Die Gemeinde erklärte am Dienstag, 4. Juni, dass kürzlich einer der IT-Dienstleister der Stadt ins Visier genommen wurde.
Ihr zufolge „wurde bei diesem Vorfall eine Datenbank im Internet offengelegt und persönliche Daten von Energy Service-Abonnenten könnten kompromittiert worden sein“. Mehr als 12.000 Menschen könnten betroffen sein und werden in den kommenden Tagen persönlich per Post informiert. Die Stadt Yverdon behauptet, entsprechende Massnahmen ergriffen zu haben und ruft zur Wachsamkeit auf.
Die Pressemitteilung der Stadt Yverdon-les-Bains:
Informationen zu einem Cyberangriff auf einen städtischen IT-Dienstleister
Das Energiedepartement der Stadt Yverdon-les-Bains wurde darüber informiert, dass einer ihrer externen Dienstleister einen Cyberangriff erlitten hat. Während dieses Vorfalls wurde eine Datenbank im Internet offengelegt und möglicherweise wurden personenbezogene Daten von Abonnenten des Energy Service kompromittiert. Die Stadt reagierte umgehend mit entsprechenden Maßnahmen. Die Computersysteme der Stadt sind von diesem Cyberangriff nicht betroffen.
Den bisherigen Untersuchungen zufolge könnten von diesem Vorfall nahezu 12.300 natürliche und juristische Personen betroffen sein. Bei den potenziell gefährdeten Daten handelt es sich um Kontakt- und Rechnungsdaten. Die betroffenen Personen und Unternehmen werden in den kommenden Tagen persönlich per Mail informiert.
Generell weist die Stadt darauf hin, dass bei verdächtigen oder unerwünschten E-Mails, SMS oder Telefonanrufen Vorsicht geboten ist, und empfiehlt, die Echtheit der empfangenen Nachrichten systematisch anhand der offiziellen Kontaktdaten der Absender zu überprüfen. Sie möchte die nachstehenden Informationen über die Risiken und die guten Ratschläge weitergeben, die von der kantonalen Interventionseinheit für Cybersicherheit (CSIRT) aufgestellt wurden.
Phishing- und Telefonbetrug
Angreifer können Telefonnummern verwenden, um Phishing-Anrufe zu tätigen und sich als legitime Unternehmen (Banken, Versorgungsunternehmen usw.) auszugeben, um Opfer dazu zu bringen, an zusätzliche vertrauliche Informationen wie Passwörter oder Bankkartennummern zu gelangen. Beispielsweise könnte ein Betrüger anrufen, der sich als Vertreter Ihrer Bank ausgibt, Sie über verdächtige Aktivitäten auf Ihrem Konto informiert und Sie auffordert, Ihre Identität durch Angabe Ihrer Kreditkartennummer oder Ihres Passworts zu bestätigen.
Sie können auch Phishing-Textnachrichten senden, die Links zu betrügerischen Websites enthalten, die darauf abzielen, persönliche Daten zu stehlen oder Malware auf den Telefonen der Opfer zu installieren. Beispielsweise kann eine Textnachricht vorgeben, von einem Lieferdienst zu stammen, in der es heißt, dass auf Sie ein Paket wartet, und Sie aufgefordert wird, auf einen Link zu klicken, um die Lieferdetails zu überprüfen, was in Wirklichkeit zu einer betrügerischen Website führt.
Hacken von Online-Konten
Persönliche Daten können zur Beantwortung von Sicherheitsfragen zu Online-Konten verwendet werden, wodurch es einfacher wird, diese Konten zu hacken. Beispielsweise kann die Kenntnis Ihrer Adresse oder Telefonnummer einem Angreifer dabei helfen, Passwörter für E-Mail-Konten, soziale Netzwerke oder andere Online-Dienste zurückzusetzen. Ein Hacker könnte sich somit Zugriff auf Ihr E-Mail-Konto verschaffen, indem er persönliche Informationen zur Beantwortung von Sicherheitsfragen verwendet, und diesen Zugriff dann nutzen, um andere mit dieser E-Mail-Adresse verknüpfte Konten zu kompromittieren.
