Zusammenfassung der menschlichen Risiken

In der ersten Ausgabe des Human Risk Roundup befassen wir uns mit aktuellen, realen Beispielen dafür, wie Cyberkriminelle menschliche Schwachstellen ausnutzen, um die Verteidigung von Unternehmen zu durchbrechen. Dieses regelmäßige Feature von Mimecast richtet sich an CISOs und Sicherheitsverantwortliche und bietet verwertbare Einblicke in die sich entwickelnden Taktiken und psychologischen Strategien von Angreifern, die Ihnen helfen, das wichtigste Gut Ihres Unternehmens zu schützen - Ihre Mitarbeiter.

In dieser Ausgabe geht es um die Scattered Spider-Angriffe auf britische Einzelhändler, phishing-Kampagnen, die die Infrastruktur von Google durch DKIM-Wiederholungsangriffe ausnutzen, und das Wiederaufleben der Lampion malware, die ClickFix-Köder verwendet, und vieles mehr. Jeder Artikel bietet umsetzbare Erkenntnisse für Sicherheitsverantwortliche, die ihre Strategien für das Risikomanagement verbessern wollen.

Verstreute Spinnenangriffe auf britische Einzelhändler: Eine Lektion in menschlicher Ausbeutung

Ende April 2025 wurden drei große britische Einzelhändler - Marks & Spencer (M&S), Co-op Group und Harrods - von einer Reihe koordinierter Cyberangriffe getroffen. Obwohl die Zuordnung inoffiziell bleibt, vermuten Cybersecurity-Forscher stark die Beteiligung der berüchtigten Hackergruppe 'Scattered Spider'. Diese Gruppe ist berüchtigt dafür, menschliche Schwachstellen auszunutzen, anstatt fortschrittliche technische Exploits zu verwenden.

Was geschah: Berichten der BBC zufolge begann der Angriff auf M& S um das Osterwochenende herum und störte zunächst die Click & Collect-Dienste und die kontaktlosen Zahlungen. Der Ransomware-Vorfall legte Zahlungssysteme lahm, stoppte Online-Bestellungen und beeinträchtigte die Lieferketten erheblich. Einige Lieferanten, darunter Greencore und Nails Inc., griffen auf manuelle Prozesse zurück, um die Lieferanforderungen zu erfüllen, da sie mit operativen Problemen zu kämpfen hatten. M&S verlor etwa 3,8 Millionen Pfund pro Tag an Online-Verkäufen, und der Angriff ließ den Marktwert des Unternehmens um schätzungsweise 500 bis 700 Millionen Pfund sinken. Die Ermittlungen deuten darauf hin, dass die Angreifer sich den Zugang über gestohlene Zugangsdaten verschafft haben, die sie durch Techniken wie Phishing oder Bombardierung der Multi-Faktor-Authentifizierung (MFA) erlangt haben. Während einige Systeme wieder in Betrieb genommen wurden, beeinträchtigen die Auswirkungen weiterhin den Betrieb.

Auch die Co-op Group wurde in diesem Monat mit einer verheerenden Cyberattacke konfrontiert, die auf ausgeklügelte Social-Engineering-Techniken zurückgriff. Die Angreifer manipulierten das IT-Personal, indem sie sich als Personen ausgaben und sie dazu brachten, Passwörter zurückzusetzen, und verschafften sich so unbefugten Zugang zu wichtigen Systemen. Der Bruch führte zu logistischen Unterbrechungen, die in vielen Co-op-Filialen, insbesondere auf den schottischen Inseln, zu Engpässen bei frischen Lebensmitteln führten. Um die Bedrohung einzudämmen, hat Co-op Maßnahmen wie die Beschränkung des Internetzugangs und die Verbesserung der Verifizierungsprotokolle für virtuelle Meetings ergriffen. Das National Cyber Security Centre (NCSC) hat den Einzelhändlern inzwischen geraten, die Prozesse zum Zurücksetzen von Passwörtern zu verstärken, um ähnliche Risiken einzudämmen.

Harrods hingegen hat einen Cyberangriffsversuch erfolgreich abgewehrt, indem es rasche Vorsichtsmaßnahmen ergriffen hat. Das Unternehmen schränkte den Internetzugang in allen Geschäftsbereichen ein, nachdem unbefugte Zugriffsversuche in Verbindung mit Social-Engineering-Taktiken stattgefunden hatten. Der proaktive Ansatz des Luxuseinzelhändlers verhinderte ein weiteres Eindringen, obwohl die Einzelheiten des Einbruchs noch nicht bekannt gegeben wurden.

