Gefälschter Europcar-Hack

Gefälschter Europcar-Hack

Beitrag teilen

Ende Januar wurden in einem Untergrundforum angebliche Daten von rund 50 Millionen Europcar-Kunden angeboten. Europcar reagierte schnell und bestritt, dass es sich um eine echte Datei handele.

Weder seien die Daten in sich konsistent, noch seien insbesondere die E-Mail-Adressen bei Europcar überhaupt bekannt. Während Europcar die Vermutung äußerte, dass diese Daten mittels generativer KI (z.B. ChatGPT) erzeugt wurden, sind andere Sicherheitsforscher der Meinung, dass hier keine KI am Werk war. Allen gemeinsam ist jedoch die Meinung, dass diese Daten maschinell generiert wurden. Auch im Forum kam schnell der Verdacht auf, dass die zum Kauf angebotenen Daten nicht authentisch seien, was schließlich dazu führte, dass der Verkäufer im Forum gesperrt wurde. So interessant die Geschichte auf den ersten Blick auch sein mag, ein Blick „hinter die Geschichte“ offenbart weitere interessante Aspekte:

Ehre unter Kriminellen

Ein Narrativ im Ransomware-Umfeld der letzten Jahre ist die vermeintliche „Ehre“ der Cyberkriminellen: Wenn man für die Entschlüsselung zahlt, gebietet es die „Ehre“ der Kriminellen, auch den Schlüssel herauszugeben; nur ist „Ehre“ hier wirklich nicht das richtige Wort. Die Herausgabe des Schlüssels gegen Lösegeld hat nichts mit Ehre zu tun. Das ist schlicht und einfach der Geschäftstrieb von Kriminellen: Würde es sich herumsprechen, dass trotz Zahlung kein Schlüssel herausgegeben wurde, wäre das geschäftsschädigend, also reiner Eigennutz und keine „Ehre“.

Auch die Meinung, dass Kriminelle sich untereinander nicht betrügen, ist eher einem verklärten Robin Hood Narrativ geschuldet als den Tatsachen: Im obigen Fall hat ein Krimineller versucht, andere Kriminelle zu betrügen. Man kann nur hoffen, dass es noch keine Käufer gab. Und nur weil den Käufern der Weg über die offizielle Justiz versperrt ist, heißt das noch lange nicht, dass keine Konsequenzen zu befürchten sind. In der Vergangenheit haben ähnliche Aktionen zu sehr unrühmlichen Ergebnissen geführt. Das „Doxing“ (die virtuelle Entlarvung des Betrügers durch Hacken des E-Mail-Accounts, Veröffentlichung der echten Adresse, Persoscans, Veröffentlichung von Referenzpersonen usw.) ist dabei nur der Anfang. Doxing Informationen sind das, was man in den Foren sieht. Was ein möglicherweise betrogener Krimineller mit diesen Informationen in der realen Welt anstellt, sieht man nicht … vielleicht zum Glück.

Kennen Sie Ihre Daten?

Der vielleicht interessantere Aspekt aus Sicht der Verteidigung ist aber die Reaktion von Europcar. Europcar machte schnell und sehr deutlich klar, dass die Daten nicht echt waren. Der Vorfall zeigt aber auch, dass Kriminelle sehr wohl gefälschte Daten produzieren – sei es, um diese zu verkaufen (wie in diesem Fall) oder auch, um potentielle Opfer damit zu erpressen. Und genau hier wird es spannend. Stellen Sie sich vor, ein Unternehmen erhält (z.B. nach einem Ransomware Vorfall) eine weitere Erpressungsnachricht à la „Wir haben Ihre Daten! Anbei ein Beispiel. Wenn Sie nicht wollen, dass diese veröffentlicht werden …“.

Und nun die entscheidende Frage: Ist das Unternehmen in der Lage (zeitnah) zu prüfen, ob die Daten echt sind oder nicht? Je länger der Entscheidungsprozess dauert, desto nervöser kann das Management werden. Und diese Nervosität erhöht u.U. die Wahrscheinlichkeit, dass gezahlt wird – nur so als Failsafe-Lösung.

