Threat Intelligence Briefing: Angreifer nehmen Mitarbeiter ins Visier, die an ihren Arbeitsplatz zurückkehren - und wenden sich zunehmend nicht-traditionellen Angriffsvektoren zu

Mimecast's Global Threat Intelligence teilte diese Erkenntnisse in einem Briefing am 12. Mai 2020, das Teil einer fortlaufenden Reihe von Webinaren ist, die dazu dienen sollen, Unternehmen und die Öffentlichkeit während der COVID-19-Pandemie zu schützen.

Cyberkriminelle nutzen COVID-19, um neue Angriffsmethoden zu entwickeln

Die COVID-19-Pandemie hat böswilligen Akteuren eine außergewöhnliche Gelegenheit geboten, die Angst und den Informationsbedarf der Nutzer sowie die erhöhte Anfälligkeit der Nutzer bei der Arbeit von zu Hause aus auszunutzen. Dementsprechend macht Spam, der sich auf COVID-19 bezieht, seit Januar einen sehr großen Anteil am gesamten Spam-Aufkommen aus - in der Regel zwischen 10 und 15 %.

Eine gute Nachricht ist, dass in den letzten Wochen das Spam-Aufkommen im Zusammenhang mit der Pandemie leicht zurückgegangen ist, da die Heimarbeiter in Sachen Cyber-Resilienz und grundlegender Cyber-Hygiene sensibler geworden sind.

Die Analyse von Mimecast deutet jedoch darauf hin, dass böswillige Akteure mit zunehmender Widerstandsfähigkeit der Nutzer gegen einfache Spam- und Phishing-Taktiken häufig das Volumen der Angriffe verringern, dafür aber die Raffinesse erhöhen und neue Methoden erforschen.

Rückkehr zur Arbeit birgt neue Risiken für Unternehmen

Die Rückkehr der Arbeitnehmer in die Büros wird von Cyberkriminellen ausgenutzt. Mehrere Angriffe nutzen Phishing-E-Mails, die vorgeben, Informationen über neue pandemiebezogene Bürorichtlinien zu liefern, mit dem Ziel, Malware zu installieren oder Anmeldedaten zu stehlen. "Wir sehen, dass die Schließungen mancherorts gelockert werden. Die Menschen denken also darüber nach, an ihren Arbeitsplatz zurückzukehren, und suchen bei ihren Unternehmen und Organisationen nach Updates und Informationen", sagt Dr. Kiri Addison, Head of Data Science, Threat Intelligence bei Mimecast.

Bei einem Angriff wird eine Phishing-E-Mail verwendet, die vorgibt, einen Link oder einen Anhang zur aktualisierten COVID-19-Richtlinie eines Unternehmens zu enthalten. Wenn ein Empfänger auf den Link klickt, wird er auf eine Webseite weitergeleitet, auf der Malware installiert wird. Mimecast hat allein in Australien mehr als 1.400 Beispiele dieses Angriffs entdeckt und blockiert.

Eine andere, weit verbreitete, aber wenig verbreitete Kampagne richtet sich an Benutzer mit einer gefälschten Nachricht des CEO ihres Unternehmens über Änderungen der Büroabläufe aufgrund der Pandemie. Die gefälschte Nachricht kann den tatsächlichen Namen und die E-Mail-Adresse des Geschäftsführers enthalten und warnt die Empfänger, die E-Mail nur an Personen weiterzuleiten, denen sie vertrauen. Sie wurde in großen Anwaltskanzleien in den USA verbreitet und stammt von geschäftsführenden Partnern.

Die Angreifer passen auch die Themen der Phishing-Nachrichten immer wieder an die aktuelle Pandemie an. Vor ein paar Monaten lag der Schwerpunkt vieler Phishing-Versuche auf Engpässen im Einzelhandel und Vorräten. Jetzt geht es um die neuesten Ängste, z. B. die Rückkehr zur Arbeit und die Fahrpläne der öffentlichen Verkehrsmittel. Dies spiegelt die typische Entwicklung von Phishing-Kampagnen wider, erklärt Dr. Francis Gaffney, Director of Threat Intelligence bei Mimecast; böswillige Akteure versuchen, Menschen auszunutzen, die "auf der Suche nach Informationen darüber sind, was vor sich geht und was sie beschäftigt."

Nicht-traditionelle Angriffsvektoren nehmen zu

Auch nicht-traditionelle Phishing-Angriffsvektoren wie Text- (SMShing) und Sprachnachrichten (Vishing), einschließlich "Deepfake"-Audio-Imitationen, haben zugenommen.

