Phishing wird immer heimtĂŒckischer
· ·

Phishing wird immer heimtĂŒckischer

Ein neuer Phishing-Angriff namens SocGholish wurde entdeckt. SocGholish zielt auf viele LÀnder ab, darunter auch Deutschland. Es werden infizierte Websites verwendet, die keinen Verdacht erregen, und selbst Aggregatoren und Google Alert nehmen diese Websites in ihre Mailings auf. Proofpoint (Cybersicherheitsunternhemen) hat bereits etwa 300 solcher Websites entdeckt und die Zahl könnte noch steigen.

Die Gefahren von OneNote-Dokumenten
·

Die Gefahren von OneNote-Dokumenten

Eine neue bösartige OneNote-Datei wurde entdeckt. OneNote-Dokumente sind Microsoft-Produkte und haben die Erweiterung “.one”. Trustwave fand die bösartige “.one”-Datei erstmals Anfang Dezember.

Die Experten erhielten die Datei mit einer typischen Phishing-E-Mail. Die “.one”-Datei bestand aus bösartigen Skripten, die PowerShell-Befehle enthielten. Diese bestanden aus Anweisungen, um Dateien (sog. Payloads) von der Domain des Bedrohungsakteurs – a0745450[.]xsph[.]ru – herunterzuladen.

Die Datei lĂ€dt andere bösartige Komponenten nicht automatisch herunter. Sie verleitet den Benutzer dazu, die SkriptausfĂŒhrung zu starten, indem er auf die einzige angezeigte SchaltflĂ€che klickt, doch darunter befindet sich ein bösartiges Skript.

Normalerweise warnt das System den Benutzer vor dem Öffnen einer AusfĂŒhrungsdatei, aber diese Meldungen werden von den Benutzern hĂ€ufig ignoriert.

was der Benutzer sieht
was wirklich vor sich geht

Der weitere Weg der Malware ist schwer zu erkennen. Die Forscher behaupten, dass ein Formbook-Trojaner heruntergeladen wird, der aber jederzeit geÀndert werden kann.

Formbook selbst ist ein Malware-as-a-Service, aber der gesamte Angriff könnte Teil eines Phishing-as-a-Service-Angriffs sein, worĂŒber wir bereits geschrieben haben. Hierbei ist es wahrscheinlich, dass die Malware Browserdaten stiehlt und Screenshots macht, und die Folgen können mit der Zeit immer grĂ¶ĂŸer werden.

Um die Risiken zu mindern, sollten Sie “.one”-AnhĂ€nge besser kennzeichnen, Mitarbeiter ĂŒber Bedrohungen informieren und eine Mail Security Gateway Regeln konfigurieren. Es handelt sich (noch) nicht um einen typischen Angriff, aber je frĂŒher Sie sich vorbereiten, desto sicherer sind Sie.

Verwaltung der ZugÀnge der Mitarbeiter?
·

Verwaltung der ZugÀnge der Mitarbeiter?

KĂŒrzlich veröffentlichte der Twitter-Account der New York Post mehrere feindselige Tweets. Sie wurden noch am selben Tag gelöscht und das Unternehmen behauptete, das Konto sei gehackt worden. SpĂ€ter stellte sich jedoch heraus, dass sie von einem Mitarbeiter eingestellt worden waren. Es wird behauptet, dass er bereits entlassen worden ist. Dieser Fall wirft jedoch die Frage auf, warum dieser Mitarbeiter Zugang zum Twitter-Konto der Zeitung hatte. Denn er war nicht fĂŒr die Veröffentlichung von Inhalten in diesem Netz verantwortlich.

200.000 Kundenkonten von North Face wurden gestohlen
·

200.000 Kundenkonten von North Face wurden gestohlen

Benutzerkonten auf der The North Face Website wurden Opfer eines Hackerangriffs. Der Angriff dauerte einen Monat, wobei die Brute-Force-Methode zum Einsatz kam. Nach Angaben des Unternehmens gelang es den Angreifern, etwa 200.000 Konten zu ĂŒbernehmen. Der Vorfall wurde bekannt, weil das Unternehmen nach dem Gesetz verpflichtet ist, einen solchen Angriff zu melden. Ein Ă€hnliches Gesetz gilt in Deutschland. The North Face hat die von dem Angriff betroffenen Nutzer informiert.

CXOs wurden im vergangenen Jahr viel hÀufiger Opfer von Phishing als andere

CXOs wurden im vergangenen Jahr viel hÀufiger Opfer von Phishing als andere

Laut einer internationalen Studie von Ivanti ist die Wahrscheinlichkeit, Opfer von Phishing-Angriffen zu werden bei FĂŒhrungskrĂ€ften viermal höher. Dies resultierte daraus, dass sie auf betrĂŒgerische Links klickten und den Angreifern Geld schickten. Diese Umfrage hat gezeigt, dass FĂŒhrungskrĂ€fte eher zu gefĂ€hrlichem Verhalten neigen als andere.

