Zusammenfassung der menschlichen Risiken: E-Mail-Bomben, Browser-basierte Angriffe und Drohnen-Firmen

In dieser Ausgabe des Human Risk Roundup befassen wir uns mit drei wichtigen Ereignissen der letzten Zeit - lesen Sie weiter, um mehr zu erfahren.

E-Mail-Bomben nutzen eine laxe Authentifizierung in Zendesk aus

Cyberkriminelle nutzten laxe Authentifizierungseinstellungen in der Kundendienstplattform von Zendesk aus, um die Posteingänge mit Tausenden von bösartigen E-Mails zu überschwemmen und die Konten legitimer Zendesk-Kunden auszunutzen. Dieser Missbrauch verdeutlicht die Risiken, die mit der Zulassung anonymer Ticketeinsendungen ohne ordnungsgemäße Überprüfung verbunden sind.

Was geschah

Cyberkriminelle nutzten die Konfiguration von Zendesk, die es anonymen Benutzern ermöglicht, Support-Tickets einzureichen, um Tausende von bösartigen E-Mails zu versenden. Diese E-Mails, die von legitimen Zendesk-Kundenkonten wie The Washington Post und NordVPN versendet wurden, überschwemmten die Posteingänge mit Spam und schädlichen Nachrichten. Die Angreifer nutzten die fehlende Überprüfung von E-Mail-Adressen bei der Ticket-Erstellung in Zendesk aus, so dass sie gefälschte Absenderadressen verwenden konnten. Trotz der ratenbegrenzenden Maßnahmen von Zendesk gelang es den Angreifern, in kurzer Zeit eine große Anzahl von E-Mails zu versenden. Zendesk bestätigte das Problem und empfahl seinen Kunden, authentifizierte Workflows zu implementieren, um Missbrauch zu verhindern. Allerdings wird bei der derzeitigen Einrichtung der Plattform der Bequemlichkeit Vorrang vor der Sicherheit eingeräumt, was Raum für solche Angriffe lässt.

Warum es wichtig ist

Dieser Vorfall unterstreicht, wie wichtig es ist, die Authentifizierung und Validierung in Systemen mit Kundenkontakt durchzusetzen. Cybersecurity-Mitarbeiter müssen erkennen, dass selbst vertrauenswürdige Plattformen wie Zendesk zu einer Waffe werden können, wenn sie falsch konfiguriert sind. Der Angriff zeigt, wie laxe Sicherheitseinstellungen sowohl den betroffenen Personen als auch den Marken, deren Konten ausgenutzt werden, schaden können. Sie unterstreicht auch die Notwendigkeit proaktiver Maßnahmen, wie Ratenbegrenzung und E-Mail-Validierung, um den Missbrauch einzudämmen. Für Cybersecurity-Teams ist dies eine Mahnung, die Tools von Drittanbietern regelmäßig zu überprüfen und sicherzustellen, dass sie den besten Sicherheitsverfahren entsprechen. Letztendlich betont die Veranstaltung das Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit und fordert Fachleute dazu auf, Sicherheitsvorkehrungen zu priorisieren, ohne die Funktionalität zu beeinträchtigen.

Vier praktische Tipps für Sicherheitsverantwortliche

1. Erzwingen Sie E-Mail-Validierung: Stellen Sie sicher, dass alle kundenorientierten Systeme E-Mail-Adressen validieren, bevor sie Anfragen bearbeiten, um Missbrauch zu verhindern.
2. Implementieren Sie eine Authentifizierung für Ticketeinsendungen: Verlangen Sie von den Benutzern eine Authentifizierung, bevor sie Support-Tickets einreichen, um das Risiko des anonymen Missbrauchs zu verringern.
3. Prüfen Sie regelmäßig Tools von Drittanbietern: Führen Sie regelmäßige Überprüfungen von Plattformen wie Zendesk durch, um mögliche Sicherheitslücken zu identifizieren und zu schließen.
4. Informieren Sie Teams über bewährte Konfigurationspraktiken: Schulen Sie Ihre Mitarbeiter darin, Systeme sicher zu konfigurieren und dabei ein Gleichgewicht zwischen Benutzerfreundlichkeit und robusten Sicherheitsmaßnahmen herzustellen.