Daraus ergeben sich zwei wichtige Schlussfolgerungen für die Verteidigerseite. Erstens muss dieses Szenario, mit (angeblich) gestohlenen Daten erpresst zu werden, in die Risikobetrachtung einbezogen werden. Zweitens sollten dementsprechend auch risikomindernde Maßnahmen bzw. Verifikationsmaßnahmen (Prozesse, Zugriffsrechte, Personen) im Vorfeld definiert werden. Ansonsten kann es sehr schnell passieren, dass z.B. das beauftragte Incident Response Team die Daten nicht schnell genug verifizieren kann, weil z.B. die Datenbanken technisch nicht zugänglich sind. Ein weiterer Aspekt gerade bei personenbezogenen Daten ist sicherlich die DSGVO. Wie kann man in so einem Fall personenbezogene Daten verifizieren, ohne gegen die DSGVO zu verstoßen?

Beides sind Dinge, die man *im Vorfeld* relativ einfach definieren kann: Im Falle eines Falles kann dann der entsprechende Prozess geordnet durchlaufen werden. Ist der Prozess nicht definiert, bricht oft das große Chaos und die Panik aus – mit dem Effekt, dass die Aussage, ob die Daten mit denen erpresst wird, nicht zeitnah getroffen werden kann. Das wiederum erhöht die Wahrscheinlichkeit, dass die Erpresser zahlen.

Zwei Tipps

1) Bereiten Sie sich darauf vor, mit (angeblich) gestohlenen Daten erpresst zu werden.
2) Definieren Sie vorab Prozesse, mit denen Incident Responder im Falle eines Falles schnell (technisch) und rechtlich sauber auf Daten (lesend) zugreifen können, um die Authentizität eines Dumps zu verifizieren.

Mehr bei TrendMicro.com

 


Über Trend Micro

Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..


 

Passende Artikel zum Thema

Gefälschter Europcar-Hack

Ende Januar wurden in einem Untergrundforum angebliche Daten von rund 50 Millionen Europcar-Kunden angeboten. Europcar reagierte schnell und bestritt, dass ➡ Weiterlesen

Die richtigen Fragen stellen

“Prognosen sind schwierig, besonders wenn sie die Zukunft betreffen.” Diese Aussage, die wahlweise dem US-amerikanischen Autoren Mark Twain oder dem ➡ Weiterlesen

Passwortfreie Sicherheit

Passwörter stellen für Unternehmen ein hohes Sicherheitsrisiko dar. Durch Passwortdiebstahl können Angreifer oft unbemerkt in Unternehmenssysteme eindringen und einen hohen ➡ Weiterlesen

90 Prozent der Unternehmen zahlen Lösegeld

90 Prozent der Unternehmen haben in den letzten zwei Jahren Lösegeld gezahlt, um nach Cyberangriffen ihre Daten schnell wieder zu ➡ Weiterlesen

Cyberangriffe werden immer raffinierter

Ein führender Anbieter von Zero-Trust- und Zero-Knowledge-Lösungen zum Schutz von Anmeldedaten, privilegiertem Zugang und Remote-Verbindungen, veröffentlicht die wichtigsten Ergebnisse seiner ➡ Weiterlesen

NIS2 steht vor der Tür

In wenigen Monaten müssen zahlreiche Unternehmen die NIS2-Richtlinie umsetzen. Die neue EU-Direktive schreibt vor, strenge Maßnahmen zur Gewährleistung der Cybersicherheit ➡ Weiterlesen

Bekommen Unternehmen überhaupt eine Cyberversicherung?

Eine Cyberversicherung ist nicht nur eine Frage der Unternehmensstrategie, sondern auch, ob man überhaupt eine bekommt. Der neue Leitfaden von ➡ Weiterlesen

Gezielte E-Mail-Angriffe auf Energie- und Versorgungssektor

Erfolgreiche Angriffe auf Energie- und Versorgungsunternehmen, wie etwa Colonial Pipeline oder Ukrainische Energieversorger zeigen, wie weitreichend ein Angriff sein kann. ➡ Weiterlesen