[datensicherheit.de, 14.10.2019] Nach Angaben der beiden US-Finanzdienstleister TransUnion und Iovation steigen die Betrugsfälle bei den Nutzern der Online Plattformen stetig. Zwischen 2015 und 2018 verzeichnete beispielsweise eines der beiden Unternehmen einen Anstieg vergleichbarer Betrugsfälle von 516 Prozent und damit mehr als verfünffacht. Diese Entwicklung ist ein Fingerzeig für das, was uns in Europa nach der flächendeckenden Einführung der PSD2 noch erwarten wird. Seit dem 14. September 2019 treten innerhalb der EU vermehrt Probleme durch schlecht ausgearbeitete Implementierungen der Banken-IT sowie Betrugsfälle in Bezug auf die Richtlinie auf. So sind viele Schnittstellen zwischen Banken und den externen Drittanbietern wie Fintechs zum Teil technisch mangelhaft und somit nicht voll funktionsfähig. Zudem kursierten, besonders in den ersten Tagen nach Einführung der PSD2, zahlreiche Phishing E-Mails. Diese fordern beispielsweise Bankkunden dazu auf, Kundendaten zu bestätigen. Die Plattformen von Versicherungsanbietern, können von Betrügern genutzt werden, um personenbezogene Informationen für die Eröffnung von Versicherungspolicen im Namen der nun gefälschten Begünstigten zu verwenden.

Foto: KnowBe4

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Betrug durch „Ghost Broking“

Von Ghost Broking ist die Rede, wenn gefälschte Versicherungspolicen verkauft werden. Die Opfer schließen eine Versicherung unter der Annahme ab, dass diese legitim ist. Der Betrug fällt zumeist erst auf, wenn die Betroffenen einen Versicherungsanspruch erheben. Laut Iovation stieg die Anzahl von Ghost Broking seit 2015 um 139 Prozent. Erlangt ein Betrüger Zugriff auf Accounts der Versicherungsnehmer, so kann dieser dort hinterlegte Informationen stehlen. Viel gefährlicher wird es, wenn anstehende Schadenszahlungen, wie z.B. solche der Lebensversicherung missbraucht werden, was nach Angaben des US-Finanzdienstleisters am häufigsten eintritt. Betrügerische und damit falsche bzw. übertriebene Versicherungsansprüche über das Internet verzeichnen, wie der Fall aus den USA aufzeigt, seit 2015 ein Wachstum von 271 Prozent.

Um sich gegen diese Art von Betrug zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen und wachsam gegenüber Betrugsversuchen zu sein. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr von Angriffen und Betrugsversuchen.

Weitere Informationen zum Thema:

datensicherheit.de, 04.09.2019
Fake President: Betrugsmasche auf dem Vormarsch

datensicherheit.de, 21.08.2019
Steam-Konto: Hacker zielen auf Spieler ab

datensicherheit.de, 24.07.2019
KnowBe4-Studie warnt vor gefälschten LinkedIn-Mails

datensicherheit.de, 26.06.2019
Schwachstelle in Electronic Arts’ Origin Gaming Client entdeckt

datensicherheit.de, 28.01.2019
Einfache Hacker-Ziele: Schlechtes Passwort, IoT-Geräte und fehlende Zwei-Faktor-Authentifizierung

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar

datensicherheit.de, 02.06.2016
Erfolgreiches Audit dank Zwei-Faktor Authentifizierung

Ein Kommentar von Jelle Wieringa, Security Awareness Advocate bei KnowBe4

[datensicherheit.de, 18.07.2019] Erneut scheint eine Phishing-E-Mail mit Ransomware-Anhang erfolgreich gewesen zu sein. Wieder einmal hat ein Mitarbeiter eines Trägers einer Krankenhauskette auf einen Link geklickt. Wieder war ein Social Engineering-Angriff erfolgreich. Drei Jahre nach dem Ransomware-Angriff auf das Lukas Krankenhaus in Neuss sind nun insgesamt 11 Krankenhäuser an 13 Standorten im Südwesten Deutschland betroffen, wie die Süddeutsche Zeitung berichtet. Der Betreiber, die DRK Trägergesellschaft Südwest mbH (Deutsches Rotes Kreuz), hat trotz des Systemausfalls seine Krankenhäuser, beispielsweise das Kirchener Krankenhaus in der Nähe von Siegen nicht von der Notfallversorgung abmelden müssen. Die Erfassung der Daten läuft nun wieder analog und muss nach dem Neustart der Systeme dann händisch in das System zurückgepflegt werden.

