Alle 14 Tage aktuelle News aus der IT-Szene   >   
Barracuda warnt vor neuer Generation von QR-Code-Phishing-Angriffen 15. 10. 2024
Laut einer aktuellen Analyse von Barracuda Networks setzen Cyberkriminelle vermehrt auf ausgeklügelte QR-Code-Phishing-Angriffe. Neue Techniken erschweren die Erkennung durch gängige Sicherheitslösungen und fordern Unternehmen heraus, ihre Verteidigungsstrategien zu überdenken.
Climb Channel Solutions startet in der DACH-Region mit Fokus auf KI-Enablement 14. 10. 2024
Der internationale IT-Distributor Climb Channel Solutions hat seine Expansion in den deutschsprachigen Raum bekanntgegeben. Mit einem speziellen Value-Add-Konzept, das auf Künstliche Intelligenz ausgerichtet ist, und der Leitung durch den erfahrenen Distributions-Manager Martin Bichler, wird das Unternehmen künftig von München aus operieren. Teil der Strategie ist die neue „Climb AI Academy“, die IT-Partner in der DACH-Region beim Einstieg in den KI-Markt unterstützen soll.
Erweiterte Funktionen und Dashboards vereinfachen die Arbeit von IT-Administratoren 14. 10. 2024
Der IT-Sicherheitsanbieter ESET hat eine neue Version seiner Lösung „ESET Vulnerability and Patch Management“ vorgestellt. Die aktualisierte Version bietet Unternehmen erweiterte Funktionen zur Identifikation und Behebung von Sicherheitslücken in Betriebssystemen und Anwendungen. Mit zusätzlichen Dashboards und Unterstützung für macOS und Linux können Administratoren Schwachstellen effizient verwalten und notwendige Patches automatisch oder manuell installieren.
Zühlke und UNIQA gewinnen Microsoft Visionary Award für innovativen KI-Chatbot 11. 10. 2024
Zühlke Österreich und die UNIQA Versicherung wurden mit dem prestigeträchtigen „Microsoft Visionary Award“ ausgezeichnet. Der gemeinsam entwickelte KI-Chatbot, der Vertriebsmitarbeitende bei Anfragen zu Tarifen und Versicherungsleistungen unterstützt, hat die Jury mit seiner zielgerichteten Anwendung, Co-Creation-Prozess und den positiven Ergebnissen überzeugt. In der Pilotphase zeigte der Chatbot messbaren Nutzen und hohe Akzeptanz bei den Nutzer.
Talkdesk baut DACH-Präsenz aus 10. 10. 2024
Mit seiner KI-gestützten Plattform fokussiert Talkdesk den deutschsprachigen CX-Markt.
Check Point entdeckt massive Welle von Phishing-Mails und Scam-Seiten 09. 10. 2024
Diese Tage sind wieder die Amazon Prime Days. In diesem Zusammenhang haben Sicherheitsforscher von Check Point über 1000 verdächtige Domains und mehr als 100 Phishing-E-Mails ausgemacht, die explizit auf Amazon-Kunden abzielen.
Bacher Systems und Swiss Post Cybersecurity kooperieren für mehr Sicherheit 09. 10. 2024
Bacher Systems und Swiss Post Cybersecurity AG arbeiten künftig zusammen, um österreichische Unternehmen im Bereich Cybersecurity noch besser zu schützen.
Gefälschte Microsoft-E-Mails nehmen zu: Check Point warnt vor wachsender Phishing-Gefahr 08. 10. 2024
In einem aktuellen Bericht warnt Check Point Software Technologies vor einer massiven Zunahme von Phishing-E-Mails, die sich als offizielle Microsoft-Benachrichtigungen tarnen. Im letzten Monat wurden mehr als 5000 gefälschte Microsoft-E-Mails entdeckt, die gezielt Unternehmen ins Visier nehmen. Diese E-Mails geben sich als offizielle Benachrichtigungen aus und sind so täuschend echt gestaltet, dass sie selbst erfahrene Nutzer in die Irre führen können. Die Angriffe zielen darauf ab, vertrauliche Daten wie Zugangsdaten und Passwörter zu stehlen und potenziell schwerwiegende Folgen wie Ransomware-Infektionen oder die Übernahme von E-Mail-Konten nach sich zu ziehen.
VINCI Energies übernimmt Innsbrucker IT-Sicherheitsunternehmen Strong-IT 04. 10. 2024
VINCI Energies erweitert sein Angebot im Bereich Cybersicherheit durch die Übernahme der Strong-IT GmbH in Innsbruck. Die Expertise des Unternehmens fließt in die ICT-Marke Axians ein, wodurch der Schwerpunkt auf IT-Sicherheitsservices weiter gestärkt wird.
