Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsNach Phishing-Angriff: Framework bestätigt Abfluss von Kundendaten
Der für seine modularen Notebooks bekannte Hersteller Framework hat einige seiner Kunden per E-Mail über ein Datenleck informiert. Ein Phishing-Angriff auf einen für die Buchhaltung des Unternehmens zuständigen Dienstleister war demnach erfolgreich. Persönliche Daten einiger Kunden sind abgeflossen.
Kann man Leute schulen, um nicht so leicht auf Phishing rein zu fallen? Klar.
Ganz ausschließen können wird man das aber wohl nie, Faktor Mensch + immer bessere Phishing Mails. 🤷♂️
Auch als sehr versierter E-Mail-Empfänger gab es schon ein paar gute Phishing Mails in meinem Posteingang, wo ich dann doch fachkundig in den Quellcode geguckt habe, um Anhaltspunkte für nicht vorhandene Legitimität zu suchen (und die habe ich gefunden). Auch die erste Rechnung/Zahlungsaufforderung per PayPal, die ja wirklich über das PayPal System lief, musste ich kurz richtig einordnen
Kann man Leute schulen, um nicht so leicht auf Phishing rein zu fallen? Klar.
Ganz ausschließen können wird man das aber wohl nie, Faktor Mensch + immer bessere Phishing Mails. 🤷♂️
Nutze bisher 2 verschiedene E-Mails, meine persönliche E-Mail nutze ich nur bei hochpreisigen Käufen bei deutschen Online-Shops, da kam seit 10 Jahren nicht eine Art von Spam oder ähnliches. Die andere ist für Amazon, Youtube, Foren usw. und da sieht die Sache schon anders aus, jede Menge Müll zum aussortieren.
Man kann halt nicht wissen wer oder wie da schlampig mit den Daten umgeht aber man kann es zumindest etwas abschätzen.
Meiners Wissens nach ist eine Mitarbeiterschulung in solchen Fragen heute Voraussetzung für eine ISO 27k Zertifizierung eines unternehmens.
Aus eigener in-house Erfahrung weiß ich, dass es hierfür mittlerweile auch recht gute Tools/Plattformen gibt, die diese Schulungen bzw. Awareness Campaigns für dich übernehmen.
Wir müssen jedes Jahr die Schulung durchführen im Unternehmen und zwar alle Mitarbeiter. Wird auch kontrolliert. Ändert nichts daran, dass die Qualität in den letzten Jahren tatsächlich zugenommen hat. Gab wirklich einige verblüffend echt wirkende Mails.
Man sieht doch was überall für Leute teils arbeiten, da gibt es immer welche die kannste auch 10x Schulen und es hilft nichts, oft auch an mangel an interesse.
Nutze bisher 2 verschiedene E-Mails, meine persönliche E-Mail nutze ich nur bei hochpreisigen Käufen bei deutschen Online-Shops, da kam seit 10 Jahren nicht eine Art von Spam oder ähnliches. Die andere ist für Amazon, Youtube, Foren usw. und da sieht die Sache schon anders aus, jede Menge Müll zum aussortieren.
Da schmeißt du aber zwei Dinge sehr durcheinander. Das sind keine Privatadressen als Ziel hier. Betrieblich sind deine E-Mail-Adressen meist als Ansprechpartner frei im Netz zu sehen und werden gecrawled und landen dann in den Ziellisten der Spammer und Phisher dieser Welt. Das hat nichts damit zu tun, dass sich Mitarbeiter mit ihrer Dienstadresse auf unsauberen Shops/Portalen registrieren würden, so wie du privat die Erfahrung mit deinen getrennten Mail Adressen machst.
drago-museweni schrieb:
Man sieht doch was überall für Leute teils arbeiten, da gibt es immer welche die kannste auch 10x Schulen und es hilft nichts, oft auch an mangel an interesse.
Das trifft es auf den Punkt. Verdrossenheit, Überforderung... alles häufig durch Desinteresse am logisch und strukturiert funktionierenden aber in der Vorstellung magisch unergründlichem Ding namens Computer und IT. 🤷♂️ Meiner Erfahrung nach sind das Leute, die im Arbeitsalltag oder auch allgemein selten einem "Warum?" nach gehen und erst recht nicht davon angetrieben sind.