Dies scheint ein großes Problem zu sein, da FĂŒhrungskrĂ€fte ĂŒber hoch privilegierte Konten und große Informationsströme verfĂŒgen, die nicht immer streng gefiltert werden sollten. Offenbar sind sich die FĂŒhrungskrĂ€fte selbst dessen bewusst, denn sie wenden sich mit 2,5-mal höherer Wahrscheinlichkeit als der durchschnittliche Angestellte an das Personal fĂŒr Cybersicherheit, wenn es um Sicherheitsfragen geht.

Diese Maßnahmen reichen jedoch nicht aus, denn jede dritte FĂŒhrungskraft ist im vergangenen Jahr Opfer eines Phishing-Angriffs geworden. FĂŒhrungskrĂ€fte zeigen sich besorgt, scheinen aber weniger bewusst und nachlĂ€ssiger zu sein, wenn es um die tĂ€gliche digitale Hygiene und die notwendige Vorsicht geht.

Die Ausbildung von FĂŒhrungskrĂ€ften sollte sich von der Ausbildung von Mitarbeitern unterscheiden, da FĂŒhrungskrĂ€fte eine begehrtere Zielgruppe sind. Daher setzen Angreifer ausgefeiltere Cyberangriffstechniken als ĂŒblich gegen sie ein. NatĂŒrlich werden sie auch “Massen”-Phishing-E-Mails erhalten, aber fortgeschrittene Angriffe stellen eine grĂ¶ĂŸere Bedrohung dar.

Bei Neosec bieten wir Schulungen fĂŒr alle Mitarbeiterebenen an, um Phishing-Angriffe abzuwehren und wir verwenden unterschiedliche AnsĂ€tze, um Mitarbeiter auf verschiedenen Ebenen zu schulen. Die Schulung ist auf Ihre SicherheitsbedĂŒrfnisse zugeschnitten und ist nicht ĂŒbermĂ€ĂŸig aufwĂ€ndig. Sie werden die notwendigen Kenntnisse und FĂ€higkeiten erwerben, um sie in Ihrer tĂ€glichen Arbeit anzuwenden.

Angriffe auf Hochschulen

Angriffe auf Hochschulen

Die UniversitĂ€t Duisburg-Essen wurde angegriffen. Die gesamte IT-Infrastruktur wurde abgeschaltet und vom Internet getrennt. Laut der UniversitĂ€t wurden von den Angreifern große Teile des Systems verschlĂŒsselt. Die Leitung der Einrichtung prĂŒft derzeit alle Einzelheiten. BeeintrĂ€chtigt durch den Angriff wurden BĂŒroanwendungen, die internen Verwaltungssysteme, der E-Mail-Verkehr und die Telefonkommunikation.

Neue Zero-Day-Schwachstellen wurden entdeckt
·

Neue Zero-Day-Schwachstellen wurden entdeckt

Microsoft Exchange 0-Day-Schwachstellen

KĂŒrzlich entdeckten Forscher von GTSC zwei neue Zero-Day-Schwachstellen. Es wurden bereits erfolgreiche Angriffe verzeichnet, die diese Schwachstellen ausnutzten. AnfĂ€llig sind Microsoft Exchange Server 2013, 2016 und 2019. Noch eher könnten Sie zum Opfer dieser Schwachstelle werden, wenn die automatische Erkennung aus dem Internet aktiviert ist.

Die Wirkung des Angriffs

Bisher ist nur wenig ĂŒber erfolgreiche Angriffe bekannt, sodass der praktische Schaden nicht genau abgeschĂ€tzt werden kann. Aber nach theoretischen SchĂ€tzungen kann er riesig sein. Angreifer können die Zugangsdaten auf dem Exchange-Server fĂ€lschen und sogar andere Malware installieren, um die Daten weiter zu stehlen.

Antwort von Microsoft und BSI

Microsoft hat bereits mit einem Blogbeitrag auf das Problem reagiert. Darin sprachen sie ĂŒber das Problem und kĂŒndigten an, es so schnell wie möglich zu beheben. Das BSI warnt vor Angriffen und hat Schutzhinweise vorgelegt.

Es ist wichtig zu beachten, dass die in diesen Berichten prĂ€sentierten Daten keinen angemessenen Schutz bieten. Insbesondere wenn Ihr System bereits unbemerkt mit bösartiger Software infiziert ist. Außerdem werden die Empfehlungen fast tĂ€glich aktualisiert, was fĂŒr Verwirrung sorgen kann.

