Video: Online-Banking: Betrug trotz TAN-Generator (Kann 2024)
Immer größere Ziele
Die SEA trat zum ersten Mal im vergangenen September mit einer Reihe von Angriffen auf westliche Websites auf, als Vergeltung für ein antiislamisches Video. Anfangs war die Gruppe hauptsächlich auf unauffällige Websites ausgerichtet, viele davon mit brasilianischen Domainnamen. Sie griffen jedoch rasch internationale Medien an, die als respektlos gegenüber dem syrischen Präsidenten Bashar-al-Assad wahrgenommen wurden.
Die Gruppe griff die BBC im März, den Guardian im April und die Associated Press ebenfalls im April erfolgreich an. Im Mai haben sie die Website und den Twitter-Feed der Financial Times kompromittiert und es geschafft, sich in Social-Media-Accounts für die Zwiebel zu hacken. Vor allem die Zwiebel beschrieb klar, was mit ihnen geschah, und gab anderen Ratschläge, wie sie vermeiden können, ähnlichen Angriffen zum Opfer zu fallen.
Warum Tango?
Es ist nicht sofort klar, warum die SEA auf Tango abzielte. Laut E Hacking News wird die Website mit einer veralteten Version von WordPress betrieben, daher war sie möglicherweise nur ein Gelegenheitsziel. Die BBC berichtet, dass die Gruppe "der syrischen Regierung einen Großteil der Informationen geben wird".
Dies ist eindeutig kein Fall von Vergeltungsmaßnahmen gegen Kritiker des syrischen Präsidenten Bashar-al-Assad. Eine Sammlung dieser personenbezogenen Daten könnte jedoch für personenbezogene Daten in Bezug auf zukünftige Angriffsziele verwendet werden. Wenn die Hacker den Namen, die E-Mail-Adresse und die Telefonnummer eines Opfers in der Zielorganisation kennen, können sie eine sehr überzeugende "Spear-Phishing" -E-Mail erstellen.
Die SEA kehrte in den Vergeltungsmodus zurück, als der Daily Dot-Blog den Tango-Hack mit einer Karikatur von Präsident Bashar-al-Assad kommentierte. Die SEA forderte zunächst die Entfernung des Bildes. Sie sagten sogar "Bitte". Als der Blog dies ablehnte, wurde der gesamte Artikel von der SEA gehackt und entfernt. Bei einem zweiten Verstoß drohte die SEA, "alle Ihre Websites zu löschen".
Tango Down?
Ich habe versucht, Tango zu kontaktieren, aber die Seite http://www.tango.me/contact-us hat den Fehler "Nicht gefunden" zurückgegeben. Da das Tool möglicherweise integrierte Kontaktdaten enthält, habe ich versucht, die PC-Edition herunterzuladen. Auch hier hat mir der Link (http://www.tango.me/downloading-pc/) nur einen "Not Found" -Fehler beschert. Als ich versuchte, das LinkedIn-Profil des Unternehmens anzuzeigen, erhielt ich die Meldung "Aufgrund eines unerwarteten Problems konnten wir Ihre Anfrage nicht bearbeiten." Es scheint möglich, dass Tango mehr Hack-Schaden als bloßen Diebstahl von Benutzerdaten erlitten hat.
Verteidige deine Seite
WordPress ist eine sehr beliebte Plattform für Websites im Blog-Stil und daher ein Hauptangriffsziel. Wenn Ihre Website auf WordPress basiert, müssen Sie die Plattform unbedingt auf dem neuesten Stand halten, da viele Updates schwerwiegende Sicherheitslücken schließen. Anscheinend tat Tango nicht; schau, was mit ihnen passiert ist.
Viele Medien verwenden ein Twitter-Gruppenkonto, und mehrere Reporter senden Tweets. Es ist etwas schwieriger, ein solches Gruppen-Twitter-Konto zu schützen, aber SecurityWatch hat einige Tipps für Sie. Beachten Sie, dass die Zwei-Faktor-Authentifizierung von Twitter für ein Gruppenkonto nicht wirksam ist.
Der schwächste Link
Der größte und am schwersten zu sichernde Einstiegspunkt für Hacker ist der Angriff durch Social Engineering. Beispielsweise wurde ein Mitarbeiter von The Onion durch eine Phishing-Nachricht zur Eingabe von Google Apps-Anmeldeinformationen auf einer gefälschten Website getäuscht. Mit diesen Anmeldeinformationen konnten Hacker auf alle Social-Media-Konten von The Onion zugreifen. Sie nutzten den gehackten Account auch, um einen zweiten Phishing-Angriff an mehr Mitarbeiter zu senden.
Sie brauchen eine vielschichtige Verteidigung gegen diese Art von Angriff. Erstellen und erzwingen Sie eine Richtlinie, bei der alle Mitarbeiter sichere Kennwörter verwenden müssen. Informieren Sie sie darüber, wie Sie betrügerische E-Mail-Nachrichten erkennen und wie Sie mit Links in E-Mails umgehen (klicken Sie nicht darauf!). Begrenzen Sie Ihre potenziellen Verluste, indem Sie jedem Mitarbeiter nur Zugriff auf die für den Job erforderlichen Konten und Ressourcen gewähren. Und seien Sie auf den Fall vorbereitet, dass trotz aller Vorsichtsmaßnahmen einige Schmo auf eine Phishing-Nachricht hereinfallen und dadurch Ihre Website gefährden.
