Facebook: Phishing-Kampagne aufgedeckt

Mehr als 12.000 Opfer konnten bislang ausgemacht werden. Davon jeweils rund 45 Prozent in den USA und der EU. Da auch Vorlagen für Phishing-E-Mails in chinesischer und arabischer Sprache existieren, ist aber auch ein deutlich größerer Opferkreis denkbar. Für den Versand ihrer E-Mails nutzen die Angreifer den automatisierten E-Mail-Marketing-Service von Salesforce – ganz legitim, ohne gegen die Nutzungsbedingungen oder die Sicherheitssysteme des Dienstes zu verstoßen. Da sie die Absender-ID nicht ändern, werden ihre E-Mails mit der Adresse ‚Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.‘ gebrandet. Ihren Opfern – und deren Sicherheitssystemen – erscheinen die Absender so absolut legitim und seriös.

E-Mails mit Fake-Facebook-Logo

Anders wahrscheinlich – in vielen Fällen – die Aufmachung der E-Mails. Den Kopf der Benachrichtigung ziert ein Fake-Facebook-Logo – in unzähligen Varianten, einige schlechter, andere besser gestaltet. Der E-Mail-Text dagegen, klingt dann wieder serös. Dem Opfer wird erklärt, dass sein Unternehmen auf Facebook Business eine Urheberrechtsverletzung begangen habe. Es folgt die Aufforderung, einen Link anzuklicken. Der Link leitet das Opfer dann zu einer Phishing-Webseite, getarnt als Facebook-Supportseite, weiter. Hier wird es dazu aufgefordert, für eine Überprüfung seines Accounts seine Anmeldedaten einzugeben. Ansonsten müsse Facebook den Unternehmens-Account löschen.

Haben sich die Cyberkriminellen in den Besitz der Credentials gebracht, ist es ihnen ein Leichtes, sich Zugang zum Facebook-Unternehmenskonto zu verschaffen und – im schlimmsten Fall – die Kontrolle über die Seite zu übernehmen. Die Angreifer können dann etwa Inhalte löschen oder ändern, Nachrichten manipulieren oder auch Änderungen an den Sicherheitseinstellungen vornehmen. Im schlimmsten Fall kann sich das Opfer dann nicht mehr in sein eigenes Konto einwählen. Die möglichen Folgen: ein Stillstand des Online-Vertriebs und Vertrauensverluste bei Partnern, Zulieferern und Kunden.

Zahlreiche Phishing-Angriffskampagnen

Die Angriffskampagne auf Facebook Business reiht sich ein in die zahlreichen Phishing-Angriffskampagnen der vergangenen Jahre, die es auf die Credentials von Business-Plattformen abgesehen haben. Erinnert sei hier nur an die unzähligen Kampagnen der letzten Monate, die Linked-In- und Xing-Accounts zum Gegenstand hatten.

Unternehmen aller Branchen – auch und gerade kleinen und mittleren – kann nur geraten werden, hier möglichst rasch gegenzusteuern, ihr Human Risk Management besser in den Blick und in den Griff zu bekommen. Denn nach wie vor stellen gestohlene Anmeldedaten das Einfallstor Nr. 1 eines jeden erfolgreichen Cyberangriffs dar.

Die eigenen Mitarbeiter, wie in den vergangenen Jahren in vielen Unternehmen nur allzu häufig geschehen, von Zeit zu Zeit einem Phishing-Trainingkurs zu unterziehen, genügt nicht mehr. Um die Risiken der eigenen Mitarbeiter umfassend im Blick und im Griff zu behalten, muss das Human Risk Management professioneller, zielgerichteter, kontinuierlicher aufgestellt werden. Längst lassen sich Phishing-Schulungen – KI sei Dank – personalisieren und auf die spezifischen Schwachstellen der einzelnen Mitarbeiter zuschneiden. Aktuelle Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um so selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen.

Dr. Martin J. Krämer

ist Security Awareness Advocate bei KnowBe4.