Wie ein typischer Angriff abläuft
Cybercrime-Blogger Brian Krebs erläutert auf seiner Webseite, wie ein typischer Angriff abläuft. Ein Homeoffice-Mitarbeiter des Zielunternehmens erhält eine Reihe von Anrufen. Die Kriminellen geben vor, sich aus der IT-Abteilung des Unternehmens zu melden und Probleme mit der VPN-Verbindung beheben zu müssen. Damit wollen sie den Mitarbeiter dazu bringen, seine Zugangsdaten am Telefon preiszugeben oder auf einer gefälschten Internetseite einzugeben, die dem E-Mail- oder VPN-Portal des Zielunternehmens täuschend ähnlich sieht. Die Adresse dieser Seite erinnert an den Namen des Unternehmens und beinhaltet zusätzlich Abkürzungen wie „vpn“, „ticket“ oder „portal“. Auf der Phishing-Seite können sogar funktionierende Links auf echte interne Online-Ressourcen integriert sein.
Die Angreifer konzentrieren sich vor allem auf neue Mitarbeiter und geben sich selbst als Neuzugänge der IT-Abteilung aus. Um glaubwürdiger zu wirken, erstellen sie sogar Profile auf LinkedIn und versuchen, sich darüber mit anderen Mitarbeitern des Zielunternehmens zu vernetzen. So entsteht der Eindruck, dass das gefälschte Profil tatsächlich zu einem echten Mitarbeiter im Unternehmen gehört.
Bei dieser Art von Angriff kommt es für die Täter auf Schnelligkeit an. Denn viele Unternehmen setzen für den VPN-Zugang auf Multi-Faktor-Authentifizierung. Zusätzlich zu Benutzername und Passwort ist also eine weitere Information notwendig, um sich einzuloggen. Und diese Information – zum Beispiel ein einmaliger Code, der von einer App generiert oder per SMS an den Mitarbeiter gesendet wird – ist oft nur für kurze Zeit gültig.
Diese Sicherheitsmaßnahme umgehen die Kriminellen, indem sie auf ihren Phishing-Seiten diesen zusätzlichen Faktor einfach mit abfragen. Sollten die Opfer ihre Log-in-Informationen gleich am Telefon preisgeben, loggen sich die Kriminellen in Echtzeit im VPN ein, bevor der Zusatzcode nicht mehr gültig ist.
Wer steckt dahinter?
Ziel der Angriffe ist der Zugriff auf so viele interne Tools wie möglich, um damit die Kontrolle über digitale Vermögenswerte zu erhalten, die schnell zu Geld gemacht werden können. Dazu zählen insbesondere Social-Media- und E-Mail-Konten, Kontodaten und digitale Währungen.
Hinter den Angriffen steht wohl eine Gruppe junger Männer, die über Jahre gelernt hat, Mitarbeiter von Mobilfunk- und Social-Media-Unternehmen mittels Social Engineering dazu zu bringen, ihnen Zugriff auf interne Tools zu gewähren. Ziel solcher Angriffe ist üblicherweise, begehrte Accounts im Dark Web zu verkaufen, manchmal für tausende Dollar. Mittlerweile zielen sie aber darauf, mit gekaperten Accounts ganz andere kriminelle Taten zu begehen. Man erinnere sich etwa an den Bitcoin-Betrug über Twitter am 15. Juli dieses Jahres. Laut Twitter hätten die Kriminellen Mitarbeiter des Unternehmens dazu gebracht, ihnen Zugriff auf interne Tools zu geben.
Bislang standen ausschließlich US-Unternehmen im Fadenkreuz der Kriminellen.
Wie können sich Unternehmen schützen?
Viele Firmen setzen mittlerweile auf Awareness-Maßnahmen, um ihre Mitarbeiter für Phishing und andere digitale Gefahren zu sensibilisieren. Im Rahmen des Social E-Mail Audits sendet 8com beispielsweise Test-Phishing-Mails an Mitarbeiter von Kundenunternehmen, um das aktuelle Sicherheitsniveau festzustellen und gegebenenfalls geeignete Maßnahmen zur Verbesserung vorzuschlagen.
Eine weitere Schwachstelle in VPNs sind die Methoden, die bei der Multi-Faktor-Authentifizierung zum Einsatz kommen. Am sichersten sind physische Sicherheitsschlüssel, die immun gegen Phishing-Angriffe sind. Häufig kommen dabei USB-Geräte zum Einsatz, die einfach in das betreffende Gerät gesteckt werden, um nach Eingabe von Nutzernamen und Passwort den Log-in-Prozess abzuschließen. Auch wenn sich ein Mitarbeiter über eine gefälschte Phishing-Seite im internen Netzwerk anmelden will, wird der Log-in dadurch verweigert. Anfang 2017 führte etwa Google diese Form der Multi-Faktor-Authentifizierung ein und hatte nach eigenen Angaben seitdem keine erfolgreichen Phishing-Angriffe mehr zu beklagen.
Auch wenn durch die Anschaffung solcher USB-Geräte Kosten für Unternehmen entstehen, sind sie eine sinnvolle Investition, solange viele Mitarbeiter von zu Hause oder unterwegs arbeiten.