Canva eröffnet neue Integrationsmöglichkeiten für Unternehmen 04. 10. 2024
Auf der Canva Extend-Konferenz 2024 kündigte Canva neue APIs und erweiterte Integrationsmöglichkeiten an, die Unternehmen und Entwicklern helfen, Arbeitsabläufe zu optimieren und Apps in bestehende Systeme zu integrieren. Damit positioniert sich Canva stärker als Plattform für die visuelle Kommunikation im Unternehmensumfeld.
SPAR eröffnet modernen IT-Hub in Wien am Austria Campus 01. 10. 2024
Mit der Eröffnung eines neuen 1.200 Quadratmeter großen IT-Hubs am Austria Campus in Wien setzt SPAR ICS, die IT-Einheit der SPAR Österreich-Gruppe, ein weiteres Zeichen in Richtung digitaler Innovation. 77 IT-Spezialist arbeiten hier an Lösungen für die digitale Transformation des Handels. Der Standort bietet modernste Arbeitsbedingungen, flexible Büroflächen und umfassende Services, um die besten Talente anzuziehen und die Digitalisierung der Geschäftsprozesse in Österreich und darüber hinaus voranzutreiben.
Zukunftstechnologien im Fokus 19. 09. 2024
Beim Lenovo Workstation Expert Partner Camp in Zell am See drehte sich kürzlich alles um das Megathema Künstliche Intelligenz.
Zunehmender Missbrauch von Generativer KI bedroht Unternehmenssicherheit 17. 09. 2024
Cyberkriminelle setzen verstärkt auf generative KI-Technologien, um Unternehmen anzugreifen. Durch die Entwicklung und den Einsatz von Large Language Models (LLMs) und Deepfake-Technologien schaffen sie innovative Tools, die Sicherheitsmaßnahmen umgehen und Unternehmen erheblichen Schaden zufügen können. Eine aktuelle Studie von Trend Micro warnt vor dem wachsenden Missbrauch dieser Technologien und der damit verbundenen Risiken.
Neue Kooperation zwischen Oracle und AWS erweitert Cloud-Angebote für Unternehmensdatenbanken 10. 09. 2024
Oracle und Amazon Web Services (AWS) haben eine strategische Partnerschaft angekündigt, die es Unternehmen ermöglicht, die Oracle Autonomous Database und Oracle Exadata Database Service direkt in AWS zu nutzen. Dies vereinfacht die Migration und den Betrieb von Unternehmens-Workloads in die Cloud und bietet erhöhte Flexibilität und Agilität.
9 von 10 Ransomware Angriffe in der DACH Region betreffen ERP-Systeme 03. 09. 2024
Eine neue Studie von Onapsis enthüllt einen klaren Trend bei Cyber Angriffen: 88 % der DACH-Unternehmen, die Opfer eines Ransomware-Angriffs wurden, berichten von direkten Angriffen auf ihre ERP-Systeme, was schwerwiegende Ausfallzeiten und immense finanzielle Verluste zur Folge hatte.
CIS lädt zum Compliance Summit 2024 02. 09. 2024
Am 10. Oktober 2024 veranstaltet die CIS Certification & Information Security Services GmbH den Compliance Summit im Austria Trend Hotel Savoyen in Wien. Unter dem Titel „Navigieren im Cybersecurity-Meer“ stehen aktuelle Entwicklungen in der Informations- und Cybersicherheit im Mittelpunkt, darunter der Artificial Intelligence Act und der Digital Operational Resilience Act.
gbo datacomp lädt zu „We move it“ zur Digitalisierung in der Produktion ein 30. 08. 2024
Die gbo datacomp GmbH, ein führender Anbieter von MES-Lösungen (Manufacturing Execution Systems), bietet mit „We move it“ am 25. September 2024 im Hotel Sacher in Wien eine Plattform zum intensiven Austausch für Fach- und Führungskräfte in der Produktion. Im Zentrum dabei: Digitalisierte Produktion als effektive Antwort auf den Fachkräftemangel.
Android-Malware NGate: Kriminelle stehlen Geld per Smartphone am Geldautomaten 26. 08. 2024
Eine neue, von ESET entdeckte Android-Malware ermöglicht es Kriminellen, Geld von Bankautomaten zu stehlen, indem sie die NFC-Daten von Bankkarten über die Smartphones ihrer Opfer abfangen. Besonders alarmierend ist, dass diese Technik erstmals ohne das Rooten des Geräts funktioniert, was die Bedrohung noch gefährlicher macht.
weiter
Cybercrime

