Apple, Mozilla und Let`s Encrypt fordern die Erstellung einer schwarzen Liste von SSL-Zertifikaten, Google schweigt, und wie steht es um die Internetsicherheit?
Das Wichtigste zuerst. SSL-Zertifikate sind der Standard für den Datenschutz zwischen Ihnen und einer HTTPS-Website und der wichtigste Indikator für die Sicherheit beim Surfen im Internet. Symbolisiert wird es häufig durch ein Schloss in der Adressleiste. Doch diese Zertifikate können manchmal kompromittiert werden.
In den Anfängen der Technologie gab es eine gemeinsame “schwarze Liste”, aber mit der exponentiellen Zunahme der Zahl der Websites wurde es unmöglich, sie zu verwenden, und alle Entwickler gaben sie auf. Jetzt schlagen die Unternehmen eine verbesserte Technologie vor, die eine Rückkehr der öffentlichen schwarzen Listen ermöglicht, die vollständiger und reaktionsfähiger sind als die verteilten Listen. Leider hat Google noch nicht auf die Aufforderungen der Unternehmen geantwortet. Die Position des Unternehmens ist wichtig, denn Chrome hat den größten Anteil am Browsermarkt, und ohne die Implementierung der Technologie in Chrome könnten die Bemühungen vergeblich sein. Und die Umsetzung kann die Situation im Kampf gegen Phishing, den häufigsten Angriff, erheblich verbessern. Denn das Spoofing von Websites (Vortäuschung einer anderen Identität) und die Kompromittierung der Multi-Faktor-Authentifizierung können dadurch verhindert werden.
Die Universität Duisburg-Essen wurde angegriffen. Die gesamte IT-Infrastruktur wurde abgeschaltet und vom Internet getrennt. Laut der Universität wurden von den Angreifern große Teile des Systems verschlüsselt. Die Leitung der Einrichtung prüft derzeit alle Einzelheiten. Beeinträchtigt durch den Angriff wurden Büroanwendungen, die internen Verwaltungssysteme, der E-Mail-Verkehr und die Telefonkommunikation.
Quelle:
https://www.hs-heilbronn.de/de/hhn-bestaetigt-hackerangriff-9607ac6d406a951e
https://www.hs-heilbronn.de/de/cyberangriff
https://www.uni-due.org/udeoffline/cyberangriff-auf-die-ude/
Einen Monat vor diesem Vorfall wurde die Hochschule Heilbronn gehackt. In diesem Fall musste die Einrichtung auch die Systeme vom Internet trennen und mit der Untersuchung des Vorfalls beginnen. Leider gelang es der Hochschule auch nach einem Monat nicht, die Systeme vollständig wiederherzustellen. Höchstwahrscheinlich wird die Einrichtung die gleiche Zeit benötigen, um die Arbeiten vollständig wiederherzustellen und anzupassen, was insgesamt etwa zwei Monate in Anspruch nehmen wird.
Aktuell teilt die Uni Duisburg-Essen mit, dass ein Teil der Systeme verschlüsselt wurde und die Angreifer ein Lösegeld forderten. Dies wird die vollständige Wiederherstellung der Arbeiten erheblich erschweren und verzögern. Die Ermittlungen sind noch nicht abgeschlossen, so dass neue Einzelheiten des Vorfalls bekannt werden könnten. Zurzeit unternimmt die Verwaltung keine Schätzungen, wie schnell es möglich sein wird, alles wiederherzustellen. Aus den Erfahrungen anderer vergleichbarer Angriffe kann man von einer Widerherstellungszeit von über einem Monat ausgehen.
Leider nehmen die Zahl der Cyberangriffe und ihre Zerstörungskraft nicht ab, und die Erholung von Angriffen kann sehr lange dauern. Während dies für Universitäten eine Herausforderung ist, die sie bewältigen können, kann sie für Unternehmen tödlich sein. Dabei sind kleine und mittelgroße Unternehmen besonders gefährdet.
