Oktober ist der Monat des nationalen Cybersecurity-Bewusstseins
Das U. S. Department of Homeland Security hat vor 18 Jahren den National Cybersecurity Awareness Month ins Leben gerufen. Diese jährliche Kampagne zielt darauf ab, das Bewusstsein für die besten Praktiken im Bereich der Cybersicherheit zu schärfen.
Alle 39 Sekunden kommt es zu Phishing- und Cyberangriffen. Außerdem sind 90% aller Cyberangriffe auf menschliches Versagen zurückzuführen. Deshalb sollte das Bewusstsein für Cybersicherheit für große und kleine Unternehmen und ihre Mitarbeiter höchste Priorität haben.
Die Kampagne 2021 zielte darauf ab, die persönliche Verantwortung zu betonen und Schritte zur Verbesserung der Cybersicherheit durch die folgenden wöchentlichen Themen zu unternehmen, die sich über den ganzen Monat erstreckten:
- Be Cyber Smart: In der ersten Woche wurde betont, wie wichtig es ist, sich auf eine grundlegende Cyberhygiene zu konzentrieren. Der erste Schritt besteht darin, Daten zu sichern, sichere Passwörter zu erstellen und eine Zwei- oder Multi-Faktor-Authentifizierung zu verwenden. Außerdem ist es wichtig, die Software regelmäßig zu aktualisieren und die Festplatten sauber zu halten.
- Fight the Phish! Als nächstes betonte die Kampagne, wie wichtig es ist, bei E-Mails, SMS oder Sprachnachrichten von Fremden und anonymen Quellen vorsichtig zu sein. Denken Sie nach, bevor Sie verdächtige E-Mails, Anhänge oder Links öffnen, und melden Sie sie gegebenenfalls.
- Explore. Experience. Share. Diese Woche zielte darauf ab, Studenten, Arbeitslose oder Menschen, die eine berufliche Veränderung anstreben, anzusprechen. Sie warb für Cybersicherheit als mögliches Berufsfeld.
- Cybersecurity First: Der Sensibilisierungsmonat endete mit einer Kampagne über die Priorisierung der Cybersicherheit. Der Schutz Ihrer geschäftlichen und personenbezogenen Daten sollte kein nachträglicher Gedanke sein. Daher sollten Unternehmen bewährte Praktiken in den Arbeitsalltag integrieren, Schulungen organisieren und den Prozessen mehr Aufmerksamkeit schenken.
Ausfall und Datenleck: Ist Meta noch Facebook?
Am 4. Oktober gegen 11:40 Uhr Ostküstenzeit verloren die Nutzer von Facebook den Zugang zu allen facebook.com-Webseiten, WhatsApp und Instagram. Die Websites kehrten etwa sechs Stunden später zurück.
Der Ausfall von Facebook dauerte fast einen ganzen Arbeitstag und verursachte Verluste für kleine Unternehmen, die Facebook, Instagram und WhatsApp als primäre Verkaufs- und Marketingplattformen nutzen. Der geschätzte Betrag während des Ausfalls von Facebook reichte von einigen hundert Dollar bis zu über 5.000 Dollar.
Der Ausfall betraf über 10 Millionen Marken und Unternehmen, die auf Facebook und Instagram werben. Dies beweist, wie groß der Einfluss von Facebook auf die Online-Wirtschaft ist. Ein kleiner Ausfall bedeutet enorme Verluste für diejenigen, die sich auf Facebook verlassen. Daher wäre es mehr als gerechtfertigt, nach einem solchen Vorfall seine Geschäfte woanders zu tätigen.
Facebook (jetzt Meta) hat in einer einzigen Minute etwa 164.000 Dollar verloren. Gleichzeitig fiel der Mitbegründer des Unternehmens, Mark Zuckerberg, aus der Forbes-Liste der fünf reichsten Menschen heraus und verlor rund 6 Milliarden Dollar.
Die Muttergesellschaft der Social-Media-Plattform hat sich zwar umbenannt, aber der Kern der Werte bleibt derselbe. Privacyaffairs.com, eine Publikation für Cybersicherheit, behauptet, dass die sensiblen Daten von über 1,5 Milliarden Facebook-Nutzern im Dark Web zum Verkauf stehen.
Internet-Abschaltungen: Wie viel Freiheit haben Sie?
Das Problem der absichtlichen Internet-Abschaltungen wird immer größer. In diesem Jahr geschah dies mindestens 50 Mal. Die Abschaltung ist ein Instrument, das von autoritären Regierungen eingesetzt wird, um Kritiker zum Schweigen zu bringen und die Bevölkerung zu kontrollieren. Diese Methode wird schon seit einiger Zeit gegen die Freiheit der Bürger, unabhängige politische Ansichten und die Demokratie eingesetzt.
Hier sind nur einige Beispiele aus den vergangenen Jahren:
- Während der Grünen Bewegung 2009 gehörte die iranische Regierung zu den ersten, die Websites blockierten.
- Ägypten wandte diesen Ansatz 2011 an, indem es die Menschen monatelang von der Kommunikation ausschloss.
- Kürzlich schränkte Russland Twitter ein, weil es „anstößige“ Inhalte über den Oppositionellen Alexei Navalny nicht entfernt hatte.
- In Indien gab es 127 Internetsperren im Jahr 2020 und mehrere Fälle im Jahr 2021, auch in den letzten Monaten.
