13.12.2024 17:30

Social Engineering nach Mailbombing

Rapid7 hat vor Kurzem einen Blogbeitrag zur Vorgehensweise einer Ransomwaregruppe veröffentlicht, wir haben inzwischen von mehreren Firmen in Österreich gehört, die dieses Angriffsmuster selber beobachten mussten:

• Zuerst wird ein Mitarbeiter der Zielfirma mit E-Mail überschüttet: in vielen Fällen sind das legitime Newsletter, die aber in der Masse ein echtes Problem sind.
• Danach wird dieser Angestellte per Teams oder über andere Kanäle kontaktiert: Man sei der Helpdesk und will ihm bei der Bewältigung der Mail-Lawine helfen.
• Dazu werden Fernwartungswerkzeuge installiert / aktiviert, damit kann dann der Täter Malware einbringen und starten.
• Im schlimmsten Fall endet das Ganze mit Ransomware.

Neben rein technischen Sicherheitsmaßnahmen ist hier die Awareness wichtig: Bei der echten IT-Abteilung, die sicher schnell auch von der Mailflut erfährt, und dann den Betroffenen entsprechend warnen sollte, aber auch bei allen Mitarbeitern, damit sie verstehen, was hier gespielt wird.