Man sieht doch was überall für Leute teils arbeiten, da gibt es immer welche die kannste auch 10x Schulen und es hilft nichts, oft auch an mangel an interesse.
Zumal das Problem ist halt: Was man nicht anwendet, das vergisst man.
Wenn man kritischen Umgang mit E-Mails nicht verinnerlicht, hilft auch keine weitere Frontalschulung.
Die andere Frage ist halt: Selbst wenn es zu Phishing kommt und man drauf hereinfällt, muss das doch nicht zwangsweise zu einem Datenleck führen.
Ist halt in etwa wie wenn man sagt: Zum Autodiebstahl kam es, weil das Auto nicht abgeschlossen war.
Jaja NACHHER wird viel versprochen und dann aber ebenso schnell vergessen. Die Daten sind dennoch futsch. Ein Grund weshalb ich bei uns gerade das Thema der Pseudonymisierung von personenbezogenen Daten und damit dem Thema DSGVO vorantreibe - BEVOR wir solche Daten online halten und verarbeiten. Mir ist es schleierhaft, dass Unternehmen damit ungeschoren davonkommen. Würde mich mal interessieren was da so die Strafen sind für Nichteinhaltung! Strafen die am Ende wirklich gezahlt werden mussten.
Einfach nur traurig wie mit Daten umgegangen wird. Aber in der Gesellschaft im Gros auch nicht als wirkliches Problem erkannt, die meisten wollen einfach nicht verstehen, dass es existenzzerstörende Folgen haben kann! Na ja … jedem wie er will und meint 🙂
Es gibt (u.a.) bei Microsoft 365 die Funktion, dass Emails von extern grundsätzlich mit einem Banner/Hinweis versehen wird, dass die E-Mail von einem externen Absender stammt, somit wäre eine angebliche Mail vom Chef aufgefallen. -> Damit müsste sowas auffallen.
Um mal vom allgemeinen Teil in spezifisch diesen Fall überzugehen:
Das ist so wie es für mich aussieht ein wirklich vorbildlicher Fall von Phishing!
Und zwar auf beiden Seiten.
Die Phisher scheinen mit den richtigen Mitteln genau das richtige Ziel (Dienstleister statt der anvisierten Firma selbst) angegriffen zu haben.
Und Framework scheint exakt richtig reagiert zu haben, eine Information der betroffenen Kunden noch am Tag an dem sie selbst von dem Angriff erfahren haben, eine detaillierte Erläuterung was wie passiert ist und wie sie darauf reagieren und natürlich noch ein Hinweis an Betroffene, welche Maßnahmen sie selbst jetzt treffen sollten, also z.B. eingehende Mails von "Framework" auf Echtheit prüfen.
Natürlich eine blöde Situation, aber ein sehr guter Umgang damit!
Da schmeißt du aber zwei Dinge sehr durcheinander. Das sind keine Privatadressen als Ziel hier. Betrieblich sind deine E-Mail-Adressen meist als Ansprechpartner frei im Netz zu sehen und werden gecrawled und landen dann in den Ziellisten der Spammer und Phisher dieser Welt. Das hat nichts damit zu tun, dass sich Mitarbeiter mit ihrer Dienstadresse auf unsauberen Shops/Portalen registrieren würden, so wie du privat die Erfahrung mit deinen getrennten Mail Adressen machst.
Was ich damit meine ist dass ich genau selektiere wo und wie ich mich registriere mit meiner E-Mail. Selbst wenn meine E-Mail da in irgendwelchen Listen auftaucht wäre das irrelevant weil ich genau weiß dass die 10 Händler, bei denen ich seit Jahren hohe Beträge ausgebe, mir nie so einen Müll schicken würden. Selbst wenn es eine Unstimmigkeit geben würde, wäre das Problem in 5 Minuten persönlich geklärt.
