Certified Security Operations Center GmbH

23. Oktober 2024

Vorsicht: Neue Phishing-Welle in Deutschland – Erhöhte Wachsamkeit erforderlich!

Aktuell beobachten wir eine deutliche Zunahme von Phishing-Angriffen bei unseren Kunden. Diese Cyberangriffe zielen darauf ab, Nutzer durch gefälschte E-Mails zur Preisgabe sensibler Informationen oder zum Öffnen schädlicher Links zu verleiten. Wir bitten Sie daher um erhöhte Wachsamkeit im Umgang mit eingehenden E-Mails und geben Ihnen wichtige Maßnahmen an die Hand, wie Sie sich und Ihr Unternehmen schützen können.

Ein kürzlich gemeldeter Vorfall bei einem unserer Kunden zeigt, wie raffiniert Phishing-Angriffe derzeit durchgeführt werden. Der Angreifer nutzte die E-Mail-Adresse eines kompromittierten Partnerunternehmens, um eine scheinbar legitime Nachricht mit einem schädlichen Link zu versenden. Diese E-Mail enthielt den Betreff „Angebot 17.09.2024“ und wirkte vertrauenswürdig. Ein Klick auf den bösartigen Link führte jedoch zu einer Umleitung auf ein harmloses Video, was als Ablenkung für möglicherweise weitergehende schädliche Aktivitäten diente, die aufgrund der durchgeführten Sofortmaßnahmen rechtzeitig eingedämmt werden konnten.

Technische Details des Vorfalls

  • IP-Adressen und Domains: Die Kommunikation von Geräten zu verdächtigen URLs wurde festgestellt. Diese gehörten zu einem russischen Provider, und es wurde empfohlen, diese Adressen in den Netzwerken zu sperren.
  • Zugriff auf bösartige Domains: Verbindungen von einer internen IP-Adresse des Kunden zu den Domains wurden registriert. Um eine weitergehende Kompromittierung zu verhindern, wurden die betroffenen Systeme sofort isoliert und die Passwörter der betroffenen Benutzer geändert. Die IP-Adresse des Angreifers 40.107.21.99, die als Absender im Mailserver aufgeführt war, wurde gesperrt, um weitere Phishing-Versuche zu verhindern. Bei der Analyse dieser Domain stellte sich heraus, dass sie erst an diesem Tag registriert wurde. Ein Aufruf über eine Sandbox-Umgebung führte zu einer Umleitung auf ein Rickroll-Video. Diese Art der Umleitung könnte darauf hindeuten, dass der Angreifer versucht, die Aufmerksamkeit von bösartigen Aktivitäten abzulenken oder die Nutzer zu verwirren, indem er sie auf ein harmloses, aber unerwartetes Ziel lenkt.

Sofortige Maßnahmen für alle Nutzer

Um die Gefahr durch Phishing zu reduzieren, bitten wir Sie, die folgenden sofortigen Schutzmaßnahmen zu beachten:

  • Seien Sie besonders wachsam bei unerwarteten E-Mails: Öffnen Sie keine E-Mails oder Anhänge, die Sie nicht erwartet haben, selbst wenn sie von scheinbar bekannten Absendern stammen. Überprüfen Sie den Absender und den Inhalt der Nachricht sorgfältig.
  • Verifizieren Sie Links vor dem Anklicken: Bewegen Sie den Mauszeiger über Links, um die tatsächliche URL zu sehen, bevor Sie darauf klicken. Achten Sie darauf, ob die Adresse verdächtig oder unbekannt aussieht (z. B. ungewöhnliche Domain-Endungen oder Tippfehler).
  • Berichten Sie verdächtige E-Mails sofort: Leiten Sie verdächtige E-Mails direkt an Ihre IT-Abteilung weiter, ohne Anhänge zu öffnen oder Links anzuklicken. Ihre IT-Sicherheitsverantwortlichen können die E-Mail sicher überprüfen und notwendige Schritte einleiten.
  • Sicherstellen, dass Ihre Systeme auf dem neuesten Stand sind: Halten Sie Ihre Betriebssysteme, Browser und Sicherheitssoftware stets auf dem aktuellsten Stand, um gegen bekannte Sicherheitslücken geschützt zu sein.
  • Zwei-Faktor-Authentifizierung (2FA) aktivieren: Aktivieren Sie, wenn noch nicht geschehen, 2FA für alle wichtigen Konten, um Ihre Zugangsdaten zusätzlich zu sichern.
  • Passwörter regelmäßig ändern: Nutzen Sie starke, einzigartige Passwörter für alle Konten und ändern Sie diese regelmäßig. Verwenden Sie keinen einfachen oder mehrfach genutzten Passwortsatz.