Verborgene Eindringlinge im E-Mail-Postfach

Gastbeitrag: Wie Angreifer Posteingangsregeln missbrauchen und wie sich Unternehmen dagegen schützen, erklärt Klaus Gheri von Barracuda Networks.

Foto: Alexander Müller Der Autor Klaus Gheri ist Vice President & General Manager Network Security bei Barracuda Networks Automatisierte Regeln für den E-Mail-Posteingang sind eine nützliche und vertraute Funktion der meisten E-Mail-Programme. Sie helfen bei der Verwaltung des Posteingangs und der täglichen Flut an erwünschten und unerwünschten Nachrichten, indem sie es ermöglichen, E-Mails in bestimmte Ordner zu verschieben, sie bei Abwesenheit an Kollegen weiterzuleiten oder sie automatisch zu löschen. Haben Angreifer jedoch ein Konto kompromittiert, können sie Posteingangsregeln missbrauchen, um weitere Angriffe zu tarnen, indem sie zum Beispiel Informationen mittels Weiterleitung unbemerkt aus dem Netzwerk schleusen, sicherstellen, dass das Opfer keine Sicherheitswarnungen sieht, und bestimmte Nachrichten löschen.

Auch wenn die E-Mail-Security sich weiterentwickelt und der Einsatz von maschinellem Lernen es einfacher gemacht hat, verdächtige Posteingangsregel-Erstellungen zu erkennen, setzen Angreifer diese Technik weiterhin erfolgreich ein. Da hierfür ein kompromittiertes Konto erforderlich ist, sind die Gesamtzahlen dieser Bedrohung vermutlich niedrig, dennoch stellt sie eine ernsthafte Bedrohung für die Integrität der Daten und Vermögenswerte eines Unternehmens dar – nicht zuletzt, weil die Regel-Erstellung durch einen Angreifer eine Technik ist, die nach der Kompromittierung erfolgt, was bedeutet, dass er sich bereits im Netzwerk befindet und sofortige Gegenmaßnahmen erforderlich sind.

Im Folgenden wird beleuchtet, wie Angreifer automatisierte E-Mail-Regeln missbrauchen und wie sich Unternehmen effektiv schützen können.

E-Mail ist ein primärer Angriffsvektor

E-Mail-basierte Angriffe haben eine hohe Erfolgsquote und sind ein gängiger Einstiegspunkt für viele weitere Cyberangriffe. Eine Untersuchung von Barracuda ergab, dass 75 Prozent der weltweit befragten Unternehmen im Jahr 2022 mindestens eine Sicherheitsverletzung per E-Mail verzeichnet haben. Diese Angriffe reichen von einfachen Phishing-Angriffen und bösartigen Links oder Anhängen bis hin zu ausgefeilten Social-Engineering-Techniken wie Business Email Compromise (BEC), Conversation Hijacking und Account Takeover. Einige der fortschrittlichsten Arten sind mit bösartigen E-Mail-Regeln verbunden.

