Kriminelle versuchen laut einer Analyse der Sicherheitsexperten von Checkpoint Nutzer über Google Kalender-Benachrichtigungen auf betrügerische Webseiten zu locken.

Den internationalen Strafverfolgungsbehörden ist ein Schlag gegen die Cyberkriminalität gelungen. An der Operation waren Behörden aus 40 Ländern, Territorien und Regionen beteiligt.

Die Verbraucherzentrale warnt vor einer Häufung von Phishing-Versuchen mit gefälschten Telekom Rechnungen.

KnowBe4, Anbieter für Security Awareness Training hat seinen Top-Clicked Phishing Report für das zweite Quartal 2024 vorgestellt.

Laut einer Umfrage des Security-Spezialisten Kaspersky unter Nutzern in Deutschland brüstet sich über die Hälfte der Teilnehmer damit, Spam und Phishing per Mail und SMS erkennen zu können.

Eine Umfrage von Security-Experte Kaspersky hat ergeben, dass nur 19,5 Prozent der IT-Entscheider in Deutschland ihren Mitarbeiter bei Fehlern, die die IT-Sicherheit gefährden könnten, keine Konsequenzen androhen.

In einigen Fällen würden IT-Entscheider den entsprechenden Mitarbeitern sogar kündigen. Diese Erkenntnisse gehen aus der aktuellen Kaspersky-Studie: „Incident Response zur Prävention hervor. Die Umfrage wurde von Arlington Research im Auftrag von Kaspersky im Juni 2023 durchgeführt. Dabei wurden insgesamt 200 IT-Entscheidungsträger in Deutschland, 50 in Österreich und 50 in der Schweiz zum Thema Incident Response und Cybersicherheit befragt.

Dabei sei eine gute Fehlerkultur ein Schlüsselfaktor, wenn es um cybersicherheitsrelevantes Verhalten gehe, teilt Kaspersky mit. Bei einem erfolgreichen Phishing-Versuch etwa sei es essenziell, dass dieser umgehend und umfassend gemeldet werde, um Folgeschäden zu minimieren.

Entsprechend gravierend seien Defizite beim Umgang mit Fehlverhalten in einigen Unternehmen in Deutschland. Zwar geben 67,5 Prozent an, ihr Unternehmen verfüge über eine gute Fehlerkultur. Dass aber lediglich 19,5 Prozent angeben, dass Mitarbeiter bei einem Fehlverhalten keine Konsequenzen zu fürchten hätten, sei alarmierend.

Im Rahmen der Studie hatten die befragten IT-Entscheider auch die Gelegenheit, die möglichen Auswirkungen eines fehlerhaften Verhaltens von Mitarbeitern zu beschreiben, das die Cybersicherheit des Unternehmens gefährden könnte. Dabei habe sich gezeigt, dass Mitarbeitern, die auf eine Phishing-E-Mail hereinfallen oder auf einen Malware-Link klicken, teils drastische Konsequenzen drohen. So tauchten in den offenen Antworten Aussagen wie „wird gefeuert“, „bekommt eine Abmahnung“ oder „werden zur Rechenschaft gezogen“ auf. Müssen Mitarbeitende bei einem Fehlverhalten Konsequenzen fürchten, werden sie jedoch weniger geneigt sein, offen damit umzugehen und den Vorfall an einen Vorgesetzten beziehungsweise IT-Beauftragten melden, teilt Kaspersky mit.

Ein Teil der IT-Entscheider würde bei einem Fehlverhalten auf Schulungen und Trainings setzen, um das Bewusstsein für Bedrohungen und Schutzmaßnahmen zu stärken, heißt es weiter: „Es werden entsprechende Schulungen für den Mitarbeiter gemacht, bei einmaligen Fehlern…“, „[E]s werden Gespräche geführt und geprüft ob [eine] neue Schulung angesetzt werden muss“, oder es finde die „Unmittelbare Kontaktaufnahme, Schulung, Sensibilisierung des Mitarbeiters“ statt.

Der Beitrag Umfrage: Falsch geklickt, Job weg? Mitarbeitern drohen Konsequenzen erschien zuerst auf Linux-Magazin.

Die Sicherheitsexperten von ESET sehen die Open-Core-Plattform Zimbra im Fokus einer Phishing-Kampagne. Angreifer zielen bei der Collaboration-Plattform für E-Mails, Kontakte, Kalender und Aufgabenlisten auf ab.

Die meisten attackierten Organisationen befinden sich laut ESET in Polen. Darüber hinaus seien aber auch Unternehmen und Verwaltungen in anderen europäischen Ländern wie der Ukraine, Italien, Frankreich und der Niederlande betroffen. Die attackierten Organisationen gehörten unterschiedlichen Branchen an, die einzige Gemeinsamkeit sei die Nutzung von Zimbra, teilt ESET mit.

Die von ESET beobachtete Phishing-Kampagne sei technisch nicht sonderlich anspruchsvoll: Sie beruht ausschließlich auf Social-Engineering und Benutzerinteraktion. Dennoch verbreite sie sich schnell und kompromittiere Organisationen, die Zimbra verwenden würden.

