[datensicherheit.de, 05.03.2025] IT-Security-Experten von Proofpoint haben nach eigenen Angaben eine neuartige und hochgradig verschleierte „Backdoor“-Malware entdeckt und „Sosano“ genannt. Diese Schadsoftware nutzt demnach fortschrittliche polyglotte Malware-Techniken, um ihre „Payload“ zu verschleiern und unbemerkt in Zielsysteme einzudringen.

Malware kam im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz

Diese Malware sei im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz gekommen, bei der die Angreifer kompromittierte E-Mail-Konten und maßgeschneiderte Nachrichten genutzt hätten, um das Vertrauen der Empfänger zu gewinnen. „Die Cyber-Kriminellen nutzen ZIP-Dateien, die wiederum polyglotte Dateien enthielten, um den bösartigen Inhalt zu verschleiern und die Erkennung zu erschweren.“ Polyglotte Dateien seien so strukturiert, dass sie von verschiedenen Programmen unterschiedlich interpretiert werden könnten, was den Angreifern eine effektive Tarnung schädlicher Komponenten ermögliche.

„In diesem Fall kombinierten die Angreifer die Dateiformate XLS und PDF, um die Malware auszuführen und die Tarnung zu verstärken. Diese Technik unterstreicht die hohe Kompetenz der Cyber-Kriminellen bei der Entwicklung von Schadsoftware.“ Die Angriffskette beginne mit einer manipulierten LNK-Datei, welche ein Skript ausführe, um polyglotte Dateien zu laden, welche schließlich eine schädliche „Payload“ installierten. Die in „Golang“ geschriebene Malware ermögliche es den Angreifern, über einen sogenannten Command-and-Control-Server (C2-Server) Befehle auszuführen, Daten zu stehlen und zusätzliche Schadsoftware herunterzuladen. Ein weiteres bemerkenswertes Detail sei die absichtliche Inflation des Codes der Malware mit unnötigen „Golang“-Bibliotheken, „die nicht zur Ausführung kommen, um die Analyse der Software weiter zu erschweren“.

Verschleierungsmethoden helfen beim Verbergen der Malware, um Zugriff auf Kritische Systeme zu erlangen

Die hochentwickelte Technik der polyglotten Malware und der gezielte Ansatz der Kampagne stellten eine ernsthafte Bedrohung für Unternehmen dar. Die Verwendung solcher Verschleierungsmethoden, um Malware zu verbergen und langfristigen Zugriff auf Kritische Systeme zu erlangen, zeige die Raffinesse moderner Bedrohungsakteure.

Proofpoint empfiehlt Unternehmen, „ihre Sicherheitsvorkehrungen zu verstärken, um solche fortgeschrittenen Angriffe zu verhindern“. Dazu gehörten die kontinuierliche Überwachung von Netzwerken, die Schulung von Mitarbeitern in der Erkennung von Phishing-Versuchen und der Einsatz solch fortschrittlicher Malware-Erkennungstools, „die auch gegen verschleierte ,Payloads’ wirksam sind“.

Weitere Informationen zum Thema:

proofpoint, Joshua Miller & Kyle Cucci & Proofpoint Threat Research Team, 04.03.2025
Call It What You Want: Threat Actor Delivers Highly Targeted Multistage Polyglot Malware

[datensicherheit.de, 20.02.2025] Proofpoint meldet, dass eigene Sicherheitsexperten eine zunehmende Bedrohung durch sogenannte „Fake-Update“-Angriffe festgestellt hätten: „Bei diesen Angriffen werden gefälschte Update-Benachrichtigungen verwendet, um Benutzer zur Installation von Malware zu verleiten.“ Dabei tun sich demnach zwei neu identifizierte Bedrohungsakteure hervor („TA2726“ und „TA2727“), welche die Malware-Verbreitung über kompromittierte Webseiten vorantrieben.

Gefälschte Update-Benachrichtigungen, um Nutzer zum Download von Malware zu verleiten

Die Angreifer setzten dabei auf Techniken wie „Traffic Distribution Services“ (TDS), um den Datenverkehr gezielt auf kompromittierte Webseiten umzuleiten. „Auf diesen Websites werden den Nutzern gefälschte Update-Benachrichtigungen angezeigt, um sie zum Download von Malware zu verleiten.“

Besonders auffällig sei dabei, dass die Angreifer zunehmend maßgeschneiderte Malware einsetzten, „die für verschiedene Plattformen optimiert ist“. Während Malware für „Windows“ und „Android“ bereits weit verbreitet sei, habe Proofpoint auch eine neue „Mac“-Malware namens „FrigidStealer“ entdeckt: „Diese Malware erbeutet sensible Nutzerdaten wie Browser-Cookies und Passwörter und überträgt sie an die Angreifer.“

Angriffserkennung erschwert: Malware je nach Betriebssystem und Browser des Benutzers variiert

Ein weiteres beunruhigendes Detail sei die zunehmende Regionalisierung der Angriffsstrategien. „Proofpoint hat beobachtet, dass je nach geographischem Standort des Nutzers unterschiedliche ,Payloads’ ausgeliefert werden.“

Dies erschwere die Erkennung der Angriffe erheblich, weil die Malware je nach Betriebssystem und Browser des Benutzers variiere. „Dass ,TA2726‘ als Traffic-Distributor fungiert und den Datenverkehr gezielt zu anderen Akteuren wie ,TA569‘ und ,TA2727‘ umleitet, macht die Angriffe noch effizienter.“

Malware-Angriffe basieren auf gängigen Web-Techniken und Social-Engineering-Methoden

Weil diese Malware-Angriffe auf gängigen Web-Techniken und Social-Engineering-Methoden basierten, seien sie besonders schwer zu erkennen. Unternehmen schenkten der Sicherheit ihrer Websites und Webserver oft zu wenig Beachtung, „obwohl diese ein beliebtes Ziel für Angreifer sind“. Proofpoint empfiehlt daher, „die Netzwerksicherheit und den Endgeräteschutz zu verstärken, um solchen Bedrohungen vorzubeugen“.

Zudem sollten Unternehmen ihre Mitarbeiter regelmäßig schulen, um verdächtige Aktivitäten frühzeitig zu erkennen und zu melden. „Zudem empfiehlt Proofpoint weitere Schutzmaßnahmen wie den Einsatz von Browser-Isolationstechnologien, die verhindern, dass schädliche Webseiten auf den Endgeräten der Nutzer Schaden anrichten können.“ Darüber hinaus sollten Unternehmen auch das Öffnen von Skript-Dateien auf „Windows“-Geräten blockieren, um das Risiko sogenannter Web-Injections weiter zu reduzieren.

Weitere Informationen zum Thema:

proofpoint, The Proofpoint Threat Research Team, 18.02.2025
An Update on Fake Updates: Two New Actors, and New Mac Malware

[datensicherheit.de, 29.01.2025] Miro Mitrovic, „Area Vice President Sales DACH“ bei Proofpoint, hat den „Europäischen Datenschutztag“ vom 28. Januar 2025 zum Anlass genommen, nachdrücklich daran zu erinnern, dass Datenschutz und Privatsphäre ein „Fundament unserer Gesellschaft“ bilden sollten.

Foto: Proofpoint

Miro Mitrovic unterstreicht, dass ein auf den Menschen ausgerichteter Ansatz für die Datensicherheit erforderlich ist

Menschliches Element einer der wichtigsten Faktoren für Datenverluste in Unternehmen

Mitrovic führt aus: „Auch wenn technische Innovationen die Branche verändern und neue Vorschriften ins Spiel kommen, bleibt das ,menschliche Element’ einer der wichtigsten Faktoren, der Unternehmen für Datenverluste anfällig macht!“ Der erste „Data Loss Landscape Report“ von Proofpoint zeigt demnach, dass 85 Prozent aller Unternehmen weltweit im vergangenen Jahr von Datenverlusten betroffen waren.

