Wie wir bereits in den vorangegangenen Modulen erwähnt haben, führen Cyberbedrohungen zu erheblichen Verlusten in Unternehmen jeder Größe und Branche. In Modul vier geben wir Ihnen einige Beispiele für Phishing-E-Mails aus realen Phishing-Kampagnen, zeigen Ihnen den Wiederherstellungsprozess und die daraus gezogenen Lehren.
Beispiele für Phishing-E-Mails
Fall 1: Verlust von 407.000 $ eines Krankenhauses
Ein ländliches Krankenhaus schloss einen Vertrag über die Übernahme von Notdiensten mit der ED Group ab. Jeden Monat erhielten sie eine E-Mail-Rechnung, und das Krankenhaus zahlte 200.000 Dollar und mehr für die Dienstleistungen. Die Phishing-E-Mails wurden über mehrere Monate hinweg verschickt, bis jemand entdeckte, dass die ED Group niemals Zahlungsaufforderungen per E-Mail verschickte. Durch diesen Betrug verlor das Krankenhaus 407.000 Dollar.
In allen Beispielen für Phishing-Angriffe ist menschliches Versagen die Tür zu betrügerischen Aktivitäten. In diesem Fall gab es jedoch eine sichere Möglichkeit für das Krankenhauspersonal, den Betrug zumindest zu erkennen. Die Zahlung für den ersten Monat wurde von der ED Group einmal wegen eines gesperrten Kontos abgelehnt. Als das Geld zurückkam, schickte das Krankenhaus eine weitere Zahlung an eine neue Kontonummer.
Nach diesem Vorfall machte das Krankenhaus Cybersicherheitsschulungen und Zwei-Faktor-E-Mail-Authentifizierungen für alle Manager zu einer Priorität. Außerdem wurden die Überweisungsverfahren geändert, einschließlich einer obligatorischen mündlichen Bestätigung eines bestimmten Lieferanten für Finanztransaktionen.
Dieses Beispiel einer Phishing-E-Mail zeigt vor allem, wie wichtig es ist, auf den Absender der E-Mail zu achten und die Adresse zu überprüfen, insbesondere wenn es um große Geldbeträge geht.
Fall 2: CEO-Betrug bei Upsher-Smith Laboratories
CEO-Betrug ist ein Beispiel für Phishing-E-Mails, bei denen der Name des Vorstandsvorsitzenden eines Unternehmens ausgenutzt wird, um Mitarbeiter dazu zu bringen, Informationen preiszugeben oder Überweisungen zu tätigen. Im Fall von Upsher-Smith Laboratories brachten die Angreifer den Koordinator für die Kreditorenbuchhaltung dazu, dringend rund 50 Millionen Dollar in neun verschiedenen Transaktionen auf das Konto des „CEO“ zu überweisen. Natürlich stellte sich heraus, dass das Bankkonto den Cyberkriminellen gehörte.
Dies ist eines dieser Phishing-Beispiele, bei denen der Mitarbeiter die Hauptschuld trägt. Allerdings spielen hier auch andere Faktoren eine Rolle. Die Überweisungen waren umfangreich und häufig, so dass ein Bankmitarbeiter hätte anrufen müssen, um die Transaktion zu überprüfen, bevor er sie freigibt. Hätte das Unternehmen hingegen ein festgelegtes Verfahren für große Transaktionen gehabt, hätte ein unnötiger Verlust vermieden werden können.
Obwohl der Prozess bei 39 Millionen Dollar unterbrochen wurde, war der Schaden bereits angerichtet. Natürlich konnte das Unternehmen das Geld nicht zurückerhalten. Das Unternehmen lernte eine teure Lektion über die Bestätigung ungewöhnlicher Anfragen, selbst wenn sie dringend sind und vom CEO kommen. Außerdem mag es schwierig und zeitaufwendig sein, Verfahren festzulegen, aber es hat einen enormen Wert.
Insgesamt hätten die Folgen dieser beiden Beispiele für Phishing-E-Mails vermieden werden können, wenn die Unternehmen über strenge Richtlinien und ausreichendes Know-how im Bereich der Cybersicherheit verfügt hätten.
Im nächsten Modul erfahren Sie mehr über eine andere Art von Social-Engineering-Angriffen, bei denen das Opfer zwar nicht direkt Geld verliert, aber ganze Netzwerke infiziert werden können.