Wir empfehlen Ihnen, Maßnahmen zu ergreifen, die Sie vor dem Eindringen von Cyberkriminellen in die Systeme schützen, auf die Ihr Unternehmen angewiesen ist. Aber wir haben auch einen Aktionsplan, um die Arbeit im Falle höherer Gewalt schnell wieder aufzunehmen. Der Schutz vor Kriminellen ist wichtig, aber noch wichtiger ist die Gewährleistung eines unterbrechungsfreien Betriebs!
22 TB an Schülerdaten, hauptsächlich aus den USA und Kanada, wurden möglicherweise gestohlen. Die Daten umfassen mehr als 117 Millionen Datensätze mit akademischem Werdegang und persönlichen Daten wie Namen, Adressen usw. Der Grund dafür waren Fehler in der Konfiguration von zwei AWS-Cloud-Servern, die von McGraw Hill, einem Verlag für Bildungsinhalte, genutzt wurden.
Quelle:
https://www.vpnmentor.com/blog/report-mcgraw-hill-breach/
Es ist wichtig zu beachten, dass das Problem in der Konfiguration der AWS Buckets lag, nicht in Amazon Web Services selbst. Sie wurden so konfiguriert, dass sie öffentlich zugänglich waren. Um ähnliche Probleme zu vermeiden:
Kürzlich entdeckten Forscher von GTSC zwei neue Zero-Day-Schwachstellen. Es wurden bereits erfolgreiche Angriffe verzeichnet, die diese Schwachstellen ausnutzten. Anfällig sind Microsoft Exchange Server 2013, 2016 und 2019. Noch eher könnten Sie zum Opfer dieser Schwachstelle werden, wenn die automatische Erkennung aus dem Internet aktiviert ist.
Bisher ist nur wenig über erfolgreiche Angriffe bekannt, sodass der praktische Schaden nicht genau abgeschätzt werden kann. Aber nach theoretischen Schätzungen kann er riesig sein. Angreifer können die Zugangsdaten auf dem Exchange-Server fälschen und sogar andere Malware installieren, um die Daten weiter zu stehlen.
Microsoft hat bereits mit einem Blogbeitrag auf das Problem reagiert. Darin sprachen sie über das Problem und kündigten an, es so schnell wie möglich zu beheben. Das BSI warnt vor Angriffen und hat Schutzhinweise vorgelegt.
Es ist wichtig zu beachten, dass die in diesen Berichten präsentierten Daten keinen angemessenen Schutz bieten. Insbesondere wenn Ihr System bereits unbemerkt mit bösartiger Software infiziert ist. Außerdem werden die Empfehlungen fast täglich aktualisiert, was für Verwirrung sorgen kann.
Microsoft veröffentlicht die aktuellsten Minderungsmaßnahmen in seinem Blog. Im Allgemeinen umfassen sie das Deaktivieren von Einstellungen im IIS-Manager mithilfe regulärer Ausdrücke, das Konfigurieren des Exchange Emergency Mitigation Service (EEMS) und das Einschränken der Powershell-Funktionalität. Schritt-für-Schritt-Anleitungen mit den wichtigsten Tipps werden dort auch beschrieben.
Der Angriff erfolgt in mindestens zwei Phasen, theoretisch können es aber auch mehr sein. Gleichzeitig wird der Verlust mit jeder neuen Stufe zunehmen. Zunächst versuchen Angreifer, eine legitime Serverfunktion auszunutzen. Beispielsweise suchen sie automatisiert nach Servern, die die automatische Erkennung aktiviert haben. Bei Erfolg nutzen sie eine andere Schwachstelle aus, die es ihnen ermöglicht, Code in Powershell aus der Ferne auszuführen. Dies gibt Angreifern die Möglichkeit, weitere Schadsoftware herunterzuladen. Kontaktieren SIe uns, und wir helfen Ihnen die Angiffsfläche zu minimieren, um potentiellen Schaden gering zu halten.