90 Prozent davon hätten mit negativen Folgen wie Umsatzeinbußen und Rufschädigung zu kämpfen. Bemerkenswert dabei sei, dass ein Prozent der Benutzer für 88 Prozent der Datenverlustwarnungen verantwortlich gewesen seien. „Dies beweist, welche Auswirkungen unvorsichtige Mitarbeiter für die Cyber-Sicherheit haben können“, so Mitrovic.

Immer mehr Nutzer geben sensible Daten in KI-Anwendungen ein

Die zunehmende Bedeutung und der verstärkte Einsatz sogenannter Generativer KI (GenAI) treibe auch die Investitionen in Datenschutzmaßnahmen in die Höhe: „53 Prozent der deutschen CISOs haben 2024 ,Data Loss Prevention’, (DLP)-Technologien; implementiert, ein deutlicher Anstieg gegenüber 27 Prozent im Vorjahr.“ Dies sei besonders wichtig, da Tools wie „ChatGPT“, „Grammarly“ und „Google Gemini“ immer leistungsfähiger und nützlicher würden und immer mehr Nutzer sensible Daten in diese Anwendungen eingäben.

Mitrovic unterstreicht: „Künstliche Intelligenz, insbesondere GenAI, führt zu neuen Herausforderungen für die Datensicherheit. KI bietet ein enormes Potenzial, birgt aber auch erhebliche Risiken für Datenverluste. Wer vertrauliche Informationen oder personenbezogene Daten in diese Modelle einspeist, gibt Angreifern eine ,geladene Waffe’ in die Hand.“ Unternehmen seien darüber verständlicherweise besorgt. Der Bericht „Voice of the CISO 2024“ von Proofpoint zeige, dass 61 Prozent der deutschen CISOs GenAI als eine der größten Gefahren für ihr Unternehmen einschätzten. Dies unterstreiche die Notwendigkeit einer robusten Datenschutzstrategie.

Datenverlust wird immer von Menschen verursacht!

„Daten gehen nicht von selbst verloren, sondern Datenverlust wird immer von Menschen verursacht!“ Unvorsichtige, kompromittierte und böswillige Benutzer seien und blieben für die überwiegende Mehrheit der Datenverluste verantwortlich. Tatsächlich hätten 57 Prozent der deutschen Unternehmen in den letzten zwölf Monaten den Verlust sensibler Daten zu beklagen, wobei 77 Prozent der CISOs hierzulande der Meinung seien, dass ausscheidende Mitarbeiter für diese Vorfälle verantwortlich gewesen seien. „Aber auch riskante Handlungen wie das Weiterleiten von E-Mails, das Klicken auf Phishing-Links, das Installieren nicht autorisierter Software und das Versenden sensibler Daten per E-Mail an ein privates Konto tragen zu Datenverlusten bei.“

Mitrovic fasst zusammen: „All dies unterstreicht, dass ein auf den Menschen ausgerichteter Ansatz für die Datensicherheit erforderlich ist!“ Dieser Ansatz müsse ein Verständnis für die Datenklassen, die Benutzerabsicht und den Bedrohungskontext kombinieren und konsistent auf alle Kommunikationskanäle angewendet werden – einschließlich E-Mail, „Cloud“, Endgeräte, Web und GenAI-Tools. „Es bedeutet auch, dass Mitarbeiter auf Fehlverhalten bei der IT-Sicherheit direkt aufmerksam gemacht werden und an personalisierten Trainings auf Grundlage des individuellen Risikoprofils teilnehmen müssen, um eine Verhaltensänderung herbeizuführen. Denn es ist von überragender Bedeutung, dass jeder die Risiken versteht und seine Rolle beim Schutz des Unternehmens ernst nimmt.“

Weitere Informationen zum Thema:

proofpoint, 19.03.2024
Proofpoint’s Inaugural Data Loss Landscape Report Reveals Careless Employees are Organizations’ Biggest Data Loss Problem / 85% of ​organizations experienced​ data loss in the past year​;​ 90% of those saw negative outcomes including revenue losses and reputational damage

proofpoint, 2024
White Paper: Voice of the CISO 2024

[datensicherheit.de, 28.01.2025] IT-Security-Experten von Proofpoint haben nach eigenen Angaben „eine alarmierende Zunahme von Cyber-Kampagnen und bösartigen Domains festgestellt, bei denen Steuerbehörden und andere Finanzinstitutionen in der Schweiz imitiert werden“. Ihre Erkenntnisse wurden in einem aktuellen „Security Brief“ veröffentlicht (s.u.).

Abbildung: Proofpoint

Fake-Beispiel für cyber-kriminelle Erinnerung an Zahlung der Bundessteuer in der Schweiz

Cyber-Kriminelle geben sich als Eidgenössische Steuerverwaltung aus

Im Dezember 2024 entdeckte Proofpoint demnach eine Betrugskampagne, welche gezielt Schweizer Organisationen ins Visier nahm. Cyber-Kriminelle hätten sich dabei als Eidgenössische Steuerverwaltung ausgegeben und die Empfänger aufgefordert, vermeintliche Steuerschulden mittels Kreditkarte über die Zahlungsplattform „Revolut“ zu begleichen. Laut den Untersuchungsergebnissen von Proofpoint war das Ziel dieser Kampagne nicht der Diebstahl von Kreditkartendaten, „sondern die Umleitung von Zahlungen auf ein von den Angreifern kontrolliertes ,Revolut’-Konto“.

Diese Ergebnisse unterstrichen die raffinierten Methoden Cyber-Krimineller, um ihre Opfer zu täuschen und zu manipulieren. Insbesondere im Laufe der Steuersaison seien solche Taktiken effektiv, weil viele Menschen und Unternehmen mit Steuerbehörden und Finanzdienstleistern interagierten und daher eher geneigt seien, solche Köder für authentisch zu halten. Es sei daher von entscheidender Bedeutung, „dass Organisationen ihre Belegschaft über die häufig von Cyber-Kriminellen eingesetzten Techniken und Köder aufklären, um solche Angriffe abzuwehren“.

Steuerbezogene Inhalte während der weltweiten Steuersaison ein beliebter Cyber-Köder

„Steuerbezogene Inhalte sind während der weltweiten Steuersaison immer ein beliebter Köder, und Proofpoint beobachtet typischerweise einen Anstieg solcher Inhalte zu Beginn des Jahres. Dabei kann es sich um einen wirksamen Köder handeln, weil er die Dringlichkeit von Fristen mit der Androhung von zusätzlichen Gebühren, Geschäftsunterbrechungen oder Auswirkungen auf Zahlungen verbindet“, erläutert Selena Larson, „Staff Threat Researcher“ bei Proofpoint. Darüber hinaus seien Menschen eher geneigt, auf Inhalte zu antworten oder sich damit zu befassen, „wenn sie von einer als Autorität anerkannten Quelle wie einer Regierungsbehörde zu stammen scheinen“.

Es sei wichtig, „dass die Menschen besonders wachsam sind, wenn sie eine E-Mail in ihrem Posteingang finden, die den Anschein erweckt, dass sie etwas mit Steuern zu tun hat“. Denn Cyber-Kriminelle seien wirklich gut darin, überzeugende Köder zu verbreiten. Weil viele Unternehmen ihre Geschäfte per E-Mail abwickelten, erwarteten ihre Mitarbeiter solche Inhalte und gingen davon aus, „dass sie legitim sind“. Außerdem kombinierten Cyber-Kriminelle E-Mails oft mit Anrufen oder Textnachrichten und nutzten so mehrere Kanäle für ihre Angriffe.