Foto: KnowBe4

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

Schaden lässt sich nich nicht beziffern

Wie hoch der Schaden sein wird, lässt sich noch nicht beziffern. Beim Lukas Krankenhaus entstand in der Folge 900.000 Euro wirtschaftlicher Schaden, die IT-Abteilung bekam den Angriff dort allerdings in den Griff und konnte die Systeme wiederherstellen. Ein Lösegeld, dass die Angreifer erpressen wollen, wurde nicht gezahlt und soll auch im aktuellen Fall nicht in Bitcoin überwiesen werden. Stattdessen wurden die Strafverfolgungsbehörden informiert.

Phishing-Attacken mit Ransomware nehmen wieder zu

Phishing-Attacken mit Ransomware nehmen in letzter Zeit wieder zu. Einige Cybersicherheits-Experten vermuten, dass sich die Angriffe deshalb häufen, weil das Verteilen von illegalen Krypto-Mining-Programmen durch den Absturz des Bitcoin-Kurses seit 2018 nicht mehr so lukrativ ist wie früher. Cyberkriminelle scheinen sich also wieder auf die Erpressung von Lösegeldern zu konzentrieren. Meist geschieht dies mit zielgerichteten Phishing-E-Mails, die einen Link zu einer infizierten Webseite enthalten, von der automatisiert die Ransomware auf dem Client des Opfers installiert wird. Von dort breitet sie sich im Netzwerk und auf den angeschlossenen IT-Systemen aus und verschlüsselt alle auf dem Weg dorthin gescannten Dateien.

Mitarbeiter sind der Schlüssel zur Abwehr von Phishing-Attacken

Um sich gegen solche Phishing-Attacken zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs. Letztlich lassen sich durch solche Maßnahmen die Ausbreitung von Ransomware-Infektionen auch in Krankenhaus IT-Systemen verhindern.

Weitere Informationen zum Thema:

datensicherheit.de, 16.07.2019
TrickBooster: TrickBot-Malware-Variante entdeckt

datensicherheit.de, 08.07.2019
Tippverhalten-basierte Sicherheitslösung sind zu kompromittieren

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

datensicherheit.de, 27.06.2019
Hacker: Mehr als 10 weltweit tätige Telekommunikationsanbieter infiltriert

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen

datensicherheit.de, 06.06.2019
Tendenz steigend: Sicherheitsrisiken im Gesundheitswesen

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

Von unserem Gastautor Stu Sjouwerman, CEO bei KnowBe4

[datensicherheit.de, 21.02.2019] Cyberkriminelle nutzen Steganographie, um Malware über bösartige Memes-Befehle weiterzuleiten, stellten aktuell die Sicherheitsforscher von Trend Micro fest. Bei der Steganographie werden Botschaften in Bildern versteckt, die sich nur von einem speziellen Entschlüsselungsprogramm wieder entschlüsseln lassen. Die besten dieser Steganographie-Anwendungen verwenden Verschlüsselungstechniken, die keine Änderungen an den Bilddateien- und größen erkennen lassen. In diesem Fall sind Bilder betroffen, die als beliebte Internet-Memes zirkulieren. Die Memes installieren einen Code, der als Befehls- und Kontrolldienst für Malware dient, die bereits auf dem Zielrechner vorhanden ist.

Verbreitung der Malware bisher unklar

Die Forscher wissen nicht, wie die Malware verbreitet wird, aber sie konnten beobachten, wie sie in einen Twitter-Account schlüpft und die bösartigen Bilder herunterlädt. Beide Memes, die untersucht wurden, enthalten den Befehl „/print“, der es der Malware ermöglicht, Screenshots von der Maschine zu machen und diese an den Command & Control Server zurückzusenden. Die Malware unterstützt vier weitere Befehle, die es ihr ermöglicht Benutzernamen, Dateinamen, Zwischenablageinhalte und eine Liste der laufenden Prozesse abzurufen.

Bild: KnowBe4

Stu Sjouwerman, CEO bei KnowBe4

Während die Steganographie als Mittel zur Umgehung der Sicherheit nichts Neues ist, fällt diese Bedrohung dann doch auf, weil die Befehle von einer legitimen Social-Networking-Plattform stammen. Das heißt im Grunde genommen, dass sie nicht blockiert werden können, es sei denn, das betreffende Twitter-Konto wird geschlossen. Die Forscher stellen fest, dass Twitter dieses Konto bereits deaktiviert hat und die Malware selbst nicht von Twitter heruntergeladen wurde.

