Die US-IT-Sicherheitsnachrichtenseite Bleeping Computer berichtet , dass das Mailsystem von Ikea Opfer eines Angriffs geworden sei. Die Angreifer können demnach an Ikea-Mitarbeiter jetzt Mails verschicken, die so aussehen, als ob sie von anderen Ikea-Mitarbeitern stammen würden. Vermutlich konnten die Angreifer in die Microsoft-Exchange-Server von Ikea eindringen.
Die Angreifer schaffen es demnach auf tatsächlich verschickte interne Mails zu antworten; die Cybergangster klinken sich also in eine bereits laufende Mailkommunikation ein. Deshalb wirken die von den Cybergangstern verschickten Mails authentisch – sie scheinen ja von echten Ikea-Mailkonten oder Ikea-Servern zu kommen – und die Gefahr ist groß, dass Ikea-Mitarbeiter die darin enthaltenen Links anklicken, die Office-Dateien herunterladen – dabei handelt es sich um ein “charts.zip” mit einer Exceldatei darin – und deren enthaltene Makros aktivieren. Die verdächtigen Links erkennt man wohl daran, dass sie am Ende sieben Zahlen enthalten.
Danach startet der Makrovirus und lädt weitere Dateien nach. Typischerweise sind darin das Schadprogramm „Qbot trojan“ alias “QakBot” oder “Quakbot” enthalten. Aber auch eine Infektion mit Emotet ist denkbar, wie Bleeping Computer schreibt. Emotet hat ohnehin gerade erst ein Comeback erlebt. Emotet: Gefährlichste Malware der Welt ist zurück – so schützen Sie sich.
Ikea hat seine Mitarbeiter bereits vor dieser „reply-chain phishing cyber-attack“ gewarnt. Die verseuchten Mails werden sowohl im Namen von Ikea-Organisationen als auch im Namen von Geschäftspartnern verschickt. Adressaten der Malware-verseuchten Mails sind aber nur Ikea-Mailkonten.
Ikea-Mitarbeiter, die Mails erhalten, über deren Authentizität sie sich unsicher sind, sollen sich an den IT-Support wenden. Wie immer in solchen Fällen sollte man den vermeintlichen Absender auf anderem Weg, zum Beispiel per Telefon oder über Microsoft Teams, kontaktieren und nachfragen und diesen vor allem auch darüber informieren, dass in seinem Namen Malware verschickt wird.
Stellungnahme von Ikea
Ikea hat den Angriff auf unsere Nachfrage hin bestätigt und uns diese Stellungnahme geschickt:
„Wir sind uns der Situation bezüglich des Phishing-Angriffs auf Teile der Ikea-Organisation bewusst. Es wurden Maßnahmen ergriffen, um Schäden zu verhindern, und eine umfassende Untersuchung ist im Gange, um das Problem zu lösen. Wir nehmen die Angelegenheit sehr ernst, da der Schutz personenbezogener Daten für Ikea ein Hauptanliegen ist.
Es hat für uns höchste Priorität, dass Ikea Kunden, Mitarbeiter und Geschäftspartner sicher sein können, dass ihre Daten geschützt sind und korrekt behandelt werden. Um dies zu gewährleisten, verwenden wir Sicherheitstechnologien zur Verschlüsselung aller persönlichen Daten, einschließlich Kartennummern, Adressen und anderer Informationen.
Wir haben keine Hinweise darauf, dass Kundendaten kompromittiert worden sind.“ Zitat Ende
Autor: Hans-Christian Dirscherl, Redakteur
Hans-Christian Dirscherl schreibt seit über 20 Jahren zu fast allen IT-Themen. Sein Fokus liegt auf der Koordination und Produktion von Nachrichten mit hohem Nutzwert sowie auf ausführlichen Tests und Ratgebern für die Bereiche Smart Home, Smart Garden und Automotive.