Belegschaft sollte auf gängige Techniken Cyber-Krimineller achten

Unternehmen bzw. ihre Belegschaft sollten auf gängige Techniken Cyber-Krimineller achten, „wie gefälschte Domänen und Identitäten, eine aufdringliche und dringliche Sprache, die Weiterleitung auf Websites, die nicht offiziell von den vermeintlichen Personen betrieben werden, und die Aufforderung, Zahlungen an Anwendungen oder Websites von Drittanbietern zu leisten“. Larson betont: „Wenn Unternehmen diese Taktiken verstehen und wachsam bleiben, können sie die Wahrscheinlichkeit, Opfer eines Phishing-Angriffs zu werden, erheblich verringern und ihr Geld und ihre sensiblen Daten wirksam schützen.“ Diese Attacken zielten meist darauf ab, sensible Informationen zu stehlen bzw. finanzielle Gewinne zu erzielen. Um das Risiko eines erfolgreichen Angriffs zu verringern, empfiehlt Proofpoint folgende Maßnahmen:

1. Schulen Sie Ihre Mitarbeiter, bösartige E-Mails und SMS zu erkennen und zu melden!
Regelmäßige Schulungen und simulierte Angriffe könnten viele Angriffe stoppen und helfen, besonders gefährdete Personen zu identifizieren. Nachhaltige Simulationen ahmten reale Angriffstechniken nach. „Achten Sie auf Security-Lösungen, die auf realen Angriffstrends und den neuesten Bedrohungsdaten basieren. Angreifer nutzen auch SMS und bösartige QR-Codes, um Angestellte anzugreifen, daher ist es wichtig, diese Methoden in die Schulung einzubeziehen!“

2. Sie müssen davon ausgehen, dass die Angestellten trotzdem irgendwann auf einige der Bedrohungen klicken werden!
Angreifer würden immer neue Wege finden, die menschliche Natur auszunutzen. „Finden Sie eine Security-Lösung, die eingehende E-Mail-Bedrohungen, die auf Mitarbeiter abzielen, erkennt und blockiert, bevor sie den Posteingang erreichen. Investieren Sie in eine Lösung, die das gesamte Spektrum von E-Mail-Bedrohungen abdeckt, nicht nur Malware-Bedrohungen!“ Einige Angriffe wie BEC (Business Email Compromise) und andere Formen des E-Mail-Betrugs seien mit herkömmlichen Sicherheitstools nur schwer zu erkennen. „Ihre Lösung sollte sowohl externe als auch interne E-Mails scannen – Angreifer können kompromittierte Konten verwenden, um Benutzer innerhalb desselben Unternehmens zu täuschen. Web-Isolation kann ein wichtiger Schutz gegen unbekannte und riskante URLs sein.“

3. Verwalten Sie den Zugriff auf sensible Daten und interne Bedrohungen!
Ein „Cloud Access Security Broker“ könne helfen, „Cloud“-Konten zu sichern und die richtigen Zugriffsrechte für Benutzer und zusätzliche Anwendungen von Drittanbietern auf Grundlage der relevanten Risikofaktoren zu gewähren. Plattformen für das Insider-Risikomanagement könnten zum Schutz vor Insider-Bedrohungen beitragen, „auch für Nutzer, die durch Angriffe von außen gefährdet sind“.

4. Zusammenarbeit mit einem Anbieter von Bedrohungsdaten!
Gezielte Angriffe erforderten zur Abwehr fortschrittliche Bedrohungsdaten. „Verwenden Sie eine Lösung, die statische und dynamische Techniken kombiniert, um neue Angriffswerkzeuge, -taktiken und -ziele zu erkennen und daraus zu lernen!“

Weitere Informationen zum Thema:

proofpoint, Selena Larson, 28.01.2025
Security Brief: Threat Actors Take Taxes Into Account

[datensicherheit.de, 15.11.2024] Mit dem nun näherrückenden Jahresende 2024 steht offenbar auch wieder einmal eine Hochsaison für Online-Einkäufe an: Laut dem „Weihnachtsshopping Report 2024“ von eBay Advertising hätten bereits im letzten Jahr, 2023, 60 Prozent der Konsumenten geplant, ihre Weihnachtsgeschenke online zu kaufen. „Kein Wunder, dass die Hochzeit des Kaufens und Schenkens auch die Hochzeit des Online-Betrugs ist!“, warnt Proofpoint in einer aktuellen Stellungnahme und hält zugleich für Konsumenten folgende Tipps bereit, um sich vor dieser Art Betrug schützen zu können:

1. Proofpoint-Tipp: Nutzen Sie besonders sichere Passwörter!

„Lange Zeit vertraten IT-Sicherheitsexperten die Ansicht, es sei wichtig Passwörter regelmäßig zu ändern, z.B. alle drei Monate. Diese Empfehlung beruhte auf der Annahme, dass häufige Änderungen das Risiko eines unbefugten Zugriffs verringerten.“ Inzwischen sei klar geworden, dass es viel wichtiger sei, lange, komplexe und einzigartige Passwörter zu verwenden, als diese häufig zu ändern.

Indes: Es sei jedoch weiter wichtig, Passwörter in bestimmten Situationen zu ändern, „insbesondere nach Sicherheitsvorfällen oder bei Verdacht auf unbefugten Zugriff“. Es sollten keine Wörter Verwendung finden, welche im Wörterbuch stehen, und es wird empfohlen zu prüfen, ob das gewählte Passwort bereits kompromittiert wurde – einige „Tools“ böten hierzu Abgleichsmöglichkeiten mit Datenbanken gehackter Passwörter.

2. Proofpoint-Tipp: Nutzen Sie einen Passwortmanager!

Ein Passwortmanager ermögliche es den Nutzern, Sicherheit und Bequemlichkeit zu kombinieren. „Das ,Tool’ speichert und verschlüsselt alle Passwörter zentral, so dass Sie sich nur ein Masterpasswort merken müssen.“

Dies Option ermögliche die Verwendung von langen, komplexen und einzigartigen Passwörtern für jedes Konto. Zudem automatisiere ein Passwortmanager das Ausfüllen von Anmeldeformularen.

3. Proofpoint-Tipp: Hände weg vom offenen WLAN!

Es sei verführerisch, sich z.B. bei einem Café-Besuch eben in dessen offenes WLAN einzuloggen, ein wenig zu browsen und einzukaufen…

Cyber-Kriminelle könnten allerdings diese über ein ungeschütztes WLAN übertragenen Daten abfangen – einschließlich Kreditkartennummern, Passwörtern, Kontoinformationen etc.

4. Proofpoint-Tipp: Fallen Sie nicht auf nachgeahmte Websites oder E-Mail-Adressen herein!

Cyber-Kriminelle ahmten in ihren E-Mails und Websites häufig beliebte Marken nach. „Nachgebaute“ Websites könnten gefälschte oder nicht-existierende Waren verkaufen, mit Malware infiziert sein, Geld stehlen oder Zugangsdaten abgreifen.

E-Mails auf Basis gefälschter Identitäten könnten Kunden auf solche Websites leiten.

