Datenschutzverletzungen bei Twilio und Cisco verdeutlichen die Gefahren von Social-Engineering-Angriffen
Sie konnten nicht an der Transform 2022 teilnehmen? Sehen Sie sich jetzt alle Summit-Sessions in unserer On-Demand-Bibliothek an! Schau mal hier.
Keine Schwachstelle ist so schwer zu bewältigen wie menschliches Versagen. Ein kleiner Fehler wie das Klicken auf einen böswilligen Anhang oder einen Link zu einer Phishing-Website kann einen Verstoß auslösen, der den Ruf eines Unternehmens gefährdet. Dies ist etwas, dessen sich Social-Engineering-Betrüger bewusst sind.
Nirgendwo wurde dies besser veranschaulicht als bei der jüngsten Twilio-Verletzung. Am Donnerstag, dem 4. August, erlitt der API-Kommunikationsanbieter Twilio eine Datenschutzverletzung, nachdem Mitarbeiter einem „ausgeklügelten Social-Engineering-Angriff zum Stehlen von Mitarbeiterdaten“ zum Opfer gefallen waren.
Während des Angriffs erstellten die Hacker einen SMS-Phishing-Betrug (oder Smishing-Versuch), der sich als die IT-Abteilung von Twilio ausgab und Mitarbeiter warnte, dass ihre Passwörter abgelaufen seien oder geändert werden müssten.
Mitarbeiter, die auf den Link geklickt haben, wurden zu einer gefälschten Version der Twilio-Anmeldeseite weitergeleitet, wo der Hacker ihre Anmeldeinformationen sammelte, mit denen sie dann auf interne Unternehmenssysteme zugegriffen und Daten von 125 Kunden eingesehen haben.
Der Angriff unterstreicht die Effektivität von Social-Engineering-Angriffen, bei denen Hacker versuchen, Mitarbeiter per E-Mail, SMS oder Telefon dazu zu bringen, persönliche Informationen preiszugeben, indem sie sich als Person oder vertrauenswürdige Organisation ausgeben.
Eines der jüngsten Beispiele ereignete sich gestern, als Cisco Talos öffentlich eine Datenschutzverletzung bekannt gab, die am 24. Mai 2022 stattfand und von der die Yanluowang-Ransomware-Bande behauptet, dass sie zur Exfiltration von 2,8 GB an Daten geführt habe.
Bei diesem Angriff übernahm Yanluowang die Kontrolle über das persönliche Google-Konto eines Mitarbeiters, das die Anmeldedaten im Browser des Benutzers synchronisierte.
Sie führten auch eine Reihe von Voice-Phishing-Angriffen durch, indem sie sich als verschiedene vertrauenswürdige Organisationen ausgaben, um Mitarbeiter dazu zu bringen, Push-Benachrichtigungen mit Multi-Faktor-Authentifizierung (MFA) zu akzeptieren, die ihnen den Zugriff auf ein VPN und auf kritische interne Systeme ermöglichten.
Die Datenschutzverletzungen bei Twilo und Cisco zeigen, dass Unternehmen es sich nicht leisten können, sich darauf zu verlassen, dass ihre Mitarbeiter immer komplexere Social-Engineering-Betrügereien erkennen.
"Dieser Angriff zeigt, dass Social Engineering nach wie vor eine der effektivsten Methoden ist, um Zugang zu einer Organisation zu erhalten, und dass jede Organisation angegriffen werden kann", sagte Allie Mellen, Senior Analyst, Security and Risk bei Forrester.
"Am Ende des Tages werden Menschen immer das Ziel von Angriffen sein. Wenn Sie eine E-Mail oder SMS mit einer dringenden Nachricht von einer Ihrer Meinung nach zuverlässigen Quelle erhalten, können Sie ganz einfach auf den Link klicken, ohne eine Pause einzulegen [to überprüfen], ob es sich um einen Betrug handelt“, sagte Mellen.
Überprüfen Sie die Annahmen zur PasswortsicherheitEiner der Hauptgründe, warum sich Angreifer Social-Engineering-Angriffen wie Phishing-Betrug zuwenden, ist, dass diese Tools einfach zu verwenden und beim Sammeln von Anmeldeinformationen effektiv sind.
Untersuchungen zeigen, dass gestohlene oder manipulierte Zugangsdaten für 19 % der Sicherheitsverletzungen verantwortlich sind, während Phishing für 16 % der Sicherheitsverletzungen verantwortlich ist, was hervorhebt, dass passwortbasierte Sicherheit weitgehend unwirksam ist, um böswillige Akteure in Schach zu halten.
Ebenso gibt es kein Antivirenprogramm oder Wundermittel, das verhindern kann, dass Mitarbeiter einen Fehler machen und zur Weitergabe wertvoller Informationen manipuliert werden.
Während Lösungen wie Sicherheitsbewusstseinsschulungen Mitarbeitern beibringen können, die Anzeichen von Phishing-Betrug und Social Engineering zu erkennen, müssen Mitarbeiter zunehmend Zugriffskontrollen auf Daten überdenken.