Quelle:
https://gteltsc.vn/blog/warning-new-attack-campaign-utilized-a-new-0day-rce-vulnerability-on-microsoft-exchange-server-12715.html
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-in-microsoft-exchange -server/
https://www.bsi.bund.de/SharedDocs/CyberSicherheitswarningen/DE/2022/2022-258168-10
https://msrc-blog.microsoft.com/2022/09/29/customer-guidance-for-reported-zero-day-vulnerabilities-exchange-in-microsoft-server/
https://learn.microsoft.com/en-us/powershell/exchange/exchange-management-shell?view=exchange-ps
Mehr als 600 bekannte Schwachstellen, unzuverlässiger Betrieb auf mobilen Geräten und Unfähigkeit, die Zuverlässigkeit zu beurteilen. Und laut dem zscaler-Bericht verlassen sich 95 % der Unternehmen immer noch auf ein VPN für Hybrid- oder Remote-Sicherheit. Gleichzeitig stellten 44 % der Unternehmen eine Zunahme von Angriffen auf ihre mit Hilfe eines VPN „geschützten“ Netzwerks fest.
Quelle:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=VPN
https://www.zscaler.com/press/zscalers-2022-vpn-report-vpn-exploits-grow-80-percent-organizations-shift-towards-zero-trust
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Router-WLAN-VPN/Virtual-Private-Networks-VPN/virtual-private-networks-vpn_node.html
https://mullvad.net/en/blog/2022/10/10/android-leaks-connectivity-check-traffic/
https://twitter.com/mysk_co/status/ 1579997801047822336?s=20&t=F_41pArSnkMvAOpdBbZ2jA
https://neosec.eu/phishing-as-a-service-gewinnt-im-dark-web-an-bedeutung/index.html
https://www.microsoft.com/de-de/security/business/zero-trust
VPN – virtuelles privates Netzwerk. Fast jeder hat von VPN gehört und viele haben es benutzt. Diese Dienste können für viele Zwecke verwendet werden, z. B. Anonymität, Geld sparen, Sicherheit usw. Aber wir werden unsere Aufmerksamkeit auf Sicherheitsfragen für Unternehmen richten. Die Hauptaufgabe eines VPN besteht darin, Ihre Daten zu verschlüsseln und Ihre IP-Adresse zu verbergen, und das ist großartig. Aber viele Menschen überschätzen den Sicherheitsbeitrag dieser Funktionen etwas. Werfen wir einen Blick darauf, was ein VPN tatsächlich tut und warum Sie sich niemals auf ein VPN verlassen sollten.
VPN verbirgt wirklich Ihre IP-Adresse (wir sprechen später über den Ausschluss) und verschlüsselt Daten von Ihrem Provider. Dies kann vor einigen Arten von Angriffen schützen und verhindern, dass Hacker direkt auf Sie zugreifen. Und es funktioniert auch dann, wenn Sie unsichere öffentliche Netze verwenden, zum Beispiel in einem Café, Flughafen oder Zug.
Daher ist es für Mitarbeiter sinnvoll, ein VPN zu verwenden, wenn sie sich mit Unternehmensdiensten verbinden. Denn Sie können nicht sicher sein, welche Art von Netzwerk der Mitarbeiter verwendet und ob es infiziert ist. So erhöhen Sie Ihre Resistenz gegen Man-in-the-Middle-Angriffe und direkte Angriffe auf unternehmensinterne Dienste.
Warum ist VPN sogar theoretisch machtlos?
Aber selbst wenn Ihre IP-Adresse vor der Website, auf der Sie sich befinden, verborgen ist, werden die Daten, die Sie an die Website selbst senden, nicht vor ihr verborgen. Solche Daten enthalten viele Informationen, wie z. B. Cookie-Dateien, mit denen Sie identifiziert werden können. VPNs bringen nichts, wenn Sie Ihre vertraulichen Daten achtlos senden oder Anmeldedaten auf einer bösartigen Website eingeben. Daher lohnt es sich, den Mitarbeitern zu erklären, dass solche Dienste kein Schutzmittel sind und dass mit allen Daten, die ins Internet gesendet werden, vorsichtig umgegangen werden muss.
