Salta al contenuto
News Cybersecurity NIS2

Phishing-Kampagne „Corriere Bartolini“: Vorsicht bei SMS und Zahlungsdaten

Phishing-Kampagne „Corriere Bartolini“: Vorsicht bei SMS und Zahlungsdaten

Auf einen Blick

ACN/CSIRT Italia hat eine Phishing-Kampagne per SMS entdeckt. Diese zielt darauf ab, Opfer dazu zu bringen, eine vermeintliche neue Zustellung zu buchen. Das Ziel ist es, persönliche Daten und Kreditkartendaten abzufragen. Es wird zu Vorsicht bei unerwarteten Mitteilungen und zur Überprüfung der Legitimität von Websites geraten.

Hintergrund

Das CSIRT Italia hat eine aktive Phishing-Kampagne entdeckt, die den Namen des „Corriere Bartolini“ nutzt. Der Betrug beginnt mit SMS-Nachrichten, die auf eine angeblich fehlgeschlagene Zustellung hinweisen und das Opfer dazu auffordern, diese über einen bösartigen Link neu zu planen.
Beim Klicken auf den Link wird der Benutzer auf eine Reihe betrügerischer Webseiten weitergeleitet. Diese imitieren grafisch den Verifizierungsprozess „Ich bin kein Roboter“, die Anzeige der Details einer fehlgeschlagenen Zustellung mit einer Sendungsverfolgungsnummer und einem Stichtag, und fordern dann die Aktualisierung der Adresse.
Schließlich wird eine Seite „Sichere Zahlung“ präsentiert, auf der ein geringer Betrag für die neue Zustellung angefordert wird. Hier werden sensible Zahlungskartendaten (Name des Karteninhabers, Nummer, Gültigkeitsdauer, CVV/CVC) erpresst. Der niedrige Betrag ist darauf ausgelegt, die Wachsamkeit der Opfer zu verringern, die bei geringfügigen Zahlungen möglicherweise keine weiteren Bankbestätigungen anfordern. Am Ende wird das Opfer auf die legitime Homepage des Kurierdienstes weitergeleitet. Das Veröffentlichungsdatum der Warnung ist der 13/07/26.

Warum es wichtig ist

Diese Phishing-Kampagne ist hochrelevant für DPOs und IT-Verantwortliche. Sie setzt Organisationen und deren Kunden erheblichen Risiken von Datenschutzverletzungen aus, einschließlich der potenziellen Kompromittierung persönlicher und finanzieller Daten. Unternehmen müssen sicherstellen, dass ihre Mitarbeiter angemessen geschult sind, um solche Bedrohungen zu erkennen, im Einklang mit den Anforderungen der DSGVO (z.B. Art. 32 zur Sicherheit der Verarbeitung), um Verstöße zu verhindern, die Meldungen an den Garante (Art. 33, 34) erfordern könnten.
Darüber hinaus fällt die Phishing-Bedrohung in den Bereich der NIS2-Richtlinie und der ISO 27001, die die Einführung robuster Maßnahmen für die Cyberresilienz und das Management von Sicherheitsvorfällen erfordern. Die Schulung des Personals und die Implementierung wirksamer technischer und organisatorischer Kontrollen sind entscheidend, um Informationen zu schützen und das Vertrauen der Kunden zu erhalten. Die Glaubwürdigkeit einer Organisation kann beeinträchtigt werden, wenn ihre Kunden Betrügereien erleben, die deren Marke ausnutzen.

