Wie Slack Phishing funktioniert, um personenbezogene Daten zu sammeln und wie dies verhindert werden kann

Die traurige Realität von 2019 ist, dass Phishing nicht mehr nur ein E-Mail-Sicherheitsproblem ist. Seit einiger Zeit handelt es sich um ein Kommunikationssicherheitsproblem. Statistiken zufolge nimmt dieses Problem zu. Trotz der konzertierten Bemühungen von IT-Spezialisten und Kampagnenmitarbeitern auf der ganzen Welt fallen Internetnutzer weiterhin mit alarmierender Regelmäßigkeit auf E-Mail-Phishing-Betrug herein. Derzeit konnten 97% der Teilnehmer einer kürzlich durchgeführten Umfrage nicht feststellen, ob eine E-Mail gefälscht war oder nicht. Während die meisten Menschen zumindest einigermaßen wissen, dass es E-Mail-Phishing gibt, wissen nur wenige Benutzer außerhalb der IT-Spezialisten, die sich mit der Bekämpfung von Cyberkriminalität befassen, dass der neueste Trick von Cyberkriminellen Slack mit der gleichen Waffe bewaffnet .

Für Benutzer außerhalb des Regelkreises ist Slack ein Cloud-basierter Instant Messaging-Dienst, der vielen anderen ähnlichen Diensten ähnelt, mit denen die meisten Benutzer vertraut sind. Er richtet sich nur nach den Unternehmensanforderungen und der Zusammenarbeit im Team. Slack wurde allgemein für seine Nützlichkeit und Funktionalität gelobt, die es Mitarbeitern und Managern ermöglicht, Projekte und Diskussionsthemen schnell und effektiv zu organisieren und in separaten Kanälen zu diskutieren.

Leider scheint die Tatsache, dass dies hauptsächlich ein Arbeitsumfeld ist, die Menschen selbstzufrieden zu machen - was es Cyberkriminellen ermöglicht hat, allein 2017 rund 110 MILLIONEN US-Dollar von mehr als 30000 Personen, die Slack nutzen, einzusparen. Wie?

Alles, was die Gauner wirklich tun, ist, eine direkte Nachricht oder eine Slack- Bot-Erinnerung an die potenziellen Opfer zu verwenden und sich als jemand anderes auszugeben. Betrüger können leicht behaupten, dass sie derjenige sind, den sie gerne verkörpern möchten, und wenn der Benutzer nicht scharf genug ist, um die verräterischen Anzeichen zu erkennen, dass es sich tatsächlich um einen Betrüger handelt, besteht eine gute Chance, dass sie viel geben von persönlichen Informationen an den Gauner - oft sogar ein Weg in die Finanzen des Opfers. Ein besonders schlauer Gauner nutzte diese Phishing-Methode und verschaffte sich damit Zugang zu einer Site zum Speichern, Senden und Empfangen von digitaler Währung - nämlich MyEtherWallet (MEW). Die versendeten Nachrichten enthielten einen gefälschten Link, der Hackern Zugriff auf die MEW-Brieftasche des Opfers gewährte, sobald darauf geklickt wurde. Von diesem Zeitpunkt an können die Gauner nach Herzenslust Basic Attention Tokens (BATs) stehlen.

Es ist zu erwarten, dass Slack Maßnahmen gegen Betrüger ergreift, z. B. die Zusammenarbeit mit Anti-Hacker-Organisationen, die Bereitstellung aller erforderlichen Beweise für die Ermittlung von Cyberkriminalität durch die lokalen Behörden und sogar direkte Maßnahmen zur Verhinderung krimineller Aktivitäten - das Verbot verdächtiger oder offensichtlich missbräuchlicher Konten usw. Gerade die Dienste, die Slack anbietet, behindern jedoch die Fähigkeit, Cyber-Gauner größtenteils in Schach zu halten - schließlich ist Slack in erster Linie eine Kommunikationsplattform.

Dies bedeutet, dass man bei Slack nicht mit Sicherheit rechnen kann, genauso wie man nicht absolut sicher sein kann, dass keine der E-Mails, die sie in ihrem Google Mail-Konto erhalten, absolut sicher sind. Die Leute müssen das verstehen, um sicher zu sein, wenn sie Slack benutzen. Im Idealfall sollten Mitarbeiter oder Internetnutzer im Allgemeinen dann lernen, wie man gefälschte Nachrichten von echten Nachrichten unterscheidet, um Phishing-Angriffen vorzubeugen und von diesem Zeitpunkt an wachsam gegenüber Betrügern zu bleiben.