Selbst die nützliche Funktionalität eines VPNs ist nicht immer verfügbar. Wie bereits berichtet, haben Android und IOS, viele Daten senden, um das VPN zu umgehen. Dies geschieht auch dann, wenn Sie erzwingen, dass alle Daten über ein virtuelles privates Netzwerk gesendet werden sollen. Sie können sich daher nicht immer auf ein VPN verlassen. Dazu kann jemand schnell vergessen, die Verbindung zu einem VPN vor dem arbeiten mit Unternehmensstrukturen herzustellen.
Ein VPN kann die Anonymität im Netzwerk etwas erhöhen und den Schutz vor einigen Angriffen verbessern, aber nicht zur Hauptschutzmethode werden. Ein VPN schützt Sie nicht, wenn das Gerät eines Mitarbeiters infiziert oder seine Kontodaten gestohlen werden. Das stehlen von Kontodaten ist eine der häufigsten Arten von Angriffen, und es gibt einen wachsenden Trend in ihrer Anzahl .
Die Frage nach der Wahl des VPN ist nicht weniger wichtig, da Ihre Daten auf dem Server des Dienstes entpackt werden, bevor sie zum endgültigen Ziel gelangen. Der Dienst kann sie theoretisch auslesen oder manipulieren. Leider gibt es keine zuverlässige Möglichkeit, einen VPN-Dienst zu bewerten, daher ist es nur eine Frage des Vertrauens.
Es viel besser, einen Zero-Trust-Ansatz zu implementieren. Dies ist ein etwas umständlicher Weg, der sich aber auszahlt. Es lohnt sich, mit der Multi-Faktor-Authentifizierung von Mitarbeitern auch in internen Netzwerken zu beginnen und den Zugriff je nach Bedarf einzuschränken. Allein diese Maßnahmen bieten Ihnen ein höheres Schutzniveau als jedes VPN. Wenden Sie sich mit diesen und weiteren komplexen und ausgefeilten Sicherheitsmaßnahmen, die Ihr Unternehmen benötigen wird, um seinen Schutz vor Hackerangriffen jeglicher Art zu verbessern, an uns!
Daher ist es viel besser, einen Zero-Trust-Ansatz zu implementieren. Es ist ein etwas schwieriger Weg, aber es lohnt sich. Es lohnt sich, mit der Multi-Faktor-Authentifizierung von Mitarbeitern auch in internen Netzwerken zu beginnen und den Zugriff je nach Bedarf einzuschränken. Allein diese Maßnahmen bieten Ihnen ein höheres Schutzniveau als jedes VPN. Wenden Sie sich mit diesen und weiteren komplexen und ausgefeilten Sicherheitsmaßnahmen, die Ihr Unternehmen benötigen wird, um seinen Schutz vor Hackerangriffen jeglicher Art zu verbessern, an uns!
Zur Erinnerung: Die internen Systeme von Continental wurden von der Lockbit-Gruppe gehackt und 40 Terabyte an Daten gestohlen. Der Vorfall wurde Anfang August bekannt, und es wird behauptet, dass die Hacker einen Monat lang im System waren. Jetzt gibt es weitere Details über den Vorfall.
Die Journalisten erfuhren, dass der Angriff über einen Browser durchgeführt wurde, den einer der Angestellten heruntergeladen hatte. Diese Information wurde vom Leiter der IT-Abteilung in einem internen Video bekannt gegeben. Es ist nicht bekannt, ob der heruntergeladene Browser bereits infiziert war oder ob die Angreifer die Sicherheitslücke einer legitimen Anwendung ausgenutzt haben.
