Aktuelles, Branche - geschrieben von dp am Dienstag, Februar 6, 2024 22:40 - noch keine Kommentare
Angeblicher Ransomware-Vorfall bei Europcar: Vermeintliche Beute-Daten offenbar KI-generiert
Ende Januar 2024 wurden in einem Untergrund-Webforum vorgebliche Daten von rund 50 Millionen Europcar-Kunden angeboten
[datensicherheit.de, 06.02.2024] Ende Januar 2024 sollen in einem Untergrund-Webforum angebliche Daten von rund 50 Millionen Europcar-Kunden angeboten worden sein. Udo Schneider, „Security Evangelist Europe“ bei Trend Micro, führt in seinem Kommentar hierzu aus: „Europcar reagierte schnell und bestritt, dass es sich um eine echte Datei handele. Weder seien die Daten in sich konsistent, noch seien insbesondere die E-Mail-Adressen bei Europcar überhaupt bekannt.“ Während Europcar die Vermutung geäußert habe, dass diese Daten mittels generativer KI (z.B. „ChatGPT“) erzeugt worden seien, seien andere Sicherheitsforscher indes der Meinung, dass hier keine KI am Werk gewesen sei. „Allen gemeinsam ist jedoch die Meinung, dass diese Daten maschinell generiert wurden“, berichtet Schneider. Auch im Webforum sei dann schnell der Verdacht aufgekommen, dass die zum Kauf angebotenen Daten nicht authentisch seien – „was schließlich dazu führte, dass der Verkäufer im Forum gesperrt wurde“.
Udo Schneider: Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht?
Daten-Raub als Geschäftsmodell Organisierter Cyber-Kriminalität
„So interessant die Geschichte auf den ersten Blick auch sein mag, ein Blick ,hinter die Geschichte’ offenbart weitere interessante Aspekte“, erläutert Schneider: Ein Narrativ im Ransomware-Umfeld der letzten Jahre sei die vermeintliche „Ehre“ der Cyber-Kriminellen: Wenn man für die Entschlüsselung zahlt, gebiete es diese „Ehre“ dieser Kriminellen, auch den Schlüssel herauszugeben – nur sei „Ehre“ hierbei wirklich nicht das richtige Wort.
Schneider betont: „Die Herausgabe des Schlüssels gegen Lösegeld hat nichts mit Ehre zu tun. Das ist schlicht und einfach der Geschäftstrieb von Kriminellen: Würde es sich herumsprechen, dass trotz Zahlung kein Schlüssel herausgegeben wurde, wäre das geschäftsschädigend, also reiner Eigennutz und keine ,Ehre’.“
Angeblicher Daten-Diebstahl zeigt: Cyber-Kriminelle betrügen sich doch auch gegenseitig
Auch die Meinung, dass Kriminelle sich untereinander nicht betrügen würden, sei eher einem verklärten Robin-Hood-Narrativ geschuldet als den Tatsachen: Denn im besagten Fall habe ein Krimineller versucht, andere Kriminelle zu betrügen. Man könne nur hoffen, dass es noch keine Käufer gab. „Und nur weil den Käufern der Weg über die offizielle Justiz versperrt ist, heißt das noch lange nicht, dass keine Konsequenzen zu befürchten sind.“
In der Vergangenheit hätten ähnliche Aktionen zu sehr unrühmlichen Ergebnissen geführt. Das „Doxing“ („die virtuelle Entlarvung des Betrügers durch Hacken des E-Mail-Accounts, Veröffentlichung der echten Adresse, Persoscans, Veröffentlichung von Referenzpersonen usw.“) sei dabei nur der Anfang. „,Doxing’-Informationen sind das, was man in den Foren sieht. Was ein möglicherweise betrogener Krimineller mit diesen Informationen in der realen Welt anstellt, sieht man nicht … vielleicht zum Glück.“
Unternehmen sollten unbedingt ihre eigenen Daten kennen
Der vielleicht interessantere Aspekt aus Sicht der Verteidigung sei aber die Reaktion von Europcar: „Europcar machte schnell und sehr deutlich klar, dass die Daten nicht echt waren.“ Dieser Vorfall zeige aber auch, dass Kriminelle sehr wohl gefälschte Daten produzierten – sei es, um diese zu verkaufen (wie in diesem Fall) oder auch, um potenzielle Opfer damit zu erpressen. Schneider kommentiert: „Und genau hier wird es spannend. Stellen Sie sich vor, ein Unternehmen erhält (z.B. nach einem Ransomware-Vorfall) eine weitere Erpressungsnachricht à la ,Wir haben Ihre Daten! Anbei ein Beispiel. Wenn Sie nicht wollen, dass diese veröffentlicht werden …‘.“
Laut Schneider stellt sich dann die entscheidende Frage: „Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht? Je länger der Entscheidungsprozess dauert, desto nervöser kann das Management werden.“ Diese Nervosität erhöht aber u.U. die Wahrscheinlichkeit, dass gezahlt wird – „nur so als Fail-safe-Lösung“.
Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, als Teil der Risikobetrachtung
Daraus ergäben sich zwei wichtige Schlussfolgerungen für die Verteidigerseite. Erstens müsse dieses Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, in die Risikobetrachtung einbezogen werden. Zweitens sollten dementsprechend auch risikomindernde Maßnahmen bzw. Verifikationsmaßnahmen (Prozesse, Zugriffsrechte, Personen) im Vorfeld definiert werden.
Ansonsten könne es sehr schnell passieren, dass z.B. das beauftragte „Incident Response Team“ die Daten nicht schnell genug verifizieren kann, „weil z.B. die Datenbanken technisch nicht zugänglich sind“. Ein weiterer Aspekt gerade bei personenbezogenen Daten sei sicherlich die DSGVO: „Wie kann man in so einem Fall personenbezogene Daten verifizieren, ohne gegen die DSGVO zu verstoßen?“ Beides seien Dinge, die man „im Vorfeld“ relativ einfach definieren könne: Im Falle eines Falles könne dann der entsprechende Prozess geordnet durchlaufen werden. „Ist der Prozess nicht definiert, bricht oft das große Chaos und die Panik aus – mit dem Effekt, dass die Aussage, ob die Daten mit denen erpresst wird, nicht zeitnah getroffen werden kann“, warnt Schneider. Dies wiederum erhöhe die Wahrscheinlichkeit, dass die Erpressungs-Opfer zahlten.
Tipps zur Vorbereitung auf echten bzw. vorgeblichen Daten-Raubzug:
1. Mentale Vorbereitung auf den Fall der Fälle
„Bereiten Sie sich darauf vor, mit (angeblich) gestohlenen Daten erpresst zu werden!“
2. Technisch-organisatorische Vorbereitung auf den Erpressungsfall
„Definieren Sie vorab Prozesse, mit denen ,Incident Responder’ im Falle eines Falles schnell (technisch) und rechtlich sauber auf Daten (lesend) zugreifen können, um die Authentizität eines Dumps zu verifizieren!“
Weitere Informationen zum Thema:
golem.de, Marc Stöckel, 31.01.2024
Daten womöglich von ChatGPT / Cyberangriff auf Europcar entpuppt sich als Fälschung
heise online, Dirk Knop, 31.01.2024
Europcar: Das Datenleck, das keines war / In einem Untergrundforum bietet jemand rund 50 Millionen Datensätze angeblich von Europcar an. Sie sind offenbar gefälscht.
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren