Mimecast Logo
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Zusammenfassung der menschlichen Risiken: Eine angegriffene Stadt, Salesloft-Fallout und VerifTools vereitelt

    Baltimore verliert Geld an BEC, die Auswirkungen des Salesloft-Einbruchs gehen weiter, und die Behörden glauben, VerifTools zu Fall gebracht zu haben

    by Renatta Siewert
    roundup-Blog.jpg

    Wichtige Punkte

    • Ein Betrüger hat der Stadt Baltimore mehr als 1,5 Millionen Dollar gestohlen, indem er sich als Verkäufer ausgab und Mitarbeiter dazu brachte, ihre Kontodaten zu ändern.
    • Ein Einbruch bei Salesloft, einem Hersteller von KI-Chatbots, führte zum Diebstahl von Authentifizierungs-Tokens und kompromittierte Daten von zahlreichen Salesforce-Instanzen und anderen integrierten Diensten.
    • Eine gemeinsame Operation der US-amerikanischen und niederländischen Strafverfolgungsbehörden hat VerifTools, eine wichtige Plattform für die Erstellung gefälschter Ausweisdokumente, die bei verschiedenen Cyberverbrechen eingesetzt werden, zerschlagen.

    In dieser Ausgabe des Human Risk Roundup befassen wir uns mit drei wichtigen Ereignissen der letzten Zeit - lesen Sie weiter, um mehr zu erfahren.

    Betrüger stahl über 1,5 Millionen Dollar von der Stadt Baltimore

    Ein Betrüger hat der Stadt Baltimore mehr als 1,5 Millionen Dollar gestohlen, indem er sich als Lieferant ausgab und Mitarbeiter dazu brachte, Bankkontodaten zu ändern, indem er schwache interne Kontrollen in einem BEC-Angriff (Business Email Compromise) ausnutzte. Obwohl ein Teil der Gelder wiedererlangt wurde, zeigt der Vorfall, dass die Kreditorenbuchhaltung der Stadt, die in der Vergangenheit mit ähnlichen Betrügereien konfrontiert war, weiterhin anfällig ist.

    Was geschah

    Dieser Betrug, ein klassischer BEC-Angriff, fand zwischen Februar und März 2025 statt und umfasste zwei betrügerische Zahlungen in Höhe von insgesamt 1.524.621,04 $. Der Betrüger griff auf das Workday-Konto des Lieferanten zu und änderte die Bankdaten, die von den Mitarbeitern der Kreditorenbuchhaltung ohne ordnungsgemäße Überprüfung genehmigt wurden. Während die Stadt $721.236,60 zurückerhielt, die verbleibenden $803.384,44 sind immer noch nicht zurückerstattet, und es wurde ein Versicherungsantrag gestellt. Die Untersuchung ergab schwache interne Kontrollen und einen Mangel an Sicherheitsvorkehrungen in der Kreditorenbuchhaltung, die es versäumt hatte, nach früheren Betrugsfällen Korrekturmaßnahmen zu ergreifen. Dieser Vorfall folgt auf zwei weitere Betrugsfälle in Baltimore seit 2019.

    Warum es wichtig ist

    Dieser Angriff wirft ein Schlaglicht auf einen bedeutenden Vorfall im Bereich der Cybersicherheit, bei dem ein Betrüger schwache interne Kontrollen ausgenutzt hat. Der Angreifer nutzte eine gängige BEC-Taktik, indem er sich als Verkäufer ausgab und Bankkontodaten änderte, um Zahlungen umzuleiten. Dieser Fall unterstreicht, wie wichtig robuste Überprüfungsprozesse und Sicherheitsvorkehrungen in Finanzsystemen sind, um solchen Betrug zu verhindern. Es zeigt auch ein Muster von wiederkehrenden Schwachstellen, da Baltimore in der Vergangenheit mit ähnlichen Betrügereien konfrontiert war, was unterstreicht, wie wichtig es ist, aus früheren Vorfällen zu lernen. Für die Mitarbeiter im Bereich der Cybersicherheit ist dies eine Mahnung, der Mitarbeiterschulung Priorität einzuräumen, eine Multi-Faktor-Authentifizierung zu implementieren und strenge Protokolle zur Dokumentenüberprüfung durchzusetzen. Der Vorfall zeigt, wie Nachlässigkeiten bei grundlegenden Sicherheitsmaßnahmen zu erheblichen finanziellen und rufschädigenden Schäden führen können.

