In der afrikanischen Savanne, bei flirrender Hitze lauert ein Rudel Löwen am nahegelegenen Wasserloch (Watering hole). Im richtigen Moment zuschlagen ist das Ziel.
Watering Hole
So lauern auch Cyber-Kriminelle hinter mit Malware infizierten Webseiten. Ziel dieser Social Engineering-Methode ist es Nutzer mit gefakten Werbebannern auf Webseiten zu locken. Auf diesen können sich die Nutzer dann ganz schnell Trojaner oder andere Schadsoftware einfangen.
Daher wird diese Masche auch Watering Hole (Wasserloch) genannt. Diese Art der Cyber-Attacke ist sehr gefährlich, da sie schwer nachzuverfolgen ist.
Die Strategie
Die Cyber-Kriminellen suchen sich ihre Opfer mit Bedacht aus und erstellen ein Profil ihrer Zielgruppe. Meist sind das große Organisationen oder bekannte Institutionen, die in der Regel auch eine gut funktionierende IT-Security-Strategie haben. Das wissen auch die Cyber-Kriminellen und versuchen daher Plan B anzuwenden.
Sie eruieren auf welchen Websites oder Netzwerken sich ihre Zielpersonen öfters aufhalten. Auf diesen platzieren die Cyber-Kriminellen dann Werbebanner oder andere Elemente, die mit Viren infiziert sind. Die infizierten Banner werden Malvertisements genannt.
Nicht nur gehostete und Webseiten sozialer Netzwerke, sondern auch seriöse Webseiten sind betroffen.
Mehr als 100 Organisationen in 31 Ländern durch Watering Holes betroffen
Die Angriffe sind erst aufgefallen, als eine polnische Bank Schadsoftware auf einigen Computern gefunden hat. Die Experten vor Ort teilen die indicators of compromise (IOCs) mit anderen Institutionen. Das Ergebnis zahlreiche Banken aber auch andere Unternehmen waren betroffen. Neben Polen, gab es auch Angriffe in den USA, Südamerika, Dänemark und Großbritannien. Allerdings konnte bis heute nicht bewiesen werden, dass tatsächlich Daten geklaut wurden. Im Verdacht steht die Hackergruppe Lazarus.
Bewusstsein schaffen
Und daher möchten wir nochmal darauf hinweisen, wie wichtig der Faktor Mensch ist. Social Engineering, also das Manipulieren der menschlichen Psyche, nutzen immer mehr Cyber-Kriminelle für Ihre Zwecke aus. Schützen Sie ihr Unternehmen noch besser, indem ihre Mitarbeiter sensibilisiert werden, Methoden und Vorgehensweisen von Cyber-Kriminellen kennen und wissen, wie Sie in entsprechenden Situationen reagieren müssen. Ausgehend von unbewusster Inkompetenz müssen Sie alle Ihre Mitarbeiter in die Phase der unbewussten Kompetenz bringen. Ein erster Schritt ist Bewusstsein zu schaffen.
Das Seminar
Dafür haben wir für Sie ein Security Awareness Training entwickelt. Anhand diverser Simulationen werden die möglichen Risiken aufgezeigt, die heutzutage ein Unternehmen bedrohen können. Außerdem lernen Sie, wie Hacker denken, wie eine Attacke abläuft und wie Sie sich erfolgreich schützen können. Hier geht’s zum Seminar.
Stöbern Sie hier nach anderen Yokogawa-Seminaren.
Wir freuen uns auf ihren Besuch. Haben Sie sonst Fragen oder Anmerkungen? Dann schreiben Sie uns.
Hier finden Sie alle weiteren Beiträge zu Security-Themen.