Vor kurzem haben Cybersicherheitsforscher der Öffentlichkeit in einem Blogbeitrag eine neue, groß angelegte Phishing-Kampagne vorgestellt, die auf Facebook-Business-Nutzer abzielt. Seit dem 20. Dezember 2024, so die Forscher, wurden mehrere tausend E-Mails mit Benachrichtigungen über angebliche Urheberrechtsverletzungen, an Mitarbeiter von Unternehmen mit Facebook-Business-Account versandt.
Mehr als 12.000 Opfer konnten bislang ausgemacht werden – beheimatet in den USA (45,0 Prozent), der EU (45,5 Prozent) und Australien (9,5 Prozent). Da auch Vorlagen für Phishing-E-Mails in chinesischer und arabischer Sprache existieren, ist aber auch ein deutlich größerer Opferkreis denkbar.
Für den Versand ihrer E-Mails nutzen die Angreifer den automatisierten E-Mail-Marketing-Service von Salesforce – ganz legitim, ohne gegen die Nutzugsbedingungen oder die Sicherheitssysteme des Dienstes zu verstoßen. Da sie die Absender-ID nicht ändern, werden ihre E-Mails mit der Adresse ‚noreply@salesforce.com‘ gebrandet. Ihren Opfern – und deren Sicherheitssystemen – erscheinen die Absender so absolut legitim und seriös.
Anders wahrscheinlich – in vielen Fällen – die Aufmachung der E-Mails. Den Kopf der Benachrichtigung ziert ein Fake-Facebook-Logo – in unzähligen Varianten, einige schlechter, andere besser gestaltet. Der E-Mail-Text dagegen, klingt dann wieder serös. Dem Opfer wird erklärt, dass sein Unternehmen auf Facebook-Business eine Urheberrechtsverletzung begangen habe. Es folgt die Aufforderung, einen Link anzuklicken. Der Link leitet das Opfer dann zu einer Phishing-Webseite, getarnt als Facebook-Supportseite, weiter. Hier wird es dazu aufgefordert, für eine Überprüfung seines Accounts seine Anmeldedaten einzugeben. Ansonsten müsse Facebook den Unternehmens-Account löschen.
Haben sich die Cyberkriminellen in den Besitz der Credentials gebracht, ist es ihnen ein Leichtes, sich Zugang zum Facebook-Unternehmenskonto zu verschaffen und – im schlimmsten Fall – die Kontrolle über die Seite zu übernehmen. Die Angreifer können dann etwa Inhalte löschen oder ändern, Nachrichten manipulieren oder auch Änderungen an den Sicherheitseinstellungen vornehmen. Im schlimmsten Fall kann sich das Opfer dann nicht mehr in sein eigenes Konto einwählen. Die möglichen Folgen: ein Stillstand des Online-Vertriebs und Vertrauensverluste bei Partnern, Zulieferern und Kunden.
Die Angriffskampagne auf Facebook-Business reiht sich ein in die zahlreichen Phishing-Angriffskampagnen der vergangenen Jahre, die es auf die Credentials von Business-Plattformen abgesehen haben. Erinnert sei hier nur an die unzähligen Kampagnen der letzten Monate, die LinkedIn- und Xing-Accounts zum Gegenstand hatten.
Unternehmen aller Branchen – auch und gerade kleinen und mittleren – kann nur geraten werden, hier möglichst rasch gegenzusteuern, ihr Human-Risk-Management besser in den Blick und in den Griff zu bekommen. Denn: nach wie vor stellen gestohlene Anmeldedaten das Einfallstor Nr. 1 eines jeden erfolgreichen Cyberangriffs dar.
Die eigenen Mitarbeiter, wie in den vergangenen Jahren in vielen Unternehmen nur allzu häufig geschehen, von Zeit zu Zeit einem Phishing-Trainingkurs zu unterziehen, genügt nicht mehr. Um die Risiken der eigenen Mitarbeiter umfassend im Blick und im Griff zu behalten, muss das Human-Risk-Management professioneller, zielgerichteter, kontinuierlicher aufgestellt werden.
Längst lassen sich Phishing-Trainings, -Schulungen und -Tests, KI sei Dank, personalisieren, zuschneiden auf die spezifischen Schwachstellen der einzelnen Mitarbeiter, und automatisiert – und damit kontinuierlicher – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um so selbst neueste Zero-Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen. Mit solchen und ähnlichen Lösungen wird es Unternehmen auch in Zukunft gelingen, die unzähligen Human-Risks, die jedem Unternehmen nun einmal innewohnen, im Blick zu behalten und bestmöglich zu managen.
#KnowBe4
