Vorsicht vor aktuellen Betrugs-E-Mails und Mailchimp

von | Mrz 9, 2018 | IT Sicherheit |

Firmen-Accounts in Mailchimp, einem der beliebtesten Anbieter für das Versenden von Newslettern und anderen E-Mails, wurden gehackt. Dadurch werden zur Zeit viele Scam-E-Mails von Firmen an Kunden versendet, die aufgrund des Absenders (bekannte Firma) vertrauenswürdig erscheinen und Spamfilter problemlos umgehen. Bei diesen handelt es sich laut Untersuchungen hoch wahrscheinlich um Banking-Trojaner.

MongoDB Datenbanken durch Trojaner gelöscht

Details zur aktuellen Scam-E-Mail-Welle

Dadurch dass die Scam-E-Mails, die ausführbare in ZIP-Archiven gepackte Dateien und Texte mit Zahlungsaufforderungen und Links beinhalten, von gehackten legitimen Firmen-Accounts versendet werden, können diese problemlos Spamfilter überwinden. Sicherheitseinrichtungen, wie etwa eine E-Mail-Authentification greifen nicht, da die E-Mails tatsächlich von dem (authentifizierten) Absender stammen. Wir konnten Fälle recherchieren, in denen von allgemeinen Firmen-Adressen, als auch von hinterlegten persönlichen Adressen von Angestellten und Führungspersonal in Firmen versendet wurde. Da die Absenderadresse (persönlich) bekannt ist, tendiert Personal in Unternehmen entsprechend dazu, die E-Mails als vertrauenswürig einzustufen. Laut Berichten verwenden Scammer neben in Firmenaccounts hinterlegten Kontakten teils auch eigene Empfängerlisten. Zudem scheinen die derzeit täglichen Kampagnen kleinere und mittlere Unternehmen zum Ziel zu haben.

Mailchimp ist unsicher

Die neueren Vorfälle sind keine Seltenheit. Bereits in den Jahren 2016 und 2017 gab es ähnliche Scam-Kampagnen mit gestohlenen Firmen-Accounts. Das legt nahe, dass der Anbieter ein nachhaltiges Problem mit dem Schutz seiner Kundendaten hat. Dieses ist hausgemacht: Mailchimp nutzt viele verschiedene E-Mail-Server und baut diese ständig aus. Zudem wird der Anbieter von vielen Providern aufgrund seiner Popularität als Newsletter-Tool für Firmen gleich gewhitelistet. Das eigentlich prekäre Detail ist aber dass es bis heute vielfach ungeklärt ist, wie die Hacker an die Userdaten und Accounts kommen, um den Versand aus Mailchimp heraus durchzuführen. Die Spekulationen reichen von einem unsicheren Mailchimp-Subscription-Plugin in Websites bis hin zu Sicherheitslücken direkt im System des Anbieters.

MongoDB Datenbanken durch Trojaner gelöscht

Mailchimp unter EU-DSGVO hoch problematisch

Aufgrund dessen ist von der Nutzung des Services als Firma unter der neuen EU-DSGVO, die im Mai 2018 in Kraft tritt, gleich mehrfach abzuraten. Einserseits gehen Sie als Unternehmen das Risiko von existenzbedrohend hohen Strafen ein. Andererseits sind Sie nach dem neuen Gesetz verpflichtet, bei einem Data-Breach sämtliche betroffene Kunden zu informieren, was einen hohen Imageschaden nach sich zieht. Liest man die DSGVO im Detail wird Ihr Unternehmen bei einem Vorfall hoch wahrscheinlich eine Schuld treffen. Es gibt diverse technische und organisatorische Mängel. Mailchimp zwingt Sie (als Nutzer des Dienstes) zum Beispiel nicht eine 2-Faktor-Authentifizierung durchzuführen. Damit orientiert es sich streng genommen technisch nicht an den vorgeschriebenen Schutzzielen und an der Richtlinie „Datenschutz by Default“ (datenschutzfreundliche Voreinstellungen).

Unternehmerische Gegenmaßnahmen

Wir empfehlen Ihrem Unternehmen den Dienst nicht zu nutzen. Als bestehender Mailchimp-Nutzer sollten Sie zum Beispiel die 2-Faktor-Authentifizierung aktivieren und darüber nachdenken, welche Daten (z.B. Empfängerlisten) Sie beim Provider lagern, oder ob Sie diese nach Versand in Ihr internes System kopieren und aus Mailchimp löschen können. Falls Sie zu Unternehmen gehören, die derzeit viel Scam-E-Mails empfangen empfehlen wir Ihnen – abgesehen von möglichen technischen Maßnahmen – Ihr personal zu sensibiliseren grundsätzlich kritisch zu sein wenn …

  • E-Mails eigenartige Anhänge haben (ZIP-Files mit ausführbaren Dateien),
  • E-Mails Links zu unbekannten / eigenartigen Zieladressen beinhalten (man sieht das Linkziel in der Regel bei Mouseover ohne klicken zu müssen),
  • E-Mails oder unbekannte Zielseiten Aufforderungen Login-Daten einzugeben oder weiterzugeben haben,
  • bekannte Personen oder Unternehmen E-Mails mit Inhalten senden, die dies normalerweise nicht tun (wie etwa Aufforderungen zu Überweisungen oder zur Bekanntgabe von Login-Daten, etc.).

 

a

Textquellen & Links

a

Zur Seite ...