Phishing über Textnachrichten (SMShing) bietet Angreifern eine Möglichkeit, sich Zugang zu den Inhalten eines Mobiltelefons zu verschaffen. Die Zielpersonen können eine SMS mit einem scheinbaren Link zu einer Steuerbehörde, einer Bank oder einer anderen Einrichtung erhalten.

Die Benutzer erhalten auch Mitteilungen, in denen ihnen mitgeteilt wird, dass sie einen Anruf verpasst haben, und die einen Link zu einer Voicemail-Nachricht enthalten. In den meisten Fällen führt der Link den Benutzer zu einer gefälschten Anmeldeseite, die darauf abzielt, die Anmeldedaten der Person zu stehlen. Mimecast hat auch einen Anstieg bei fortgeschrittenen Vishing-Angriffen beobachtet, die " deepfake " Audionachrichten verwenden, bei denen böswillige Akteure KI verwenden, um überzeugende Stimmimitationen der Top-Führungskräfte des Unternehmens zu erstellen. In einigen Fällen verwenden die Gauner Audioaufnahmen von Webinaren und anderen öffentlichen Medien, um die Stimme und das Verhalten der Führungskraft zu erfassen.

Auf Smartphones ist es für Benutzer schwieriger, bösartige Links zu erkennen als auf Computern. Auf einem Desktop- oder Laptop-Computer kann ein Nutzer in der Regel mit der Maus über einen Link fahren, um die tatsächliche URL zu sehen, aber auf mobilen Geräten ist dies nicht so einfach möglich.

Um die Risiken durch nicht-traditionelle Angriffsvektoren zu minimieren, sollten Benutzer:

• Seien Sie misstrauisch gegenüber unaufgeforderten Mitteilungen, insbesondere gegenüber SMS- und E-Mail-Nachrichten
• Seien Sie sich bewusst, dass Behörden und Strafverfolgungsbehörden nur selten, wenn überhaupt, auf elektronischem Wege Kontakt zu Personen aufnehmen, wenn sie versuchen, Geld zu erhalten, oder wenn es um schwerwiegende Durchsetzungsmaßnahmen geht. Diese Mitteilungen erfolgen in der Regel auf dem Postweg und beinhalten viele formelle Verfahren, bevor Geldstrafen verhängt werden.
• Vermeiden Sie es, auf Links zu klicken, um Voicemail-Nachrichten von unbekannten Nummern abzurufen.
• Wenn Sie Zweifel an der Identität eines Anrufers haben, suchen Sie die Nummer des Anrufers im Internet oder in internen Unternehmensressourcen, um ihre Gültigkeit zu überprüfen.
• Wenn eine Sprachnachricht von einem vertrauenswürdigen Kontakt zu stammen scheint, sollten Sie den Anrufer unter einer bekannten Nummer anrufen, um zu überprüfen, ob die Nachricht echt ist.

Organisationen des Gesundheitswesens sind im Visier

Mimecast hat in letzter Zeit eine Häufung von Angriffen auf Organisationen des Gesundheitswesens festgestellt, da Pharmaunternehmen und Forschungseinrichtungen auf der Suche nach Impfstoffen und neuen Medikamenten zur Bekämpfung von COVID-19 sind. Einige Angriffe zielen darauf ab, wichtige Daten zu exfiltrieren oder Ransomware einzusetzen, um die Arbeit zu unterbrechen.

Die Quintessenz

Böswillige Akteure passen ihre Taktik im Zuge der Pandemie weiter an, wobei die jüngsten Angriffe das aktuelle Bedürfnis der Nutzer nach Informationen über die Rückkehr an den Arbeitsplatz ausnutzen. Es ist von entscheidender Bedeutung, dass die Benutzer in dieser kritischen Phase aufmerksam bleiben. Sensibilisierungsschulungen können die Risiken äußerst wirksam verringern: Mimecast hat herausgefunden, dass Angestellte in Unternehmen, die Mimecasts Security Awareness Training nicht nutzen, mit 5,2-fach höherer Wahrscheinlichkeit auf schädliche Links klicken als Angestellte in Unternehmen, die Awareness Training nutzen.

In unserem Coronavirus Response Center finden Sie Informationen über die Entwicklung von Cyber-Bedrohungen, wie Sie Mitarbeiter, die noch aus der Ferne arbeiten, besser unterstützen können, und andere Ressourcen, die Ihnen und Ihrem Unternehmen helfen.

Mimecast wird Sie weiterhin mit monatlichen Briefings zu Bedrohungsdaten unterstützen. Die nächste Sitzung findet am 16. Juni statt, gefolgt von Webinaren am 21. Juli und 18. August. Bitte machen Sie mit bei -und helfen Sie, die Briefings noch wertvoller zu machen, indem Sie Ihre Herausforderungen und Bedenken mitteilen.