Anfälligkeit für Phishing-Angriffe präventiv begegnen

Jüngste Sicherheitsverletzung bei Microsoft zeigt Handlungsbedarf auf

[datensicherheit.de, 17.04.2019] „Sicherheitsverletzung bei Microsoft macht Kunden anfällig für Phishing-Angriffe“, warnt Jelle Wieringa, „Technical Evangelist“ bei KnowBe4 in einer Stellungnahme.

Anmeldeinformationen eines „Microsoft Technical Support“-Portals kompromittiert

Bei einer aktuellen Sicherheitsverletzung bei Microsoft haben demnach unbekannte Angreifer die Anmeldeinformationen eines „Microsoft Technical Support“-Portals kompromittiert. Damit hätten sie Zugriff auf zahlreiche E-Mail-Konten von Microsoft-Kunden erhalten, berichtet Wieringa.
Laut Microsoft haben die Angreifer E-Mail-Adressen, Ordnernamen, Betreffzeilen von E-Mails und die Namen anderer E-Mail-Adressen, mit denen die Kunden kommunizierten, einsehen können, aber nicht den Inhalt von E-Mails oder Anhängen. Geschäftskonten sollen nicht betroffen gewesen sein.

Gefährdetes Konto soll deaktiviert worden sein

Die Cyber-Kriminellen hätten zwischen dem 1. Januar und dem 28. März 2019 Zugriff auf das Microsoft-Portal gehabt und seien erst dann von Microsoft-Sicherheitsexperten entdeckt worden.
Nach der Entdeckung des Verstoßes sei das gefährdete Konto sofort deaktiviert worden und man habe alle betroffenen Kunden informiert, ihre Passwörter zurückzusetzen, um E-Mails vor irreführenden Domänen-Namen, Phishing-E-Mails, die zur Herausgabe von persönlichen Informationen oder zu Zahlungen auffordern, oder unerwünschte Anfragen von nicht vertrauenswürdigen Quellen zu schützen.

Phishing-Bedrohung bleibt: Awareness-Training angeraten

Wieringa: „Es steht nun zu befürchten, dass dieses Datenleck zum tausendfachen Versand von Phishing-Mails oder Spams führt, was zu noch schädlicheren Auswirkungen führen kann. Unternehmen können Mitarbeiter auf diese Phishing-E-Mails vorbereiten, beispielsweise mit einem ,Security Awareness Training‘.“
Das „New School Security Awareness-Training“ von KnowBe4 z.B. unterstützt laut Wieringa Mitarbeiter mit Hilfe von praxisnahen Simulationen per E-Mail, Telefon und SMS, um aufzuzeigen, wie sie sogenannte „Red Flags“, also Hinweise auf Phishing- und andere Social Engineering-Versuche erkennen können und damit Kompromittierungen zu vermeiden helfen.

Foto: KnowBe4

Jelle Wieringa: Unternehmen können Mitarbeiter auf Phishing-E-Mails vorbereiten.

Weitere Informationen zum Thema:

datensicherheit.de, 16.04.2019
Phishing: Auch kleine Unternehmen sind Ziel

datensicherheit.de, 07.04.2019
Phishing-Gefahr: Kompromittierte WordPress-Webseiten entdeckt

datensicherheit.de, 03.03.2019
Zscaler Cloud Security Insights Report: Anstieg der Phishing-Angriffe um 400 Prozent

datensicherheit.de, 19.02.2019
Trend-Micro-Studie: Phishing häufigste Cyber-Angriffsmethode