Drucksache: Windows Developer 6.19 - Cyberkriminelle lieben Social Engineering
Im Windows Developer 6.19 ist der erste von zwei Artikeln über Social Engineering erschienen, in dem die typischen Angriffe vorgestellt werden.
Worum geht es darin?
Eigentlich gilt beim Social Engineering "Business as usual". Es sind immer noch die altbekannten Angriffe, nur werden die teilweise verfeinert. Und dadurch erfolgreicher, da schwerer erkennbar. Aber auch weniger geschickte Angriffe finden immer noch Opfer, die auf sie hereinfallen.
Mit Social Engineering ist so einiges möglich. Wenn man nicht verdammt gut aufpasst läuft man Gefahr, zum Opfer zu werden. Ich zumindest bin selbst bei aller Sorgfalt nicht 100%ig davon überzeugt, dass mir so was nie passieren würde. Es gibt ja diese Fernsehsendungen, in denen "Spaßvögel" arglosen Leuten Streiche spielen. Auch das ist Social Engineering. Und die finden auch immer reichlich Opfer. Darunter auch immer wieder welche, die vorher erklärt haben, nie auf so was rein zu fallen.
Das Problem "Social Engineering" lässt sich zwar nicht mit Technik lösen, aber zumindest lassen sich die Angriffe damit erschweren. Und auch organisatorische Maßnahmen helfen bei der Abwehr. Z.B. beim CEO-Fraud: Zum einen ist es nicht nötig, die Organisation des Unternehmens samt Funktion und E-Mail-Adresse sämtlicher Mitarbeiter in die Welt hinauszuposaunen, zum anderen können ungewöhnliche Transaktionen erkannt und von einer zusätzlichen Freigabe durch einen Vorgesetzten abhängig gemacht werden.
Im zweiten Teil des Artikels geht es um die Frage, was man gegen die Angriffe machen kann, und was die Sicherheitsforscher in letzter Zeit zu dem Thema herausgefunden haben. Denn die haben ja auch gemerkt, dass die Cyberkriminellen mit dem Social Engineering so erfolgreich sind und haben sich das deshalb mal genauer angesehen.
Links & Literaturverweise
Und hier noch die Links und Literaturverweise aus dem Artikel:
- [1] Eilers, Carsten; Windows Developer 6.2017: "Wie kontert man Social Engineering?"
- [2] Tonekaboni, Keywan; Heise Security: "eBay-Phishing auf eBay-Seite"
- [3] Volkman, Elliot; PhishLabs Blog: "49 Percent of Phishing Sites Now Use HTTPS"
- [4] CERT-Bund, @certbund auf Twitter, 11.2.2019: "Achtung: Aktuell werden in großem Umfang gefälschte E-Mails im Namen von #Microsoft ... versendet. ..."
- [5] CERT-Bund, @certbund auf Twitter, 28.1.2019: "Achtung: Aktuell werden wieder gefälschte Rechnungen im Namen von Telekom und Vodafone ... versendet. ..."
- [6] BSI: "Gefährliche Schadsoftware – BSI warnt vor Emotet und empfiehlt Schutzmaßnahmen"
- [7] Polizei Niedersachsen, Ratgeber Internetkriminalität: "Gefälschte Telekomrechnungen für Januar 2019 per Mail im Umlauf"
- [8] Action Fraud: "Fake WannaCry emails demanding payment"
- [9] Polizei Niedersachsen, Ratgeber Internetkriminalität: "Gefälschte Amazon-Mails vermehrt im Umlauf"
- [10] Polizei Niedersachsen, Ratgeber Internetkriminalität: "Betrug mittels Kontoeröffnung mit Videoidentverfahren bei Wohnungsanmietung"
- [11] Polizei Niedersachsen, Ratgeber Internetkriminalität: "Vorsicht bei Online-Jobsuche mit Video-Ident-Verfahren"
- [12] Polizei Niedersachsen, Ratgeber Internetkriminalität: "Ich habe dich eine Weile beobachtet - Erpressermail"
- [13] Polizei Niedersachsen, Ratgeber Internetkriminalität: "Wieder Erpressermails im Umlauf, jetzt in neuer Aufmachung"
- [14] ROSE & PARTNER LLP – Rechtsanwälte: "Betrügerische Mahnung per E-Mail - "Mindgeek, Pornhub, Bitcoin""
- [15] Roston, Brittany A.; SlashGear: "Mattel briefly lost $3m to thieves in phishing scam"
- [16] LEONI Ad-hoc-Mitteilung: "Leoni wurde Opfer krimineller Aktivitäten"
- [17] BSI: "BSI warnt Unternehmen gezielt vor akutem Risiko durch CEO Fraud"
- [18] Check Point Blog: "Get Rich or Die Trying: A Case Study on the Real Identity behind a Wave of Cyber Attacks on Energy, Mining and Infrastructure Companies"
- [19] Check Point Research: "A New Phishing Kit on the Dark Net"
- [20] Wahlstrom, Erik; Windows Defender Research: "Teaming up in the war on tech support scams"
- [21] Landeskriminalamt Nordrhein-Westfalen, PressePortal: "LKA-NRW: Landeskriminalamt NRW (LKA NRW) warnt vor betrügerischen Anrufen angeblicher Microsoft-Mitarbeiter"
- [22] O'Connor, Jeremiah; Maynor, Dave; Talos Blog: "COINHOARDER: Tracking a Ukrainian Bitcoin Phishing Ring DNS Style"
- [23] BBC News: "Wandsworth Prison escapee Neil Moore faked bail email"
Trackbacks
Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 7.19 - Soziales Problem mit technischer Lösung
Vorschau anzeigen