Um diesen Vorfall zu vermeiden, war es auf jeden Fall notwendig, die Angriffsfläche strenger zu verwalten. Die wichtigsten Maßnahmen, die dies hätten verhindern können, sind das Patch-Management-System im Unternehmen, das Verbot, nicht autorisierte Anwendungen zu installieren, und die Beschränkung des Mitarbeiterzugangs.
Patch-Management bedeutet, dass jeder Mitarbeiter nur eine bestimmte Anzahl von Programmen verwendet, die ständig aktualisiert oder auf die sicherste Version heruntergestuft werden. Dadurch wird die Möglichkeit, dass Eindringlinge durch Software eindringen, die Sie nicht kontrollieren können, auf nahezu Null reduziert. Das Risiko von Zero-Day-Schwachstellen [Link zum Blogbeitrag über Zero-Day] besteht nach wie vor, sollte aber durch andere Maßnahmen verringert werden.
In den meisten Fällen ist es nicht erforderlich, dass die Mitarbeiter zusätzliche Anwendungen für ihre Arbeit installieren. Um sicherzustellen, dass keine anfälligen Anwendungen oder Malware verwendet werden, ist es besser, den Mitarbeitern die Installation nicht zugelassener Anwendungen zu untersagen.
Diese Maßnahmen verhindern eine unmotivierte Vergrößerung der Angriffsfläche und sorgen dafür, dass das Unternehmen die Kontrolle über die bestehende Angriffsfläche behält. Ebenfalls wichtig sind die Verwendung von Firewalls, Virenschutzprogrammen, die Simulation von Angriffen, die Verwaltung von Informationen und Sicherheitsereignissen usw. Alle Sicherheitsmaßnahmen müssen richtig konfiguriert sein und den Anforderungen des Unternehmens entsprechen. Für Beratungen und Einstellungen Ihrer Sicherheit wenden Sie sich bitte an https://neosec.eu/kontakt/index.html.
Quelle:
https://www.continental.com/de/presse/studien-publikationen/sonstige-publikationen/cyber-angriff-fragen-und-antworten/
https://www.handelsblatt.com/technik/cybersecurity/continental-cyberangriff-ueber-nicht-autorisierten-browser-von-mitarbeiter/28865720.html
Dabei handelt es sich um einen verteilten Denial-of-Service-Angriff, der darauf abzielt, legitime Benutzer am Zugriff auf die Dienste des Opfers zu hindern. Angreifer, die sich als Benutzer ausgeben, senden so viele Anfragen an Server wie möglich. Dadurch verlangsamen sie die Server, verhindern Benutzeranfragen und zwingen die Server manchmal zu einem Neustart.
Die meisten dieser Angriffe werden von so genannten Botnetzen aus durchgeführt. Dabei handelt es sich um mit Malware infizierte Geräte, die die Anweisungen der Hacker ausführen. Solche Geräte werden als Bots oder Zombies bezeichnet. Dabei kann es sich sowohl um gewöhnliche Computer als auch um IoT- und andere mit dem Netz verbundene Geräte handeln.
Das Ausmaß eines DDoS-Angriffs kann enorm sein. Im Jahr 2017 wurde die Google Cloud mit einem Spitzenverkehrsvolumen von 2,54 Terabyte pro Sekunde angegriffen. Das ist fast doppelt so viel wie der gesamte weltweite Internetverkehr in einer Stunde im Jahr 1999.
Das Hauptziel eines DDoS-Angriffs ist es, dem Unternehmen finanzielle Verluste zuzufügen. Vor allem durch Gewinneinbußen, weil die Dienstleistungen des Unternehmens für die Kunden nicht mehr verfügbar sind oder der Zugang zu ihnen erheblich erschwert wird. Oder das Unternehmen wird gezwungen, die Informationsinfrastruktur zu erweitern, ohne dass dies wirklich notwendig ist, sondern nur, um die Geschäftsleitung durch eine Erhöhung des Datenverkehrs zu täuschen. Dabei handelt es sich eigentlich um einen DDoS-Angriff, allerdings ohne scharfe Spitzen, so dass er schwer zu erkennen ist.