VerfĂŒgbare Schutzlösungen

Microsoft veröffentlicht die aktuellsten Minderungsmaßnahmen in seinem Blog. Im Allgemeinen umfassen sie das Deaktivieren von Einstellungen im IIS-Manager mithilfe regulĂ€rer AusdrĂŒcke, das Konfigurieren des Exchange Emergency Mitigation Service (EEMS) und das EinschrĂ€nken der Powershell-FunktionalitĂ€t. Schritt-fĂŒr-Schritt-Anleitungen mit den wichtigsten Tipps werden dort auch beschrieben.

Wie der Angriff ausgefĂŒhrt wird

Der Angriff erfolgt in mindestens zwei Phasen, theoretisch können es aber auch mehr sein. Gleichzeitig wird der Verlust mit jeder neuen Stufe zunehmen. ZunĂ€chst versuchen Angreifer, eine legitime Serverfunktion auszunutzen. Beispielsweise suchen sie automatisiert nach Servern, die die automatische Erkennung aktiviert haben. Bei Erfolg nutzen sie eine andere Schwachstelle aus, die es ihnen ermöglicht, Code in Powershell aus der Ferne auszufĂŒhren. Dies gibt Angreifern die Möglichkeit, weitere Schadsoftware herunterzuladen. Kontaktieren SIe uns, und wir helfen Ihnen die AngiffsflĂ€che zu minimieren, um potentiellen Schaden gering zu halten.

Cyberangriff auf Continental

Cyberangriff auf Continental

Zur Erinnerung: Die internen Systeme von Continental wurden von der Lockbit-Gruppe gehackt und 40 Terabyte an Daten gestohlen. Der Vorfall wurde Anfang August bekannt, und es wird behauptet, dass die Hacker einen Monat lang im System waren. Jetzt gibt es weitere Details ĂŒber den Vorfall.

Die Journalisten erfuhren, dass der Angriff ĂŒber einen Browser durchgefĂŒhrt wurde, den einer der Angestellten heruntergeladen hatte. Diese Information wurde vom Leiter der IT-Abteilung in einem internen Video bekannt gegeben. Es ist nicht bekannt, ob der heruntergeladene Browser bereits infiziert war oder ob die Angreifer die SicherheitslĂŒcke einer legitimen Anwendung ausgenutzt haben.

Um diesen Vorfall zu vermeiden, war es auf jeden Fall notwendig, die AngriffsflĂ€che strenger zu verwalten. Die wichtigsten Maßnahmen, die dies hĂ€tten verhindern können, sind das Patch-Management-System im Unternehmen, das Verbot, nicht autorisierte Anwendungen zu installieren, und die BeschrĂ€nkung des Mitarbeiterzugangs.

Patch-Management bedeutet, dass jeder Mitarbeiter nur eine bestimmte Anzahl von Programmen verwendet, die stĂ€ndig aktualisiert oder auf die sicherste Version heruntergestuft werden. Dadurch wird die Möglichkeit, dass Eindringlinge durch Software eindringen, die Sie nicht kontrollieren können, auf nahezu Null reduziert. Das Risiko von Zero-Day-Schwachstellen [Link zum Blogbeitrag ĂŒber Zero-Day] besteht nach wie vor, sollte aber durch andere Maßnahmen verringert werden.

In den meisten FĂ€llen ist es nicht erforderlich, dass die Mitarbeiter zusĂ€tzliche Anwendungen fĂŒr ihre Arbeit installieren. Um sicherzustellen, dass keine anfĂ€lligen Anwendungen oder Malware verwendet werden, ist es besser, den Mitarbeitern die Installation nicht zugelassener Anwendungen zu untersagen.

Diese Maßnahmen verhindern eine unmotivierte VergrĂ¶ĂŸerung der AngriffsflĂ€che und sorgen dafĂŒr, dass das Unternehmen die Kontrolle ĂŒber die bestehende AngriffsflĂ€che behĂ€lt. Ebenfalls wichtig sind die Verwendung von Firewalls, Virenschutzprogrammen, die Simulation von Angriffen, die Verwaltung von Informationen und Sicherheitsereignissen usw. Alle Sicherheitsmaßnahmen mĂŒssen richtig konfiguriert sein und den Anforderungen des Unternehmens entsprechen. FĂŒr Beratungen und Einstellungen Ihrer Sicherheit wenden Sie sich bitte an https://neosec.eu/kontakt/index.html.