Lesen Sie mehr über den Angriff.

Analyse von ClickFix: Die browserbasierte Technik hinter Infostealer-Einbrüchen

Browser-basierte Angriffe wie ClickFix und gefälschte CAPTCHA-Schemata, die Benutzerinteraktionen mit bösartigen Skripten ausnutzen, um malware wie Infostealer und Keylogger einzuschleusen, sind eine wachsende Bedrohung. Diese Angriffe führen häufig zu Datendiebstahl, dem Einsatz von Ransomware und doppelter Erpressung und stellen die Cybersicherheitsteams vor große Herausforderungen bei der Erkennung und Reaktion.

Was geschah

Diese browserbasierten Angriffe werden zu einer weit verbreiteten Methode für Cyberkriminelle, die Sicherheit zu verletzen. Sie verleiten Benutzer dazu, mit bösartigen Skripten zu interagieren, wodurch malware wie Infostealer, Keylogger und Fernzugriffssoftware eingeschleust werden können. Einmal eingedrungen, stehlen Angreifer Sitzungscookies und Anmeldeinformationen, um Geschäftsanwendungen und -dienste zu kompromittieren. Die gestohlenen Daten werden oft als Lösegeld verwendet, wobei Ransomware manchmal als zweite Erpressungstaktik eingesetzt wird.

Warum es wichtig ist

Browser-basierte Angriffe stellen eine bedeutende Entwicklung im Bereich der Cyber-Bedrohungen dar. Sie zielen auf Benutzerinteraktionen ab, um traditionelle Sicherheitsmaßnahmen zu umgehen. Sie nutzen Schwachstellen im menschlichen Verhalten und in der Browsersicherheit aus, so dass sie schwer zu erkennen und zu verhindern sind. Für die Mitarbeiter der Cybersicherheit bedeutet dies, dass sie sich an eine neue Bedrohungslandschaft anpassen müssen, in der die traditionellen Abwehrmaßnahmen nicht mehr ausreichen. Die Verwendung gestohlener Sitzungscookies und Zugangsdaten zur Infiltration von Geschäftssystemen stellt eine direkte Gefahr für sensible Daten und die betriebliche Kontinuität dar. Das doppelte Erpressungsmodell, das Lösegeld für Daten mit Ransomware kombiniert, vergrößert den finanziellen und rufschädigenden Schaden für die Opfer. Das Verständnis und die Abschwächung dieser Bedrohungen sind entscheidend für die Aufrechterhaltung einer robusten Cybersicherheitsverteidigung in einer zunehmend ausgefeilten Angriffsumgebung.

Vier praktische Tipps für Sicherheitsverantwortliche

1. Informieren Sie die Benutzer: Schulen Sie Ihre Mitarbeiter darin, verdächtige Browser-Eingabeaufforderungen wie gefälschte CAPTCHAs oder unerwartete Copy-Paste-Aktionen zu erkennen und zu vermeiden.
2. Verbessern Sie die Erkennungswerkzeuge: Investieren Sie in fortschrittliche Erkennungssysteme, die in der Lage sind, bösartige Skripte und ungewöhnliches Browser-Verhalten zu identifizieren.
3. Sitzungsaktivitäten überwachen: Implementieren Sie Überwachungslösungen, um die unbefugte Verwendung von Session-Cookies und Anmeldedaten zu erkennen.
4. Bereiten Sie sich auf doppelte Erpressung vor: Entwickeln Sie Reaktionspläne für Vorfälle, die sowohl Datenerpressung als auch Ransomware-Szenarien abdecken, um die Auswirkungen zu minimieren.

Lesen Sie mehr über diese Verstöße.