Gefälschte Zimbra-Login-Seite. Quelle: ESET

Die Zielperson erhalte bei der Kampagne eine E-Mail mein einer angehängten HTML-Date, diese führt zu einer Phishing-Seite in der angehängten HTML-Datei. Die E-Mail warne den Empfänger vor einer Aktualisierung des E-Mail-Servers, einer Kontodeaktivierung oder einem ähnlichen Problem und fordert den Benutzer auf, die angehängte Datei zu öffnen. Nach dem Öffnen des Anhangs werde dem Benutzer eine gefälschte Zimbra-Anmeldeseite angezeigt, die auf das Zielunternehmen zugeschnitten sei. Im Hintergrund würden die eingegebenen Anmeldedaten aber aus dem HTML-Formular gesammelt und an einen vom Angreifer kontrollierten Server gesendet.

Der Beitrag Gezielte Phishing-Kampagne über Zimbra erschien zuerst auf Linux-Magazin.

KnowBe4, Anbieter für Security Awareness Training und simuliertes Phishing hat die Ergebnisse seines Top-Clicked Phishing Reports für das zweite Quartal 2023 veröffentlicht. Der Report beleuchtet die wichtigsten E-Mail-Themen, die in Phishing-Tests angeklickt wurden. Ergebnis: Personalnachrichten sind voll im Trend.

Die Vorspiegelung, dass eine Mail von der Personalabteilung kommt, ist bei Phishing-Angriffen sehr beliebt, hat der Report ergeben. Die Phishing-Taktiken ändern sich mit dem zunehmenden Trend, dass Cyberkriminelle E-Mail-Themen verwenden, die von der Personalabteilung stammen und sich auf Änderungen der Kleiderordnung, Schulungsbenachrichtigungen, Urlaubsanträgen und mehr beziehen, teilt KnowBe4 mit.

Topthemen beim weltweiten Phishing. Quelle: KnowBe4

Phishing-E-Mails mit Urlaubsbezug seien auch in diesem Quartal häufig eingesetzt worden. Anreize, die sich auf Feiertage und Terminänderungen beziehen, wurden besonders gern als Köder für ahnungslose Mitarbeiter verwendet, teilt der Experte mit.

Der Beitrag Personalnachrichten sind die meistgeklickten Phishing-Themen erschien zuerst auf Linux-Magazin.

Die vom Sicherheitsexperten Kaspersky beauftragte Studie “Incident Response zur Prävention” hat ergeben, dass deutsche Unternehmen mangelhaft auf Cyberbedrohungen vorbereitet sind.

Obwohl einfache Schritte das Sicherheitslevel erhöhen könnten, setzten laut der Studie nur 64,5 Prozent Passwort-Richtlinien ein, nur 58 Prozent erstellen Backups und nur 54 Prozent nutzen eine Multi-Faktor-Authentifizierung.

Dabei hätten, so Kaspersky, laut TÜV-Verband Entscheider in jeder neunten Finanzorganisation im vergangenen Jahr einen Sicherheitsvorfall zu beklagen und laut dem Digitalverband Bitkom sei ein Schaden von insgesamt etwa 203 Milliarden Euro durch Cyberangriffe auf deutsche Unternehmen entstanden.

Dass nur 37 Prozent der Unternehmen in Deutschland ihre Mitarbeiter regelmäßig zu Themen wie Spam oder Phishing schulen, zähle ebenfalls zu den Nachlässigkeiten. Dabei seien die Zeiten schlecht geschriebener Spam- und Phishing-Mails voller Rechtschreibfehler längst vorbei. Heute seien sie kaum noch von echten Nachrichten zu unterscheiden. Nur etwas mehr als die Hälfte (54,5 Prozent) der Unternehmen setzten Anti-Phishing-Software ein und nur jedes dritte Unternehmen (35,5 Prozent) verfüge über eine Patch-Management-Richtlinie, heißt es in der Studie.

Die Umfrage wurde von Arlington Research im Auftrag von Kaspersky im Juni 2023 durchgeführt. Dabei wurden insgesamt 200 IT-Entscheidungsträger in Deutschland, 50 in Österreich und 50 in der Schweiz zum Thema Incident Response und Cybersicherheit befragt.

Der Beitrag Kaspersky-Studie: Unternehmen vernachlässigen Cybersicherheit erschien zuerst auf Linux-Magazin.

Die Verbraucherschützer warnen in ihrem Phishing-Radar Kunden der ING-Bank vor Phsishing-Mails, die mit einer persönlichen Anrede zu überzeugen versuchen.

Die Kundschaft der ING werde in den Phishing-Mails vermeintlich darüber informiert, dass Ihr Kontozugriff bereits eingeschränkt sei und Bargeldabhebungen, Zahlungen in Geschäften und im Internet, sowie Überweisungen momentan nicht möglich seien. Die Betrüger geben vor, dass diese Einschränkung aus “Sicherheitsgründen” erfolgt seien und dass Kunden, um diese “Kontofunktionen wiederherzustellen” eine Aktualisierung der Kontoinformationen vornehmen müssten.

Phishing mit persönlicher Anrede bei der ING-Bank. Quelle: Verbraucherzentrale

Ungewöhnlicherweise enthalte die E-Mail eine persönliche Anrede, die dann zur Datenpreisgabe via Link auffordere. Dem sollte man keinesfalls nachkommen. Darüber hinaus aber sprächen das uneinheitliche Layout und die fehlerhafte Absenderadresse für Phishing, heißt es bei den Verbraucherschützern.

Der Beitrag ING-Kunden erhalten Phishing-Mails mit persönlicher Anrede erschien zuerst auf Linux-Magazin.

PyPI ist offizielles Repository für Python-Softwarepakete und eine zentrale für Phython-Entwickler.