Insbesondere Remote-Benutzer sind anfällig für Phishing-Versuche im Zusammenhang mit dem Coronavirus, bösartigen Domänen und wiederverwendeter Malware. Schützen Sie sie mit diesen grundlegenden Schritten. [...]
Angreifer nutzen die Krisenzeit, um mit gezielten Kampagnen nach neuen Opfern zu suchen. Die größte Bedrohung stellen Phishing-Angriffe im Zusammenhang mit COVID-19 dar. Dabei richten die Angreifer auch Domänennamen ein, die mit COVID-19 in Zusammenhang stehen, und verleiten die Menschen dazu, sie anzuklicken.
Anomali veröffentlichte kürzlich einen Report, in dem mindestens 15 verschiedene COVID-19-bezogene Kampagnen in Verbindung mit 11 Bedrohungsakteuren identifiziert wurden, die 39 verschiedene Malware-Familien verbreiten und 80 MITRE ATT&CK-Techniken einsetzen. Bei den Angriffen im Januar handelte es sich in der Regel um bösartige E-Mails, die allem Anschein nach Benachrichtigungen von Wohlfahrtsverbänden und dem öffentlichen Gesundheitswesen waren. Im Februar verlagerten sich die Angriffe auf Remote-Access-Trojaner (RATS). CheckPoint berichtete im März über eine Zunahme betrügerischer COVID-19-Domänen. Mitte März stellten Forscher fest, dass die Angreifer die Coronavirus-Karte von Johns Hopkins imitierten.
Kürzlich stellte Microsoft mehrere thematische Angriffstrends in den von ihm überwachten Netzwerken fest.
- In jedem Land gibt es mindestens einen COVID-19-Angriff. China, die USA und Russland waren am stärksten betroffen.
- Trickbot- und Emotet-Malware werden neu gebündelt und mit einem neuen Markennamen versehen, um sich die COVID-19-Bedrohungen zunutze zu machen.
- Ungefähr 60.000 E-Mails enthalten COVID-19-bezogene bösartige Anhänge oder bösartige URLs.
- Die Angreifer geben sich als offizielle Unternehmen aus, um sich in Ihre Posteingänge zu schleichen.
- SmartScreen hat mehr als 18.000 schädliche COVID-19-bezogene URLs und IP-Adressen mit bösartigem Inhalt erfasst.
- Microsoft Office 365 Advanced Threat Protection (ATP) verhinderte einen großen Phishing-Angriff, bei dem eine fiktive Office 365-Anmeldeseite verwendet werden sollte, um Anmeldeinformationen zu sammeln.
- Die Angreifer haben gezielt Gesundheitsorganisationen angegriffen, was Microsoft dazu veranlasst hat, seinen AccountGuard-Bedrohungsbenachrichtigungsdienst kostenlos für Unternehmen im Gesundheitswesen sowie für Menschenrechts- und humanitäre Organisationen zur Verfügung zu stellen.
Phishlabs berichtete, dass Cyber-Kriminelle COVID-19-bezogene Voicemail-Benachrichtigungen verwenden, um Personen dazu zu bringen, sich anzumelden und Zugangsdaten zu stehlen. Trustwave berichtete, dass Betrügereien im Zusammenhang mit COVID-19-bezogenen geschäftlichen E-Mail-Kompromittierungen (BEC) zunehmen. Das National Cyber Security Centre (NCSC) des Vereinigten Königreichs gibt an, dass die Angreifer auch auf Fernzugriffs- und Heimanwender-Zugangspunkte abzielen.
Schutz von Fernmitarbeitern vor COVID-bezogenen Angriffen
Welche Maßnahmen können Sie ergreifen, um sicherzustellen, dass Ihre Mitarbeiter und Ihr Netzwerk nicht ins Visier genommen werden? Eine Menge:
Schützen Sie die Endpunkte: Aktivieren Sie Microsoft Defender ATP, das mit einer Windows 10 E5-Lizenz oder Microsoft 365 Enterprise-Lizenz oder einem Endgeräteschutz-Tool eines Drittanbieters erhältlich ist. Dies gilt auch für Heimcomputer.
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) für Online-Austausch und E-Mail: Microsoft hat kürzlich die Deaktivierung der Basisauthentifizierung aufgrund der Auswirkungen von COVID-19 auf Unternehmen verschoben, eine Entscheidung, mit der ich nicht einverstanden bin. Angreifer haben es auf POP, IMAP und die Grundauthentifizierung auf Office 365-Ziele abgesehen. Sie werden Passwortspray-Angriffe und die Wiederverwendung von Passwörtern einsetzen, um in Ihr Netzwerk zu gelangen.
Aus diesem Grund sollten Sie die Basis- oder Legacy-Authentifizierung deaktivieren und die moderne Authentifizierung unterstützen. Verwenden Sie außerdem Richtlinien für die Zugangskontrolle, um ältere angreifbare Authentifizierungsmethoden zu blockieren.
MFA für Ihre E-Mails zu verwenden, stellt sicher, dass Angreifer die einfachen Angriffsmethoden gegen Ihr Unternehmen nicht nutzen können. Sie können eine Regel festlegen, dass jeder, der sich von den statischen IP-Adressen der Bürostandorte aus einloggt, nicht durch MFA-Eingabeaufforderungen aufgefordert wird, wodurch sichergestellt wird, dass sich dieser Schutz auf die entfernten Zugangspunkte konzentriert, auf die Angreifer am meisten abzielen. Ziehen Sie auch in Betracht, geografische Anmeldebeschränkungen über Zugangskontrollregeln hinzuzufügen, um auch Ihr Netzwerk besser zu schützen.
Sorgen Sie für E-Mail-Filterung oder -Hygiene zwischen den Postfächern Ihrer Firma und der Außenwelt: Ganz gleich, ob es sich um Office-ATP oder einen anderen Filterdienst handelt, stellen Sie sicher, dass Sie das schützen, was zunehmend eine riesige Angriffsfläche darstellt: Phishing-Angriffe in Ihrem Posteingang.
Wenden Sie sich an andere Ressourcen, um zu erfahren und auszutauschen, was Sie in Ihrem Unternehmen beobachten: Eine Gruppe von Sicherheitsforschern hat sich zusammengeschlossen, um unter dem Banner der COVID-19 Cyber Threat Coalition Risiken und Bedrohungen auszutauschen. Lesen Sie die wöchentliche Zusammenfassung oder melden Sie sich für den Slack-Kanal an, um Informationen und Quellen auszutauschen.
Die Koalition hat eine Hauptliste mit bösartigen Domänen und URLs bereitgestellt, die Sie in Ihren Netzwerk-Firewall-Regeln verwenden können.
*Susan Bradley schreibt unter anderem für CSO.com.
Be the first to comment