewältigung der Krise zu finden. Angreifer sind sehr versiert darin, solche Komponenten in ihre Planung miteinzubeziehen und auszunutzen. Und wie man sieht, es funktioniert.
Man sollte sich als Unternehmen besser nicht allein darauf verlassen, dass die Mitarbeiter schon das Richtige tun werden. Besser man trifft Vorkehrungen zum Schutz des Unternehmens, damit solche Angriffe so wenig Chancen haben wie möglich. Man kann zum Beispiel den Austausch von Dokumenten als Anhänge blockieren ebenso wie die Möglichkeit auf nicht überprüfte Links zu klicken. Parallel dazu sollte man dafür sorgen, es Angreifern nicht zu leicht zu machen, Dokumente nachzuahmen.
Mitarbeiter über diese Art der Bedrohungen aufzuklären und zu sensibilisieren, ist immer noch der beste Weg. Man sollte sich allerdings von der Technik helfen lassen, wo dies möglich und sinnvoll ist.“
www.bleepingcomputer.com
Dieses Whitepaper könnte Sie ebenfalls interessieren:
Bericht zur Open-Source-Sicherheits- und Risikoanalyse
Synopsys hat den Bericht zur Open-Source-Sicherheits- und Risikoanalyse (OSSRA) 2020 veröffentlicht. Er vermittelt Sicherheits-, Risiko-, Rechts- und Entwicklungs-Teams Einsichten und Empfehlungen, mögliche Risiken hinsichtlich Open-Source-Sicherheit und -Lizenzen besser zu verstehen.
Jetzt für den Newsletter 📩 anmelden und sofort herunterladen! 🔥
Deutsch, 39 Seiten, PDF 2,1 MB, kostenlos
Um Unternehmen zu helfen, sichere und hochwertige Software zu entwickeln, veröffentlicht das Synopsys Cybersecurity Research Center (CyRC) Forschungsergebnisse, die solide Cybersicherheitspraktiken unterstützen. Der jährliche OSSRA Bericht bietet einen detaillierten Überblick über den derzeitigen Stand von Risiken bei kommerzieller Software in Bezug auf Open-Source-Sicherheit, -Compliance und -Codequalität.