Die Hybris hat den Instagram-Star erwischt: Sicherheitsleitfaden für die E-Mail-Sicherheit von Unternehmen

Im Folgenden finden Sie vier Tipps zur E-Mail-Sicherheit, die Sie aus der Hushpuppi-Saga lernen können, z. B. wie Sie die sozialen Medien richtig einschätzen und sicherstellen, dass Ihre Kunden und Lieferketten gleichermaßen sicher sind.

1. Ramon Olorunwa Abbas, auch bekannt als "Ray Hushpuppi", wird vom Federal Bureau of Investigations (FBI) beschuldigt, Hunderte von Millionen Dollar durch E-Mail-Betrug und andere Betrügereien gewaschen zu haben.

In einem Video, das auf der Instagram-Seite der Polizei von Dubai veröffentlicht wurde, stürmten Beamte im Rahmen der "Operation Fox Hunt 2" in die Wohnung von Hushpuppi und verhafteten ihn, als er schlief, in einer Reihe von koordinierten Razzien gegen ihn und andere Mitverschwörer, insbesondere Olalekan Jacob Ponle, bekannt als Woodberry. Sowohl Herr Abbas als auch Herr Ponle wurden inzwischen an die USA ausgeliefert und vor einem Gericht in Chicago angeklagt. Die beiden wurden noch nicht zu einem Geständnis aufgefordert und gelten bis zum Beweis ihrer Schuld als unschuldig.

Hushpuppi hat seinen Reichtum in den sozialen Medien zur Schau gestellt. Welche persönlichen Informationen geben Ihre Mitarbeiter preis?

Umgang mit E-Mail-Kompromittierung im Unternehmen

Die Hushpuppi-Saga hat in den letzten Tagen viel Aufmerksamkeit erregt, was wahrscheinlich auf den protzigen Lebensstil der Instagram-Persönlichkeit zurückzuführen ist. Wie wir wissen, war dieser Fall ein Ausreißer: Die meisten Cyberkriminellen versuchen, unter dem Radar zu fliegen, nicht nur, um erfolgreich zu sein, sondern auch, um den wachsamen Augen der Behörden zu entgehen.

Woran liegt es also, dass Angriffe auf Unternehmens-E-Mails so beliebt und erfolgreich geworden sind?

Die Antwort ist, dass die E-Mail - wo die Kompromittierung von Geschäftskorrespondenz ihren Ursprung hat - nie mit Blick auf die Sicherheit konzipiert wurde und dennoch zum Standardmodus für die wichtige Internetkommunikation zwischen Unternehmen und globalen Geschäftsführern geworden ist. Es gab einige Sicherheitsaktualisierungen bei den E-Mail-Standards, z. B. DMARC & DANE, aber die Übernahme dieser Standards steckt noch in den Kinderschuhen.

Mitarbeiter haben viel zu tun, und es ist keine Überraschung, dass bei 95 % aller Cyberverletzungen menschliches Versagen im Spiel ist. Dies untergräbt ernsthaft die technologiebasierten Bemühungen zur Abwehr von Speer-Phishing , Lieferketten-Impersonation, Viren, Ransomware und einer ganzen Reihe anderer Bedrohungen. Fehleinschätzungen kosten Unternehmen viel Zeit und Geld, aber zu viele Sicherheitsteams suchen ausschließlich nach einer technischen Lösung für ein Problem, das größtenteils auf den Menschen zurückzuführen ist.

Im Folgenden finden Sie vier Sicherheitstipps, die Sie sich merken sollten, um Angriffe auf geschäftliche E-Mails abzuwehren:

1. Nutzen Sie die Plattformen der sozialen Medien mit gesundem Urteilsvermögen.

Wie viele Informationen geben Sie und Ihre Mitarbeiter auf persönlichen Konten in sozialen Medien preis?

Der Fall Hushpuppi ist hier eine wichtige Lektion für Ihre Mitarbeiter. Das FBI hat aufgezeigt, wie die mutmaßlichen Intriganten mit ihren Instagram- und Snapchat-Posts unwissentlich wichtige Informationen über ihre Identität, Adressen und Aktivitäten an amerikanische Ermittler weitergegeben haben.

Cyberkriminelle können ähnliche Techniken einsetzen, um die Bewegungen Ihrer Mitarbeiter zu überwachen und Angriffe zu personalisieren. Rechnungsbetrug kann zeitlich so abgestimmt werden, dass bestimmte Führungskräfte weit weg fliegen, und wenn man ihre Interessen kennt, kann man den perfekten Köder auslegen.

Die Schulung des Sicherheitsbewusstseins ist hier wichtig. Herkömmliche Programme, die aus Dias bestehen, die man tun und lassen sollte, können leicht langweilig sein und scheitern, weil die Mitarbeiter sich nicht engagieren und nicht verstehen oder sich nicht genug darum kümmern, ihr Verhalten zu ändern. Eine wirksame Schulung muss regelmäßig stattfinden und Spaß machen, um eine dauerhafte und positive Wirkung zu erzielen.