Security Awareness-Training hilfreich

Diese kreative Möglichkeit, Erkennungsmechanismen zu umgehen, zeigt, dass Kriminelle versuchen, den Bemühungen der Sicherheitsindustrie einen Schritt voraus zu sein. Technische Sicherheitsvorkehrungen sind unerlässlich, um bekannte Bedrohungen zu erkennen und bösartiges Verhalten vorherzusagen, aber am besten, sollte die Interaktion mit Malware vermieden werden. Die meisten Malware-Produkte finden ihren Weg auf einen Computer, nachdem ein Benutzer von einem Angreifer getäuscht wurde und er auf einen Link geklickt hat, den er nicht hätten anklicken dürfen. Ein Security Awareness-Training der neuen Schule kann Mitarbeitern die Fähigkeiten vermitteln, diese Social Engineering-Taktiken zu identifizieren.

Weitere Informationen zum Thema:

datensicherheit.de, 28.01.2019
Einfache Hacker-Ziele: Schlechtes Passwort, IoT-Geräte und fehlende Zwei-Faktor-Authentifizierung

datensicherheit.de, 07.11.2018
Security Awareness: Tipps für ein funktionierendes Sicherheitsbewusstsein im Unternehmen

[datensicherheit.de, 16.09.2018] Das Unternehmen KnowBe4, Anbieter für Security Awareness Trainings und simuliertem Phishing, beobachtet eine ernst zu nehmende Zunahme des CEO-Frauds (auch bekannt als Business E-Mail Compromise / E-Mail Account Compromise). Das Volumen im vergangenen Monat hat sich nahezu verdreifacht. Diese Eskalation wird durch Phishing-Versuche erkannt, die weltweit über den Phish Alert Button (PAB) von KnowBe4 gemeldet werden.

Mit dem PAB können Benutzer verdächtige Phishing-E-Mails mit einem einfachen Klick identifizieren und an die IT-Abteilung oder ihr Incident Response-Team melden, damit diese die Nachrichten näher untersuchen können. Immer mehr Spear Phishing-E-Mails, die scheinbar vom CEO an einen Mitarbeiter in Unternehmen gerichtet sind, werden erkannt und KnowBe4 hat erst im vergangenen Monat einen deutlichen Anstieg festgestellt. Kriminelle erstellen E-Mails, in denen sie nach mehr persönlichen Informationen fragen, einschließlich Straßenadressen und persönlichen Telefonnummern von Mitarbeitern.

Nach Angaben des FBI wächst und entwickelt sich der BEC/EAC-Betrug weiter und zielt auf geschäftliche und persönliche Transaktionen jeder Größe ab. Die FBI-Meldung vom 18. Juli 2018 erklärt, dass es 78.617 bekannte Vorfälle mit einem möglichen, finanziellen Schaden von über 12,5 Milliarden Dollar gab. Gemessen am finanziellen Verlust ist Business E-Mail Compromise die häufigste Form der Kriminalität. Diese Zahlen und die Erkennung des signifikanten Anstiegs des CEO-Frauds zeigen, warum es wichtiger denn je ist, Mitarbeiter durch ein Sicherheitstraining hierfür zu sensibilisieren, weil sie die letzte Verteidigungslinie eines Unternehmens sind.

Bild: KnowBe4

Stu Sjouweman, CEO von KnowBe4

„Es ist bereits bekannt, dass der CEO-Fraud zu einer der beliebtesten und erfolgreichsten Arten von Phishing-Angriffen zählt”, sagte Stu Sjouwerman, CEO von KnowBe4. „Die Eskalation, die wir bei den Versuchen gesehen haben, die wir über den Phish Alert Button von KnowBe4 verfolgen, zeigt, dass die Bösewichte zunehmend von ihren Fähigkeiten überzeugt sind, Social Engineering einzusetzen und ihre Ziele viel genauer und persönlicher verfolgen zu können.“

Weitere Informationen zum Thema:

KnowBe4
[ALERT] CEO Fraud Escalates. Bad Guys Now Go After Employee Personal Address And Phone Number

datensicherheit.de, 14.09.2018
Lernkultur – Richtige Reaktion auf Datenschutzverletzungen durch Mitarbeiter

datensicherheit.de, 26.07.2018
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 18.07.2018
BEC und EAC Fraud: Schäden in Milliardenhöhe

datensicherheit.de, 18.08.2016
CEO-Fraud, Whaling und Spearphishing bisher fast nicht zu unterbinden