Teenager hat Uber und Rockstar gehackt
· ·

Teenager hat Uber und Rockstar gehackt

Ein 16-jÀhriger Hacker hat sich mit Hilfe von Phishing-Attacken in die Unternehmen Uber und Rockstar Games gehackt und sich Zugang zu mehreren Gigabytes an Daten, internen Diensten und dem Unternehmens-Slack verschafft und diese heruntergeladen. Der Quellcode von Uber, GTA 5 und 6, Video-Gameplay des neuen Teils von Grand Theft Auto und viele andere Dinge waren in den HÀnden des Hackers. Das meiste davon ist bereits online.

Datenbank mit 800 Millionen Gesichtern im Netz
· ·

Datenbank mit 800 Millionen Gesichtern im Netz

Medienberichten zufolge stand eine Datenbank mit 800 Millionen DatensĂ€tzen, bestehend aus Fotos von Gesichtern und Nummernschildern, bis in den August offen zugreifbar im Netz. Die Daten stammten demnach von Überwachungskameras des chinesischen Herstellers Xinai Electronics.

Die Systeme des Herstellers sollen Zugangskontrollen von Personen und Fahrzeugen etwa zum Arbeitsplatz, ParkhĂ€usern, Schulen oder Baustellen bieten. Wie Techcrunch berichtet, will das Unternehmen nicht nur Zutrittskontrollen damit umsetzen, sondern damit auch die Überwachung der Anwesenheit von Mitarbeitern etwa fĂŒr Gehaltsabrechnungszwecke ermöglichen. Die Cloud-Systeme zum Scannen von Kfz-Kennzeichen sollen hingegen etwa Parkhausbetreibern ermöglichen, ParkgebĂŒhren ohne Personal vor Ort zu erheben.

Xinai betreibt dazu ein weitreichendes Netz von Kameras in ganz China. Damit sammelte das Unternehmen Millionen Fotos von Gesichtern und Nummernschildern. Auf der Firmenwebseite behauptet Xinai, die Daten seien sicher auf den eigenen Servern abgelegt. Das entpuppte sich nun offenbar als leeres Versprechen.

Der IT-Sicherheitsforscher Anurag Sen fand die ungeschĂŒtzte Datenbank auf einem vom Unternehmen Alibaba in China gehosteten Server. Sen zufolge enthielt die Datenbank eine große FĂŒlle an Informationen und wuchs rapide von Tag zu Tag an. Bis sie schließlich mehrere Hundert Millionen von DatensĂ€tzen und vollstĂ€ndige Webadressen von Bilddateien enthielt, die auf mehreren Domains gehostet wurden, die zu Xinai gehörten. Weder die Datenbank noch die gehosteten Bilddateien seien durch Passwörter geschĂŒtzt gewesen und konnten von jedem, der wusste, wo er suchen musste, ĂŒber den Webbrowser aufgerufen werden.

Weiter enthielt die Datenbank Links zu hochauflösenden Fotos von Gesichtern. So etwa von Bauarbeitern beim Betreten von Baustellen, von BĂŒrobesuchern beim Einchecken, sowie zu anderen persönlichen Informationen wie Name, Alter und Geschlecht der Person und zu den Einwohner-ID-Nummern. Zudem enthielt sie Aufzeichnungen von Fahrzeugkennzeichen, die von den Kameras in ParkhĂ€usern, Einfahrten und anderen BĂŒroeingĂ€ngen erfasst wurden.

Wie Techcrunch ausfĂŒhrt, war Sen nicht der Einzige, der die Datenbank entdeckt hat. In einer undatierten Lösegeldforderung behauptete ein Erpresser, er habe den Inhalt der Datenbank gestohlen und wĂŒrde die Daten im Austausch gegen einige hundert Dollar in KryptowĂ€hrung wiederherstellen. Es sei nicht bekannt, ob der Erpresser Daten gestohlen oder gelöscht hat. Die in der Lösegeldforderung angegebene Blockchain-Adresse habe jedoch keine Gelder erhalten.

Mitte August sei die Datenbank verschwunden und nicht mehr zugreifbar gewesen. Zwar gilt seit dem 1. Novermber 2021 ein Datenschutzgesetz in China, das etwa vorsieht, vor der Erhebung und Verarbeitung von Daten durch Unternehmen die Einwilligung von Nutzern einzuholen. Doch staatliche Stellen bleiben außen vor. Offensichtlich dĂ€mmt es die Datensammelwut auch nicht ein.

So wurde etwa vor rund zwei Monaten bekannt, dass die Shanghaier Polizei sich rund eine Milliarde DatensĂ€tze hat stehlen lassen. Es bleibt abzuwarten, ob die jungen Datenschutzgesetze hier kĂŒnftig zu Besserungen fĂŒr die chinesische Bevölkerung fĂŒhren.

Keine weiteren News.

Keine weiteren News.