Schlagwort: Phishing-Angriff
3. November 2022
Bei der britischen Interverse Group Limited sorgte das Zusammenspiel aus einer trügerischen E-Mail und einem unvorsichtigen Mitarbeiter für einen größeren Datenschutzvorfall.
Was sind “Phishing-Mails”?
Unter dem Begriff Phishing versteht man Versuche von Kriminellen, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben: So auch im vorliegenden Fall.
Der Mitarbeiter des Unternehmens öffnete eine E-Mail, welche eine mit Malware versehene Zip-Datei enthielt. Dadurch erhielten die Angreifer Zugriff auf den Computer des Mitarbeiters, wodurch weitere Systeme und Server infiziert und Anti-Viren-Programme deinstalliert werden konnten.
Durch die so ermöglichte Abschaltung der Schutzmaßnahmen war es den Betrügern möglich, Zugang zu personenbezogenen Daten von über 100.000 Beschäftigten des Unternehmens zu erhalten. Enthalten waren dabei unter anderem Namen, Telefonnummern, Bankverbindungen, Sozialversicherungsnummern sowie Gehaltsinformationen. Dies stellt für Betrüger eine überaus gute Ausbeute dar.
Meldung: Art. 33 DSGVO
Das Unternehmen meldete daraufhin den Vorfall gem. Art. 33 DSGVO bei der britischen Datenschutzbehörde ICO, woraufhin diese den Vorfall prüfte. Das Ergebnis dieser Untersuchung fiel jedoch schlecht für das betroffene Unternehmen aus: Die ICO stellte fest, dass nur unzureichende technische und organisatorische Maßnahmen vorhanden waren. So war etwa das Betriebssystem, das auf den Servern eingesetzt wurde, veraltet, der betroffene Mitarbeiter, der die schadhafte Mail öffnete, war nicht datenschutzrechtlich geschult worden, Schwachstellentests sind nicht durchgeführt worden und einer Meldung des Virenscanners wurde keine Beachtung geschenkt. Dies stellt ein absolutes Fehlerhaften dar. Lediglich die umfassende Kooperation des Unternehmens mit der ICO, sowie eine nachträgliche Verbesserung der Sicherheitsmaßnahmen konnten das Bußgeld in Höhe von 5.057.878 Euro etwas abmildern.
Fazit
Der Fall macht deutlich, wie wichtig und unumgänglich es für Unternehmen ist, angemessene technische und organisatorische Maßnahmen zu implementieren und die Cybersicherheit auf dem aktuellen Stand zu halten. Die DSGVO sieht in Art. 32 Abs. 1 vor, dass technische und organisatorische Maßnahmen dem Stand der Technik entsprechen müssen.
Zielgerichtete Beratung durch Experten und entsprechende Schulungen von Mitarbeitern, unter anderem etwa zur Sensibilisierung und Erkennung von Angriffsversuchen von Dritten, können das Risiko eines Datenschutzvorfalls verringern. Investitionen in diesem Bereich können so Bußgelder in Millionenhöhe verhindern.
13. April 2021
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt momentan vor dem sogenannten “Smishing” (Phishing per SMS). Dabei erhalten die Betroffenen eine SMS mit einem Link, den sie anklicken sollen. Aktuell geben sich die Absender der SMS vor allem als Logistikunternehmen aus, die dem Betroffenen ein Paket zustellen möchten. Dazu sei es notwendig, dem Link zu folgen und eine Paketverfolgungsapp herunterzuladen. Beispiele für den Wortlaut der SMS veröffentlichte z.B. das Landeskriminalamt Niedersachsen. Das Klicken auf den Link führt bei Android-Nutzern dazu, dass die Schadsoftware FluBot heruntergeladen wird. Bei Nutzern von iOS findet kein Download statt, stattdessen landen Sie auf einer Phishing-Seite.
Ziel dieser Smishing-Angriffe und dem daraus resultierenden Download von FluBot ist das Ausspähen der Daten der Betroffenen. Bei FluBot handelt es sich laut der Sicherheitssoftware-Firma ESET um einen Banking-Trojaner, der erstmals Ende 2020 auftrat. Wird er installiert, kann er u.a. SMS schreiben und lesen, Anrufe durchführen und die Kontaktliste einsehen. Dabei fängt FluBot SMS mit Einmalpasswörtern ab, die bei der Zwei-Faktor-Authentifizierung benötigt werden und verbreitet sich per SMS an die Kontaktliste des Betroffenen weiter. Sicherheitsexperte Lukas Stefanko von ESET veröffentlichte hierzu ein Twitter-Video, auf dem der Ablauf erkennbar ist.