Nordkoreanische Hacker infiltrieren Drohnenentwicklungsfirmen

Nordkoreanische Hacker, wahrscheinlich von der Lazarus-Gruppe, haben in einer Cyberspionage-Kampagne europäische Drohnen-Entwicklungsfirmen ins Visier genommen, um geschützte UAV-Technologie zu stehlen. Die Angriffe, bei denen Social Engineering und Malware wie ScoringMathTea zum Einsatz kommen, zielen darauf ab, Nordkoreas Drohnenkapazitäten für militärische Zwecke zu stärken.

Was geschah

Die Lazarus-Gruppe hat mehrere europäische Unternehmen infiltriert, die sich mit der Entwicklung und Verteidigung von Drohnen beschäftigen. Diese Angriffe, die im März begannen, richteten sich gegen Firmen in Südost- und Mitteleuropa, darunter auch gegen solche, die UAVs herstellen, die im Ukraine-Konflikt eingesetzt werden. Die Hacker setzten Social-Engineering-Taktiken ein, um malware wie ScoringMathTea einzuschleusen, die ihnen die vollständige Kontrolle über das System ermöglicht. Beweise deuten darauf hin, dass die Kampagne darauf abzielte, Fertigungs-Know-how und geschützte Drohnentechnologie zu stehlen. Nordkorea hat der Verbesserung seiner UAV-Fähigkeiten Priorität eingeräumt, wie die jüngste Enthüllung von Drohnen zeigt, die US-Militärmodellen ähneln. Die Angriffe zeigen, dass das Regime auf Cyberspionage setzt, um seine militärischen Fortschritte zu beschleunigen.

Warum es wichtig ist

Diese Kampagne unterstreicht die anhaltende Bedrohung, die von nationalstaatlichen Akteuren wie Nordkorea ausgeht, insbesondere in kritischen Branchen wie Verteidigung und Luft- und Raumfahrt. Der Einsatz von Social Engineering und Malware verdeutlicht die Notwendigkeit einer soliden Mitarbeiterschulung und von Sicherheitsmaßnahmen für Endgeräte. Die Taktiken der Lazarus Group, wie z.B. die Operation Dream Job, nutzen menschliche Schwachstellen aus, so dass sie nur schwer zu erkennen und zu verhindern sind. Der Diebstahl urheberrechtlich geschützter Technologie gefährdet nicht nur die betroffenen Unternehmen, sondern hat auch weitreichende Auswirkungen auf die globale Sicherheit und das militärische Gleichgewicht. Das Personal für Cybersicherheit muss wachsam gegenüber neuen Bedrohungen sein, insbesondere gegenüber solchen, die ausgeklügelte Spionagetechniken einsetzen. Dieser Vorfall erinnert daran, welch entscheidende Rolle die Cybersicherheit beim Schutz des geistigen Eigentums und der nationalen Sicherheit spielt.

Vier praktische Tipps für Sicherheitsverantwortliche

1. Verbessern Sie die Mitarbeiterschulung: Bringen Sie Ihren Mitarbeitern bei, wie sie Social-Engineering-Taktiken wie gefälschte Jobangebote und Phishing-Versuche erkennen und vermeiden können.
2. Implementieren Sie Endpunkt-Schutz: Setzen Sie fortschrittliche EDR-Tools (Endpoint Detection and Response) ein, um malware wie ScoringMathTea zu identifizieren und zu entschärfen.
3. Überwachen Sie auf ungewöhnliche Aktivitäten: Überprüfen Sie den Netzwerkverkehr und die Systemprotokolle regelmäßig auf Anzeichen von unberechtigtem Zugriff oder Datenexfiltration.
4. Stärken Sie die Sicherheit von Anbietern und Partnern: Stellen Sie sicher, dass Drittanbieter und Partner strenge Cybersicherheitsprotokolle einhalten, um Schwachstellen in der Lieferkette zu vermeiden.

Lesen Sie mehr über die Kampagne.