Um des Mitleids willen, stöhnt Mimecast, lehre deine Mitarbeiter, offensichtlich zwielichtige E-Mails nicht zu öffnen

JavaScript-Verschleierung findet ihren Weg in die Finanzphishery

Mimecast hat eine JavaScript-basierte Phishing-Kampagne aufgedeckt, die sich hauptsächlich an britische Finanz- und Buchhaltungsmitarbeiter richtet.

Der Angriff, Details von denen die Sicherheitsfirma auf seinem Blogveröffentlicht , “war einzigartig, dass es SHTML-Dateianhänge verwendet, die in der Regel auf Web-Servern verwendet werden”.

Wenn die Markierung eine Phishing-E-Mail öffnete, würde das eingebettete JavaScript sie sofort auf eine bösartige Website abführen, wo sie aufgefordert wurden, sensible Anmeldeinformationen einzugeben.

Tomasz Kojm, Senior Engineering Manager bei Mimecast, sagte: “Diese scheinbar unschuldige Anlage, die ahnungslose Benutzer auf eine bösartige Website umleitet, ist vielleicht keine besonders ausgeklügelte Technik, aber sie stellt Unternehmen eine große Lektion vor. Einfach funktioniert immer noch. Das ist eine große Herausforderung für Organisationen, die ihr Bestes geben, um ihre Systeme sicher zu halten.”

Beispiel für Phishing-E-Mails von Mimecast

Gezielte Angriffs-E-Mail von Mimecast gefangen (zum Vergrößern anklicken)

Britische Finanz- und Wirtschaftsprüfungsgesellschaften haben die Hauptlast des Angriffs übernommen und 55 Prozent der bisher entdeckten E-Mails erhalten, wobei derselbe Sektor in Südafrika mit 11 Prozent der Phishing-Versuche ins Visier genommen wurde. Etwa ein Drittel der E-Mails wurden an australische Ziele gesendet, in der Regel im Hochschulsektor.

Mimecast, das unter anderem E-Mail-Sicherheitssoftware herstellt, sagte, es habe den Angriff daran gehindert, 100.000 Abonnenten zu erreichen, und unter den üblichen dünn getarnten Verkaufsgesprächen einige ziemlich gute Ratschläge gegeben:

“Trainieren Sie jeden Mitarbeiter, damit er eine bösartige E-Mail erkennen kann, die Sekunde, in der er in seinem Posteingang ankommt. Dies kann kein jährliches Box-Ticking-Quiz sein, es muss regelmäßig und einnehmend sein. Phishing wird nicht in absehbarer Zeit verschwinden, so dass Sie sicherstellen müssen, dass Ihre Mitarbeiter als letzte Verteidigungslinie gegen diese Bedrohungen handeln können… Befolgen Sie im Zweifelsfall die Grundregel zum Ignorieren, Löschen und Melden.”

Da Bedrohungsintelligenz, Sicherheits- und Antiviren-Unternehmen alle den Weg des Aufbaus immer anspruchsvollerer (und teurerer) “Endpunktlösungen”, Firewalls und dergleichen gehen, ist es wichtig, sich daran zu erinnern, dass die einfachsten Angriffsvektoren die, die jemals spaßhaben, mehr Erfolg.

Der öffentlich zugängliche Ableger der britischen Spionageagentur GCHQ, das National Cyber Security Centre, in ihrem Jahresbericht gewarnt dass sie 140.000 Phishing-Angriffe gestoppt und 190.000 betrügerische Websites ausgereizt hatte – obwohl eine signifikante Anzahl von den Top-10-Phishing-Zielen als staatliche oder quasi-staatliche Stellen identifiziert wurde (einschließlich HMRC, BBC und Student Loan Company), die einem Reputationsschaden ausgesetzt waren.

UK.gov rechnet mit seinem Marken-Reputationsschutzdienst, dass mutige Cyber-Verteidiger Wirkung zeigen. Das Ministerium für Digitales, Kultur, Medien und Sport rechnete mit einem Rückgang von etwa 10 Prozent bei britischen Unternehmen, die im vergangenen Jahr Cyberangriffe und -verstöße meldeten. ®

Gesponsert: Balance zwischen Konsumund und Unternehmenskontrolle

Share this post

Share on facebook
Share on linkedin
Share on print
Share on email

Subscribe to our Monthly Cyber Security Digest

Get monthly content to keep you up to date on the latest news and tips