Ein anderes gefährliches Ziel kann als “Deckung” für einen weiteren Angriff dienen. Auf diese Weise können Hacker die Verteidigung dazu zwingen, alle Anstrengungen und Aufmerksamkeit auf die Bewältigung des DDoS-Angriffs zu richten und einen weiteren Angriff zu verpassen. Oder bringen Sie das Opfer dazu, seltsames Verhalten eines Servers, einer Website, einer Datenbank usw. mit einem verteilten Denial-of-Service-Angriff hervorzubringen. Gleichzeitig wird der Möglichkeit eines weiteren Anschlags häufig nicht genügend Aufmerksamkeit geschenkt.
Einen DDoS-Angriff kann man erkennen durch:
Es ist jedoch nach wie vor schwierig zu erkennen, wo sich der Bot und wo sich der rechtmäßige Benutzer befindet, da die so genannten “Zombies” selbst Benutzergeräte sind. Manchmal sind die Angriffe recht einfach und leicht zu filtern. Und manchmal können sie recht anspruchsvoll sein und eine tiefere Analyse erfordern. Wie bei anderen Arten von Angriffen lässt sich leider auch die Entstehung von Denial-of-Service als Dienst nachvollziehen. Unter dem Deckmantel der Erbringung von Testdiensten bietet dies sogar Personen, die weit vom Hacken entfernt sind, die Möglichkeit, leistungsstarke DDoS-Angriffe durchzuführen.
Wenn Sie hingegen ein neues Produkt auf den Markt bringen, kann es sein, dass die Website einen großen Nutzeransturm erlebt. Und niemand will Angreifern helfen, indem er legitime Nutzer mit seinen eigenen Händen abweist. Werbeaktionen und Sonderangebote können auch dazu führen, dass Menschen ein “seltsames” Verhalten an den Tag legen, indem sie die Seite regelmäßig aktualisieren oder die Website zu bestimmten Zeiten besuchen. Daher ist es nicht zielführend, sich bei der Verkehrsfilterung nur auf solche Indikatoren zu verlassen. Wie immer ist hier ein umfassender Ansatz erforderlich.
DDoS ist ein gängiger Angriff, der erhebliche finanzielle Verluste verursachen kann. Oder Sie erhöhen Ihre Kosten für die digitale Infrastruktur erheblich, indem Sie vorgeben, den Verkehr zu erhöhen. Eine auch nur kurzzeitige Nichtverfügbarkeit von Dienstleistungen kann dazu führen, dass einige Kunden für immer verloren gehen.
Wie bereits erwähnt, sind Verhaltensfaktoren einer der wichtigsten,aber nicht sehr zuverlässigen Indikatoren. Die Hauptaufgabe des Schutzes in dieser Situation wird darin bestehen, keinen Schaden anzurichten. Es ist absolut inakzeptabel, legitimen Kunden den Zugang zu diesem Dienst zu verwehren. Eine manuelle Filterung des Datenverkehrs und die Beurteilung seiner Rechtmäßigkeit ist ebenfalls absolut unmöglich.
Angriffe werden von der Firewall automatisch erkannt und führen nicht zur Unterbrechung der Client-Verbindung, sondern verlangsamen nur die Antwort des Servers. Und zwar so, dass es für die Kunden fast nicht wahrnehmbar ist, aber den Angriff zunichte macht. Außerdem werden einige IP-Adressen, bei denen es sich offensichtlich um Bots handelt, für einen wirksameren Schutz vollständig gesperrt.
Komplexere Angriffe werden durch die Art der Anfrage bestimmt und am Server “vorbeigeschickt” , um den Aufruf spezieller Anfragen zu verhindern, die den Server belasten, aber von legitimen Clients nicht aufgerufen werden können.