Bei einer durchschnittlichen Organisation...
Sie konnten nicht an der Transform 2022 teilnehmen? Sehen Sie sich jetzt alle Summit-Sessions in unserer On-Demand-Bibliothek an! Schau mal hier.
Keine Schwachstelle ist so schwer zu bewältigen wie menschliches Versagen. Ein kleiner Fehler wie das Klicken auf einen böswilligen Anhang oder einen Link zu einer Phishing-Website kann einen Verstoß auslösen, der den Ruf eines Unternehmens gefährdet. Dies ist etwas, dessen sich Social-Engineering-Betrüger bewusst sind.
Nirgendwo wurde dies besser veranschaulicht als bei der jüngsten Twilio-Verletzung. Am Donnerstag, dem 4. August, erlitt der API-Kommunikationsanbieter Twilio eine Datenschutzverletzung, nachdem Mitarbeiter einem „ausgeklügelten Social-Engineering-Angriff zum Stehlen von Mitarbeiterdaten“ zum Opfer gefallen waren.
Während des Angriffs erstellten die Hacker einen SMS-Phishing-Betrug (oder Smishing-Versuch), der sich als die IT-Abteilung von Twilio ausgab und Mitarbeiter warnte, dass ihre Passwörter abgelaufen seien oder geändert werden müssten.
Mitarbeiter, die auf den Link geklickt haben, wurden zu einer gefälschten Version der Twilio-Anmeldeseite weitergeleitet, wo der Hacker ihre Anmeldeinformationen sammelte, mit denen sie dann auf interne Unternehmenssysteme zugegriffen und Daten von 125 Kunden eingesehen haben.
Der Angriff unterstreicht die Effektivität von Social-Engineering-Angriffen, bei denen Hacker versuchen, Mitarbeiter per E-Mail, SMS oder Telefon dazu zu bringen, persönliche Informationen preiszugeben, indem sie sich als Person oder vertrauenswürdige Organisation ausgeben.
Eines der jüngsten Beispiele ereignete sich gestern, als Cisco Talos öffentlich eine Datenschutzverletzung bekannt gab, die am 24. Mai 2022 stattfand und von der die Yanluowang-Ransomware-Bande behauptet, dass sie zur Exfiltration von 2,8 GB an Daten geführt habe.
Bei diesem Angriff übernahm Yanluowang die Kontrolle über das persönliche Google-Konto eines Mitarbeiters, das die Anmeldedaten im Browser des Benutzers synchronisierte.
Sie führten auch eine Reihe von Voice-Phishing-Angriffen durch, indem sie sich als verschiedene vertrauenswürdige Organisationen ausgaben, um Mitarbeiter dazu zu bringen, Push-Benachrichtigungen mit Multi-Faktor-Authentifizierung (MFA) zu akzeptieren, die ihnen den Zugriff auf ein VPN und auf kritische interne Systeme ermöglichten.
Die Datenschutzverletzungen bei Twilo und Cisco zeigen, dass Unternehmen es sich nicht leisten können, sich darauf zu verlassen, dass ihre Mitarbeiter immer komplexere Social-Engineering-Betrügereien erkennen.
"Dieser Angriff zeigt, dass Social Engineering nach wie vor eine der effektivsten Methoden ist, um Zugang zu einer Organisation zu erhalten, und dass jede Organisation angegriffen werden kann", sagte Allie Mellen, Senior Analyst, Security and Risk bei Forrester.
"Am Ende des Tages werden Menschen immer das Ziel von Angriffen sein. Wenn Sie eine E-Mail oder SMS mit einer dringenden Nachricht von einer Ihrer Meinung nach zuverlässigen Quelle erhalten, können Sie ganz einfach auf den Link klicken, ohne eine Pause einzulegen [to überprüfen], ob es sich um einen Betrug handelt“, sagte Mellen.
Überprüfen Sie die Annahmen zur PasswortsicherheitEiner der Hauptgründe, warum sich Angreifer Social-Engineering-Angriffen wie Phishing-Betrug zuwenden, ist, dass diese Tools einfach zu verwenden und beim Sammeln von Anmeldeinformationen effektiv sind.
Untersuchungen zeigen, dass gestohlene oder manipulierte Zugangsdaten für 19 % der Sicherheitsverletzungen verantwortlich sind, während Phishing für 16 % der Sicherheitsverletzungen verantwortlich ist, was hervorhebt, dass passwortbasierte Sicherheit weitgehend unwirksam ist, um böswillige Akteure in Schach zu halten.
Ebenso gibt es kein Antivirenprogramm oder Wundermittel, das verhindern kann, dass Mitarbeiter einen Fehler machen und zur Weitergabe wertvoller Informationen manipuliert werden.
Während Lösungen wie Sicherheitsbewusstseinsschulungen Mitarbeitern beibringen können, die Anzeichen von Phishing-Betrug und Social Engineering zu erkennen, müssen Mitarbeiter zunehmend Zugriffskontrollen auf Daten überdenken.
Bei einer durchschnittlichen Organisation...
What's Your Reaction?