Was zu tun ist

  • Regelmäßige Schulungen der Mitarbeiter zur Erkennung von Phishing- und Smishing-Techniken anbieten, dabei auf Misstrauen gegenüber unerwarteten Mitteilungen bestehen.
  • Immer die Legitimität von Websites und Domains überprüfen, bevor persönliche oder finanzielle Daten eingegeben werden, indem die Adresse der offiziellen Portale manuell in den Browser eingegeben wird.
  • Misstrauen gegenüber dringenden oder geringfügigen Zahlungsaufforderungen im Zusammenhang mit angeblichen Lieferungen, knappen Fristen oder Einziehungen, insbesondere wenn sie aus unaufgeforderten Mitteilungen stammen.
  • Im Falle eines Verdachts oder der Eingabe von Daten auf einer betrügerischen Website sofort das eigene Bankinstitut kontaktieren, um die Karte sperren und die Transaktionen überwachen zu lassen.
  • Die Implementierung der vom CSIRT bereitgestellten Indicators of Compromise (IoC) auf den eigenen Sicherheitsgeräten prüfen, um den Zugriff auf bekannte bösartige Websites zu blockieren.

Was zu vermeiden ist

  • Vermeiden Sie es, auf Links in SMS oder unaufgeforderten Nachrichten zu klicken, auch wenn sie von bekannten Diensten zu stammen scheinen.
  • Geben Sie niemals persönliche oder finanzielle Daten auf Websites ein, deren Authentizität und Legitimität Sie nicht zweifelsfrei überprüft haben.
  • Unterschätzen Sie keine Zahlungsaufforderungen, auch wenn es sich um Mindestbeträge handelt, wenn diese von verdächtigen Kanälen oder mit einem Gefühl der Dringlichkeit stammen.

Praktische Auswirkungen

Organisationen müssen das Risiko eingehen, dass ihre Mitarbeiter oder Kunden Opfer von Smishing-Kampagnen wie dieser werden können, mit potenziellen Verlusten persönlicher und finanzieller Daten. Dies hat direkte Auswirkungen auf die Einhaltung gesetzlicher Vorschriften (DSGVO, NIS2), den Ruf des Unternehmens und das Vertrauen der Kunden. Ein Vorfall könnte kostspielige Reaktions- und Meldemaßnahmen sowie potenzielle Sanktionen nach sich ziehen.

Empfohlene Maßnahmen

  • Schulungen zum Sicherheitsbewusstsein für alle Mitarbeiter verstärken, mit speziellem Fokus auf Phishing und Smishing.
  • Sicherheitssysteme zur Filterung bösartiger Inhalte und zur Blockierung von Indicators of Compromise implementieren und aktualisieren.
  • Klare Verfahren für das Management von Sicherheitsvorfällen definieren, einschließlich der Reaktion auf potenzielle Datenschutzverletzungen durch Betrug.
  • Kunden darüber aufklären, wie Betrug zu erkennen ist und wie die Organisation mit Mitteilungen zu Lieferungen und Zahlungen umgeht.

Zu vermeidende Fehler

  • Die Notwendigkeit einer kontinuierlichen und aktuellen Schulung des Personals in Bezug auf Cybersicherheit unterschätzen.
  • Sicherheitssysteme nicht implementieren oder nicht regelmäßig mit den neuesten von den Behörden bereitgestellten Indicators of Compromise aktualisieren.
  • Meldungen über Betrugsversuche oder Sicherheitsvorfälle ignorieren oder verzögern.

Fragen zur Selbsteinschätzung

  • Sind unsere Mitarbeiter ausreichend geschult, um Phishing- und Smishing-Versuche zu erkennen und zu melden?
  • Haben wir technische Kontrollen implementiert, um den Zugriff auf bekannte bösartige Websites (z.B. mittels IoC) zu blockieren oder zu melden?
  • Gibt es für unsere Kunden ein klares Verfahren, um die Authentizität von Unternehmensmitteilungen bezüglich Lieferungen oder Zahlungen zu überprüfen?
  • Wie sieht unser Reaktionsplan im Falle einer Datenschutzverletzung oder eines Finanzbetrugs aus, der aus einer Phishing-Kampagne resultiert, die unsere Daten oder unsere Marke betrifft?

Verweise

Nationales Recht: Regolamento UE 2016/679 (GDPR) Art. 32, Art. 33, Art. 34 · Direttiva NIS2 · ISO/IEC 27001

Zum Originalartikel auf ACN / CSIRT Italia ↗

Lesen Sie auch