Aktuelles, Branche - geschrieben von dp am Donnerstag, Dezember 20, 2018 19:55 - ein Kommentar
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar
Angriff über kompromittiertes E-Mail-Konto eines Mitarbeiters
[datensicherheit.de, 20.12.2018] Laut einer Meldung im „Boston Globe“ soll die weltweit operierende Hilfsorganisation Save The Children im Jahr 2017 von einem Hacker angegriffen worden sein. Der Angreifer hat demnach rund eine Million US-Dollar unter dem Vorwand ergaunert, von dem Geld Solaranlagen für ein Gesundheitszentrum in Pakistan zu kaufen. Der Angriff sei über ein im Mai 2017 kompromittiertes E-Mail-Konto eines Mitarbeiters durchgeführt worden. Von dem gehackten Konto hätten die Cyber-Kriminellen gezielt gefälschte Rechnungen und andere Dokumente mit Zahlungsanweisungen an andere Angestellte verschickt.
Offensichtlich ein „Spear Phishing“-Angriff
„Der Vorfall bei Save The Children lässt sich deutlich als ,Spear Phishing,-Angriff kategorisieren. ,Spear Phishing‘ ist eine besonders zielgerichtete Form des Phishings. Die Cyber-Kriminellen haben dazu entweder gezielt über eine Person Nachforschungen angestellt oder Daten von Social-Media-Seiten über sie gesammelt“, erläutert Detlev Weise, „Managing Director“ bei KnowBe4.
Die E-Mail gehe in der Regel an eine Person oder eine kleine Gruppe von Personen, die diese Dienstleistung nutzen. Solche E-Mails seien in der Regel besonders personalisiert.
Bild: KnowBe4
Detlev Weise, „Managing Director“ bei KnowBe4
„Security Awareness“-Trainings für Mitarbeiter empfohlen
„Wir leben in einer Ära des ,Social Engineering‘. Wir können uns nicht vollständig auf Antiviren-Programme verlassen, um alle Systeme sicher zu halten. Wenn technische Vorkehrungen versagen, sind Mitarbeiter die letzte Verteidigungslinie jeder Organisation und müssen entsprechend geschult werden“, betont Weise.
„Security Awareness“-Trainings böten hierfür Lösungen, die den Mitarbeitern dabei helfen könnten, wachsam zu bleiben und Phishing-Angriffe rechtzeitig zu erkennen. Dadurch seien sie weniger gefährdet, auf betrügerische Angriffe hereinzufallen. Laut Weise wurde z.B. das „New School Security Awareness-Training“ entwickelt, um Benutzern mit Hilfe von praxisnahen Simulationen per E-Mail, Telefon und SMS aufzuzeigen, wie sie sogenannte „Red Flags“, also Hinweise auf Phishing-, Smishing- und Vishing-Versuche erkennen können. Sie seien dann deutlich besser auf Gefahren vorbereitet.
Weitere Informationen zum Thema:
golem.de, 14.12.2018
Save The Children verliert 1 Million US-Dollar an Betrüger
The Bosotn Globe, 13.12.2018
Hackers fooled Save the Children into sending $1 million to a phony account
datensicherheit.de, 06.12.2018
Quora: 100 Millionen Nutzer von Hacker-Angriff betroffen
datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal
datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen
datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten
ein Kommentar
Kommentieren
Kooperation
Mitgliedschaft
Mitgliedschaft
Multiplikator
Aktuelles, Experten - Dez 7, 2021 14:25 - noch keine Kommentare
Online-Hauptversammlungen börsennotierter Unternehmen: Zweifel an IT-Sicherheit
weitere Beiträge in Experten
- Digitale Sicherheit smarter Spielzeuge: TÜV-Verband gibt Tipps nicht nur zu Weihnachten
- Ransomware-Angriffe zu Weihnachten: BKA und BSI geben gemeinsame Warnung heraus
- eco-Forderung: Überwachungsgesamtrechnung darf nicht nur Ampel-Lippenbekenntnis bleiben
- Freie Ärzteschaft zur ePA: Geplante elektronische Patientenakte führt in die Sackgasse
- 3G am Arbeitsplatz: LfDI RLP fordert Datensparsamkeit
Aktuelles, Branche - Dez 7, 2021 14:32 - noch keine Kommentare
Ransomware-Angriffe: Lösegeld-Versicherungen in der Diskussion
weitere Beiträge in Branche
- Cyber-Sicherheit: Jeder Zweite möchte nur maximal 10 Euro investieren
- DeepBlueMagic: Neue Ransomware-Angriffe auf Kommunen
- Black-Friday-Wochenende 2021: DDoS-Angriffe brechen Rekorde
- Gefälschte Websites der Sparkasse und Volksbank: Bankkunden in Deutschland im Phishing-Visier
- Tag der Computersicherheit: Rainer Seidlitz fordert Stärkung der menschlichen Firewall
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Danke für den interessanten Beitrag. Wir leben tatsächlich in einer Ära des Social Engineering. Besonders eindrücklich ist die Tatsache, dass über 90% der erfolgreichen Angriffe mit einer Phishing Mail begannen. Laufende Wachsamkeit des Personalkörpers ist ein absolutes Muss geworden, deswegen ist (laufende) Mitarbeitersensibilisierung so wichtig. Wir sehen bei unseren Kampagnen, dass die Wachsamkeit 2-3 Monate nach einer Sensibilisierungskampagne wieder abnimmt. Deswegen: Laufend Sensibilisieren ist angesagt. Liebe Grüsse P. Stacho