Verhalten beim Feststellen verdächtiger Aktivitäten

Wenn Sie den Verdacht haben, auf eine Phishing-E-Mail hereingefallen zu sein oder ungewöhnliche Aktivitäten feststellen:

  • Trennen Sie das betroffene Gerät sofort vom Netzwerk.
  • Informieren Sie unverzüglich Ihre IT-Abteilung oder Ihr IT-Sicherheitsteam.
  • Ändern Sie alle relevanten Passwörter.
  • Halten Sie nach Hinweisen auf Datenverlust oder kompromittierte Systeme Ausschau und lassen Sie diese gründlich überprüfen.

Handlungsempfehlungen für Unternehmen im Falle eins Vorfalls:

  • Sperrung der bösartigen Domains und IP-Adressen: Blockieren Sie umgehend alle bekannten Phishing-Domains und -IPs, um weitere Infektionen zu verhindern.
  • Netzwerktrennung betroffener Systeme: Alle potenziell kompromittierten Systeme sollten isoliert und gründlich auf Malware untersucht werden.
  • Passwortänderung: Die betroffenen Nutzer müssen ihre Passwörter ändern, und wir empfehlen dringend die Aktivierung der Zwei-Faktor-Authentifizierung (2FA), um zukünftige Kontoübernahmen zu erschweren.
  • Abuse-Meldung: Melden Sie den Missbrauch der Domain „anonym.top“ an den zuständigen Registrar, um die Entfernung dieser Phishing-Domain zu unterstützen.
  • Sensibilisierung der Mitarbeiter: Schulen Sie Ihre Mitarbeiter regelmäßig in der Erkennung von Phishing-E-Mails. Achten Sie auf verdächtige Absender, ungewöhnliche Domains und unaufgeforderte Dateianhänge.
  • E-Mail-Sicherheitssysteme: Nutzen Sie fortschrittliche Spam-Filter und E-Mail-Gateways, die bösartige Anhänge und Links blockieren. Verifizieren Sie E-Mails, die von externen Quellen stammen, bevor sie an interne Nutzer weitergeleitet werden.
  • Zwei-Faktor-Authentifizierung (2FA): Aktivieren Sie die 2FA für alle wichtigen Konten und Systeme, insbesondere für E-Mail-Dienste, um eine zusätzliche Sicherheitsebene zu gewährleisten.
  • Regelmäßige Software-Updates: Stellen Sie sicher, dass alle Systeme und Softwareanwendungen regelmäßig aktualisiert werden, um Sicherheitslücken zu schließen.
  • Überwachung und Logging: Implementieren Sie eine kontinuierliche Überwachung Ihrer IT-Systeme und führen Sie regelmäßige Sicherheitsüberprüfungen durch. Nutzen Sie dabei Intrusion Detection Systeme (IDS) und Security Information and Event Management Systeme (SIEM), um verdächtige Aktivitäten frühzeitig zu erkennen.
  • DMARC, SPF und DKIM implementieren: Diese E-Mail-Authentifizierungsprotokolle schützen vor E-Mail-Spoofing und verhindern, dass gefälschte E-Mails Ihre Mitarbeiter erreichen.
  • Mitarbeiter-Tests und Phishing-Simulationen: Führen Sie regelmäßig Phishing-Simulationen durch, um das Verhalten Ihrer Mitarbeiter in echten Bedrohungsszenarien zu testen und Sicherheitsbewusstsein zu schaffen.

Phishing-Angriffe nehmen weiterhin zu und werden immer raffinierter. Wir bitten Sie daher, erhöhte Vorsicht walten zu lassen und diese präventiven Maßnahmen umzusetzen. Gemeinsam können wir dazu beitragen, die Angriffsfläche für Cyberkriminelle zu verringern und die Sicherheit Ihrer Daten zu gewährleisten. Sollten Sie weitere Fragen oder Bedenken haben, steht Ihnen unser Team jederzeit zur Verfügung.

error: