Mithilfe dieser Kits können auch ungeschulte Bedrohungsakteure ausgefeilte, auf einzelne Nutzer zugeschnittene Angriffe starten.
ESET beschreibt einen solchen Angriff anhand einer Phishing-E-Mail, die den Nutzer über eine angeblich unbekannte Anmeldung in seinem Konto informiert.
„Wenn man auf den Link klickt, gelangt man auf eine Website, die automatisch das Logo des Unternehmens abruft, für das man sich ausgibt, und dabei die API (Application Programming Interface) eines legitimen Drittanbieter-Marketingdienstes wie Clearbit missbraucht”, schreiben die Forscher.
„Mit anderen Worten: Die Seite zum Sammeln von Anmeldeinformationen fragt Quellen wie Unternehmensdaten-Aggregatoren und einfache Favicon-Lookup-Dienste ab, um das Logo und andere Markenelemente des Unternehmens abzurufen, für das sich der Angreifer ausgibt, und fügt manchmal sogar subtile visuelle Hinweise oder kontextbezogene Details hinzu, die den Anschein der Authentizität noch verstärken. Um die Täuschung noch zu verstärken, können die Angreifer auch Ihren Namen oder Ihre E-Mail-Adresse vorab eingeben, so dass es so aussieht, als hätten Sie die Website schon einmal besucht.“
Nutzer sollten darüber hinaus eine Multi-Faktor-Authentifizierung einrichten, um ihre Konten zu schützen, wo immer dies möglich ist. Allerdings sollten sie sich bewusst sein, dass Social-Engineering-Angriffe diese Maßnahme umgehen können.
„Entscheidend ist, dass Sie für all Ihre Online-Konten ein starkes und eindeutiges Passwort oder eine Passphrase verwenden, insbesondere für wertvolle Konten“, rät ESET. „Die Ergänzung durch eine Zwei-Faktor-Authentifizierung (2FA), wo immer sie verfügbar ist, ist ebenfalls eine unverzichtbare Verteidigungslinie. 2FA fügt eine wichtige zweite Sicherheitsebene hinzu, die Angreifer daran hindern kann, auf Ihre Konten zuzugreifen – selbst wenn es ihnen gelingt, Ihr Passwort zu stehlen oder es aus Datenlecks zu beziehen. Idealerweise sollten Sie nach 2FA-Optionen suchen, die auf Apps oder Hardware-Token basieren, da sie im Allgemeinen sicherer sind als SMS-Codes.“
KnowBe4 befähigt Ihre Mitarbeiter dazu, täglich intelligentere Sicherheitsentscheidungen zu treffen. Weltweit vertrauen über 70.000 Unternehmen auf die KnowBe4-Plattform, um ihre Sicherheitskultur zu stärken und menschliche Risiken zu reduzieren.
ESET hat die Story.
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo