Cyberkriminelle setzen weiterhin stark auf Social Engineering und Phishing als bevorzugte Methoden, um Unternehmen und Einzelpersonen zu kompromittieren. Im Dezember 2024 wurden zahlreiche neue Angriffstechniken beobachtet, die auf menschliche Schwächen und Nachlässigkeiten abzielen. Von Fake-Job-Recruitment bis hin zu manipulierten Captchas – Angreifer nutzen kreative Wege, um Schadsoftware zu verbreiten und Zugangsdaten zu stehlen.

1. Neue Social-Engineering-Methoden:

Fake-Job-Recruitment (Malvertising):

Angreifer täuschen Jobangebote vor, um Bewerber auf manipulierte Webseiten zu locken. Dort werden nicht nur persönliche Daten abgegriffen, sondern auch Malware installiert. Besonders betroffen waren Unternehmen in der Finanz- und Beratungsbranche.

• Beispiel: Im Dezember wurde eine großangelegte Kampagne entdeckt, bei der Cyberkriminelle gefälschte LinkedIn-Profile nutzten, um Jobangebote für namhafte Unternehmen zu verbreiten. Sobald Bewerber ihren Lebenslauf hochluden, installierte sich im Hintergrund ein Banking-Trojaner.
• Quelle: Malvertising Report (Sophos)
• Betroffene Branchen: Finanzwesen, Beratung, IT-Dienstleister

Empfohlene Maßnahmen:

• Schulungen für Mitarbeiter zur Erkennung von Social-Engineering-Angriffen intensivieren.
• Bewerbungsportale und Karriereseiten mit zusätzlichen Sicherheitsmaßnahmen (Captcha, MFA) absichern.
• Bewerbungsvorgänge auf sichere, interne Plattformen verlagern.

Captcha-Malvertising:

Ein neuer Trend im Bereich Phishing sind gefälschte Captchas, die Nutzer in Sicherheit wiegen sollen. Hinter den vermeintlich legitimen Abfragen verbirgt sich oft Schadsoftware.

• Beispiel: Eine groß angelegte Kampagne zielte auf Nutzer von Cloud-Diensten ab. Beim Versuch, auf ihre Konten zuzugreifen, wurden sie aufgefordert, ein Captcha zu lösen – im Hintergrund wurde jedoch eine Ransomware gestartet.
• Quelle: Captcha Campaign Analysis (Proofpoint)

Empfohlene Maßnahmen:

• Captchas sorgfältig prüfen und nur von vertrauenswürdigen Quellen verwenden.
• Zugriffe auf kritische Cloud-Dienste mit zusätzlicher MFA absichern.

Web-Filter implementieren, um betrügerische Webseiten zu blockieren.

Großangelegte Phishing-Kampagnen:

Docusign-Phishing (E-Mail-Betrug):

Docusign bleibt ein beliebtes Ziel für Phishing-Angriffe. Im Dezember wurde eine neue Welle von E-Mails festgestellt, die täuschend echte Docusign-Benachrichtigungen imitierten.

• Beispiel: Nutzer erhielten gefälschte E-Mails mit der Aufforderung, ein Dokument zu unterzeichnen. Beim Klick auf den Link gelangten sie auf eine täuschend echte Nachbildung der Docusign-Login-Seite. Dort eingegebene Zugangsdaten wurden sofort abgegriffen.
• Quelle: Docusign Phishing Report (Trend Micro)

Empfohlene Maßnahmen:

• Phishing-Mails mit Docusign-Bezug blockieren und interne Richtlinien für elektronische Signaturen verschärfen.
• Docusign-Konten mit MFA absichern und regelmäßig überwachen.
• Sicherheitsbewusstsein durch simulierte Phishing-Tests stärken.

Missbrauch von Google-Kalender und Cloud-Diensten:

Angreifer nutzen zunehmend Cloud-Dienste wie Google Kalender für Phishing-Attacken. Im Dezember wurden zahlreiche Fälle gemeldet, bei denen Einladungen zu Meetings genutzt wurden, um Opfer auf Phishing-Seiten zu locken.

• Beispiel: Eine Kampagne, bei der Angreifer gefälschte Kalendereinladungen verschickten, um Nutzer zur Freigabe sensibler Daten zu bewegen. Besonders betroffen waren Google-Workspace-Nutzer.
• Quelle: Google Calendar Exploitation (Kaspersky)

Empfohlene Maßnahmen:

• Kalendereinladungen auf ihre Herkunft prüfen und standardmäßig als extern markieren.
• Automatische Kalendereinträge aus E-Mails deaktivieren.
• Google Workspace durch administrative Sicherheitsrichtlinien absichern.

Mobile Angriffe: Fake-Docusign und Banking-Trojaner:

Mobile Endgeräte geraten zunehmend ins Visier von Angreifern. Im Dezember wurden vermehrt Angriffe auf iOS- und Android-Geräte durch manipulierte Docusign-Apps und Banking-Trojaner gemeldet.

• Beispiel: Eine gefälschte Docusign-App für Android, die sensible Bankdaten abgriff, verbreitete sich rasant in Europa und Asien.
• Quelle: Mobile Security Report (Zimperium)

Empfohlene Maßnahmen:

• Unternehmensgeräte mit EDR-Lösungen für mobile Endgeräte absichern.
• Nur verifizierte Apps aus offiziellen App-Stores installieren.
• Mitarbeiter für die Gefahren von Fake-Apps sensibilisieren.

Fazit:

Die zunehmende Kreativität der Angreifer im Bereich Social Engineering macht es für Unternehmen und Einzelpersonen schwerer, sich zu schützen. Fake-Recruitment, Captcha-Malvertising und Docusign-Phishing zeigen, wie leicht Cyberkriminelle menschliche Schwächen ausnutzen können.

Comp4U bietet umfassende Security-Lösungen zur Abwehr von Social-Engineering-Angriffen, inklusive Managed E-Mail Security, Mobile Threat Defense und regelmäßigen Security-Awareness-Trainings für Ihre Mitarbeiter.
Kontaktieren Sie uns für ein maßgeschneidertes Sicherheitskonzept:

Telefon: 06103 9707-500
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.