2. Wählen Sie einen mehrschichtigen Ansatz für die E-Mail-Sicherheit.

Verlassen Sie sich nicht darauf, dass ein einzelner Anbieter oder Dienst alle eingehenden Angriffe blockieren kann, egal ob vor Ort oder in der Cloud.

Die häufigsten Phishing-Angriffe sind ungezielte E-Mails, mit denen versucht wird, Mitarbeiter zur Herausgabe wertvoller Informationen oder zum Herunterladen von Malware zu verleiten. Bösartige Nutzdaten können in E-Mail-Anhängen versteckt sein, die vorgeben, Rechnungen, Lebensläufe oder andere Geschäftsdokumente zu sein.

Vergewissern Sie sich, dass Ihr sicheres E-Mail-Gateway Links in E-Mails umschreibt, um zeitversetzte Phishing-Angriffe zu bekämpfen, bei denen Nutzlastseiten erst aktiviert werden, nachdem eine E-Mail zugestellt wurde. Auch Anhänge müssen mit AV, Dateianalyse und Sandboxen auf bekannte und unbekannte Malware geprüft werden.

Wir beobachten jetzt immer mehr gezielte Angriffe, bei denen fortgeschrittene Techniken eingesetzt werden, um sich als Mitarbeiter oder Partner in der Lieferkette auszugeben. Diese Angriffe verwenden in der Regel Freemail-Konten oder registrierte ähnliche Domänennamen, denen das Opfer vertraut.

Viele dieser Phishing-E-Mails enthalten keine bösartigen Links und Anhänge. Stattdessen Betrug durch Identitätswechsel (Business Email Compromise) Angriffe verleiten Menschen oft dazu, finanzielle Zahlungen zu leisten oder vertrauliche Daten zu senden. Diese Social-Engineering-Angriffe sind oft am schwersten zu erkennen und durchdringen leicht die traditionellen primären Sicherheitsschichten.

Stellen Sie sicher, dass Sie über spezifische Abwehrmaßnahmen gegen diese Arten von Angriffen verfügen, und führen Sie spezifische Schulungen anhand von realen Beispielen durch, die auf Ihr Unternehmen zugeschnitten sind.

3. Schützen Sie Ihre Kunden und Lieferketten mit DMARC.

Tools, die über den Sicherheitsbereich des Unternehmens hinausgehen, wie DMARC-Schutz , können Unternehmen dabei helfen, zu erkennen, wenn ihre Marke von Betrügern missbraucht wird, die versuchen, Kunden, Mitarbeiter und Partner auszunutzen.

DMARC kann in Verbindung mit anderen DNS-Authentifizierungsfunktionen wie DKIM und SPF Angreifer daran hindern, die E-Mail-Domänen vertrauenswürdiger Absender zu fälschen oder zu missbrauchen, und so Angreifern eine Methode nehmen, mit der sie ihre Opfer täuschen wollen.

Die Bedrohung Ihrer Lieferkette durch Angriffe auf Geschäfts-E-Mails wird bei längerer Fernarbeit noch größer. So ist es zum Beispiel viel schwieriger geworden, zum Schreibtisch des Finanzdirektors zu gehen und eine Zahlung an einen Lieferanten zu bestätigen.

DMARC klingt zunächst kompliziert, aber es ist einfach, mit der Überwachung zu beginnen und dann zur Quarantäne und Zurückweisung überzugehen, wenn man Vertrauen und Fähigkeiten gewinnt.

4. Bewerten Sie die Risiken Ihrer Mitarbeiter.

Beurteilen Sie, welche Mitarbeiter regelmäßig Zugang zu vertraulichen Daten oder personenbezogenen Informationen haben, um zusätzliche Schulungen zu ermöglichen. Untersuchen Sie Schulungsdaten, Stimmungsumfragen, um Scoring und prädiktive Analysen zu erstellen rund um die menschliche Seite der Cybersicherheit.

Mit einer personalisierten Cyber-Risiko-Bewertung, die jedem Mitarbeiter zugewiesen wird, können Sie verstehen, welche Endbenutzer das größte Risiko darstellen, und - noch besser - etwas dagegen unternehmen. In Kombination mit Ihrem Threat-Intelligence-Programm können Sie dann Zeit und Ressourcen auf die schwächsten Bereiche konzentrieren.

Schulungen sollten sowohl häufig als auch konsequent durchgeführt werden, und da die Social-Engineering-Taktiken der Cyberkriminellen immer fortschrittlicher werden, sollten Schulungen zur Kompromittierung von Geschäfts-E-Mails ein wiederkehrender Bestandteil der Sicherheitsschulung sein.