Agor2012 – shutterstock.com
Anstatt auf fortschrittliche Instruments oder komplexe Skripte zu setzen, dringen erfahrene Angreifer in Systeme ein und stehlen Daten mit Hilfe der effektivsten aller Waffen: Social Engineering befindet sich an der Schnittstelle zwischen Cybersicherheit und Psychologie und nutzt menschliches Verhalten aus, um bösartige Ziele zu erreichen.
Von den legendären Betrügereien von Kevin Mitnick bis zu den aktuellen KI-gesteuerten Bedrohungen battle es ein langer Weg, auf dem Cyberkriminelle immer wieder neue Taktiken entwickelt haben. In den vergangenen Jahren sind Social-Engineering-Angriffe strategischer und präziser geworden.
Die Angreifer konzentrieren sich nicht mehr nur darauf, von möglichst vielen Menschen kleine Geldbeträge zu erbeuten. Stattdessen haben sie es vor allem auf Personen abgesehen, die innerhalb eines Unternehmens über weitreichende Befugnisse verfügen. Dies können erhöhte Berechtigungen im Netzwerk, Zugriff auf Distant-Instruments und delicate Daten sein oder aber die Möglichkeit, größere finanzielle Transaktionen durchzuführen.
KI – Kriminelle Intelligenz
Der Siegeszug der künstlichen Intelligenz macht auch vor dem Social Engineering nicht halt. Eine Technik, die sich dabei besonders weiterentwickelt hat, ist das Pretexting. Hierbei fühlt sich das Opfer gezwungen, die Anweisungen des Angreifers aufgrund falscher Annahmen zu befolgen. Cyberkriminellen geben sich dabei als Accomplice, Kunde oder eine hochrangige Führungskraft aus und bringen ihr Opfer beispielsweise dazu, Geldbeträge zu überweisen.
Eine große Vermögensverwaltungsgesellschaft battle kürzlich von so einem Social-Engineering-Angriff betroffen. Dabei zeigte sich, dass die Angreifer im Vorfeld umfangreiche Recherchen durchführten und sich speziell auf einen hochrangigen Gruppenleiter in der Finanzabteilung konzentrierten.
Der Angriff begann mit einer gefälschten Geheimhaltungsvereinbarung (NDA), die so aussah, als käme sie von DocuSign. Die Täter gaben vor, von einem Accomplice zu stammen, mit dem das Unternehmen bereits zusammenarbeitete. Daraufhin unterzeichnete ein Supervisor das Dokument. Anschließend wurde er aufgefordert, die in der E-Mail angegebene Telefonnummer anzurufen. Es nahm jedoch niemand den Anruf entgegen.
Am nächsten Tag wurde er von dem vermeintlichen Accomplice gemeinsam mit dessen CEO zurückgerufen. Dieser bestätigte in der Telefonkonferenz die Richtigkeit der NDA und erklärte, dass eine Anzahlung erforderlich sei, um mit den Arbeiten zu beginnen. Infolgedessen überwies der Gruppenleiter eine Anzahlung von einer Million Euro an den Betrüger.
Bei der Untersuchung des Falls stellte sich heraus, dass der echte CEO nie an dem Anruf teilgenommen hatte. Der Angreifer hatte die Stimme des Firmenchefs mittels KI geklont, um so den Gruppenleiter zu manipulieren.
Es regnet (Phishing-)Mails
Im Gegensatz zu anderen Angriffen in der Cybersicherheitslandschaft konzentriert sich Social Engineering nicht auf die Ausnutzung von Schwachstellen im Code oder der Netzwerkarchitektur. Stattdessen wird das menschliche Verhalten ausgenutzt, das oft das schwächste Glied in der Sicherheitskette ist. Und Stress an einem ohnehin schon arbeitsreichen Tag ist ein überaus wirkungsvoller Set off.
Wie strategisch Social-Engineering-Angriffe geworden sind, zeigt sich durch folgende Beispiele:
- Schritt 1: Schaffe ein Drawback
Angreifer können technische Probleme erzeugen, um ihre Geschichten überzeugender zu machen. Eine gängige Methode ist das E-Mail-Bombardement oder die Graymail-Flut. Dabei meldet der Angreifer die E-Mail des Opfers bei zahlreichen Diensten an, was zu einer enormen Anzahl von legitimen E-Mails führt. So erhielt beispielsweise ein Opfer 3.000 E-Mails in weniger als zwei Stunden. - Schritt 2: Stelle dich als der Retter dar
Bei den untersuchten Fällen wurde das Opfer dann stets von jemandem, der sich als Helpdesk-Supervisor ausgab, angerufen. Der Anrufer versprach, das Drawback lösen zu können, damit der Arbeitstag wie geplant fortgesetzt werden könnte. Dabei versuchte der Angreifer das Opfer dazu zu bringen, seine Anmeldedaten preiszugeben oder per Telefonanruf Zugriff auf seinen Desktop zu gewähren, was in der vermeintlichen Notsituation häufig gelang.