Das BSI empfiehlt also dringend, solche SMS zu ignorieren und den Absender zu sperren. Eine Installation von Schadsoftware ist nur bei Folgen des Links möglich. Für Betroffene, die den Link bereits angeklickt haben, gibt es ebenfalls Hilfestellung. So sollen sie schnellstmöglich den Flugmodus ihres Gerätes einstellen, ihren Mobilfunkprovider informieren, sowie Strafanzeige erstatten. Hierfür sollte das Smartphone zu Beweiszwecken vorgelegt werden. Auch Kontobewegungen sollten überprüft werden. Danach wird empfohlen, das Gerät auf seine Werkseinstellungen zurück zu setzen.
Für den grundsätzlichen Umgang mit Smishing-Angriffen hat ESET Hinweise veröffentlicht. So wird empfohlen, sein Smartphone-Betriebssystem stets auf dem neusten Stand zu halten, nur Apps aus offiziellen App-Stores zu downloaden und ein Anti-Viren-Programm zu installieren.
Ein Zusammenhang der Smishing-Vorkommnisse mit dem jüngsten Datenschutzleck bei Facebook kann zurzeit nicht nachgewiesen werden.
12. Dezember 2018
Am Dienstagabend haben sich Vertreter des Europäischen Parlaments, des Ministerrates sowie der Kommission auf einen Richtlinienentwurf geeinigt, um zukünftig mit einem schärferen Schwert gegen Betrugs- und Fälschungsfälle in Bezug auf den Umgang mit bargeldlosen Zahlungsmitteln wie Kredit- oder EC-Karten vorgehen zu können. Die Richtlinie umfasst dabei erstmalig auch die rechtswidrige Nutzung von virtuellen Währungen, wie z.B. Bitcoins oder die mobile Zahlung über Smartphones. Ziel der Richtlinie ist dabei die europaweite Harmonisierung von Mindeststrafrahmen bei Delikten, die die oben genannten Fälle der rechtswidrigen Datennutzung und Nutzung der Zahlungsmittel erfassen. Das Strafmaß reicht dabei, je nach Schwere des Delikts, von einem Jahr bis zu fünf Jahren Freiheitsstrafe.
Die Richtlinie erfasst zudem die Fälle, in denen Zahlungsdaten z.B. durch die Nutzung von Phishing-Mails, Skimming an Geldautomaten oder Terminals rechtswidrig erhoben und in der Folge rechtswidrig genutzt werden. Schätzungsweise werden mit solchen Betrugsfällen jährlich mindestens 1,8 Milliarden Euro rechtswidrig erwirtschaftet.
Die Richtlinie muss nun durch das Parlamantsplenum und dem Rat angenommen werden. Nach dem Inkrafttreten der Richtlinie werden die Mitgliedstaaten 2 Jahre Zeit haben, die Vorschriften in nationales Recht umzusetzen.
3. Juni 2011
Unbekannte sollen in Hunderte E-Mail-Accounts von chinesischen Dissidenten, US-amerikanischen Regierungsvertretern, asiatischen Amtsträgern und Journalisten des E-Mail-Dienstes von Google eingedrungen sein, teilte der Sicherheitsexperte des Unternehmens im Firmenblog am vorgestrigen Tage mit. Die Täter sollen sich mittels Phishing und Einsatzes von Malware die Passwörter der Opfer erschlichen und in Folge verwendet haben, um u.a. die Einstellungen zur Weiterleitung von E-Mails zu verändern und den E-Mail-Verkehr zu überwachen. Der Angriff sei nunmehr gestoppt und weitere Angriffe verhindert worden. Außerdem seien die Betroffenen und die Behörden informiert worden und die E-Mail-Accounts nunmehr gesichert. Alle Gmail-Nutzer wurden allerdings zur Wachsamkeit und zur Kontrolle (z.B. auf ungewöhnliche Einstellungen) aufgerufen.
Nach ersten Untersuchungen soll der Angriff von China aus initiiert worden sein. Das FBI hat entsprechende Ermittlungen aufgenommen, das Außenministerium Chinas weist in einer ersten Stellungnahme die Vorwürfe von sich.