5. Proofpoint-Tipp: Vorsicht beim Klicken!

„Klicken Sie nicht auf Links in Online-Werbung, nicht auf Websites, in E-Mails oder Sozialen Medien!“

Sicherer sei es, die offizielle Web-Adresse des Händlers oder Herstellers direkt in den Browser einzugeben, um sicher zu gehen, auf der richtigen Seite zu landen.

6. Proofpoint-Tipp: Verifizieren Sie Händler und Hersteller!

Betrügerische Anzeigen, gefälschte Websites oder auch manipulierte mobile Anwendungen seien häufig schwer zu erkennen.

„Nehmen Sie sich Zeit, Online-Bewertungen und Kundenbeschwerden zu lesen, wenn Sie eine neue App herunterladen oder eine neue Website besuchen wollen!“

7. Proofpoint-Tipp: Aktivieren Sie Zwei-Faktor-Authentifizierung!

„Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Ihre Online-Konten, die Ihnen diese Möglichkeit bieten!“

Damit lasse sich für Nutzer eine zusätzliche Sicherheitsebene einbauen.

8. Proofpoint-Tipp: Halten Sie Ihre Software aktuell!

„Stellen Sie sicher, dass Ihr (mobiles) Betriebssystem, Browser und Antiviren-Programm auf dem neuesten Stand sind!“

Die Aktualität aller o.g. Systeme trägt dazu erkannte Sicherheitslücken zu schließen.

9. Proofpoint-Tipp: Vorsicht bei unglaublichen Angeboten!

Wenn ein Angebot zu gut klinge, um wahr zu sein, sei es das wahrscheinlich auch…

„Vergleichen Sie Preise und recherchieren Sie den Händler, bevor Sie kaufen!“

Weitere Informationen zum Thema:

ecommerce magazin, Stefan Girschner, 08.10.2024
Kaufverhalten Weihnachtsgeschenke: Das sind die beliebtesten Geschenke der Deutschen

datensicherheit.de, 26.11.2022
Gelegenheit für Diebe: Shopping via Firmen-Notebook oder Privat-Handy / Alex Hinchliffe gibt Tipps, damit Online-Shopping nicht von Hackern ruiniert wird

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten

datensicherheit.de, 18.12.2020
Lockdown: Cyber-Kriminelle attackieren Weihnachts-Shopping / Der Einzelhandel leidet im Lockdown – Cyber-Kriminelle haben Hochkonjunktur

[datensicherheit.de, 06.09.2024] Datenverluste durch fehlgeleitete E-Mails seien als Problem weiter verbreitet als gedacht, so Miro Mitrovic, „Area Vice President DACH“ bei Proofpoint, in seiner aktuellen Stellungnahme: „Bei Verlust sensibler Daten laufen Betroffene nicht nur Gefahr, gegen Vorschriften zu verstoßen, sondern müssen auch um Missbrauch der Daten und ihren guten Ruf fürchten.“ Von Phishing- und Ransomware-Angriffen bis hin zu ausgeklügelten Cyber-Bedrohungen: Es gebe eine lange Liste an Möglichkeiten, wie sensible Daten aus dem eigenen Unternehmen abfließen könnten. Mitrovic erläutert: „Für gewöhnlich sind Nachlässigkeit oder Absicht die Ursache. Entsprechend bestätigen rund zwei Drittel der ,CISOs’, dass ihren Organisationen Daten durch Insider verloren gegangen sind.“

Foto: Proofpoint

Miro Mitrovic: Um ungewollte oder vorsätzliche Datenverluste via E-Mail effektiv zu unterbinden, bieten ausschließlich KI-gestützte DLP-Lösungen ein ausreichendes Schutzniveau!

Fehlgeleitete E-Mails nicht nur weit verbreitet, sondern auch zumeist schwer aufzuhalten

Es gibt laut Mitrovic viele Möglichkeiten, wie Daten ungewollt aus einem Unternehmen abfließen: Schwache Passwörter und versehentliche Klicks oder Downloads stellten ein Risiko dar. Ein anderer Faktor, der demnach häufig zu Datenverlusten führe, werde jedoch weit weniger oft thematisiert: „Fehlgeleitete E-Mails, also legitime Nachrichten, die an die falschen Empfänger gesendet werden, sind die am häufigsten gemeldeten Vorfällen im Zusammenhang mit der Datenschutz-Grundverordnung, die dem britischen Information Commissioner’s Office (ICO) gemeldet werden.“

Fehlgeleitete E-Mails seien nicht nur weit verbreitet, sondern gemeinhin schwer aufzuhalten. Diese Art von Fehlern werde von regelbasierten Standardtools zur Verhinderung von Datenverlusten (Data Loss Prevention / DLP) meist nicht erkannt. „Folglich müssen die Benutzer allein dafür Sorge tragen, dass ihre E-Mails immer nur die vorgesehenen Empfänger erreichen!“ Leider sei dieser menschliche Sicherheitsmechanismus wenig verlässlich.

Problem herkömmlicher DLP: Fehlgeleitete E-Mails an legitime Empfänger lösen keinen Alarm aus

Traditionelle, regelbasierte DLP-Tools erfüllten ihre Aufgabe sehr gut. Solche Lösungen seien nach wie vor ein wichtiger Bestandteil einer effektiven Cyber-Abwehr. „Allerdings haben diese Tools einen großen Nachteil: Sie überwachen den Datenverkehr nur auf Basis vordefinierter Risiken.“ Eine herkömmliche DLP-Lösung könne zum Beispiel feststellen, ob Empfänger auf einer Sperrliste stehen, ob spezielle personenbezogene Daten (RegEx-Muster) im Inhalt der Nachricht enthalten sind und ob angehängte Dokumente mit Klassifizierungskennzeichen versehen sind. Eine solche Kennzeichnung würde beispielsweise vorliegen, wenn ein Administrator ein bestimmtes Dokument als „sensibel“ gekennzeichnet hat. Sofern eine E-Mail diese Prüfungen besteht, könne sie ohne Weiteres versendet werden.

Eine fehlgeleitete E-Mail an einen legitimen (wenn auch falschen) Empfänger würde keinen Alarm und somit keinen Stopp der Nachricht auslösen, „weil regelbasierte Systeme sie als ,sicher’ einstufen“. Wie die Daten des „Data Breach Investigations Report“ von Verizon belegten, seien E-Mail-Fehlzustellungen in allen Branchen weit verbreitet, so dass die Einstufung von E-Mails als „sicher“ häufig falsch sei.

Empfehlung: Erkennung fehlgeleiteter E-Mails mittels KI

Vorteile gegenüber traditionellen DLP-Systemen biete eine adaptive, KI-gestützte Lösung: „Eine solche Lösung sucht nicht nur nach generellen, zuvor definierten Gefahrenquellen. Vielmehr analysiert sie alle Aspekte einer E-Mail auf mögliche Ungereimtheiten. Eine solche Lösung achtet nicht nur auf die üblichen Warnhinweise, sondern erkennt auch ungewöhnliche Empfängergruppen und markiert sensible Wörter, Ausdrücke oder Inhalte, die normalerweise nicht mit den vorgesehenen Empfängern geteilt werden, sei es im Nachrichtentext oder in Anhängen.“ Anschließend lege das System fest, ob eine E-Mail versendet werden darf. „Sobald ein potenzieller Fehler bzw. der Verlust sensibler Daten entdeckt wird, greift eine solche moderne KI-DLP-Lösung ein, um die Richtigkeit des Empfängers zu überprüfen, eine kurze Erläuterung des potenziellen Problems anzuzeigen und den Absender zu fragen, ob er fortfahren oder abbrechen möchte.“

