- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Vorsicht vor Spearphishing-Angriffen


Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern
Funktionsträger in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts abgesichert sind

- Anzeigen -





Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet derzeit professionelle Cyber-Angriffe auf private E-Mail-Postfächer von Funktionsträgern aus Wirtschaft und Verwaltung. Bei dieser Angriffskampagne werden täuschend echt erscheinende Spearphishing-Mails an ausgewähltes Spitzenpersonal gesandt. Die Angreifer geben beispielsweise vor, Auffälligkeiten bei der Nutzung des Postfachs beobachtet zu haben oder neue Sicherheitsfunktionalitäten anbieten zu wollen. Der Nutzer wird aufgefordert, einen Link anzuklicken und auf der sich öffnenden Webseite sein Passwort anzugeben.

Durch die Preisgabe des Passworts erhalten die Täter Zugriff auf das persönliche E-Mail-Postfach und dessen Inhalte. Die aktuell beobachtete Kampagne richtet sich gegen Yahoo- und Gmail-Konten. Die verwendete Angriffsinfrastruktur hat Ähnlichkeiten mit derjenigen, die bei den Angriffen und anschließenden Leaks gegen die Demokratische Partei in den USA und gegen die französische En Marche-Bewegung eingesetzt wurde.

Bereits 2016 konnte das BSI beobachten, dass Webseiten registriert wurden, die sich für Spearphishing-Angriffe gegen Kunden der deutschen Webmail-Dienstleister gmx.de und web.de eignen und die Ähnlichkeiten mit der aktuellen Angriffsinfrastruktur haben. Zwar sind diese Domains in der aktuellen Angriffskampagne noch nicht beobachtet worden, es zeigt aber, dass die Täter diese Mailprovider auch als möglichen Angriffsweg identifiziert haben.

Dazu erklärt BSI-Präsident Schönbohm: "Auch in den Regierungsnetzen hat das BSI bereits einen Angriff der aktuellen Kampagne abgewehrt. Grundsätzlich können wir solche Phishing-Mails mit einer sehr hohen Wahrscheinlichkeit detektieren. Private E-Mail-Postfächer allerdings sind außerhalb der Zuständigkeit des BSI. Auch die Parteien und Organisationen haben nur begrenzten Einfluss darauf.

Dies macht private Postfächer für die Angreifer zu einem attraktiven Angriffsziel. Funktionsträger in Verwaltung und Wirtschaft sollten daher dafür sorgen, dass auch ihre privaten Mail-Accounts abgesichert sind. Dies ist wichtiger Teil des digitalen Persönlichkeitsschutzes."

Das BSI hat im Rahmen seiner Beratungstätigkeiten zu Fragen der IT-Sicherheit vor dem Hintergrund der diesjährigen Bundestagswahl auch Parteien und parteinahe Stiftungen über diese Möglichkeit von Angriffen informiert und Maßnahmen zum digitalen Persönlichkeitsschutz empfohlen. Digitaler Persönlichkeitsschutz ist die Absicherung der Aktivitäten relevanter parlamentarischer und staatlicher Funktionsträger im digitalen Raum. Dazu gehören neben dem Schutz privater E-Mail-Postfächer auch Maßnahmen wie die Verifizierung von Twitter- und Facebook-Accounts. Das BSI berät zudem zur sicheren und ggf. anonymen Nutzung des Internets und der Sozialen Netzwerke, beispielsweise über Einstellungen bzgl. Privatsphäre und Sicherheit.

Die folgenden weiteren Maßnahmenempfehlungen schützen nicht nur gegen gezielte Spearphishing-Angriffe auf Spitzenpersonal, sondern sind auch sinnvoll gegen großflächige, weniger professionelle kriminelle Phishing-Angriffe:

>> Geschäftliche Inhalte sollten nicht über private Postfächer kommuniziert und bearbeitet werden.

>>Es ist sinnvoll, E-Mail-Kommunikation zu verschlüsseln.

>> Verwendung einer Zwei-Faktor-Authentifizierung, bei der das Einloggen nicht allein durch die Eingabe von Benutzername und Passwort erfolgt, sondern auch den Besitz eines Hardware-Tokens oder Smartphones erfordert. Manche Webmail-Dienstleister bieten diese Funktionalität bereits an.

>> Passwörter sollten grundsätzlich nicht auf Webseiten eingegeben werden, die aus Mails heraus verlinkt wurden. Sicherer ist die Eingabe eines Passwortes, wenn die Adresse der Webseite selbst im Browser eingegeben oder der Aufruf aus einem eigenen Lesezeichen heraus erfolgte.

