26.09.2023 - Ein zentrales Element jedes Unternehmens ist die Kundenkommunikation. Denn wie das Sprichwort sagt: «Der Kunde ist König». Daher sind Unternehmen bestrebt, alle Wünsche der Kunden zu erfüllen. Dieser Vorsatz wird regelmässig auch von Hackern ausgenutzt. Ein besonders ausgeklügelter Fall wurde dem NCSC letzte Woche gemeldet. Daher sollte sich jedes Unternehmen überlegen, welche Unternehmensdaten es auf seiner Website veröffentlicht, da diese nicht nur für Betrug, sondern auch für Phishing missbraucht werden können.
Hochzeitsplaner im Visier von Phishing
Im vorliegenden Fall, der dem NCSC letzte Woche gemeldet worden ist, hat alles mit einer ganz normalen Anfrage bei einem Hochzeitsplaner angefangen. Das im Ausland wohnhafte Brautpaar wollte den schönsten Tag seines Lebens an einem der schönsten Orte der Schweiz verbringen. Das vermeintliche Brautpaar lobte die vom Hochzeitsplaner angebotenen Leistungen, um einerseits eine positive Stimmung zu erzeugen, andererseits aber auch den Eindruck zu erwecken, man habe Zeit in das Studium der Website investiert und sei nicht nur zufällig auf der Website gelandet. Als geplanter Hochzeitstermin wurde ein Datum Ende 2024 genannt. Der Termin lag so weit in der Zukunft, dass einerseits die Wahrscheinlichkeit gross war, dass der Hochzeitsplaner noch nicht anderweitig gebunden war und andererseits der Terminvorschlag noch realistisch erschien. Das vermeintliche Brautpaar erzählte ebenfalls von einer Gästeschar, die mit ihnen den besonderen Tag feiern sollten. Diese Anfrage mit all den Detailangaben erschien verlockend, so dass das potentielle Opfer den vermeintlichen Auftrag annahm.
Nach einer ersten positiven Rückmeldung der Event-Agentur wollte das Brautpaar die weiteren Schritte auf Zoom besprechen und so weiter Vertrauen aufbauen. In der entsprechenden E-Mail wurde allerdings auch darauf hingewiesen, dass alle weiteren Informationen zu Budget und Plänen im angehängten Dokument zu finden seien. Das Dokument war jedoch nicht angehängt, sondern musste über einen Link, der auf ein Dokument auf «One Drive» verwies, aufgerufen werden.
Solche Anfragen sind nach allen Künsten des Social Engineerings aufgebaut und sind daher sehr schwierig als betrügerisch zu erkennen. Aber spätestens beim Herunterladen des Dokumentes ist Vorsicht geboten. So führt der Link nicht direkt zum Dokument, sondern zu einer Phishing-Seite auf der man zuerst aufgefordert wird, seine E-Mail-Kontodaten anzugeben. Mit diesen Login-Daten hat man beispielsweise Zugriff auf die gesamte E-Mail-Kommunikation der Firma mit den Kunden.
Der hohe Aufwand, den die Betrüger betrieben, zeigt auf, wie interessant Zugangsdaten zu Firmenkonten geworden sind. Denn diese Daten können für weitere Betrügereien genutzt werden, etwa für den Versand manipulierter Rechnungen mit betrügerischen IBANs oder für die gezielte Verbreitung von Schadsoftware.
Wenn sich die Betrüger auf der Firmen-Website bedienen
In einem zweiten Fall wurde gezielt versucht, Mitarbeiterinnen und Mitarbeiter eines Unternehmens dazu zu verleiten, ein Dokument herunterzuladen. Auch hier handelte es sich um einen angeblichen Kundenauftrag. Die E-Mail stammte in diesem Fall jedoch nicht von einem Kunden selbst, sondern wurde vom Leiter der Logistik an verschiedene Mitarbeiter weitergeleitet. In der E-Mail war neben dem Namen, dem Vornamen und der Funktion auch die korrekte Telefonnummer des Logistikverantwortlichen angegeben. Die Absender-E-Mail-Adresse und somit die gesamte E-Mail war jedoch gefälscht. Um den angeblichen Download des Dokumentes zu starten, sollten auch hier die Empfänger ihre E-Mail-Zugangsdaten auf einer Phishing-Seite angeben.
Nachdem das NCSC in diesem Fall zunächst von einem gehackten Firmenkonto ausging, wurde in einem zweiten Schritt klar, dass die Informationen von der Website stammen mussten. Auf der betreffenden Webseite waren alle Daten inklusive Namen, Funktionen, E-Mail-Adresse und sogar Telefonnummern aufgeführt.
Viele Firmen stellen solche Informationen auf ihre Team-Webseite. Bislang wurden solche Informationen vor allem für CEO-Betrug verwendet. Wie die aktuellen Beispiele zeigen, können solche Informationen auch für gezielte Phishing-Angriffe verwendet werden.
In beiden Fällen konnten die aufmerksamen Mitarbeitenden Schlimmeres verhindern. Dies zeigt, wie wichtig die Sensibilisierung der Mitarbeitenden für die Cybersicherheit eines Unternehmens ist.
- Geben Sie nie persönliche Daten wie Login-Daten, Passwörter oder Kreditkartendaten auf einer Webseite ein, die Sie über einen Link in einer E-Mail oder SMS angeklickt haben;
- Überlegen Sie sich, welche Informationen Sie über die Firma und Ihre Mitarbeitenden auf der Firmen-Website publizieren;
- Sensibilisieren Sie Ihre Mitarbeitenden regelmässig zu Cyberbedrohungen.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 26.09.2023