Um es auf den Punkt zu bringen: „Herkömmliche DLP-Lösungen sind nicht in der Lage fehlgeleitete E-Mails adäquat zu verhindern, da keine entsprechenden Regeln zuvor definiert werden können. Eine moderne, adaptive E-Mail-DLP-Lösung kann hingegen potenzielle Katastrophen in Echtzeit verhindern.“ Hierzu zeige sie dem Benutzer einfach einen Warnhinweis, um etwaige Fehler korrigieren und die richtigen Entscheidungen treffen zu können. Darüber hinaus profitierten die Security-Teams von einer vollständigen Chronologie jedes Vorfalls. „Diese beinhaltet, was gesendet wurde, an wen es geschickt wurde und warum der Versand gestoppt wurde. Auf Grundlage dieser Einblicke können die Verantwortlichen analysieren, ob es sich um einen einfachen Fehler handelt oder einen absichtlichen Versuch, Unternehmensdaten auf persönliche oder nicht autorisierte Konten umzuleiten.“

KI-gestützte DLP-Lösungen fügen sich nahtlos in bestehende Arbeitsweisen und Prozesse ein

Die Stärke einer adaptiven, KI-gestützten DLP-Lösung liege nicht nur in ihrer Fähigkeit, Datenverluste effektiv zu verhindern. „Sie ist auch so konzipiert, dass sie sich nahtlos in bestehende Arbeitsweisen und Prozesse einfügt. Es gibt keine zusätzlichen Schritte, die bedacht werden müssen, oder Änderungen an bestehenden Prozessen für die Endbenutzer.“ Stattdessen verfassten und versendeten die Angestellten E-Mails in gewohnter Manier. „Die KI-DLP-Lösung arbeitet im Hintergrund, um festzustellen, ob E-Mails sicher versendet werden können – und greift nur dann ein, wenn ein potenzielles Problem vorliegt.“

Ein entscheidender Vorteil für die Nutzer bestehe darin, dass sie nur alle paar Wochen mit der Lösung interagieren müssten – und nicht mehrmals am Tag. Dadurch werde das Risiko einer Warnmüdigkeit reduziert, die schlimmstenfalls zum Ignorieren wichtiger Warnhinweise führen könne, „wenn solche Hinweise zu oft eingeblendet werden“. Ferner profitierten die Unternehmen von der schnellen Einsatzbereitschaft moderner KI-DLP-Lösungen. „Denn es gibt keine Regeln, die implementiert und mit der Zeit verfeinert werden müssten, um ein Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit herzustellen.“ In den meisten Fällen sei eine solche Lösung innerhalb von Minuten implementiert, lerne in wenigen Stunden auf Basis des historischen E-Mail-Verkehrs und sei innerhalb von wenigen Tagen einsatzbereit, um Mitarbeiter und Daten zu schützen.

KI-gestützte DLP-Lösungen können sogar helfen Katastrophen zu verhindern

An einem einfachen Beispiel lasse sich der Nutzen einer KI-gestützten DLP-Lösung direkt erkennen: „Versendet ein Mitarbeiter im Verlauf einer geplanten Fusion bzw. Übernahme aus Versehen Informationen an einen Journalisten, lässt sich die Katastrophe kaum noch abwenden. Der wirtschaftliche Schaden für das Unternehmen im Falle einer geplatzten Fusion bzw. Übernahme wäre immens.“ Aber auch bei böswilligen Insidern könnten solche Lösungen Abhilfe schaffen: „Man stelle sich einfach einen scheidenden Mitarbeiter vor, der sich wichtige Unternehmensgeheimnisse an seine eigene E-Mail-Adresse schickt, um so regelbasierte Kontrollen zu umgehen. Nutznießer könnte nach wenigen Monaten die Konkurrenz sein, die von den Betriebsgeheimnissen profitiert.“

Mitrovics Fazit: „Um solche ungewollten oder vorsätzlichen Datenverluste via E-Mail effektiv zu unterbinden, bieten ausschließlich KI-gestützte DLP-Lösungen ein ausreichendes Schutzniveau.“ Diese seien eine vielversprechende Alternative zu traditionellen DLP-Ansätzen. Sie minimierten das Risiko von Datenverlusten durch fehlgeleitete E-Mails und gewährleisteten die Benutzerfreundlichkeit. „Unternehmen sollten solche Systeme schnell implementieren, um ihre Daten wirksam zu schützen und die Produktivität ihrer Mitarbeiter zu erhalten“, so Mitrovics Empfehlung.

Weitere Informationen zum Thema:

verizon business
Data Breach Investigations Report 2024

proofpoint
Threat Report / State of the Phish 2024: Europa und Naher Osten

[datensicherheit.de, 19.06.2024] IT-Security-Experten von Proofpoint haben nach eigenen Angaben eine neue Angriffstechnik cyber-krimineller Gruppen identifiziert: „Mit dieser neuen Methode versuchen Cyber-Kriminelle, Benutzer dazu zu verleiten, schädliche ,PowerShell’-Befehle auf ihren eigenen Systemen auszuführen.“ Die vollständige Analyse der Proofpoint-Experten ist in deren „Threat Blog“ im englischen Original zu finden (s.u.).

Cyber-Kriminelle missbrauchen Social Engineering und verstecken Schadcode

Die Täter nutzten „Social Engineering“ und versteckten Schadcode. Proofpoint konnte demnach feststellen, dass verschiedene Gruppen, darunter der „Initial Access Broker TA571“, diese Methode nutzten, um Malware wie „DarkGate“, „Matanbuchus“, „NetSupport“ und verschiedene „Information Stealer“ zu verbreiten.

„Unabhängig davon, ob die ursprüngliche Kampagne über ,Malspam’ oder Webbrowser-Injections gestartet wird, läuft ein Angriff ähnlich ab.“ Den Benutzern werde ein Popup-Fenster mit der Meldung angezeigt, dass ein Fehler beim Versuch aufgetreten sei, ein Dokument oder eine Webseite zu öffnen.

„Sie werden dann aufgefordert, ein bösartiges Skript in das ,PowerShell’-Terminal oder das ,Windows’-Dialogfeld ,Ausführen’ zu kopieren und einzugeben, um das Skript schließlich über ,PowerShell’ auszuführen.“

Wirksames Werkzeug Cyber-Krimineller: Vom Benutzer selbst initiierte schädliche Aktivitäten bleiben oft unentdeckt

Diese Art von Angriff sei besonders gefährlich, weil sie die meisten traditionellen Sicherheitsvorkehrungen wie Antimalware-Lösungen und Firewalls umgehe. „Da die schädlichen Aktivitäten vom Benutzer selbst initiiert werden, bleiben sie oft unentdeckt und stellen ein wirksames Werkzeug für Cyber-Kriminelle dar.“

Angesichts immer neuer Methoden der Malware-Verbreitung durch Cyber-Kriminelle sei die Aufklärung der Nutzer unabdingbar, um diese Art von Angriffen abzuwehren. Nutzer müssten sich der Risiken bewusst sein, die mit dem Kopieren und Einfügen unbekannter Befehle in ihre Konsolen verbunden seien.

