Unternehmen sind zunehmend mit besonders raffinierten Angriffsmethoden konfrontiert, die darauf abzielen, sensible Unternehmensdaten zu kompromittieren. Ein aktueller Vorfall aus unserer Leitstelle verdeutlicht wieder einmal die Gefahr von Social-Engineering-Angriffen, bei denen Hacker menschliche Schwachstellen ausnutzen, um Zugang zu vertraulichen Informationen zu erlangen. Um solche Angriffe zu verhindern, ist die Sensibilisierung und Schulung der Mitarbeiter von entscheidender Bedeutung. Im folgenden Beitrag werden wir die technischen Details eines kürzlich aufgetretenen Social-Engineering-Angriffs auf eines unserer Kundennetzwerke darstellen und praktische Handlungsempfehlungen zur Stärkung von Sicherheitsmaßnahmen geben.
Social Engineering Angriff auf Kundennetzwerk
Im aktuellen Fall erstellte ein Angreifer eine gefälschte E-Mail, die von einer bekannten Bank zu stammen schien. Die E-Mail enthielt eine Mitteilung, die das Opfer dazu drängte, dringende Maßnahmen zu ergreifen, um die Sicherheit seiner Daten zu gewährleisten. Ein Link in der E-Mail führte zu einer täuschend echten, gefälschten Webseite der Bank. Das ahnungslose Opfer gab seine Zugangsdaten preis, ohne zu bemerken, dass es in eine Falle getappt war. Der Angreifer erlangte dadurch Zugriff auf vertrauliche Informationen. Diese Informationen konnten dann vom Angreifer genutzt werden, um das Netzwerk des Kunden anzugreifen.
Angriffe wie dieser stellen weder eine neuartige noch eine besonders ausgeklügelte Angriffsmethode dar und dennoch ist das Social Engineering bei Cyberkriminellen aus einem Grund sehr beliebt: Die Methode ist oft erfolgreich. Security Awareness sollte daher immer Teil einer umfassenden Sicherheitsstrategie sein. Um dieses Bewusstsein in möglichst vielen Unternehmen zu erhöhen, weisen wir mit Beiträgen wie diesem einmal mehr darauf hin, dass solche Angriffe eine ernste Gefahr darstellen. Anwender sollten skeptisch sein, wenn sie unerwartete E-Mails oder Links erhalten, insbesondere wenn diese eine sofortige Handlung erfordern. Das Bewusstsein für die Methoden und Taktiken des Social Engineering ist von entscheidender Bedeutung, um sich erfolgreich vor solchen Angriffen zu schützen.
Technische Details
Der hier beschriebene Angriff zeichnet sich durch seine Komplexität und Effektivität aus. Er nutzt eine Kombination aus Phishing, Spear-Phishing und der Ausnutzung menschlicher Verhaltensweisen. Folgende technische Aspekte haben zum Erfolg dieses Angriffs beigetragen:
Zielgerichtete E-Mail: Die Cyberkriminellen starteten ihre Attacke mit einem Spear-Phishing-Ansatz. Sie schickten E-Mails, die sorgfältig auf das Zielunternehmen zugeschnitten waren und verwendeten technische Tricks, um die wahre Herkunft der E-Mail zu verschleiern, wie z.B.:
- Domain-Spoofing: Die Hacker registrierten eine Domain, die der des angeblichen Absenders sehr ähnlich war, um eine vertrauenswürdige Herkunft vorzutäuschen.
- Content Cloaking: Durch Skripte und bedingtes HTML in der E-Mail wurde der Inhalt der Nachricht für Anti-Phishing-Tools verborgen, während er für den Empfänger lesbar erschien.
Malware-Infektion: Einige dieser E-Mails könnten auch Malware enthalten haben, die im Hintergrund heruntergeladen und installiert wurde, um Keylogger oder Screen-Recorder zu betreiben, mit welchen Benutzereingaben und -aktivitäten vom Angreifer verfolgt werden können.
