Der niederländische Fernsehsender NOS Dutch, welcher über den Hookers.nl-Hack berichtete, zeigt auf, dass die angezeigte E-Mail-Adresse vieler Forenbesucher einen Rückschluss auf ihren tatsächlichen Namen zulässt. Viele Nutzer des Forums baten in Folge des Angriffs um die Schließung ihres Accounts.
Hookers.nl wurde über eine Schwachstelle in der vBulletin-Forumssoftware zum Opfer. Die gleiche Schwachstelle nutzten Angreifer bereits, um die Datenbank des Sicherheitsunternehmens Comodo zu infiltrieren. Das Unternehmen bestätigte inzwischen, dass es das vBulletin-Sicherheitsupdate des Anbieters, dass seit dem 26. September verfügbar ist, nicht rechtzeitig installierte. Die Unternehmen geben ihr Bestes, um einen Angriff zu unterbinden, dennoch gibt es keine Garantie, einen vergleichbaren Hack zu verhindern.
Hookers.nl – Hack als mögliche Vorlage einer Phishing-Kampagne
Vielen Nutzern scheint nach wie vor nicht genügend klar zu sein, wie gefährlich es ist, sensible Daten im Internet preiszugeben. Einmal im Netz, besteht jederzeit die Gefahr, dass intime Informationen in die Hände von Kriminellen gelangen. Ihr einziger Schutz sind die Sicherheitsmaßnahmen des Foren-Betreibers, auf die sie blind vertrauen müssen. Besser ist es daher, sich von Anfang an genau zu überlegen, welche Details man im Internet über sich und sein Leben veröffentlichen möchte.
Ziemlich sicher jedenfalls wird dieser Hack nun als Vorlage für Phishing-Kampagnen verwendet werden, denn auch Nicht-Mitglieder von Hookers.nl könnten Peinliches zu verbergen haben. So ist davon auszugehen, dass wahrscheinlich eine Vielzahl an Menschen auf einen möglichen Betrug dieser Art reinfallen würde. Zwar handelt es sich in diesem Fall um ein niederländisches Forum, dennoch ist die Angriffsmethode übertragbar auf weitere Länder. So könnte ein Mitarbeiter während der Arbeit auf eine derartige Spam-Mail hereinfallen und die Firma einem Sicherheitsrisiko aussetzen.
Um sich gegen diese Art von Betrug zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen und wachsam gegenüber Betrugsversuchen zu sein. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr von Angriffen und Betrugsversuchen.