Wie Angreifer automatisierte E-Mail-Regeln erstellen

Um bösartige E-Mail-Regeln zu erstellen, müssen die Angreifer ein Zielkonto kompromittiert haben, zum Beispiel durch eine erfolgreiche Phishing-E-Mail oder mittels gestohlener Anmeldedaten, die bei einem früheren Einbruch erbeutet wurden. Sobald der Angreifer die Kontrolle über das E-Mail-Konto des Opfers erlangt hat, kann er eine oder mehrere automatisierte E-Mail-Regeln einrichten.

E-Mail-Regeln für Informationsdiebstahl und Tarnung

Angreifer können eine Regel einrichten, um alle E-Mails mit sensiblen und potenziell lukrativen Schlüsselwörtern wie „Zahlung“, „Rechnung“ oder „vertraulich“ an eine externe Adresse weiterzuleiten. Weiterhin können sie auch E-Mail-Regeln missbrauchen, um bestimmte eingehende E-Mails zu verbergen, indem sie diese Nachrichten in selten genutzte Ordner verschieben, E-Mails als gelesen markieren oder einfach löschen. Beispielsweise, um Sicherheitswarnungen, Command-and-Control-Mitteilungen oder Antworten auf interne Spear-Phishing-E-Mails, die von dem kompromittierten Konto aus gesendet werden, zu verbergen oder um ihre Spuren vor dem Kontobesitzer zu verwischen, der das Konto wahrscheinlich zur gleichen Zeit benutzt, ohne von den Eindringlingen zu wissen. Darüber hinaus können Angreifer auch E-Mail-Weiterleitungsregeln missbrauchen, um die Aktivitäten eines Opfers zu überwachen und Informationen über das Opfer oder die Organisation des Opfers zu sammeln, um sie für weitere Angriffe oder Operationen zu nutzen.

Verwendung von E-Mail-Regeln für BEC-Angriffe

Bei BEC-Angriffen (Business Email Compromise) versuchen Cyberkriminelle ihre Opfer davon zu überzeugen, dass eine E-Mail von einem legitimen Benutzer stammt, um das Unternehmen und seine Mitarbeiter, Kunden oder Partner zu betrügen. Angreifer können beispielsweise eine Regel einrichten, die alle eingehenden E-Mails eines bestimmten Mitarbeiters oder Vorgesetzten wie zum Beispiel dem Chief Finance Officer (CFO) löscht. Auf diese Weise können Kriminelle sich selbst als CFO ausgeben und Mitarbeitern gefälschte E-Mails schicken, um sie davon zu überzeugen, Unternehmensgelder auf ein von den Angreifern kontrolliertes Bankkonto zu überweisen.

Im November 2020 veröffentlichte das FBI eine Meldung darüber, wie Cyberkriminelle die fehlende Synchronisierung und Sicherheitstransparenz zwischen webbasierten und Desktop-E-Mail-Clients ausnutzen, um Regeln für die E-Mail-Weiterleitung festzulegen und so die Wahrscheinlichkeit eines erfolgreichen BEC-Angriffs zu erhöhen.

Einsatz von E-Mail-Regeln bei gezielten nationalstaatlichen Angriffen

Bösartige E-Mail-Regeln werden auch bei gezielten nationalstaatlichen Angriffen eingesetzt. Im MITRE ATT&CK® Framework of Adversary Tactics and Techniques werden drei APTs (Advanced Persistent Threat Groups) genannt, die die Technik des bösartigen Weiterleitens von E-Mails (T1114.003) einsetzen. Dabei handelt es sich um Kimsuky, eine nationalstaatliche Cyberspionage-Bedrohungsgruppe, LAPSUS$, die für ihre Erpressungs- und Störungsangriffe bekannt ist, und Silent Librarian, eine weitere nationalstaatliche Gruppe, die mit dem Diebstahl von geistigem Eigentum und Forschung in Verbindung gebracht wird.