Gefälschte Website: Der in der E-Mail enthaltene Link führte zu einer Website, die eine exakte Kopie der echten Bank-Website darstellte. Technisch gesehen könnte die Website folgende Features verwendet haben:
- Ein SSL-Zertifikat, das von einer weniger bekannten Zertifizierungsstelle ausgestellt wurde, um das HTTPS-Sicherheitssymbol im Browser anzuzeigen
- JavaScript, um Echtzeitdateneingaben zu erfassen und an einen entfernten Server zu senden, selbst wenn der Benutzer das Formular nicht absendet.
- Command and Control (C2) Kommunikation: Nachdem die Zugangsdaten erfasst wurden, können die Angreifer eine Verbindung zu ihrem eigenen C2-Server herstellen. Dies ermöglicht es ihnen, Befehle an das kompromittierte System zu senden und Daten von diesem System zu empfangen. Dieser C2-Kanal ist oft verschlüsselt oder tarnt sich als normaler Datenverkehr, um nicht entdeckt zu werden. Durch die Ausnutzung von Schwachstellen oder nicht geschützten Netzwerkpunkten können Angreifer so einen dauerhaften Zugriff auf das Unternehmensnetzwerk erhalten und ihre schädlichen Aktivitäten fortsetzen.
- Lateral Movement: Einmal innerhalb des Netzwerks angelangt, können Angreifer Techniken wie Pass-the-Hash oder Pass-the-Ticket verwenden, um sich von einem System zum anderen zu bewegen, ohne jedes Mal Authentifizierungsdaten eingeben zu müssen.
Folgen des Angriffs
Die Angreifer nutzten bei diesem Angriff gezielte Phishing-E-Mails, die wie legitime Kommunikation von vertrauenswürdigen Quellen aussahen. Diese E-Mails enthielten Links zu gefälschten Websites, auf denen die Mitarbeiter aufgefordert wurden, ihre Anmeldedaten einzugeben. Die Daten wurden von den Angreifern erfasst, sodass diese Zugriff auf die Konten erhielten und sich als legitime Benutzer ausgeben konnten. Auf diese Weise hätten die Angreifer Zugriff auf vertrauliche Unternehmensdaten, wie Kundendatenbanken oder interne Dokumente erlangen können, um diese für finanzielle Zwecke oder als Hebel für weitere Angriffe zu verwenden.
Diese Analyse unterstreicht die dringende Notwendigkeit zur Sensibilisierung für ein umfassendes Sicherheitsverständnis im Unternehmen. Sich ausschließlich auf technische Faktoren zu fokussieren, reicht nicht aus, um Angriffe erfolgreich abzuwehren. Auch der Faktor Mensch muss hierbei beachtet werden.
Maßnahmen und Handlungsempfehlungen
- Mitarbeitertraining: Sensibilisieren Sie Ihre Mitarbeiter für die Risiken von Social-Engineering-Angriffen und bieten Sie regelmäßige Schulungen an. Machen Sie sie mit den gängigen Phishing-Techniken vertraut und ermutigen Sie sie, verdächtige E-Mails zu melden.
- Multifaktor-Authentifizierung (MFA): Implementieren Sie MFA für alle Benutzerkonten, um den Schutz vor unbefugtem Zugriff zu erhöhen. Durch die Kombination von Benutzername, Passwort und einem zusätzlichen Faktor wie einem Einmalpasswort oder einem Fingerabdruck wird die Sicherheit deutlich verbessert.
- Sicherheitsrichtlinien: Erstellen Sie klare Richtlinien für den Umgang mit E-Mails und den Umgang mit sensiblen Informationen. Stellen Sie sicher, dass Mitarbeiter darauf geschult werden, verdächtige E-Mails zu erkennen und nicht auf unbekannte Links oder Anhänge zu klicken.
- Incident-Response-Plan: Entwickeln Sie einen detaillierten Incident-Response-Plan, der klare Verfahren zur Reaktion auf Sicherheitsvorfälle enthält. Trainieren Sie Ihr Team regelmäßig, um sicherzustellen, dass alle Beteiligten wissen, wie sie im Ernstfall reagieren müssen.
Durch die Kombination von Schulungen, technischen Sicherheitsmaßnahmen und klaren Richtlinien können Unternehmen ihre Widerstandsfähigkeit gegen Social Engineering-Angriffe stärken und sensible Daten effektiv schützen.