News Nach Phishing-Angriff: Framework bestätigt Abfluss von Kundendaten

[Crowbar]

Sitzt der Buchhalter in der EU? Jeder auf dieser Liste kann Schadenersatzforderungen stellen.

 

[Falc410]

Es sollte mMn als Standard von den Größen der Branche forciert werden und dabei eine daufähige Lösung erstellt werden.

Eher sollten wir auf E-Mails verzichten. Die Protokolle und Standards sind über 40 Jahre alt und haben eben ihre Probleme. In China ist die heutige Generation mit Smartphone aufgewachsen, die kenne keine E-Mails (ein paar nutzen QQ aber nicht viele). Da läuft alles über andere Messenger.
Auch eine Signatur ist nichts wert wenn du dir nicht sicher bist, dass der public key auch zu der richtigen Person gehört. Theoretisch gibt es ja ein Verzeichnis wo du deine Keys hochladen kannst aber es gibt halt eben nicht nur "ein" Verzeichnis. Der initiale Schlüsselaustausch ist weiterhin ein Problem und ich denke, so lange wir kein neues modernes Protokoll welche Security-by-Design eingebaut hat, bekommen, wird es nicht besser werden.
Selbst wenn Apple oder Google oder Microsoft etwas baut, wird es eine Insellösung bleiben.

 

[|Moppel|]

so lange wir kein neues modernes Protokoll welche Security-by-Design eingebaut hat, bekommen, wird es nicht besser werden.
Selbst wenn Apple oder Google oder Microsoft etwas baut, wird es eine Insellösung bleiben.

Aber wer soll das durchsetzen wenn nicht genau diese Unternehmen?

Ob es am Ende eine aufgebohrte Email ist oder unter der Haube etwas gänzlich anderes sollte keine Rolle spielen.
Die Leute müssen es nutzen können wie das gewohnte.

 

[Autokiller677]

Nutze bisher 2 verschiedene E-Mails, meine persönliche E-Mail nutze ich nur bei hochpreisigen Käufen bei deutschen Online-Shops, da kam seit 10 Jahren nicht eine Art von Spam oder ähnliches. Die andere ist für Amazon, Youtube, Foren usw. und da sieht die Sache schon anders aus, jede Menge Müll zum aussortieren.

Privat ist das eigentlich alles ziemlich langweilig. Alles, was ich da an Spam / Phishing bisher bekomme ist ziemlich lame.

Meine Arbeits-Email ist dagegen ein ganz anderer Level. Da eher selten, aber dann eben zielgerichtet, gibt sich als ein existierender Mitarbeiter einer Firma aus, mit der wir wirklich zu tun haben (meist aus einer kürzlichen Pressemitteilung), mit Bezug auf Themen die da angesprochen wurden usw.

Da hilft es nicht, die E-Mail Adresse nur bei "hochpreisigen" oder "vertrauenswürdigen" Anbietern anzugeben.

 

[GTrash81]

Kann man Leute schulen, um nicht so leicht auf Phishing rein zu fallen? Klar.
Ganz ausschließen können wird man das aber wohl nie, Faktor Mensch + immer bessere Phishing Mails. 🤷‍♂️

Auch als sehr versierter E-Mail-Empfänger gab es schon ein paar gute Phishing Mails in meinem Posteingang, wo ich dann doch fachkundig in den Quellcode geguckt habe, um Anhaltspunkte für nicht vorhandene Legitimität zu suchen (und die habe ich gefunden). Auch die erste Rechnung/Zahlungsaufforderung per PayPal, die ja wirklich über das PayPal System lief, musste ich kurz richtig einordnen

Mein Arbeitgeber markiert Mails mit einem Banner und Satz, wenn diese aus dem Internet kommt und
keinen Schutz via S/MIME oder GPG/PGP hat.
Hilft aber nicht, von dem was ich mitbekomme.

 

[iSight2TheBlind]

Ich denke, es könnte viel Leid in der Welt verhindert werden, wenn endlich verschlüsselte und signierte Mails zum Standard werden.

Ja, aber...

Eigentlich sollten dir auch Internetseiten durch Zertifikate anzeigen ob sie echt sind oder nicht, trotzdem geben Leute ihre Zugangsdaten für das Onlinebanking auf vloksbank-maerkischerkreis.dd ein.
Das Zertifikat nickt nur und sagt: "Jau, die Seite gehört wirklich vloksbank-maerkischerkreis.dd"

So sehr ich das System auch nicht leiden kann, aber Postfächer direkt auf der Bankseite (oder Stromversorger usw.) sind da noch das sicherere System für Benachrichtigungen als Informationen direkt per Mail zu versenden.
Effektiv ein "Es gibt eine neue Nachricht in Ihrem Postfach, bitte verwenden Sie Ihr eigenes Lesezeichen für den Aufruf", anstatt überhaupt irgendetwas direkt in der Mail zu verlinken.

 

[Barock]

Noch nie hat mich eine wirklich gute Phishing eMail erreicht. Alles grottig schlecht, angefangen vom hochverdächtigen Absender bis hin zu den Eingangsworten „Sehr geehrter Herr <eMail>“ … 🤦

 

[iSight2TheBlind]

bis hin zu den Eingangsworten „Sehr geehrter Herr <eMail>“ … 🤦

"Ich hoffe diese E-Mail trifft Sie gesund an"

Schreit für mich nach englischen Textbausteinen die einfach 1:1 ins Deutsche übersetzt wurden, obwohl diese Floskel hier so nicht wirklich geläufig ist.

 

[Nordwind2000]

Was Linus wohl dazu sagt? So als Großinvestor... Nicht das es am WE gleich ein Video in seinen TechTipps gibt mit dem Titel: LTT phishing problems...

 

[RobZ-]

Bei uns in Firma schicken sie fake phising mails und wer drauf klick bekommt eins auf den Deckel Der Marsch zum Chef ist der beste Lehrer

 

[TomH22]

Das trifft es auf den Punkt. Verdrossenheit, Überforderung... alles häufig durch Desinteresse am logisch und strukturiert funktionierenden aber in der Vorstellung magisch unergründlichem Ding namens Computer und IT.

Damit macht man es sich zu einfach. Wir machen auch regelmäßig Phishing awareness Kampangnen (indem ein Dienstleister gezielt Phisung Mails verschickt) und Schulungen. Die große Mehrheit unserer Mitarbeiter ist da auch sehr interessiert und aufmerksam. Trotzdem fällt immer wieder ein nicht unerheblicher Teil auf die Kampagnen rein. Man muss aber auch sagen, das diese Mails bewusst immer raffinierter werden. Und da zeigt sich: Man muss es nur gut genug machen, dann bekommt man irgendwann jeden. Die letze Kampagne kam vorgeblich von unserer IT und man sollte bestätigen, das man eine bestimmte Software noch regelmäßig benutzt, sonst würde sie zum Jahresende deinstalliert. Und da es sowas bei uns häufig gibt, sind viele (u.a ich…) reingefallen. Hat mich sehr geärgert.

Anderseits ist mittlerweile die Verunsicherung unserer Mitarbeiter so hoch, dass selbst legitime Workflows (wie Docusign) nicht mehr reibungslos nutzbar sind.

Allerdings ist irgendwo draufzuklicken noch mal was anderes als einindividuelles Dokument zu erstellen und zu versenden.

Noch nie hat mich eine wirklich gute Phishing eMail erreicht.

Privat kannst Du nicht mit Firmen vergleichen.