„Darüber hinaus sollten Organisationen moderne Sicherheitslösungen implementieren, die in der Lage sind, schädliche ,PowerShell’-Aktivitäten zu erkennen und zu blockieren.“

Weitere Informationen zum Thema:

proofpoint, Tommy Madjar & Dusty Miller & Selena Larson & the Proofpoint Threat Research Team, 17.06.2024
From Clipboard to Compromise: A PowerShell Self-Pwn

[datensicherheit.de, 17.06.2024] Die Verbraucherzentrale NRW hat am 14. Juni 2024 vor sogenannten Fakeshops mit Produkten rund um die Fußball-EM gewarnt. Nun hat Proofpoint nach eigenen Angaben eine betrügerische Website identifiziert, welche sich als offizielle Ticketverkaufsstelle für die Olympischen Sommerspiele 2024 in Paris ausgegeben habe: „Die Website ,paris24tickets[.]com’ tarnte sich als sekundärer Marktplatz für Sport- und Live-Event-Tickets und erschien bei ,Google’-Suchen nach ,Paris 2024 Tickets’ direkt als zweites gesponsertes Suchergebnis.“ Proofpoint habe mit dem Registrar zusammengearbeitet, um diese Domain schnell zu sperren.

Abbildung: Proofpoint

Startseite der Betrugs-Website für Olympia-Tickets 2024

In Zusammenarbeit mit Partnern der Olympischen Spiele 2024 insgesamt 338 zweifelhafte Websites identifiziert

Diese betrügerische Website sei nur eine von vielen. In Zusammenarbeit mit den Partnern der Olympischen Spiele seien insgesamt 338 solcher Websites identifiziert worden – „von denen 51 geschlossen und 140 formell gewarnt wurden“. Die Cyber-Kriminellen hinter diesen Websites versuchten vermutlich, Geld von Personen zu stehlen, die Olympia-Tickets kaufen oder verkaufen wollten. Zudem gehe es ihnen wahrscheinlich darum, persönliche Daten zu sammeln.

Die einzige sichere Möglichkeit, Tickets für die Olympischen und Paralympischen Spiele 2024 in Paris zu erwerben, sei über die offizielle Ticket-Website der Organisation. Die vollständigen Untersuchungsergebnisse von Proofpoint ist im aktuellen „Security Brief“ (s.u.) zu finden.

Auf Startseite zahlreiche olympische Veranstaltungen 2024 aufgelistet…

Auf der von Proofpoint-Forschern identifizierten Website seien auf der Startseite zahlreiche olympische Veranstaltungen aufgelistet worden. „Sobald der Nutzer auf eines der Sportsymbole klickte, wurde er zu einer Ticketverkaufsseite weitergeleitet, auf der er Tickets auswählen und Zahlungsinformationen eingeben konnte.“ Auf dieser Website habe der Nutzer offenbar auch Konten für den Kauf und Verkauf von Eintrittskarten einrichten können. Das Design dieser Website habe dem anderer bekannter Ticketverkaufsseiten geähnelt, „mit denen die Besucher vertraut waren, um die Website legitim aussehen zu lassen“.

Es sei wahrscheinlich, dass die cyber-kriminellen Betreiber dieser Website versucht hätten, „Geld von Personen zu stehlen, die Olympia-Tickets kaufen oder verkaufen wollten“. Es sei auch möglich, dass die Website persönliche Daten von Personen gesammelt habe, die versuchten hätten, Tickets zu kaufen – so zum Beispiel Namen, Kontaktinformationen wie E-Mail- und Postadressen, Telefonnummern und Kreditkarteninformationen.

Noch weitere Website mit selber Infrastruktur und selbem Design wie der zu Olympia 2024 identifizierte betrügerische Web-Shop

Wahrscheinlich sei diese Domain hauptsächlich über Anzeigen in Suchergebnissen verbreitet worden. „Die Domäne wurde zwar nicht in weitreichenden E-Mail-Kampagnen, jedoch in einer kleinen Anzahl von E-Mails beobachtet.“ In einigen Fällen hätten die Täter E-Mails verschickt, in denen vorgegeben worden sei, „Rabatte“ auf Tickets anzubieten, welche für den Empfänger von Interesse sein könnten. „Obwohl die Security-Experten nicht bestätigen können, wie die Täter an die E-Mail-Adressen der Zielpersonen gelangt sind, ist es möglich, dass die Benutzer ihre E-Mail-Adressen bei der Registrierung auf der Website oder beim Versuch, Tickets zu kaufen, angegeben haben.“

Proofpoint ordne diese Aktivität keiner bekannten Kriminellengruppe zu. Bei der Untersuchung dieser Website hätten Proofpoint-Sicherheitsforscher eine weitere Website identifiziert, welche dieselbe Infrastruktur und dasselbe Design wie die betrügerische Olympia-Website aufweise: Diese Website – „seatsnet[.]com“ – habe Hunderte von Beschwerden auf verschiedenen Betrugsmeldeseiten erhalten, in denen behauptet werde, dass die Nutzer die bezahlten Tickets nie erhalten hätten.

Betrüger missbrauchen stets aktuelle Ereignisse – bevorstehende Olympische Spiele 2024 keine Ausnahme

„Betrüger nutzen stets aktuelle Ereignisse aus, und die bevorstehenden Olympischen Spiele bilden keine Ausnahme. Ahnungslose Nutzer haben wahrscheinlich die Website besucht, weil sie den Anschein erweckte, ein seriöses Unternehmen zu sein, das sich auf den Verkauf von Olympia-Tickets spezialisiert hat.“ Die Platzierung der Website in der Suchmaschine unter der offiziellen Website für den Verkauf von Eintrittskarten für die Olympischen Spiele in Paris dürfte die vermeintliche Legitimität der Website noch verstärkt und die Nutzer davon überzeugt haben, dass es sich um eine autorisierte und sichere Quelle gehandelt habe.

Auch wenn diese spezielle Domain nicht mehr aktiv sei, stehe zu befürchten, dass andere böswillige Akteure das Ereignis ausnutzen würden, um neue betrügerische Olympia-Websites zu erstellen. „Die einzige Möglichkeit, Tickets für die Olympischen und Paralympischen Spiele 2024 in Paris zu erwerben, ist die offizielle Ticket-Website der Organisation!“

Weitere Informationen zum Thema:

proofpoint, 13.06.2024
Security Brief: Scammers Create Fraudulent Olympics Ticketing Websites

verbraucherzentrale Nordrhein-Westfalen, 14.06.2024
Vorsicht vor Fakeshops mit Produkten um die Fußball-EM / Auffällig günstige und sofort verfügbare Trikots und Grills: Vor der Fußball-EM in Deutschland fallen im Fakeshop-Finder der Verbraucherzentralen Shops auf, die nun besonders häufig von Verbraucher:innen gemeldet werden

datensicherheit.de, 23.05.2024
Olympia 2024 droht zum Spielfeld für Cyber-Angriffe zu werden / Böswillige Akteure werden Cyber-Bedrohungen zu nutzen versuchen, um die Integrität der Veranstaltung zu stören und zu untergraben

datensicherheit.de, 09.04.2024
Olympische Sommerspiele 2024 in Paris: Vorbereitung auf Cyber-Angriffe / Generaldirektor der französischen Cyber-Sicherheitsbehörde ANSSI betont, dass diesjährige Olympische Sommerspiele ein Ziel Cyber-Krimineller sind

