Vermeintlicher USB Stick Fund

[readme]

Moin,

ich bin schon länger hier stiller Mitleser, aber jetzt habe ich mal eine Frage.
Ich habe folgende E-Mail an meine (geschäftliche) Adresse bekommen:

Hallo Herr <Mein Realname>,

Ich habe beim Spaziergang mit meinem Hund im Pfaffengrunder Feld einen USB-Stick (Toshiba) gefunden, der wohl Daten von Ihnen enthält.

Kann ich Ihnen den Stick irgendwie zukommen lassen?

Viele Grüße
<...>
Von meinem iPhone gesendet

Ich habe geantwortet, dass ich weder einen USB Stick vermisse noch ein Pfaffengrunder Feld kenne (ist wohl bei Stuttgart, da wohne ich aber nicht) und dass die Dame keine unbekannten USB-Sticks anstecken sollte, weil das ein Sicherheitsrisiko birgt. Außerdem habe ich gefragt, wie sie denn darauf käme, dass dies mein Stick sei. (Ich schreibe da keine Namen drauf o.ä.)
Nun ja, es kam keine Antwort. Aber ich frage mich jetzt ob das irgendeine bekannte Betrugsmasche ist und wie das wohl weitergegangen wäre, wenn ich darauf eingegangen wäre. Weiß da jemand was?

Viele Grüße

 

[Sentrax]

Ich würde davon ausgehen, das es sich um einen gezielten Angriff auf deine Firma und den Versuch, Malware einzuschleusen, handelt.
Ich würde das auf jeden Fall deiner Firma melden.

Ist ein Variante von: USB-Stick auf dem Firmenparkplatz plazieren und warten was passiert.

 

[readme]

Ich bin selbstständig, nur ein kleiner Freiberufler, gibt eigentlich nix zu holen

Wäre interessant wie die dann auf mich kommen. Aber das Gefühl, dass da was faul ist hatte ich auf jeden Fall auch.

 

[Sentrax]

gibt eigentlich nix zu holen

Solche Sätze höre ich regelmäßig.

Das Problem dabei ist aber, das die meisten Menschen ihren eigenen Wert bewerten.
Andere werden bei der Bewertung aber nicht die selben Maßstäbe anlegen und daher regelmäßig zu anderen Ergebnissen kommen.

Beispiel:
Bei einer Firma kann man auch über eine externe Reinigungsfachkraft in die Infrastruktur der Firma reinkommen. Die würde das aber selber wahrscheinlich nie erkennen. (Ist ja auch nicht ihre Aufgabe)

Wäre interessant wie die dann auf mich kommen.

Impressum deiner Webseite, Handelsregister, gekaufte Adresslisten, ...

 

[end4win]

Oft genug geht es auch nicht um das "große Geld". Jedoch ist gerade bei kleinen Unternehmen die Wahrscheinlichkeit hoch, dass der Stick in einem schlecht gesicherten System landet auf dem wichtige Daten sind, oft genug mit schlechter Backupstrategie. Hier wird dann schnell lieber bezahlt statt z.B. Kunden und Lieferanten informieren zu müssen, das ihre vertraulichen Informationen gestohlen wurden oder nicht zugänglich sind. Auch das Risiko einer Anzeige bei der Polizei ist in solchen Fällen dann eher gering, die berüchtigte Dunkelziffer ist gerade im Bereich Ransomware ziemlich hoch.

Gruß

 

[bitmuncher]

Oft genug geht es auch nicht um das "große Geld". Jedoch ist gerade bei kleinen Unternehmen die Wahrscheinlichkeit hoch, dass der Stick in einem schlecht gesicherten System landet auf dem wichtige Daten sind, oft genug mit schlechter Backupstrategie. Hier wird dann schnell lieber bezahlt statt z.B. Kunden und Lieferanten informieren zu müssen, das ihre vertraulichen Informationen gestohlen wurden oder nicht zugänglich sind. Auch das Risiko einer Anzeige bei der Polizei ist in solchen Fällen dann eher gering, die berüchtigte Dunkelziffer ist gerade im Bereich Ransomware ziemlich hoch.

Gruß

Hinzu kommt, dass die Täter meist im Ausland sitzen, so dass die Polizei wenig ausrichten kann. Hänge auch gerade in einem Forensik-Fall, wo die Spuren aktuell Richtung China führen. Dass wir denen habhaft werden, ist laut LKA und Interpol eher unwahrscheinlich.

 

[M@gic]

Wir erhalten im Unternehmen regelmäßig Schulungen zum Thema.
Mitbewerber hatten schon schlechte Erfahrungen gemacht, weil sie das Thema nicht ernst genommen hatten (IT wird's schon richten).
Mitarbeiter sollten regelmäßig sensibilisiert werden (Mail, Umgang mit Firmenmaterial, Verhalten bei unbekannten Personen, Compliance etc.)
Die Motivationen hinter Angriffen (politisch, wirtschaftlich, EGO etc.) müssen sich den MA's nicht erschließen.

Ich persönlich melde lieber eine eMail mehr als verdächtig, als hinterher als Depp da zu stehen.