    Vier praktische Tipps für Sicherheitsverantwortliche

    1. Stellen Sie sicher, dass alle Änderungen an der Bankverbindung des Lieferanten sorgfältig überprüft werden. Verlangen Sie mehrere Genehmigungsstufen und prüfen Sie Unterlagen, wie z.B. entwertete Schecks, um die Echtheit zu bestätigen.
    2. Klären Sie Ihre Mitarbeiter darüber auf, wie sie Phishing-Versuche und BEC-Schemata erkennen können. Regelmäßige Schulungen können dem Personal helfen, rote Fahnen zu erkennen, wie z.B. ungewöhnliche Anfragen oder Unstimmigkeiten in der Dokumentation.
    3. Führen Sie regelmäßige Audits der Kreditorenbuchhaltung durch und implementieren Sie Schutzmaßnahmen, um betrügerische Aktivitäten aufzudecken und zu verhindern. Dazu gehört auch die Ergreifung von Korrekturmaßnahmen nach Betrugsvorfällen, um erneute Schwachstellen zu vermeiden.
    4. Investieren Sie in fortschrittliche Betrugserkennungssysteme, die verdächtige Aktivitäten erkennen können, z.B. wiederholte Versuche, Verkäuferdaten zu ändern oder von ungewöhnlichen Orten aus auf Konten zuzugreifen.

    Lesen Sie mehr über den Angriff.

     

    Die anhaltenden Folgen einer Sicherheitslücke beim KI-Chatbot-Hersteller Salesloft

    Ein Einbruch bei Salesloft, einem Hersteller von KI-Chatbots, führte zum Diebstahl von Authentifizierungs-Tokens und kompromittierte Daten von zahlreichen Salesforce-Instanzen des Unternehmens und anderen integrierten Diensten wie Google Workspace und Amazon S3. Der Angriff, der der Gruppe UNC6395 zugeschrieben wird, hat zu einem weit verbreiteten Datendiebstahl geführt und Bedenken hinsichtlich der Sicherheit zentralisierter Identitätsplattformen geweckt, was zu dringenden Abhilfemaßnahmen bei den betroffenen Organisationen geführt hat.

    Was geschah

    Die Hacker stahlen Authentifizierungs-Tokens und kompromittierten nicht nur Salesforce-Daten, sondern auch Integrationen mit Diensten wie Slack, Google Workspace und Amazon S3. Die Threat Intelligence Group von Google hat aufgedeckt, dass die Angreifer durch die Sicherheitsverletzung sensible Daten, einschließlich Anmeldeinformationen für Cloud-Dienste, exfiltrieren konnten, was möglicherweise weitere Kompromittierungen ermöglicht. Der Verstoß, der mit UNC6395 in Verbindung gebracht wird, hat zu einer weit verbreiteten Warnung an Unternehmen geführt, alle mit Salesloft-Integrationen verbundenen Token für ungültig zu erklären. Der Vorfall ist Teil eines breiteren Trends von Social-Engineering-Angriffen, bei denen Gruppen wie ShinyHunters und Scattered Spider Zugangstoken ausnutzen, um Systeme zu infiltrieren. Salesloft hat Mandiant mit der Untersuchung der Sicherheitsverletzung beauftragt, aber die Ursache bleibt unklar.

    Warum es wichtig ist

    Dieser Verstoß zeigt kritische Schwachstellen in der Sicherheit von Authentifizierungs-Tokens auf, die nicht nur Salesforce betreffen, sondern auch Integrationen mit wichtigen Plattformen wie Google Workspace, Slack und Microsoft Azure. Cybersecurity-Personal muss schnell handeln, um die Risiken zu minimieren, denn Angreifer haben bereits gestohlene Token ausgenutzt, um auf sensible Unternehmensdaten zuzugreifen, einschließlich Zugangsdaten für Cloud-Dienste wie AWS und Snowflake. Dieser Vorfall unterstreicht die Gefahren des "authorization sprawl," bei dem Angreifer legitime Benutzerzugänge nutzen, um sich unentdeckt über Systeme hinweg zu bewegen. Der Einbruch zeigt auch die wachsende Raffinesse von Bedrohungsgruppen wie UNC6395, die Social Engineering und Token-Diebstahl einsetzen, um traditionelle Sicherheitsmaßnahmen zu umgehen. Dieser Fall ist eine deutliche Erinnerung an die kaskadierenden Risiken, die durch die Integration von Drittanbietern in modernen IT-Ökosystemen entstehen.

    Vier praktische Tipps für Sicherheitsverantwortliche

    1. Machen Sie Authentifizierungstoken proaktiv ungültig und geben Sie sie neu aus, insbesondere bei Integrationen von Drittanbietern, um das Risiko von Token-Diebstahl und unberechtigtem Zugriff zu minimieren.
    2. Implementieren Sie strenge Kontrollen, um "authorization sprawl," zu verhindern, bei dem Angreifer legitime Benutzerzugriffstoken ausnutzen, um unentdeckt zwischen Systemen zu wechseln. Regelmäßige Überprüfungen der Zugriffsberechtigungen und der Verwendung von Token können dieses Risiko mindern.
    3. Bewerten und sichern Sie Integrationen von Drittanbietern, da diese ein schwaches Glied in Ihrer Sicherheitskette sein können. Gehen Sie davon aus, dass Daten, die mit kompromittierten Integrationen verbunden sind, gefährdet sein könnten und ergreifen Sie sofortige Abhilfemaßnahmen.
    4. Schulen Sie Ihre Mitarbeiter darin, Social-Engineering-Taktiken wie Voice-Phishing zu erkennen und darauf zu reagieren, mit denen sich Angreifer Zugang zu sensiblen Systemen verschaffen. Regelmäßige Simulationen und Sensibilisierungskampagnen können die Verteidigung gegen diese Bedrohungen stärken.