MITRE stuft E-Mail-Versteckregeln (T1564.008) als eine Technik ein, die zur Umgehung der Sicherheitsverteidigung eingesetzt wird.  Eine APT, von der bekannt ist, dass sie diese Technik einsetzt, ist FIN4, ein finanziell motivierter Bedrohungsakteur, der in den Konten der Opfer Regeln erstellt, um automatisch E-Mails zu löschen, die Wörter wie „gehackt", „Phish“ und „Malware“ enthalten, wahrscheinlich um das IT-Team des Opfers daran zu hindern, Mitarbeiter und andere Personen über ihre Aktivitäten zu informieren.

Sicherheitsmaßnahmen, die allein nicht funktionieren

Wenn eine bösartige Regel nicht entdeckt wird, bleibt sie auch dann in Kraft, wenn das Kennwort des Opfers geändert, eine mehrstufige Authentifizierung aktiviert, andere strenge Richtlinien für den bedingten Zugriff eingeführt oder der Computer komplett neu aufbaut wird. Solange die Regel in Kraft bleibt, bleibt sie auch wirksam.

Auch wenn verdächtige E-Mail-Regeln ein gutes Indiz für einen Angriff sein können, ist die isolierte Betrachtung dieser Regeln kein ausreichendes Signal dafür, dass ein Konto kompromittiert wurde. Abwehrmaßnahmen müssen deshalb mehrere Signale nutzen, um irrelevante Informationen zu reduzieren und das Sicherheitsteam auf einen wahrscheinlich erfolgreichen E-Mail-Angriff aufmerksam zu machen. Die dynamische und sich weiterentwickelnde Natur von Cyberangriffen, einschließlich der Verwendung ausgefeilter Taktiken durch Angreifer, erfordert einen vielschichtigen Ansatz zur Erkennung und Abwehr.

Wirksame Abwehrmaßnahmen

Da die Erstellung von Posteingangsregeln eine Technik ist, die erst nach der Kompromittierung zum Einsatz kommt, besteht der wirksamste Schutz in der Prävention, also darin, Angreifer daran zu hindern, das Konto überhaupt zu kapern. Unternehmen benötigen jedoch auch wirksame Maßnahmen zur Erkennung und Reaktion auf Vorfälle, um angegriffene Konten zu identifizieren und die Auswirkungen dieser Angriffe zu mindern.

Dazu gehört die vollständige Transparenz aller Aktionen, die im Posteingang eines jeden Mitarbeiters durchgeführt und welche Regeln erstellt werden, was geändert oder worauf zugegriffen wurde, der Anmeldeverlauf des Benutzers, die Zeit, der Ort und der Kontext der gesendeten E-Mails und vieles mehr.

Fortschrittliche KI-basierte E-Mail-Security-Lösungen nutzen diese Daten, um ein intelligentes Kontoprofil für jeden Benutzer zu erstellen, und markieren sofort jede noch so kleine Anomalie. Eine Schutzfunktion gegen Identitätsdiebstahl nutzt zudem mehrere Signale wie Anmeldedaten, E-Mail-Daten und statistische Modelle zusammen mit Regeln, um einen Account-Takeover-Angriff zu erkennen.

Schließlich können erweiterte Erkennungs- und Reaktionsmaßnahmen (Extended Detection and Response, XDR) und eine 24/7-Überwachung durch ein Security Operations Center (SOC), dazu beitragen, dass selbst tief verborgene und verschleierte Aktivitäten erkannt und neutralisiert werden. Der Missbrauch von Posteingangsregeln gehört zu einer der perfidesten Taktiken von Cyberkriminellen. Mit den obengenannten Maßnahmen können sich Unternehmen jedoch adäquat gegen diese Bedrohung verteidigen, um ihre sensiblen Daten und Assets zu schützen.

it&t business medien eU
Tel.: +43/1/369 80 67-0
office@ittbusiness.at