>> Bei der Eingabe eines Passwortes sollte die Navigationszeile/Adresszeile des Browsers geprüft werden: Garantiert der Browser eine verschlüsselte Sitzung? Ist die Domain bekannt, also der Teil der Adresse zwischen "https://" und erstem Schrägstrich?

>> Mails, die auf einen gezielten Angriff gegen die geschäftliche Funktion hindeuten, sollten nicht gelöscht, sondern dem IT-Personal der Organisation gezeigt werden.

>> Wenn das Passwort auf einer nicht-vertrauenswürdigen Seite eingegeben wurde, sollte es im Zweifelsfall auf der Original-Seite geändert werden.

>> Es ist sinnvoll, nach dem Einloggen in das Mail-Account zu prüfen, wann die letzte Aktivität erfolgte, falls der Anbieter dies anzeigt.
(BSI: ra)

eingetragen: 07.07.17
Home & Newsletterlauf: 21.07.17


BSI: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Vorhandene Sicherheitseinstellungen aktivieren

    Oft findet der Router erst dann Beachtung, wenn das WLAN nicht funktioniert. Beim Schutz ihrer Geräte vor Hackern und Malware wird das Gerät hingegen häufig vergessen. Denn was Sicherheitseinstellungen betrifft, bekommen Heimanwender nicht immer ein Rundum-Sorglos-Paket mitgeliefert. Ungeschützt kann ein Router Angreifern Tür und Tor öffnen. Dabei tragen schon einige Maßnahmen dazu bei, die Sicherheit des Heimnetzwerks enorm zu verbessern. Eset gibt Tipps, wie Nutzer ihren Router sichern und so ihre Geräte und persönliche Daten noch besser schützen können.

  • Ransomware & Sicherheit am Arbeitsplatz

    Aufgrund der fortschreitenden Digitalisierung ändert sich auch die Arbeitsweise in Unternehmen. Mobile Geräte wie Smartphones und Tablets gehören längst zum beruflichen Alltag. Hacker passen ihre Vorgehensweise an diese moderne Arbeitsweise an. Mit gezielten Cyberattacken sind sie zunehmend in der Lage, herkömmliche Schutzsysteme zu umgehen. Stormshield informiert auf seinem Unternehmensblog über die perfiden Maschen der Angreifer und gibt nützliche Tipps zur Abwehr von betrügerischer Schadsoftware (Malware).

  • Fake-Profile und Schadsoftware

    Wer auf einen Treffer von Amors Pfeil wartet, sucht sein Glück inzwischen oft online, insbesondere bei Dating-Apps. Nicht umsonst gilt LOVOO als die aktuell erfolgreichste iPhone-App in Deutschland. Laut Bitkom nutzen rund 47 Prozent der Deutschen ihr Smartphone für den Onlineflirt, 42 Prozent ihr Tablet und immerhin noch 34 Prozent suchen mit dem Laptop nach einem potentiellen Partner. Doch beim heißen Online-Flirt gibt es einiges zu beachten, damit die Partnersuche so sicher wie möglich verläuft. Eset gibt Tipps, damit aus der vermeintlichen großen Liebe keine böse Überraschung wird.

  • Gezielte Lobbyarbeit der Elektrobranche?

    "Müssen wir Brandschutzschalter im RZ installieren und/oder nachrüsten? Wie viele und an welchen Stellen?" Diese Frage stellen sich mehr und mehr Rechenzentrumsbetreiber und -verantwortliche, die durch den zurzeit zu beobachtenden Hype rund um diese Sicherheitstechnik verunsichert sind. Die Antwort der von zur Mühlen'sche Sicherheitsberatung aus Bonn (kurz: VZM) lautet: in zwingender Weise KEINE.

  • Was macht Cybersecurity so kompliziert?

    Spätestens nach den jüngsten Schwachstellen Spectre und Meltdown weiß jeder, dass das Thema Cybersecurity nie an Präsenz verliert und jeden betrifft. Dies gilt nicht nur für Unternehmen, sondern auch für Privatanwender: Cyberkriminelle erfassen Passwörter noch während des Tippens, installieren Malware und fangen so sämtliche Daten unbemerkt ab. Oder sie spähen über Browserdaten Kreditkartendaten und Logins aus. Doch was macht Cybersecurity so kompliziert? Im Falle von Spectre und Meltdown handelt es sich zwar um Schwachstellen in Prozessoren. Doch in vielen anderen Fällen verstehen User die komplexen Methoden, die Kriminelle anwenden, um an geschäftskritische Daten zu gelangen. Sie tendieren jedoch dazu, das tatsächliche Risiko von Angriffen herunterzuspielen. Es ist ein ewiger Kreislauf: Der Endanwender fühlt sich durch die IT-Vorrichtungen geschützt und der IT-Verantwortliche schätzt den User als wachsamer und vorsichtiger ein, als er tatsächlich ist.