2018-05-30 05:16:15

Phishing zielt verstärkt auf Cloud-Daten

„Ihr Konto wurde gehackt!“ Nachrichten mit diesen oder ähnlichen Betreffzeilen entlocken den meisten Nutzern nur noch ein müdes Lächeln.

Derartige E-Mails von breit angelegten Phishing-Kampagnen, die meist schon durch ein äußerst zweifelhaftes Design auffallen, werden in der Regel unmittelbar aussortiert. Eine weitaus höhere Erfolgsquote verspricht jedoch die Kombination von Phishing mit Cloudanwendungen. Die Aussicht, mit nur einer erfolgreichen E-Mail eine Vielzahl verwertbarer Daten zu erbeuten, ist für Cyberkriminelle Motivation genug, die Angriffstechniken weiter zu verfeinern und zielgerichteter vorzugehen. Für Unternehmen ein Grund, sich im Rahmen ihrer Datensicherheitsstrategie näher mit diesem Angriffsszenario auseinanderzusetzen.

Bei klassischen Phishing-Attacken handelt es sich in der Regel um gefälschte E-Mails, beispielsweise von Banken oder Payment-Services, die darauf abzielen, persönliche Daten oder Zahlungsinformationen einzelner Benutzer zu erbeuten. Derartige Angriffe enden in der Regel bereits automatisch beim Spamfilter, der die eingehenden Nachrichten anhand verdächtiger Merkmale aussortiert. Zudem ist die Gefahr durch Phishing-Attacken in den letzten Jahren zunehmend ins öffentliche Bewusstsein gerückt und die E-Mailnutzer sind dementsprechend wachsam. E-Mails, die dem Spamfilter entgangen sind, werden schließlich vom Nutzer im Handumdrehen gelöscht. Die Konsequenz auf Seiten der Angreifer sind verbesserte, zielgerichtete Attacken, die schwerer identifizierbar sind und eher selten darauf abzielen, einzelne Daten – wie Kreditkarteninformationen oder TAN-Nummern – zu erbeuten. Vielmehr besteht das Ziel mittlerweile darin, umfassende Zugriffsberechtigung auf Daten, Endgeräte oder Online-Dienste zu erhalten. Im Sinne der Nutzenmaximierung – mehr Daten bei gleicher Erfolgsquote – stellen Cloudanwendungen für Cyberkriminelle ein lukratives Ziel dar. Es genügt nur ein Mitarbeiter, der auf eine täuschend echte Nachricht eines Clouddienstes hereinfallen muss und schon können mit dem gehackten Account zahlreiche Unternehmensdaten eingesehen und entwendet werden.

Beispiel einer derart modernen Attacke ist die Google-Docs Phishing-Kampagne, die im vergangenen Jahr großes Aufsehen erregte. In diesem Fall wurde den Nutzern unter dem Namen eines ihnen bekannten Absenders eine täuschend echt aussehende Einladung zum Dienst Google Docs per E-Mail geschickt. Wer die Einladung annehmen und auf den Link zu dem scheinbaren Doc klickte, gelangte zur Google-Login-Seite. Klickten sie auf den dort angezeigten Befehl „continue to Google Docs“ erteilten sie einer Schadsoftware Zugriff auf ihr Google-Konto. Der Angriff machte sich das OAuth-Protokoll zu Nutze, das Google verwendet, um die Authentifizierung zu vereinfachen. Der OAuth-Zugang ermöglichte es dem Angreifer, Zugang zu den persönlichen Daten des Benutzers im Google-Dienst zu erhalten, ohne diesen zur Eingabe seiner Anmeldeinformationen auffordern zu müssen. Damit wäre es möglich, Kontaktlisten und Standorte der Betroffenen einzusehen sowie deren E-Mails und Dateien, die sie in der G-Suite verwalten, zu lesen.

In diesem Fall schaffte das Protokoll, das den Benutzern einfachen Zugriff auf Anwendungen von Drittanbietern ermöglichen sollte, ein Einfallstor für Angriffe. Das potentielle Schadensausmaß für Unternehmen ist abhängig von der kriminellen Energie der Angreifer. Allgemein sind verschiedene Szenarien denkbar: Über die E-Mailkonten der Nutzer kann die Schadsoftware an weitere Kontakte – wie Kunden und Servicepartner – weitergeleitet werden und eventuell auch deren gespeicherte Clouddaten kompromittieren. Von einem Verkauf oder einer weiteren missbräuchlichen Nutzung der erbeuteten Daten kann in der Regel ausgegangen werden, auch wenn sich dies unmittelbar nur schwer nachvollziehen lässt. Darüber hinaus können die gestohlenen Daten von den Kriminellen auch zur Lösegelderpressung der Opfer eingesetzt werden. Wie der Google-Docs-Vorfall, bei dem der verursachte Schaden sich allem Anschein nach dennoch in Grenzen hielt, aufzeigt, kann das Vertrauen von Nutzern in Cloudanwendungen leicht ausgenutzt werden. Eine erste Sicherheitsmaßnahme, die von den populärsten Cloud-Diensten mittlerweile angeboten wird, ist die Umstellung auf Multi-Faktor-Authentifizierung (MFA). MFA verhindert, dass Kriminelle auf Benutzerkonten zugreifen können, selbst wenn es ihnen gelingen sollte, die Logindaten zu erbeuten.