Wir bieten Lösungen für einen permanenten automatischen Schutz zum Blockieren und Entschärfen von DDoS-Angriffen. Außerdem erhalten Sie Unterstützung bei der tieferen Analyse von Angriffen und der Verbesserung des Schutzes je nach Bedarf. Wir bewerten die Sicherheit umfassend und lassen Angreifern keinen Raum für Manöver.
Quelle:
https://www.zdnet.com/article/google-says-it-mitigated-a-2-54-tbps-ddos-attack-in-2017-largest-known-to-date/
https://www.netvalley.com/netvalley/intvalstat.html
https://neosec.eu/phishing-as-a-service-gewinnt-im-dark-web-an-bedeutung/index.html
Ein 16-jähriger Hacker hat sich mit Hilfe von Phishing-Attacken in die Unternehmen Uber und Rockstar Games gehackt und sich Zugang zu mehreren Gigabytes an Daten, internen Diensten und dem Unternehmens-Slack verschafft und diese heruntergeladen. Der Quellcode von Uber, GTA 5 und 6, Video-Gameplay des neuen Teils von Grand Theft Auto und viele andere Dinge waren in den Händen des Hackers. Das meiste davon ist bereits online.
Quelle:
https://twitter.com/RockstarGames/status/1571849091860029455
https://www.uber.com/newsroom/security-update/
Und wieder ein Phishing-Angriff…
Das ist auch nicht verwunderlich, denn der Mensch ist und bleibt die größte Schwachstelle jeder Cyberabwehr. Dennoch gibt es einen Schutz gegen diese Art von Angriffen, der vor allem in der Zwei-Faktor-Authentifizierung auch bei den internen Diensten des Unternehmens und in der ständigen Schulung der Mitarbeiter besteht. Ja, es mag ein wenig unangenehm sein, aber ein paar Jahre Arbeit zu verlieren, tut schon etwas mehr weh, egal ob es sich um einen neuen Teil von GTA oder dem Uber-Code handelt.
Die ordnungsgemäße Konfiguration interner Dienste und die rechtzeitige Reaktion auf atypisches Verhalten sollten der Standard für den Schutz sein. Der Hacker verschaffte sich Zugang zu einer Reihe von internen Unternehmensdiensten, Slack-Chats und Gigabytes an Quellcode und Daten, indem er Mitarbeiter austrickste. Aber er hat auch diesen Haufen Daten heruntergeladen, was offensichtlich kein typisches Verhalten ist und einige Zeit in Anspruch genommen hat; eine schnelle oder besser automatisierte Reaktion hätte den Schaden für die beiden Unternehmen in manchen Fällen verringert oder sogar vermeiden können.
Das FBI hat bereits bestätigt, dass eine Person hinter dem Hack der beiden Unternehmen steckt, der 18-jährige Hacker ist wahrscheinlich ein Mitglied der Lapsus$-Gruppe, die seit Anfang des Jahres bereits mehrere Dienste von z.B. Microsoft, Nvidia und Samsung gehackt hat. Dennoch können Sie sich schützen.
Es scheint, dass der Hacker noch immer Unternehmen erpresst, sodass wir nur begrenzte Daten über einige Details der Angriffe und die Beträge haben, die für mögliche Lösegelder und andere Verluste ausgegeben wurden. Aber es ist offensichtlich, dass der Schaden für die Unternehmen groß ist.
Damals erklärte Uber, dass Nutzerdaten wie Namen, Kreditkarten, Fahrten usw. sicher seien, und Fans der Grand Theft Auto-Serie begannen, das unveröffentlichte Spiel anhand von durchgesickerten Videos nachzustellen und neue Features zu analysieren. Die Reputationsverluste werden natürlich beträchtlich sein, mal sehen, was die Unternehmen als nächstes tun werden.
DER SPIEGEL, Hamburg, 23.09.2022, 13.00 Uhr: “Weil sie sensible Daten enthält, solle man seine Bordkarte »wie Bargeld« behandeln, sagt Lufthansa. Carsten Spohr, Chef der Fluglinie, hat sich offenbar nicht daran gehalten – und wurde Opfer eines IT-Schlupflochs.”