Falsches Staff-Play
Im Zusammenhang mit Social-Engineering wurde zudem ein starker Anstieg komplexer Vishing (Voice Phishing)-Angriffe festgestellt. So nutzt beispielsweise die Hacker-Gruppe Black Basta legitime Microsoft Groups-Anmeldungen, um das Vertrauen des Opfers über einen Groups-Anruf von einem Benutzer namens „Helpdesk“, „Help Staff“ oder „Helpdesk Supervisor“ zu gewinnen.
Die Angreifer geben sich als interne IT-Mitarbeitende aus und bringen die Opfer dazu, die Home windows-App „Fast Help“ zu nutzen. Die Verwendung dieses Instruments verleiht den Aktionen der Betrüger mehr Glaubwürdigkeit, da es sich um ein legitimes Home windows-Software handelt, das entsprechend auch keine Sicherheitswarnungen auslöst. Betroffene werden dann dazu gebracht, die Tastenkombination „Strg + Home windows-Style + Q“ zu verwenden, wodurch sich ein Fenster öffnet und ein Code generiert werden kann.
Dieser ermöglicht den Angreifern den Zugriff auf den Laptop des Opfers. Nun versuchen die Cyberkriminellen, ihre Privilegien zu erweitern und sich lateral in den Systemen fortzubewegen. In einem der untersuchten Fälle konnten so innerhalb weniger Tage mehrere Terabytes an Daten aus der gesamten Umgebung entwendet werden.
Was Sicherheitsverantwortliche tun können
Mitarbeitende vor ausgeklügelten Social-Engineering-Fallen zu schützen ist schwierig und komplex. Mehrere technische und menschliche Strategien können jedoch dazu beitragen, die Wahrscheinlichkeit erfolgreicher Angriffe zu verringern:
- So gibt es sowohl in Groups als auch in Zoom Optionen, um die Kommunikation ausschließlich auf vertrauenswürdige Domänen und Organisationen zu beschränken. Auch wenn die Implementierung und Auflistung aller vertrauenswürdigen Accomplice einige Zeit in Anspruch nimmt, kann dies ein sehr wirkungsvoller Schritt sein.
- Einige Angreifer nutzen die integrierten Distant-Funktionen von Video-Chat-Anwendungen aus. Sowohl bei Zoom als auch bei Groups lässt sich einstellen, ob externe Teilnehmer während eines Anrufs Fernzugriff auf die Bildschirme der anderen Teilnehmer erhalten können. Auch wenn es dabei geringe Unterschiede zwischen den Plattformen gibt, empfiehlt es sich, die Funktionen der jeweiligen Plattform zu prüfen und sie entsprechend den Anforderungen des Unternehmens zu konfigurieren.
- Die Implementierung von bedingtem Zugriff ist ein entscheidender Faktor für die Stärkung der Zugriffskontrolle im Unternehmen. Richtlinien für bedingten Zugriff sind im einfachsten Fall Wenn-Dann-Anweisungen: Wenn ein Benutzer auf eine Ressource zugreifen möchte, muss er eine Aktion ausführen. Oder, wenn ein Benutzer auf eine Anwendung oder einen Dienst wie Microsoft 365 zugreifen möchte, muss er eine Multi-Faktor-Authentifizierung durchführen, um Zugang zu erhalten. Sicherheitsverantwortliche können Richtlinien für den bedingten Zugriff implementieren, um den Zugriff auf der Grundlage von geografischen Standorten, Benutzertypen, Anwendungen und sogar einer Token-Schutzrichtlinie zu beschränken.
Grundsätzlich geht es bei allen Sicherheitsbemühungen darum, den Explosionsradius, additionally den potenziellen Schaden, den ein kompromittiertes Konto anrichten kann, zu begrenzen. Auf diese Weise werden Cyberrisiken nachhaltig reduziert, ganz unabhängig davon, auf welche Weise Angreifer ihr Ziel erreichen wollen. Und das sind in den allermeisten Fällen die sensiblen Daten eines Unternehmens. Deshalb muss genau an dieser Stelle der Schutz und die Sensibilisierung der Mitarbeitenden ansetzen. (jm)