[datensicherheit.de, 20.02.2024] Erfolgreiche Cyber-Angriffe auf Einrichtungen des Gesundheitswesens, zum Beispiel auf Krankenhäuser, sollten in besonderer Weise alarmierend wirken – denn diese gehen alltäglich auch mit den sensibelsten aller persönlichen Daten um. Offenbar sind solche Angriffe inzwischen gar nicht mehr so selten, wie beispielsweise die Vorfälle im Krankenhaus Lindenbrunn, dem Dreifaltigkeitshospital in Lippstadt, der Caritas-Klinik Domenicus in Berlin und den Bezirkskliniken Franken gezeigt haben – dabei handelt es sich nur um die Geschädigten, die im noch jungen Jahr 2024 zur Kenntnis der Medien gelangt sind. Da stellt sich die Frage nach dem Grund, weshalb Krankenhäuser offenbar ein so leichtes Ziel für Cyber-Kriminelle geworden sind… Für Einrichtungen des Gesundheitswesens, wie auch für andere Organisationen, ist der Hauptangriffsweg nach Expertenansicht die E-Mail – und für die überzeugendsten E-Mail-Angriffe fälschen Cyber-Kriminelle demnach die E-Mail-Adresse einer Organisation, zu der ihr Opfer bereits eine Beziehung aufgebaut hat: Hier nun im Falle von Einrichtungen des Gesundheitswesens sind dies eben in erster Linie andere solche Einrichtungen. Dabei gibt eine relativ einfache Möglichkeit, diese Fälschungen zu verhindern – nämlich die Implementierung des DMARC-Protokolls (Domain-based Message Authentication Reporting and Conformance). Die Wirksamkeit dieses Protokolls zur Eindämmung von Phishing, BEC (,Business Email Compromise’), Spam und anderer Betrugsmethoden soll nun auch der Grund sein, weshalb Google und Yahoo es für Unternehmen, welche E-Mails in großen Mengen versenden wollen, zur Pflicht machen werden.

Foto: Proofpoint

Miro Mitrovic: Ergebnisse sind beunruhigend: Nur 31 Prozent der deutschen Krankenhäuser haben überhaupt einen DMARC-Eintrag veröffentlicht

DMARC-Analysen von 194 Domains deutscher Krankenhäuser

IT-Sicherheitsexperten von Proofpoint haben nach eigenen Angaben DMARC-Analysen von 194 Domains deutscher Krankenhäuser durchgeführt – und zwar von jenen, die es demnach auf die „Newsweek“-Liste der weltbesten Krankenhäuser 2023 geschafft haben: „Die Ergebnisse sind beunruhigend. Nur 31 Prozent von ihnen haben überhaupt einen DMARC-Eintrag veröffentlicht. Das bedeutet, dass 69 Prozent keinerlei Maßnahmen ergriffen haben, um Patienten, Lieferanten und andere Gesundheitseinrichtungen vor E-Mail-Betrug zu schützen.“ Noch schlimmer sei, dass nur sechs Prozent DMARC auf höchster Umsetzungsstufe („Reject“ / ablehnen) implementiert hätten, was im Umkehrschluss zur Folge habe, dass 94 Prozent nicht proaktiv verhinderten, dass betrügerische E-Mails ihre Ziele erreichen.

Weil der jüngste erfolgreiche Angriff auf ein deutsches Krankenhaus, das Krankenhaus Lindenbrunn, in Niedersachsen stattgefunden habe, hätten Experten von Proofpoint auch eine DMARC-Analyse für alle Krankenhäuser in diesem Bundesland durchgeführt – mit höchst alarmierenden Ergebnissen: „Von den 119 analysierten Domains haben nur 40 (34%) einen DMARC-Eintrag veröffentlicht. Somit haben 66 Prozent überhaupt keinen Eintrag veröffentlicht. Von den untersuchten niedersächsischen Krankenhäusern haben nur vier (3%) DMARC auf ,Reject’-Level implementiert. 97 Prozent verhindern folglich nicht proaktiv, dass betrügerische E-Mails, die ihre Domäne missbrauchen, ihre Adressaten erreichen.“

Führende deutsche Krankenhäuser setzen andere Krankenhäuser, Lieferanten und Patienten sehr hohem Risiko aus

„Nur wenn sie DMARC auf der ,Reject’-Stufe implementieren, verhindern Organisationen effektiv, dass betrügerische E-Mails, die ihre Domain missbrauchen, andere Organisationen erreichen“, stellt Miro Mitrovic, „Area Vice President für die DACH-Region“ bei Proofpoint, klar und unterstreicht: „Mit anderen Worten: 94 Prozent der führenden deutschen Krankenhäuser, die DMARC nicht auf ,Reject’-Stufe implementieren, setzen andere Organisationen – nicht zuletzt andere Krankenhäuser, Lieferanten und Patienten – einem sehr hohen Risiko aus, Opfer von E-Mail-basierter Cyber-Kriminalität zu werden.“

Dies sei ein äußerst bedauernswerter Zustand, zumal DMARC weder ein sehr teurer Weg ist, IT-Sicherheit zu gewährleisten und andere zu schützen, noch handele es sich um so etwas wie ein gut gehütetes Geheimnis. „Angesichts der Sensibilität der Daten, mit denen Krankenhäuser zu tun haben, ist das Ergebnis unserer Analyse besonders schockierend. Unseres Wissens schneidet keine andere Branche so schlecht ab wie das Gesundheitswesen“, kommentiert Mitrovic.

Nicht nur für Krankenhäuser: DMARC weithin anerkanntes E-Mail-Validierungsprotokoll

DMARC sei ein weithin anerkanntes E-Mail-Validierungsprotokoll, welches Domain-Namen vor dem Missbrauch durch Cyber-Kriminelle schützen solle. Es authentifiziere die Identität des Absenders, „bevor eine Nachricht ihren Bestimmungsort erreicht“. DMARC habe drei Schutzstufen: „Monitor“, „Quarantäne“ und „Reject“. „Reject“ sei nun die zuverlässigste Methode, um zu verhindern, dass verdächtige E-Mails ihre Adressaten erreichen.

„Vor diesem Hintergrund kündigten Google, Yahoo! und Apple Ende letzten Jahres an, dass sie ab dem ersten Quartal 2024 eine E-Mail-Authentifizierung verlangen werden, damit Nachrichten von ihren Plattformen versandt werden können. Dies ist ein wichtiger Schritt zur Verhinderung von Spam und Betrug.“ Diese Sicherheitsanforderungen gelten laut Mitrovic insbesondere für Konten, die täglich große Mengen an E-Mails versenden, z.B. Organisationen des Gesundheitswesens, welche neben anderen Maßnahmen auch das DMARC-Authentifizierungsprotokoll einsetzen müssten. Die Nichteinhaltung der Vorschriften werde die Zustellbarkeit legitimer Nachrichten an Kunden mit „Gmail“- und „Yahoo“-Konten erheblich beeinträchtigen.

Weitere Informationen zum Thema:

CSO DEUTSCHLAND, Julia Mutzbauer, 12.02.2024
IT lahmgelegt / Cyberangriff auf Krankenhaus Lindenbrunn

proofpoint, Craig Temple, 31.01.2024
Google and Yahoo Set a Short Timeline to Meet New DMARC Requirements. Are You Ready?

proofpoint
Email Fraud Defense – Für sichere E-Mails

datensicherheit.de, 07.01.2021
Cyberangriffe auf Krankenhäuser: Anstieg um 220 Prozent / Diese Zahl meldet Check Point Research für die vergangenen zwei Monate / Region Zentraleuropa am stärksten betroffen mit einem Anstieg 145 Prozent

datensicherheit.de, 29.10.2020
Ransomware-Attacke auf US-Krankenhäuser / Hacker versuchen mittels Ransomware Daten zu erbeuten und Lösegeldzahlungen zu erzwingen

datensicherheit.de, 16.09.2020
Hacker-Angriffe: Krankenhäuser können Abwehr stärken / Michal Salat gibt Tipps, wie Systeme, Patientendaten und Operationen gegen Hacker geschützt werden können

[datensicherheit.de, 17.11.2023] „Nur sieben der 20 größten Einzelhändler in Deutschland schützen Verbraucher ausreichend vor Betrügereien mit ihrem Namen.“ Proofpoint geht in einer aktuellen Stellungnahme auf das Ergebnis einer eigenen Analyse ein. Gerade im Vorfeld des „Black Friday“ treten Einzelhändler demnach vermehrt mit (potenziellen) Kunden in Kontakt, um ihnen besondere Angebote zu unterbreiten. Cyber-Kriminelle machten sich diese Tatsache als „Trittbrettfahrer“ zunutze, indem sie bekannte Marken verkörperten, um Konsumenten zu betrügen. Gegen diesen Missbrauch ihrer Markenidentität könnten Händler Verbraucher schützen, „indem sie die DMARC-Richtlinien zum Schutz der E-Mail-Kommunikation vollständig umsetzen“. Allerdings hätten bisher nur 35 Prozent der größten Einzelhändler in Deutschland diesen Schritt unternommen.