Identitätsdiebstahl
Obwohl Adressen und Telefonnummern allein in der Regel nicht ausreichen, um einen vollständigen Identitätsdiebstahl zu begehen, können sie in Kombination mit anderen online gefundenen Informationen verwendet werden, um sich als Opfer auszugeben. Beispielsweise könnte ein Angreifer Ihre Adresse und Telefonnummer mit Informationen aus Ihren Social-Media-Profilen wie Ihrem Geburtsdatum oder dem Namen Ihrer Schule kombinieren, um ein vollständigeres und glaubwürdigeres Profil zu erstellen. Diese Informationen können dann verwendet werden, um in Ihrem Namen neue Bankkonten zu eröffnen oder einen Kredit zu beantragen.
Angesichts dieser Risiken hat die Stadt besondere Maßnahmen zum Schutz personenbezogener Daten ergriffen.
Sie empfiehlt den Bürgern, folgende Schutzmaßnahmen zu ergreifen:
Erhöhte Wachsamkeit
– Seien Sie besonders aufmerksam bei Anrufen, SMS und E-Mails, die unaufgefordert eingehen oder unzulässig erscheinen.
– Geben Sie niemals vertrauliche Informationen per E-Mail oder Telefon weiter: Keine Verwaltung oder seriöses Handelsunternehmen wird Sie per E-Mail oder Telefon nach Ihren Bankdaten oder Passwörtern fragen. Wenn Sie beispielsweise einen Anruf erhalten, der angeblich von Ihrer Bank stammt und Sie um vertrauliche Informationen bittet, legen Sie auf und rufen Sie direkt Ihre Bank an. Die offizielle Nummer finden Sie auf deren Website oder auf Ihren Kontoauszügen.
– Überprüfen Sie die Links vor dem Klicken: Positionieren Sie den Mauszeiger über einem fragwürdigen Link (ohne zu klicken), um die tatsächliche Adresse anzuzeigen. Überprüfen Sie die Plausibilität oder gehen Sie direkt auf die Website der betreffenden Organisation, indem Sie selbst im Internet recherchieren. Beispielsweise kann ein Link in einer E-Mail vorgeben, Sie zur Website Ihrer Bank zu führen. Wenn Sie jedoch mit der Maus über den Link fahren, sehen Sie, dass er zu einer verdächtigen Webadresse führt.
– Überprüfen Sie die Site-Adresse: Stellen Sie sicher, dass die in Ihrem Browser angezeigte Site-Adresse genau mit der betreffenden Site übereinstimmt. Ein einzelnes Zeichen kann abweichen und Sie irreführen. Im Zweifelsfall keine Angaben machen und die Seite sofort schließen. Anstelle von „www.banque.com“ könnte eine betrügerische Website beispielsweise „www.banq-ue.com“ verwenden.
– Unterschiedliche und komplexe Passwörter: Verwenden Sie für jede Website und Anwendung eindeutige und komplexe Passwörter, um zu verhindern, dass sich die Gefährdung eines Passworts auf Ihre anderen Konten auswirkt. Ein komplexes Passwort sollte beispielsweise eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
– Aktivieren der Zwei-Faktor-Authentifizierung (MFA): Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung, um die Sicherheit des Zugriffs auf Ihre Konten zu erhöhen. Das bedeutet, dass selbst wenn Ihr Passwort kompromittiert wird, ein zweiter Faktor, beispielsweise ein an Ihr Telefon gesendeter Code, erforderlich ist, um auf Ihr Konto zuzugreifen.
Schadensbericht
– Melden Sie alle Phishing-Versuche oder anderes verdächtiges Verhalten (Melden Sie alle Phishing-Versuche oder anderes verdächtiges Verhalten der Polizei.) Bewahren Sie im Falle einer betrügerischen Nutzung Ihrer persönlichen Daten alle Beweise mit Screenshots (Nachrichten, Webadressen usw.) auf. Wenn Sie beispielsweise eine verdächtige E-Mail erhalten, die angeblich von Ihrer Bank stammt, machen Sie einen Screenshot der E-Mail und der Absenderinformationen, bevor Sie sie den zuständigen Behörden melden.
Wenn Sie diese Empfehlungen befolgen, können Sie die mit einem Verlust personenbezogener Daten verbundenen Risiken erheblich reduzieren und Ihre sensiblen Informationen vor Cyberkriminellen schützen.
