Neuer Phishing-Angriff zielt auf Online-Gehaltsabrechnungssysteme

Seit Cyberangriffe stattfinden, steht der Diebstahl von Geld im Mittelpunkt des Interesses von Cyberkriminellen, und es gibt keine Anzeichen dafür, dass sich dies ändert.

Laut den neuen Informationen von des US Federal Bureau of Investigation (FBI) haben Angriffe auf Unternehmens-E-Mails und E-Mail-Konten zwischen Oktober 2013 und Mai 2018 zu einem Verlust von über 12,5 Milliarden US-Dollar geführt.

Jetzt zielt ein besonders raffinierter Social-Engineering-Angriff, der über Phishing-E-Mails verbreitet wird, darauf ab, noch mehr Geld in die Kassen der Angreifer zu spülen.

Das Internet Crime Complaint Center (IC3) des FBI hat einen Bericht über einen neuen Phishing-Angriff veröffentlicht, der darauf abzielt, die Anmeldedaten von Angestellten für ihre Online-Gehaltskonten zu stehlen, so Dark Reading .

Diese Angriffe beginnen mit einer Phishing-E-Mail, die die Angestellten auf gefälschte Websites für die Gehaltsabrechnung führt, die unter der Kontrolle der Angreifer stehen, wo sie aufgefordert werden, sich anzumelden. Mit diesen neu erlangten Anmeldedaten kann der Angreifer die Bankkontodaten des Mitarbeiters auf ein Konto ändern, das unter der Kontrolle des Angreifers steht, und Regeln hinzufügen, damit das Opfer keine Benachrichtigungen über direkte Einzahlungen und andere Änderungen erhält. Von dort aus wird das Geld schnell auf ein Konto verschoben, das für das Bankensystem nicht erreichbar ist.

Um diese Art von Angriffen zu bekämpfen, empfiehlt das IC3 den Unternehmen, ihre Mitarbeiter zu warnen und zu schulen und weitere Präventivmaßnahmen zu ergreifen. Laut Dark Reading empfiehlt IC3 den Nutzern, sich bewusst zu sein, dass nicht alle URLs in einer E-Mail das sind, was sie zu sein scheinen, und wachsam zu sein, bevor sie darauf klicken. Sie sollten auch wissen, dass sie keine persönlich identifizierbaren Informationen (PII) oder Anmeldeinformationen per E-Mail an andere weitergeben sollten.

Warum Online-Gehaltsabrechnungen angreifen?

Denn dort befindet sich das Geld! Diese Angriffe auf Online-Gehaltskonten sind nur ein weiteres Beispiel dafür, dass Cyberkriminelle Standardverfahren nutzen, um an das Geld anderer zu gelangen. E-Mail-basiertes Phishing mit einer Kombination aus Social Engineering und gefälschten Websites ist nachweislich eine der effektivsten Methoden für Kriminelle, um an Geld zu kommen.

Und die Jagd auf Online-Gehaltsabrechnungen ist sehr sinnvoll, da sie eine direkte Verbindung zu einer Menge leicht verdientem Geld darstellt, die man vielleicht eine Zeit lang nicht bemerkt.

Wie man Angriffe auf Lohnkonten stoppt

Die Empfehlungen der IC3 sind zwar fundiert, lassen aber einige wichtige Punkte außer Acht.

Erstens sollte die Multi-Faktor-Authentifizierung (MFA) für alle wertvollen oder sensiblen Konten wie dieses verwendet werden. Die Verwendung von MFA macht es für Angreifer viel schwieriger, Anmeldedaten zu stehlen und wiederzuverwenden, um einen Angriff durchzuführen.

Zweitens ist die "Anweisung" an die Mitarbeiter, URLs zu überprüfen, bevor sie angeklickt werden, zwar für Techniker, die wissen, was URLs sind, sinnvoll, aber für den normalen "Mann auf der Straße" ist dies zu viel verlangt.

Erforderlich ist eine Kombination aus besseren technischen Kontrollen zur Erkennung und zum automatischen Schutz vor böswilligen, sich als solche ausgebenden Websites und einer verstärkten Aufklärung und Sensibilisierung der Benutzer , damit die Menschen wissen, dass diese Art von Angriffen möglich ist und tatsächlich vorkommt, so dass sie vorsichtiger sein können.

Und schließlich sollte jede Änderung an einem Konto protokolliert und an die ursprüngliche Adresse des Kontos gemeldet werden. Auch wenn der Angreifer in der Lage ist, die Bankleitzahl und die E-Mail-Adresse des Kontos zu ändern, sollte eine Benachrichtigung über diese Änderung immer an die ursprüngliche E-Mail- oder Kontoadresse gehen, die nicht unter der Kontrolle desjenigen steht, der das Konto zu diesem Zeitpunkt kontrolliert.