Laut den Forschern von ESET bieten handelsübliche Phishing-Kits zunehmend dynamisch generierte Phishing-Seiten an.
Mithilfe dieser Kits können auch ungeschulte Bedrohungsakteure ausgefeilte, auf einzelne Nutzer zugeschnittene Angriffe starten.
ESET beschreibt einen solchen Angriff anhand einer Phishing-E-Mail, die den Nutzer über eine angeblich unbekannte Anmeldung in seinem Konto informiert.
„Wenn man auf den Link klickt, gelangt man auf eine Website, die automatisch das Logo des Unternehmens abruft, für das man sich ausgibt, und dabei die API (Application Programming Interface) eines legitimen Drittanbieter-Marketingdienstes wie Clearbit missbraucht”, schreiben die Forscher.
„Mit anderen Worten: Die Seite zum Sammeln von Anmeldeinformationen fragt Quellen wie Unternehmensdaten-Aggregatoren und einfache Favicon-Lookup-Dienste ab, um das Logo und andere Markenelemente des Unternehmens abzurufen, für das sich der Angreifer ausgibt, und fügt manchmal sogar subtile visuelle Hinweise oder kontextbezogene Details hinzu, die den Anschein der Authentizität noch verstärken. Um die Täuschung noch zu verstärken, können die Angreifer auch Ihren Namen oder Ihre E-Mail-Adresse vorab eingeben, so dass es so aussieht, als hätten Sie die Website schon einmal besucht.“
Nutzer sollten darüber hinaus eine Multi-Faktor-Authentifizierung einrichten, um ihre Konten zu schützen, wo immer dies möglich ist. Allerdings sollten sie sich bewusst sein, dass Social-Engineering-Angriffe diese Maßnahme umgehen können.
„Entscheidend ist, dass Sie für all Ihre Online-Konten ein starkes und eindeutiges Passwort oder eine Passphrase verwenden, insbesondere für wertvolle Konten“, rät ESET. „Die Ergänzung durch eine Zwei-Faktor-Authentifizierung (2FA), wo immer sie verfügbar ist, ist ebenfalls eine unverzichtbare Verteidigungslinie. 2FA fügt eine wichtige zweite Sicherheitsebene hinzu, die Angreifer daran hindern kann, auf Ihre Konten zuzugreifen – selbst wenn es ihnen gelingt, Ihr Passwort zu stehlen oder es aus Datenlecks zu beziehen. Idealerweise sollten Sie nach 2FA-Optionen suchen, die auf Apps oder Hardware-Token basieren, da sie im Allgemeinen sicherer sind als SMS-Codes.“
KnowBe4 befähigt Ihre Mitarbeiter dazu, täglich intelligentere Sicherheitsentscheidungen zu treffen. Weltweit vertrauen über 70.000 Unternehmen auf die KnowBe4-Plattform, um ihre Sicherheitskultur zu stärken und menschliche Risiken zu reduzieren.
ESET hat die Story.
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
Demo anfragen
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo