Video: #2021 CyberCrime Challenge – Top 5 Cybersecurity Threats for 2021 (Kann 2024)
Spammer verwenden die JPMorganChase-Datenverletzung des letzten Monats in einem neuen Phishing-Angriff, um die Opfer zur Übergabe vertraulicher Informationen zu bewegen.
Ein Datenverstoß ist selten das Ende einer Cyber-Kampagne. Die Bande, die hinter der Sicherheitsverletzung steht, kann die Informationen zur Aufklärung nutzen, um einen gezielteren Angriff zu starten, oder Geld verdienen, indem sie die gestohlenen Daten verkauft. Andere Kriminelle nutzen die Verwechslung mit einem "Huckepack-Angriff", der die Befürchtungen der Opfer bezüglich der ursprünglichen Verletzung auslöst. In jedem Fall müssen Benutzer auf Anzeichen von betrügerischen oder verdächtigen Aktivitäten aufmerksam sein.
Im vergangenen Monat gab JPMorganChase bekannt, dass personenbezogene Daten von etwa 465.000 UCARD-Karteninhabern oder knapp 2 Prozent der gesamten Nutzerbasis in einer Datenschutzverletzung offengelegt wurden. UCARD, eine Prepaid-Debitkarte, mit der Unternehmen und Regierungsbehörden häufig Steuererstattungen, Arbeitslosenunterstützung und andere Vergünstigungen ausstellen, hat landesweit etwa 25 Millionen Nutzer. Der Finanzriese sagte zu der Zeit, dass er keine Ersatzkarten ausstellen werde, da keine Hinweise auf betrügerische Aktivitäten im Zusammenhang mit den Karten und Konten vorlägen.
Huckepack-Phishing-Angriff
Die Benutzer, die ein Benachrichtigungsschreiben von Chase erhalten hatten, wussten, dass sie betroffen waren, und konnten etwas dagegen tun. Die anderen 98 Prozent befanden sich "in einer Art Sicherheitslücke", stellte der Sophos-Forscher Paul Ducklin fest. Diese Benutzer mussten abwarten, ob die Ermittlungen von JPMorganChase zusätzliche Details oder mehr Opfer erbrachten.
Cyberkriminelle zielen in einer Phishing-Kampagne auf diese Nutzer ab.
Diese Phishing-E-Mail richtet sich an den "Chase Paymentech-Benutzer" und benachrichtigt den Empfänger über "ein Problem, das durch die kürzlich erfolgte Datenbankverletzung verursacht wurde", schrieb Ducklin über Naked Security. Der Benutzer wird aufgefordert, auf einen Link zu klicken und ein Profil zu vervollständigen, um seine Identität zu überprüfen. Der eigentliche Phish selbst ist nicht "schrecklich raffiniert", da die Benutzer auf eine Händlerseite und nicht auf eine gefälschte UCARD-Seite geleitet werden, sagte Ducklin.
Da in der Angriffs-E-Mail die eigenen Bilder und Stylesheets von Chase verwendet werden, bestehen sie die "gelegentliche visuelle Musterung", sagte Ducklin. Und da die Benutzer bereits über die Sicherheitslücke besorgt sind und nach Informationen suchen, sind sie bereit, sich auf diese Betrügereien einzulassen.
Kriminelle versuchen häufig, von einer Sicherheitsverletzung zu profitieren, indem sie die Ängste potenzieller Opfer ausnutzen, um sie dazu zu verleiten, vertrauliche Informationen weiterzugeben oder bestimmte Maßnahmen zu ergreifen. Sie sollten immer vorsichtig sein, wenn Sie aufgefordert werden, auf einen Link zu klicken oder vertrauliche Informationen bereitzustellen. Wie Ducklin betonte, wird im Gegensatz zu einem Finanzinstitut, das kürzlich einen Sicherheitsvorfall hatte, eine E-Mail gesendet, in der Sie aufgefordert werden, auf einen Link zu klicken, der Sie zu einer Anmeldeseite führt.
"Wann immer Sie einen E-Mail-Link erhalten, der zu einer Anmeldeseite wie dieser führt, können Sie sofort sicher sein, dass es sich um eine Fälschung handelt", warnte Ducklin.
Einfach nicht klicken
Denken Sie daran, dass Chase oder ein legitimes Unternehmen niemals per E-Mail nach persönlichen Informationen fragen würde. Während einige Unternehmen E-Mails verwenden, um Benutzer über einen Verstoß zu benachrichtigen (z. B. Adobe), erhalten Sie im Falle eines Verstoßes gegen Finanz- oder Gesundheitsdaten höchstwahrscheinlich eine Benachrichtigung und alle weiteren Mitteilungen per Post.
"Diese Art von Angriffen kann unglaublich glaubwürdig aussehen, und es fällt den Leuten schwer, sie als Fälschungen zu erkennen", sagte Lee Weiner, Senior Vice President für Produkte und Engineering bei Rapid7. Anstatt also herauszufinden, was wirklich ist und was nicht, müssen sich die Leute angewöhnen, nicht auf Links zu klicken.
Stattdessen sollten sie "mit Ihrem Webbrowser direkt zu der gewünschten Site gehen und dann die eigene Navigation der Site verwenden, um Ihre Seite zu finden", sagte Weiner. Oder nehmen Sie einfach den Hörer ab und rufen Sie an oder gehen Sie zu einem Mitarbeiter, um ihn persönlich anzusprechen.