Noch Unbekannte haben vor kurzem eine Gelegenheit genutzt und den QR-Code einer Bordkarte des Vorstandsvorsitzenden ausgelesen. Wie Lufthansa gegenüber DER SPIEGEL eingesteht, enthalten die QR-Codes der Lufthansa-Bordkarten neben Reiseinformationen auch persönliche Informationen der Reisenden wie bsw. Servicekartennummern, Email-Adressen und Mobiltelefonnummern.
Gut zu wissen! Man sollte also eine Lufthansa-Bordkarte wie Bargeld behandeln. Klar, auch mit Bargeld wedelt man nicht in der Luft herum, oder lässt es für Neugierige aus der Gesäßtasche herauslauern. Aber mal ernsthaft, wieviel aufwendiger ist es, die Daten auf einer Bordkarte anstatt nur codiert verschlüsselt abzuspeichern?
Achten Sie also darauf: Codierung ist keine Verschlüsselung! Speichern Sie im Kontext der Datenverarbeitung und dem Austausch mit optisch lesbaren Datenträgern bzw. Formaten die Daten verschlüsselt. Gute Beispiele sind Warenaufkleber, hier haben wir im Rahmen eines Security Assessments manigfaltige Informationen über ein Produkt finden können, inkl. Informationen zum Vorlieferanten.
Cybersicherheitsexperten haben im Dark Web einen neuen Phishing-as-a-Service-Anbieter gefunden, der seinen Kunden die Möglichkeit bietet, Phishing-Angriffe auf Kunden beliebter Dienste durchzuführen, auch wenn MFA (Multi Factor Authentication) aktiviert ist.
Kriminelle arbeiten mit Reverse-Proxy- und Cookie-Injection-Technologien. Der Dienst ermöglicht Angriffe auf Nutzer von Apple, Facebook, GoDaddy, GitHub, Google, Dropbox, Instagram, Microsoft, Twitter, Yahoo, Yandex und anderen Diensten. Konten mit aktiviertem MFA, sowohl SMS als auch Anwendungstoken, werden angegriffen.
Mitarbeiter von Fortune-500-Unternehmen wurden bereits erfolgreich angegriffen.
Unsere Kunden kennen das: Jahrelang habe ich immer wieder dafür plädiert, die 2-Faktor-Authentisierung oder Multi-Faktor-Authentisierung einzusetzen, und nun das.
Was sollen wir unseren Kunden raten? Eine gute Nachricht ist, mit einem wachen Auge und scharfem Verstand hätten diese Angriffe leicht bemerkt werden können. Die schlechte Nachricht ist, selbst geschultes Personal ist im Falle der hier genannten Attacken auf den Schwindel hereingefallen. Aktuelle Versionen von Microsoft default Bedrohungsschutz unter Windows “Defender”, erkennen solche Angriffe und können davor warnen bzw. sie verhindern. Halten Sie daher Ihre Schutzsoftware stets auf dem Laufenden. Eine weitere gute Nachricht ist, außer Uber, Microsoft und Twilio gab es bislang keine bekannten erfolgreichen Angriffe.
Lassen Sie uns gemeinsam Ihr Unternehmen auf
IT-Sicherheit untersuchen, einschätzen und absichern, damit Sie nachts ruhig schlafen können.
Ein neuer Phishing-Angriff namens SocGholish wurde entdeckt. SocGholish zielt auf viele Länder ab, darunter auch Deutschland. Es…
Eine neue bösartige OneNote-Datei wurde entdeckt. OneNote-Dokumente sind Microsoft-Produkte und haben die Erweiterung “.one”. Trustwave fand die…
Kürzlich ist ein interessanter Tag in Bezug auf die IT-Sicherheit verstrichen, auf dessen Symbolkraft ich näher eingehen…