    Lesen Sie mehr über den Einbruch.

     

    Strafverfolgungsbehörde beschlagnahmt gefälschte ID-Plattform VerifTools

    Eine gemeinsame Operation der US-amerikanischen und niederländischen Strafverfolgungsbehörden hat VerifTools zerschlagen, eine wichtige Plattform für die Erstellung gefälschter Identifikationsdokumente, die bei verschiedenen Cyberverbrechen, einschließlich Phishing und Kryptowährungsdiebstahl, eingesetzt werden. Die Behörden haben Server und Domains beschlagnahmt, und die Ermittlungen zur Identifizierung der Administratoren und Nutzer der Plattform dauern an. Dies ist ein wichtiger Schritt im Kampf gegen Identitätsbetrug und Internetkriminalität.

    Was geschah

    Bei der Operation wurden Server in Amsterdam und Domain-Namen in den USA beschlagnahmt, die dazu benutzt wurden, gefälschte Ausweise für nur 9 Dollar zu erstellen. Diese gefälschten IDs wurden für verschiedene Cyberkriminalität ausgenutzt, darunter Phishing, Helpdesk-Betrug und die Umgehung von Finanzprüfungssystemen. Die Ermittler analysieren nun die beschlagnahmten Daten, um die Administratoren und Nutzer der Plattform zu identifizieren. Die Ermittlungen des FBI, die im Jahr 2022 begannen, brachten VerifTools mit mindestens 6,4 Millionen Dollar an illegalen Gewinnen in Verbindung. Die Behörden betonten, wie wichtig es ist, solche Plattformen ins Visier zu nehmen, um Betrug und Identitätsdiebstahl wirksam zu bekämpfen.

    Warum es wichtig ist

    Die Übernahme von VerifTools ist eine wichtige Entwicklung für Cybersecurity-Mitarbeiter. Diese Plattform ermöglichte es Kriminellen, die Identitätsüberprüfungssysteme zu umgehen und so Phishing, Kryptowährungsdiebstahl und andere Cyberkriminalität zu erleichtern. Durch die Beschlagnahmung der Server und Domains haben die Strafverfolgungsbehörden ein wichtiges Instrument des Cybercrime-as-a-Service-Ökosystems gestört. Die Operation zeigt, wie wichtig es ist, nicht nur Cyberkriminelle ins Visier zu nehmen, sondern auch die Infrastruktur, die ihre Aktivitäten unterstützt. Für Cybersecurity-Teams unterstreicht dies die Notwendigkeit, die Prozesse zur Identitätsüberprüfung zu stärken und auf betrügerische Aktivitäten zu achten. Außerdem zeigt der Erfolg der Untersuchung den Wert der internationalen Zusammenarbeit bei der Bekämpfung von Cyber-Bedrohungen.

    Vier praktische Tipps für Sicherheitsverantwortliche

    1. Stellen Sie sicher, dass Ihre Prozesse zur Identitätsüberprüfung robust genug sind, um die Verwendung gefälschter Ausweise zu erkennen und zu verhindern. Dazu gehört auch der Einsatz fortschrittlicher Technologien wie KI und maschinelles Lernen, um Anomalien in eingereichten Dokumenten zu erkennen.
    2. Bauen Sie starke Partnerschaften mit Strafverfolgungsbehörden auf, um Informationen auszutauschen und bei Ermittlungen gegen Plattformen für Cyberkriminalität und deren Nutzer zusammenzuarbeiten.
    3. Bleiben Sie auf dem Laufenden über die sich entwickelnde Cybercrime-as-a-Service Wirtschaft, die Tools wie gefälschte IDs, malware und kugelsichere Server anbietet. Das Verständnis dieser Trends kann dabei helfen, aufkommende Bedrohungen zu antizipieren und abzuschwächen.
    4. Führen Sie regelmäßige Schulungen und Sensibilisierungsprogramme für Mitarbeiter und Kunden durch, um Phishing-Angriffe, Helpdesk-Betrug und andere Betrügereien mit gefälschten Ausweisdokumenten zu erkennen und zu melden.

    Lesen Sie mehr über die Operation.

    roundup-Blog.jpg
    Nächster Punkt
    Security Awareness Training |
    Human Risk Roundup: Ein selbstreplizierender Wurm, eine Verhaftung in Großbritannien und eine Facebook-Account-Angst

    Verwandte Artikel

    Security Awareness Training
    Wie man Human Risk misst: 7 Schlüsselmetriken
    Security Awareness Training
    Rationalisierung von Cybersicherheitsstrategien: Die Rolle des menschlichen Risikomanagements
    Security Awareness Training
    Wie Sie die Akzeptanz der Geschäftsleitung für Programme zur Förderung des Sicherheitsbewusstseins erreichen

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang