Wöchentliche Zusammenfassung der E-Mail-Sicherheitsnachrichten #3 [Juli 2022]

Cybersicherheitsprobleme machen jeden Tag Schlagzeilen, und neue und sich entwickelnde Bedrohungen bereiten Regierungsbehörden, großen Unternehmen und Privatpersonen große Sorgen.

Allein E-Mail-Phishing ist nach wie vor ein Hauptanliegen von IT-Spezialisten. Die einzige Möglichkeit, den Bedrohungen der Cybersicherheit einen Schritt voraus zu sein, besteht darin, sich über die neuesten Schlagzeilen auf dem Laufenden zu halten und dafür zu sorgen, dass ausreichende Sicherheitsmaßnahmen ergriffen werden.

Lesen Sie weiter, um die wichtigsten Nachrichten zur Cybersicherheit und E-Mail-Sicherheit der Woche zu erfahren.

 

70.000 E-Mail-Adressen von Nutzern einer App für psychische Gesundheit offengelegt 

Die beliebte App für psychische Gesundheit Feelyou hat eine Sicherheitslücke in der Plattform bekannt gegeben, durch die die E-Mail-Adressen von 78.000 Nutzern in 177 Ländern offengelegt wurden.

Maia Arson Crimew, eine Sicherheitsforscherin, entdeckte das Problem beim Reverse-Engineering mehrerer Tracker für psychische Gesundheit und ähnlicher Apps.

Nachdem sie die Schwachstelle auf der Feelyou-Plattform gefunden hatte, wandte sich Crimew an The Daily Dot (ein Unternehmen für digitale Medien), das dies bekannt gab.

Die App zum Führen von Tagebüchern und Verfolgen der Stimmung gehört dem japanischen Unternehmen Bajji.

Bis letzte Woche konnte sich jeder die E-Mail-Adressen der Nutzer beschaffen und sie mit anonymen Beiträgen verknüpfen, indem er einfach ohne Authentifizierung auf die GraphQL-Programmierschnittstelle der App zugriff.

Der Gründer von Bajji, Noritaka Kobayashi, äußerte sich zu dem Problem und sagte, die Sicherheitslücke bestehe seit dem 25. Januar. Er behauptete, dass keine Beweise für den Angriff gefunden worden seien.

Kobayashi betonte, dass die App keine personenbezogenen Daten ihrer Nutzer erhebt, wie z. B.:

  • Namen
  • Geschlechter
  • Telefonnummern
  • Land, Adressen
  • Geburtsdaten
  • Angaben zur Kreditkarte

In einem Blogbeitrag in seiner App informierte Feelyou seine Nutzer darüber, dass die Sicherheitslücke nun gepatcht ist.

 

Raffinierter PayPal-Phishing-Betrug führt zu vollständigem Identitätsdiebstahl

Das amerikanische Unternehmen für Content-Delivery-Netzwerke, Cybersicherheit und Cloud-Dienste Akamai Technologies hat diese Woche über einen ausgeklügelten PayPal-Phishing-Betrug berichtet.

Das Unternehmen lieferte detaillierte Informationen über den ausgeklügelten Betrug, bei dem die Angreifer anfällige WordPress-Websites ausnutzen, um einen umfangreichen Identitätsdiebstahl zu begehen. Mithilfe von Brute-Force-Methoden dringen die Angreifer in solche Websites ein und injizieren das bösartige Phishing-Kit über ein Dateiverwaltungs-Plugin.

Die Cyberkriminellen verwenden dann eine gefälschte PayPal-Anmeldeseite, die der echten täuschend ähnlich ist, um die Zielpersonen zur Angabe sensibler Daten zu verleiten.

Die Angreifer sind jedoch nicht nur an den Anmeldedaten der Opfer interessiert, sondern imitieren auch legitime Sicherheitsmaßnahmen, um die Opfer zur Herausgabe vertraulicher Daten zu verleiten, wie z. B.:

  • Reisepässe
  • Sozialversicherungsnummern
  • Kreditkarteninformationen
  • Führerscheine
  • Selfies

Die Sicherheitsforscher von Akamai gaben an, dass sie das Phishing-Kit zuerst entdeckten, nachdem es auf einem ihrer WordPress-Honeypots aufgetaucht war. Interessanterweise fanden sie auch heraus, dass die Bedrohungsakteure fortschrittliche Maßnahmen nutzen, um Cybersecurity-Firmen zu umgehen und eine Aufdeckung zu vermeiden. Das Phishing-Kit verweist auf bekannte IP-Adressen und die Cyberkriminellen schreiben auch URLs um, die „.php“ am Ende enthalten, um den Opfern legitimer zu erscheinen.

 

Google LLC muss über 358 Millionen Dollar Strafe zahlen, weil es verbotene Daten nicht entfernt hat

Einem Bericht der russischen Internetaufsichtsbehörde Roskomnadzor zufolge haben Google und YouTube es versäumt, „verbotene Materialien“ in Russland zu entfernen oder den Zugang zu ihnen zu beschränken.

Die russische IT-Aufsichtsbehörde forderte die Entfernung mehrfach.

Daraufhin verhängte ein Moskauer Gericht gegen Google LLC eine Geldstrafe in Höhe von 358 Millionen Dollar, weil das Unternehmen es versäumt hatte, den Zugang zu den folgenden Inhalten zu beschränken:

  • Inhalt über Extremismus und Terrorismus
  • Informationen über „spezielle militärische Operationen“ in der Ukraine
  • Inhalte über schädliche Handlungen für das Leben und die Gesundheit von Kindern
  • Inhalte, die zur Teilnahme an nicht genehmigten Massenaktionen aufrufen

Die russische Telekommunikationsaufsichtsbehörde Roskomnadsor hat Google LLC im vergangenen Monat mit einer Geldstrafe in Höhe von 1,2 Millionen Dollar belegt, weil das Unternehmen die gesperrten Daten nicht entfernt und damit gegen zahlreiche Teile des russischen Gesetzes über Ordnungswidrigkeiten verstoßen hat.

Das vom russischen Gericht verhängte Bußgeld wäre einkommensabhängig und würde sich auf 10 % des Jahresumsatzes des Unternehmens in Russland belaufen.

Roskomnadzor erklärt, dass die Geldstrafe in Höhe von 358 Millionen Dollar auf der Grundlage des jährlichen Handelsumsatzes des Unternehmens in Russland berechnet wurde.

Russische Nutzer der Google-Suche, von YouTube und sogar Twitch werden nun eine Warnung sehen, dass die Plattformen gegen das Gesetz verstoßen. Die Nutzer werden auch nicht mehr die Erlaubnis haben, Werbung zu schalten.

Fazit

Statistiken zeigen, dass bis zu 81% der Unternehmen weltweit seit März 2020 eine Zunahme von E-Mail-Phishing-Angriffen erlebt haben.

Datenschutzverletzungen nehmen täglich zu, weil es an Bewusstsein für Cybersicherheit mangelt. Aus diesem Grund liefern wir wöchentliche Nachrichtenberichte und ausführliche Blogbeiträge zu verschiedenen Cybersicherheitsthemen, um Sie auf dem Laufenden zu halten, zu sensibilisieren und zu schulen.

Sichern Sie Ihre Domain und bleiben Sie vor Cyberangriffen geschützt!

E-Mail-Authentifizierung: Was ist das und warum ist es wichtig?

E-Mail-Authentifizierung: Was ist das und warum ist es wichtig?

Obwohl die E-Mail einer der wichtigsten Kommunikationskanäle für Privatpersonen und Unternehmen ist, war die...

Read More
Was ist eine DKIM-Signatur?

Was ist eine DKIM-Signatur?

Im Jahr 2020 erlebte die E-Mail als bevorzugtes Kommunikationsmittel weltweit einen rasanten Aufstieg. Durch...

Read More
Die 10 besten YouTube-Kanäle zum Thema Cybersicherheit

Die 10 besten YouTube-Kanäle zum Thema Cybersicherheit

Wenn Sie eine Karriere in der anspruchsvollen Welt der Cybersicherheit starten wollen, dann ist...

Read More