Proofpoint rät zu DMARC – einem weithin anerkannten Protokoll zur Validierung von E-Mails

„DMARC ist ein weithin anerkanntes Protokoll zur Validierung von E-Mails, das Domänen-Namen vor dem Missbrauch durch Cyberkriminelle schützen soll.“ Es authentifiziere die Identität des Absenders – bevor eine Nachricht ihr beabsichtigtes Ziel erreicht. DMARC habe drei Schutzstufen: „Überwachen“, „Quarantäne“ und „Ablehnen“.

„Ablehnen“ verhindere am zuverlässigsten, dass verdächtige E-Mails den Posteingang erreichen. Nur 35 Prozent der 20 größten Einzelhändler in Deutschland hätten DMARC auf dieser strengsten Stufe umgesetzt.

Proofpoint moniert: Viele Einzelhändler verweigern bislang geringe Mühe zum Schutz der Marke und Kunden

„In den heißen Phasen im Einzelhandel, insbesondere zum Wochenende mit ,Black Friday’ und ,Cyber Monday’ und der Vorweihnachtszeit, erhalten Verbraucher disproportional viele E-Mails insbesondere von Online-Händlern. Cyber-Kriminelle nutzen diese Tatsache und schmuggeln ihre gefährlichen Nachrichten unter diesen E-Mail-Verkehr, indem sie die Absender-Adressen bekannter Marken fälschen“, erläutert Miro Mitrovic, „Area Vice President DACH“ bei Proofpoint. Unternehmen könnten diesen Missbrauch ihrer Marke unterbinden, indem sie DMARC umsetzen. „Dass viele Einzelhändler diese geringe Mühe nicht auf sich nehmen, gibt Anlass zur Sorge“, unterstreicht Mitrovic.

Seit Jahren nutzten viele Organisationen auf der ganzen Welt DMARC, um den Missbrauch ihrer Marken-Domain für E-Mail-Betrug zu verhindern. DMARC sei eine Art Passkontrolle für die E-Mail-Kommunikation. Dieses Verfahren überprüfe die Identität des Absenders, „indem es den Absender anhand der etablierten Standards DKIM (Domain Keys Identified Mail) und SPF (Sender Policy Framework) ordnungsgemäß authentifiziert“. Diese Kontrollfunktion schütze Mitarbeiter, Kunden und Partner vor Cyber-Kriminellen, welche sich als Absender einer vertrauenswürdigen Marke ausgeben wollten, um E-Mail-Empfänger zum unbedachten Klick auf Links oder Dokumente zu verleiten.

Proofpoint-Analyse zur DMARC-Implementierung führender Einzelhändler in Deutschland

Um herauszufinden, wie es im Vorfeld der heißen Phase im Einzelhandel um die Implementierung des DMARC-Standards in Deutschland steht, hat Proofpoint nach eigenen Angaben eine detaillierte DMARC-Analyse bei den 20 größten Einzelhändlern durchgeführt. Dazu gehörten internationale Konzerne ebenso wie deutsche Unternehmen.

Zentrale Ergebnisse der Proofpoint-Analyse:

• 18 der 20 Händler (90%) haben DMARC zumindest teilweise umgesetzt. Nur die höchste Umsetzungsstufe (reject: ablehnen) schützt allerdings verlässlich gegen die Fälschung der Marken-Domain.
• Zwei der 20 untersuchten Unternehmen (10%) treffen überhaupt keine DMARC-Maßnahmen gegen den Missbrauch ihrer Marken-Domain.
• Nur sieben der 20 Unternehmen (35%) erfüllen die strengste, empfohlene Umsetzung der DMARC-Richtlinien. Das bedeutet, dass 65 Prozent ihre Kunden nur unzureichend vor betrügerischen E-Mails schützen.

Proofpoint gibt Verbrauchern Tipps, um auf sichere Schnäppchenjagd gehen zu können:

Schützen Sie Ihre Passwörter:
Verwenden Sie dasselbe Passwort nicht mehrmals. Nutzen Sie einen Passwort-Manager, um die Handhabung der Passwörter zu vereinfachen und ein Höchstmaß an Sicherheit zu gewährleisten. Erhöhen Sie das Sicherheitsniveau mit Multi-Faktor-Authentifizierung!

Hüten Sie sich vor gefälschten Websites:
Vermeiden Sie betrügerische Websites, die seriöse Marken imitieren! Diese Nachahmer-Websites bieten möglicherweise gefälschte oder nicht existierende Produkte an, verbreiten Malware oder versuchen, Geld und Anmeldedaten zu stehlen.

Phishing- und Smishing-Angriffe abwehren:
Seien Sie auf der Hut vor Phishing-E-Mails, die zu unsicheren Websites führen, um persönliche Daten wie Anmeldeinformationen und Kreditkartendaten zu stehlen. Seien Sie auch vorsichtig bei SMS-Phishing („Smishing“) und Nachrichten, die Sie über Soziale Medien bzw. Messenger erhalten!

Klicken Sie nicht auf Links:
Vermeiden Sie es, auf Links zu klicken, und geben Sie stattdessen die jeweilige Website-Adresse manuell in Ihren Browser ein, um auf beworbene Angebote zuzugreifen. Geben Sie Sonderangebotscodes während des Bestellvorgangs ein, um deren Legitimität zu überprüfen!

Überprüfung vor dem Kauf:
Betrügerische Werbung, gefälschte Websites bzw. mobile Apps können sehr überzeugend sein. Bevor Sie eine neue App herunterladen oder eine unbekannte Website besuchen, sollten Sie sich die Zeit nehmen, Online-Bewertungen zu lesen und nach Kundenbeschwerden zu suchen!

Proofpoint rät zur DMARC-Einführung, denn Google und Yahoo! Setzen 2024 Maßstäbe

Google und Yahoo! hätten vor Kurzem angekündigt, dass sie ab Februar 2024 eine E-Mail-Authentifizierung von solchen Absendern verlangen würden, die große Mengen an E-Mails verschicken. Dies sei ein wichtiger Schritt zur Verhinderung von Spam und Betrug.

„Konten, die täglich große Mengen an E-Mails versenden, werden neben anderen Maßnahmen auch das DMARC-Authentifizierungsprotokoll einsetzen müssen.“ Die Nichteinhaltung der Vorschriften werde dann die Zustellbarkeit legitimer Nachrichten an Kunden mit „Gmail“- und „Yahoo“-Konten erheblich beeinträchtigen.

Weitere Informationen zum Thema:

proofpoint, Craig Temple, 11.10.2023
Google und Yahoo! setzen kurze Frist für die Einhaltung der neuen DMARC-Anforderungen. Sind Sie bereit?

proofpoint
White Paper: Erste Schritte mit DMARC