Warum das wichtig ist: Diese Vorfälle unterstreichen die wachsende Bedrohung durch von Menschen durchgeführte Cyberangriffe im Einzelhandel. M&S ist ein Paradebeispiel dafür, wie kompromittierte Zugangsdaten und menschliche Schwachstellen zu finanziellen und betrieblichen Turbulenzen führen können. Co-op veranschaulicht die schwerwiegenden Folgen von Social Engineering innerhalb vertrauenswürdiger interner Prozesse, während Harrods die Bedeutung einer schnellen Erkennung und von Maßnahmen zur Eindämmung von Bedrohungen hervorhebt. Investitionen in gezielte Schulungen, die Stärkung von Protokollen und die Ausstattung der Mitarbeiter mit Werkzeugen zur Erkennung von Social-Engineering-Versuchen sind entscheidend für die Verringerung des menschlichen Risikos und die Stärkung der Widerstandsfähigkeit des Unternehmens.

Lesen Sie mehr über diese Angriffe in unserem Mimecast-Blog.

Phishing über die Google-Infrastruktur: Ein raffinierter Angriff auf das menschliche Vertrauen

In einer neuen Welle von Phishing-Kampagnen haben Angreifer einen Weg gefunden, die vertrauenswürdige Infrastruktur von Google auszunutzen, um E-Mails zu versenden, die authentisch erscheinen. Laut The Hacker Newsinformiertendiese E-Mails, die scheinbar von"no-reply@google.com" stammten, die Empfänger über eine angebliche Vorladung von einer Strafverfolgungsbehörde. Die E-Mails leiteten die Nutzer zu einer Google Sites-Seite, die den legitimen Google-Support imitierte und sie aufforderte, Dokumente hochzuladen oder Details zum Fall einzusehen.

Was geschah: Die Angreifer nutzten einen DKIM-Wiederholungsangriff, der es ihnen ermöglichte, eine E-Mail mit einer gültigen Signatur zu erstellen, die die Sicherheitsfilter umgeht. Bei dieser Technik wird eine legitime Google OAuth-Anwendung erstellt, eine Sicherheitswarnung erzeugt und weitergeleitet, wobei die DKIM-Signatur erhalten bleibt. Infolgedessen schienen die Phishing-E-Mails von legitimen Google-Konten zu stammen und täuschten selbst fortschrittliche Sicherheitssysteme.

Warum das wichtig ist: Die Ausnutzung vertrauenswürdiger Plattformen zur Verbreitung bösartiger Inhalte ist eine neue Herausforderung für IT-Sicherheitsteams. Da Angreifer zunehmend legitime Cloud-Dienste für Phishing nutzen, werden herkömmliche Erkennungsmethoden immer weniger effektiv. Unternehmen sollten sich darauf konzentrieren, ihre Benutzer über die Erkennung von Phishing-Versuchen aufzuklären, selbst wenn die E-Mails vertrauenswürdig erscheinen.

Lesen Sie mehr darüber in The Hacker News.

Lampion-Malware kehrt mit ClickFix Social Engineering-Ködern zurück

Die Lampion-malware, die dafür berüchtigt ist, auf Bankdaten abzuzielen, ist mit einem neuen Angriffsvektor namens ClickFix wieder aufgetaucht. Wie Palo Alto Networks berichtet, werden Benutzer mit dieser Technik dazu verleitet, bösartige Befehle auszuführen, indem ihnen vorgegaukelt wird, dass damit ein Systemproblem behoben wird.

Was geschah: Die Kampagne richtet sich an portugiesische Unternehmen, insbesondere in den Bereichen Finanzen, Regierung und Transport. Die Angreifer verschicken Phishing-E-Mails, die eine bösartige ZIP-Datei enthalten, die den Benutzer beim Öffnen auf eine gefälschte Website der Steuerbehörde leitet. Die Opfer werden angewiesen, einen PowerShell-Befehl auszuführen, was zu Datendiebstahl und Systemkompromittierung führt. Die Malware verwendet außerdem mehrere Verschleierungstechniken, um ihre wahre Funktion zu verbergen, was die Entdeckung besonders schwierig macht.

Warum das wichtig ist: ClickFix steht für einen wachsenden Trend, bei dem Angreifer die Benutzer direkt manipulieren, anstatt Systemschwachstellen auszunutzen. Sicherheitsverantwortliche sollten das Bewusstsein für diese Technik schärfen und Überwachungstools einsetzen, die verdächtige Befehlszeilenausführungen erkennen.

 Lesen Sie hier mehr. 

Bekämpfen Sie Human Risk mit Mimecast

Übernehmen Sie die Kontrolle über das menschliche Risiko mit Mimecast. Unsere fortschrittlichen Lösungen blockieren mehr als 90% der E-Mail-basierten Bedrohungen, zielen effektiv auf Schwachstellen ab und geben Ihren Mitarbeitern die Tools und Schulungen an die Hand, die sie benötigen, um sicher zu bleiben. Erfahren Sie , wie Mimecast Ihr Unternehmen vor Cyber-Bedrohungen schützen und das Risiko für Menschen mindern kann.