Das war nur eine genannte Variante wie man sich vor dem Müll schützen kann, indem man den Überblick behält.
Ah ok, ich hatte den Satz dann hier wohl missverstanden und gedacht du hättest den auf die Framework Mitarbeiter bezogen, sie würden nicht ordentlich mit ihren Mail Adresse umgehen 😅 👇 Aber scheinbar meintest du eher die Shops, bei denen man sich registriert.
DerMond schrieb:
Man kann halt nicht wissen wer oder wie da schlampig mit den Daten umgeht aber man kann es zumindest etwas abschätzen.
Es gab doch erst vor "kurzem" eine sicherheitslücke von Postifx CVE-2023-51764 welches angreifern ermöglicht völlig "legitim" im namen von betroffenen Unternehmen zu schreiben. Kann also sein das der vermeintliche Chef was per E-Mail haben wollte und der Mitarbeiter sich dabei nichts gedacht hatte weil die E-Mail "legitim" war.
100% Sicher ist man nie, musste auch erst mal sehr genau schauen bei einer Mail ob sie echt war.
Wobei ich sagen muss, dass das Phishing hier in der Form zumindest irgendwie "glaubwürdig" ist und es halt nicht einfach "Bitte lade den PDF-Anhang runter, der in Wahrheit eine EXE-Datei ist".
Nicht jedes Unternehmen möchte sich nach 27k Zertifizieren und macht auch nicht immer Sinn, aber eine Mitarbeiterschulung für alle Mitarbeiter in Bezug auf Informationssicherheit finde ich überall als sinnvoll. Finde es gerade etwas merkwürdig, dass dieser Dienstleister erst nach einem Incident damit anfängt - ein Dienstleister der mit Finanzdaten arbeitet!
aikatv schrieb:
Es gab doch erst vor "kurzem" eine sicherheitslücke von Postifx CVE-2023-51764 welches angreifern ermöglicht völlig "legitim" im namen von betroffenen Unternehmen zu schreiben.
SMTP Smuggling meinst du vermutlich. Halte ich in der Praxis für nicht so relevant, da doch einige Voraussetzungen erfüllt sein müssen aber ja, man kann nie sicher sein, dass der Absender korrekt ist (wie bei einem postalisch zugestellten Brief, da kann man auch als Absender draufschreiben was man möchte), ausser die Leute würden endlich mehr auf Signaturen setzen.
YouTube
An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.
Es gibt (u.a.) bei Microsoft 365 die Funktion, dass Emails von extern grundsätzlich mit einem Banner/Hinweis versehen wird, dass die E-Mail von einem externen Absender stammt, somit wäre eine angebliche Mail vom Chef aufgefallen. -> Damit müsste sowas auffallen.
In diesem Fall war die E-Mail ja von extern. Absender: "Chef" von Framework -> Empfänger: Consulting-Unternehmen.
Zum schnellen erkennen von gefaketen internen E-Mails ist das Banner aber ganz vernünftig.
Matutin schrieb:
Aus eigener in-house Erfahrung weiß ich, dass es hierfür mittlerweile auch recht gute Tools/Plattformen gibt, die diese Schulungen bzw. Awareness Campaigns für dich übernehmen.
+1
Wurde bei uns gemacht, war sinnvoll. Hat mich selber auch fast erwischt, weil der gefakete Absender wirklich 1 zu 1 gleich kommunziert hat, wie ich es sonst kenne (Ansprache, Satzstellung - Beispielmails wurden von unserer IT ans Unternehmen gegeben). Bin nur stutzig geworden weil die externe Signatur genutzt wurde und habe dann erst im Absender den Buchstabendreher gesehen...
Ich denke, es könnte viel Leid in der Welt verhindert werden, wenn endlich verschlüsselte und signierte Mails zum Standard werden.
Dass PGP und Co. für den normalen Nutzer recht kompliziert ist, sollte dabei kein Problem darstellen.
Es sollte mMn als Standard von den Größen der Branche forciert werden und dabei eine daufähige Lösung erstellt werden.
Funktioniert bei der passwortverwaltung von Apple ja auch.