Um dieses Problem zu lösen, brauchen die demokratischen Gemeinschaften die Einigkeit von Regierungen, großen Unternehmen und Journalisten, die bereit sind, das Problem in der Welt zu thematisieren.
Neue Super-Malware für Android stiehlt Daten von Ihrem Gerät
Die Malware mit dem Namen TangleBot, die sich über Textnachrichten verbreitet, tauchte erstmals im September auf. Sie verschafft sich Zugang zu Ihrem Gerät, um:
- sensible Daten zu stehlen
- alle Benutzeraktivitäten zu überwachen
- Audio abzuhören
- die Kamera zu benutzen
- den Standort des Geräts zu beobachten
- besuchte Websites einzusehen
- Anmeldedaten zu stehlen
Kurz gesagt, der Bot versorgt die Angreifer mit allen Informationen von dem infizierten Android-Gerät. Die USA und Kanada sind die primären Ziele.
Google startet die Initiative „Sicherheit für Arbeitsbereiche“
Im Oktober hat Google mit der Gründung seines Action Teams in die Sicherheit von Arbeitsplätzen investiert. Es zielt darauf ab, die strategische Beratung kleiner Unternehmen, die digitale Transformation von Regierungen, kritische Infrastrukturen und Bedrohungsdaten zu unterstützen.
Das Action Team soll Unternehmen bei der Entwicklung und Umsetzung von Sicherheitsstrategien in hybriden Umgebungen, einschließlich lokaler, Rechenzentrums- und Cloud-Infrastruktur, unterstützen.
Google hat außerdem erklärt, dass es in den nächsten fünf Jahren 10 Milliarden Dollar in den Ausbau seines Google Career Certificate-Programms investieren wird. Ziel ist es, 100.000 Amerikaner in technischen Einstiegsbereichen auszubilden.
Microsoft-Trainingsprogramme für Community Colleges
Die Förderung des Bewusstseins für Cybersicherheit und die Aufklärung darüber ist zu einem Trend unter großen Unternehmen geworden. Am 28. Oktober gab Microsoft seinen Plan bekannt, mit Community Colleges in den Vereinigten Staaten zusammenzuarbeiten. Ziel ist es, das Potenzial dieser Hochschulen für die Ausbildung von Berufsanfängern im Bereich Cybersicherheit zu nutzen, um deren Chancen auf dem Arbeitsmarkt zu verbessern. Microsoft wird
- kostenlose Schulungskurse für mehr als 25.000 Studenten und Lehrer an 150 US-Colleges anbieten
- in den nächsten vier Jahren 250.000 Arbeitsplätze im Bereich Cybersicherheit besetzen
- das Bewusstsein für Cybersicherheit stärken
Die Entscheidung des Unternehmens, mit Community Colleges zusammenzuarbeiten, ist logisch. Sie sind
- günstiger
- in jedem Bundesland zu finden
- flexibler bei den Lehrplänen
Analyse von Business Email Compromise (BEC) durch Trend Micro
Im jüngsten Bericht von Trend Micro heißt es, dass die BEC-Erkennungsrate im September bei 22% lag, verglichen mit 5% zu Beginn des Jahres. Eine weitere wichtige Analyse in der Studie betrifft das Namensspoofing. Die meisten Angriffe (64%) in dieser Kategorie zielten auf den amerikanischen Kontinent ab.
BEC-Betrug und Phishing können schwer zu erkennen sein, da sie auf bestimmte Empfänger abzielen. Angreifer haben es auf E-Mail-Konten abgesehen, um Zugang zu Finanzdaten und anderen sensiblen Informationen im Zusammenhang mit dem Geschäftsbetrieb zu erhalten. BEC-Angreifer können diesen Zugang und diese Informationen leicht für verschiedene illegale Aktivitäten nutzen.
Google unterbricht eine massive YouTube-basierte Phishing- und Malware-Kampagne
Seit Mai 2021 hat Google 1,6 Millionen Phishing-E-Mails einer Malware-Kampagne blockiert, mit der YouTube-Konten gekapert und für Kryptowährungen geworben wurde. Das Unternehmen identifizierte außerdem 1.011 Domains, die für die Verbreitung von Malware erstellt wurden. Letztere gaben sich als führende Tech-Websites aus, wie Cisco VPN, Games on Steam und Luminar.
Die Hacker setzten intensive Angriffe ein und versuchten, die Computer der Urheber mit Malware zu infizieren, die Login-Cookies stiehlt. Dabei wurden rund 15.000 gefälschte Konten und über eine Million Nachrichten an die Zielpersonen versandt.
Eine Reihe von Verhaftungen im Zusammenhang mit Cyberkriminalität
Phishing-Angriffe können Tage und sogar Jahre dauern. Nach einjährigen Ermittlungen verhaftete Europol im Oktober 106 Mitglieder einer organisierten Verbrecherbande. Sie wurden beschuldigt, Phishing-Angriffe durchgeführt zu haben, um vertrauliche Informationen zu stehlen, sich Zugang zu Bankkonten zu verschaffen und SIM-Karten auszutauschen.
Diese in Europa ansässige Organisation war zwar sehr groß und es dauerte mindestens ein Jahr, sie zu zerschlagen, aber sie ist nicht die größte, die derzeit aktiv ist. Unternehmen und Regierungen vernachlässigen häufig Sicherheitsmaßnahmen, während sie anfangen sollten, die Bedeutung proaktiver Maßnahmen zur Verhinderung von Datenverlusten zu verstehen.