Click Studios sagt: “Hören Sie auf zu twittern: Phisher verfolgen Informationen über Sicherheitsverletzungen, um neue Köder zu entwickeln

Cyber Security News

An der Außenfassade des Twitter-Hauptquartiers in San Francisco, Kalifornien, ist ein Schild angebracht. Das Unternehmen hat Entwickler gewarnt, dass ein Fehler ihre APIs und Token offengelegt haben könnte. (Justin Sullivan/Getty Images)

Das australische Passwort-Sicherheitsunternehmen Click Studios sagte, dass es glaubt, dass nur ein kleiner Teil seiner 29.000 Kunden von einer Sicherheitsverletzung betroffen war, die durch ein beschädigtes Update mit bösartigem Code verursacht wurde. In der Zwischenzeit könnten Kunden, die Korrespondenz des Unternehmens in den sozialen Medien posten, unwissentlich in neue Phishing-Methoden verwickelt sein.

In einem neuen Hinweis auf ihrer Website haben die Click Studios ein Update zu ihrer Untersuchung der Sicherheitsverletzung gegeben, die zwischen 20:33 Uhr Universal Coordinated Time am 20. April und 12:30 Uhr UCT am 23. April stattgefunden hat. Jeder Kunde, der sein PasswordState-Tool in diesem Zeitraum aktualisiert hat, könnte gefährdet worden sein.

“Die Anzahl der betroffenen Kunden ist noch sehr gering. Es wird davon ausgegangen, dass nur Kunden, die In-Place-Upgrades zwischen den oben genannten Zeitpunkten durchgeführt haben, betroffen sind”, erklärte das Unternehmen.

Es ist nicht klar, wie Click Studios “betroffene” Kunden in diesem Vorfall definiert. Das beschädigte Update war wahrscheinlich nur der erste Schritt in einem mehrstufigen Malware-Angriff, von dem Forscher der CSIS Security Group glauben, dass es sich um einen mehrstufigen Angriff handelt.

SC Media hat sich mit dem Unternehmen in Verbindung gesetzt, um weitere Klarstellungen zu erhalten.

Während Click Studios die betroffenen Kunden benachrichtigt hat, haben sie auch darum gebeten, keine Screenshots der Kommunikation des Unternehmens online zu veröffentlichen, und sagen, dass der böse Akteur “aktiv die sozialen Medien überwacht”, um weitere Informationen für ähnliche Angriffe zu erhalten. Konkret heißt es, dass eine am Freitag, den 23. April, gesendete E-Mail, in der die Sicherheitsverletzung bestätigt und mögliche Abhilfemaßnahmen beschrieben werden, in Phishing-E-Mails an einige Kunden weiterverwendet wurde.

“Leider haben einige Kunden Kopien dieser E-Mail in den sozialen Medien gepostet. Es ist davon auszugehen, dass der böse Akteur die sozialen Medien aktiv auf Informationen über die Kompromittierung und den Exploit überwacht”, sagte das Unternehmen. “Es ist wichtig, dass Kunden keine Informationen auf Social Media posten, die von dem bösen Akteur verwendet werden können. Dies ist mit Phishing-E-Mails geschehen, die den Inhalt von Click Studios-E-Mails replizieren.”

Die E-Mails fordern Kunden auf, ein Update herunterzuladen, das in Wirklichkeit eine modifizierte Version der dynamischen Link-Bibliothek ist, die im ursprünglichen Angriff verwendet wurde, der einen Content-Delivery-Network-Server aufrief, der nicht vom Unternehmen kontrolliert wurde, um eine Malware-Nutzlast zu erhalten. ClickStudios sagte, dass der Server jetzt nicht mehr erreichbar ist und sie eine Probe der Nutzlast für weitere Analysen erhalten haben.

Kunden können eine Fälschung erkennen, indem sie auf die Domain-Endung achten, die nicht mit der von legitimen ClickStudios-E-Mails übereinstimmt, oder auf Behauptungen, dass ein “dringendes” Update erforderlich ist, um einen Fehler im vorherigen Patch zu überschreiben, oder auf E-Mails, die den Benutzer auffordern, das Update von einer Subdomain herunterzuladen.

Unternehmen werden nach Datenschutzverletzungen oft an den Pranger gestellt, weil es ihnen an Transparenz mangelt oder sie ihre Nutzer im Unklaren über mögliche Auswirkungen lassen. Dieser Vorfall zeigt die Kehrseite der Medaille, nämlich wie Informationen oder Mitteilungen eines Unternehmens nach einer Datenschutzverletzung von bösartigen Akteuren als Waffe eingesetzt werden können. Die Tatsache, dass diese neuen Köder so gestaltet sind, dass sie legitime Benachrichtigungs-E-Mails imitieren, zeigt einen cleveren Social-Engineering-Trick, bei dem im Wesentlichen die Ängste der PasswordState-Benutzer ausgenutzt werden, um mehr Details über die frühere Sicherheitsverletzung zu erfahren und sie mit demselben Angriff zu infizieren.

“Menschen nutzen soziale Medien oft, um Informationen zu posten, die anderen helfen sollen, über ein Problem oder eine Lösung Bescheid zu wissen, aber wenn es um Datenschutzverletzungen geht, kann das ein zweischneidiges Schwert sein”, sagt Stephen Banda, Senior Manager für Sicherheitslösungen bei Lookout. “Durch das Teilen von Screenshots von E-Mails, die von den Click Studios verschickt wurden, haben Social-Media-Nutzer Cyberkriminelle mit reichhaltigen Inhalten gefüttert, die sie benötigen, um Phishing-Angriffe zu replizieren.”

Die meisten Cybersecurity-Experten sind der Meinung, dass Unternehmen trotz dieser Risiken darauf drängen sollten, nach einem Sicherheitsverstoß so transparent wie möglich mit ihren Kunden und der Öffentlichkeit umzugehen, sowohl aus Pflichtgefühl als auch aus Gründen der Öffentlichkeitsarbeit. Chris Morales, Chief Information Security Officer bei der Aufklärungsfirma Netenrich, sagte, dass Click Studios den Standardprotokollen für Benachrichtigungen nach einem Sicherheitsverstoß folgte und dass ein Teil der Verantwortung auf die Kunden fallen sollte, die ihre Korrespondenz online stellen, ohne die möglichen Auswirkungen zu verstehen.

“Das Problem hier ist nicht der Benachrichtigungsprozess. Es sind die Benutzer, die die Benachrichtigung erhalten haben, die das öffentlich in den sozialen Medien posten und nicht verstehen, dass dies ein Zeitfenster sein soll, um alle Probleme zu lösen, bevor sie es öffentlich machen”, sagte Morales. “Das wird natürlich zu noch mehr Problemen führen.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com