Aktuelles, Branche - geschrieben von dp am Donnerstag, Dezember 20, 2018 19:55 - ein Kommentar
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar
Angriff über kompromittiertes E-Mail-Konto eines Mitarbeiters
[datensicherheit.de, 20.12.2018] Laut einer Meldung im „Boston Globe“ soll die weltweit operierende Hilfsorganisation Save The Children im Jahr 2017 von einem Hacker angegriffen worden sein. Der Angreifer hat demnach rund eine Million US-Dollar unter dem Vorwand ergaunert, von dem Geld Solaranlagen für ein Gesundheitszentrum in Pakistan zu kaufen. Der Angriff sei über ein im Mai 2017 kompromittiertes E-Mail-Konto eines Mitarbeiters durchgeführt worden. Von dem gehackten Konto hätten die Cyber-Kriminellen gezielt gefälschte Rechnungen und andere Dokumente mit Zahlungsanweisungen an andere Angestellte verschickt.
Offensichtlich ein „Spear Phishing“-Angriff
„Der Vorfall bei Save The Children lässt sich deutlich als ,Spear Phishing,-Angriff kategorisieren. ,Spear Phishing‘ ist eine besonders zielgerichtete Form des Phishings. Die Cyber-Kriminellen haben dazu entweder gezielt über eine Person Nachforschungen angestellt oder Daten von Social-Media-Seiten über sie gesammelt“, erläutert Detlev Weise, „Managing Director“ bei KnowBe4.
Die E-Mail gehe in der Regel an eine Person oder eine kleine Gruppe von Personen, die diese Dienstleistung nutzen. Solche E-Mails seien in der Regel besonders personalisiert.
Bild: KnowBe4
Detlev Weise, „Managing Director“ bei KnowBe4
„Security Awareness“-Trainings für Mitarbeiter empfohlen
„Wir leben in einer Ära des ,Social Engineering‘. Wir können uns nicht vollständig auf Antiviren-Programme verlassen, um alle Systeme sicher zu halten. Wenn technische Vorkehrungen versagen, sind Mitarbeiter die letzte Verteidigungslinie jeder Organisation und müssen entsprechend geschult werden“, betont Weise.
„Security Awareness“-Trainings böten hierfür Lösungen, die den Mitarbeitern dabei helfen könnten, wachsam zu bleiben und Phishing-Angriffe rechtzeitig zu erkennen. Dadurch seien sie weniger gefährdet, auf betrügerische Angriffe hereinzufallen. Laut Weise wurde z.B. das „New School Security Awareness-Training“ entwickelt, um Benutzern mit Hilfe von praxisnahen Simulationen per E-Mail, Telefon und SMS aufzuzeigen, wie sie sogenannte „Red Flags“, also Hinweise auf Phishing-, Smishing- und Vishing-Versuche erkennen können. Sie seien dann deutlich besser auf Gefahren vorbereitet.
Weitere Informationen zum Thema:
golem.de, 14.12.2018
Save The Children verliert 1 Million US-Dollar an Betrüger
The Bosotn Globe, 13.12.2018
Hackers fooled Save the Children into sending $1 million to a phony account
datensicherheit.de, 06.12.2018
Quora: 100 Millionen Nutzer von Hacker-Angriff betroffen
datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal
datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen
datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten
ein Kommentar
Kommentieren
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Juli 3, 2025 0:32 - noch keine Kommentare
Rheinland-Pfalz: LfDI bietet Lehrkräften Unterrichtsmaterialien zu KI und Datenschutz an
weitere Beiträge in Experten
- eco-Einladung: Digital-Werkstatt und Wahl/Digital 25 am 9. Juli 2025 in Berlin
- Smartphones schützen bei Sommerhitze
- Smart Country Convention 2025: BMDS übernimmt SCCON-Schirmherrschaft
- DeepSeek: Berliner Datenschutzbeauftragte meldet KI-App bei Apple und Google als rechtswidrig
- Kupfer-Glas-Migration: Verbraucherzentrale fordert Verhinderung von Versorgungslücken und Preissteigerungen
Aktuelles, Branche - Juli 3, 2025 0:21 - noch keine Kommentare
Kombination Datenschleuse mit Data Loss Prevention zur Eindämmung der Bedrohung durch externe Speichermedien
weitere Beiträge in Branche
- TÜV-Verband-Studie: 79 Prozent der Unternehmen speichern Daten ausschließlich in der EU
- Datenqualität in KI-Systemen: BSI stellt methodischen Leitfaden vor
- Unternehmen: Horizon3.ai-Cybersicherheitsreport 2025 zeigt weitere Zunahme von Angriffen
- Sommer, Sonne, Sicherheitsrisiko: Sophos-Tipps für hohen Cyberschutzfaktor auch auf Reisen
- USB-basierte Angriffe: Wie Unternehmen diesem Sicherheitsrisiko begegnen
Branche, Umfragen - Dez. 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Danke für den interessanten Beitrag. Wir leben tatsächlich in einer Ära des Social Engineering. Besonders eindrücklich ist die Tatsache, dass über 90% der erfolgreichen Angriffe mit einer Phishing Mail begannen. Laufende Wachsamkeit des Personalkörpers ist ein absolutes Muss geworden, deswegen ist (laufende) Mitarbeitersensibilisierung so wichtig. Wir sehen bei unseren Kampagnen, dass die Wachsamkeit 2-3 Monate nach einer Sensibilisierungskampagne wieder abnimmt. Deswegen: Laufend Sensibilisieren ist angesagt. Liebe Grüsse P. Stacho