Cloud-Phishing: Es fehlen noch Erfahrungswerte

Für klassische Phishing-Attacken war die Sensibilisierung der Nutzer bislang eine durchaus wirkungsvolle Verteidigungsstrategie. Was jedoch Cloudanwendungen wie Office 365 und G-Suite anbelangt, fehlt es der breiten Nutzerbasis noch an Erfahrungswerten. Eine Nachricht, die der des genutzten Clouddienstes zum Verwechseln ähnlich sieht, hat dementsprechend noch gute Erfolgsaussichten. Gleichsam ist davon auszugehen, dass die für die Angriffe genutzte Schadsoftware von Cyberkriminellen immer raffinierter wird. Eine herkömmliche, auf Eigenschaften basierende Erkennung bösartiger E-Mails greift dafür auf Dauer zu kurz. Künftig werden Unternehmen intelligente Erkennungstechnologien benötigen, die Angriffsmuster identifizieren und den softwaregesteuerten Zugriff von Hackern auf Daten frühzeitig melden und blockieren.

Nicht zuletzt mit Blick auf das Inkrafttreten der Datenschutzgrundverordnung in diesem Jahr ist es für Unternehmen ratsam, potentielle Verlustwege zu identifizieren, Schatten-IT zu unterbinden und ein Sicherheitskonzept für Daten zu entwickeln. Im Zuge dessen sollte auch sichergestellt werden, dass Unternehmensdaten nicht in private Accounts von Mitarbeitern gelangen – beispielsweise, wenn geschäftliche Nachrichten an ein privates E-Mailkonto weitergeleitet oder Dokumente in Clouddiensten gespeichert werden. Eine geeignete Kombination aus Mitarbeitersensibilisierung, Sicherheitstechnologie und Zugriffsmanagement hilft dabei, Unternehmensdaten auch vor ausgefeilten Phishing-Attacken zu schützen.

mat

Druckversion

Zum Thema

  • 2018-03-01

    USA-Zugriff auf Daten in Europa

    Der Oberste Gerichtshof der Vereinigten Staaten steht vor einem wegweisenden Urteil, mit dem er nach dem Willen der US-Regierung tief in den europäischen Datenschutz eingreifen würde. Im Februar 2018 entscheidet er darüber, ob eine US-Behörde von Unternehmen direkten Zugriff auf Personendaten verlangen kann, die außerhalb der USA gespeichert sind.  mehr

  • 2018-04-17

    Mobile Mitarbeiter: Im Fadenkreuz von Hackern

    Lsut des iPass Mobile Security Report 2018 nimmt mehr als die Hälfte der von Vanson Bourne befragten Unternehmen (57%) an, dass ihre mobilen Mitarbeiter in den letzten 12 Monaten gehackt wurden oder aber es einen Sicherheitsvorfall auf deren mobilen Geräten gab.  mehr

  • 2018-03-12

    Mitarbeiter mit Administratorrechten

    Nach neuesten Erkenntnissen des globalen Sicherheitssoftware-Anbieters Avecto gewähren über 50 Prozent der IT-Unternehmen ihren Mitarbeitern trotz der damit verbundenen Sicherheitsrisiken lokale Administratorrechte auf Windows-Computern. Ein Viertel der 504 befragten IT- und Sicherheitsexperten aus Europa, dem Vereinigten Königreich und den USA war sich nicht sicher, welche Mitarbeiter im eigenen Unternehmen über lokale Administratorrechte verfügten.  mehr

  • © quelle ibm
    2018-04-17

    Biometrischer Identitätsschutz vs Passwörter

    Ob bei der Anmeldung in Anwendungen oder an Geräten - Sicherheit hat bei Verbrauchern weltweit mittlerweile höchste Priorität. Das zeigt eine neue globale Studie mit knapp 4.000 Befragten aus den USA, APAC und der EU, die von IBM Security in Auftrag gegeben wurde.  mehr

  • 2018-04-17

    Kryptominer-Malware

    Check Point hat seinen H2 2017 Global Threat Intelligence Trends Report vorgestellt. Dabei fand das Unternehmen heraus, dass Cyberkriminelle zunehmend zu Kryptominern tendieren, um illegal Einnahmequellen zu generieren. Ransomware und „Malvertising“-Adware betreffen jedoch weiterhin Unternehmen auf der ganzen Welt.  mehr

  • © quelle bitkom
    2018-04-17

    Neuer Höchststand bei SW-Sicherheitslücken

    Im Jahr 2017 hat die Zahl der weltweit registrierten Software-Sicherheitslücken einen neuen Höchststand erreicht. Die Auswertung des Potsdamer Hasso-Plattner-Instituts (HPI) ergab, dass in den vergangenen zwölf Monaten rund 11.003 Meldungen zu Software-Schwachstellen registriert oder aktualisiert wurden. Im Jahr 2016 waren es noch 8.093 Schwachstellen gewesen, danach folgt auf Platz drei das Jahr 2014 mit 7.682 Schwachstellen.  mehr

  • 2018-02-23

    2018 wird ein gefährliches Cyber-Jahr

    Auch im Jahr 2018 werden Hacker-Angriffe und Anschläge auf die Cyber-Sicherheit zu den großen unternehmerischen Herausforderungen zählen.  mehr

  • 2018-02-22

    Online-Erpressern in 2018 nicht auf den Leim gehen

    Datenschutz und Cybersicherheit sind beileibe kein neues Thema. Mit "Security and Privacy in Computer Systems" erschien bereits 1967 die erste Abhandlung zum Thema. Cybersicherheit und Privatsphäre wurden also seit Beginn der vernetzten Computer diskutiert. Seither hat sich das Thema dramatisch verschärft, und entwickelt sich weiter rasant – aus verschiedenen Gründen.  mehr

  • 2018-02-22

    Security verhindert Innovationen und frustriert Nutzer

    Herkömmliche IT-Sicherheitslösungen beeinträchtigen die Produktivität, verhindern Innovationen und frustrieren die Endanwender. Diese Einschätzung teilt die Mehrheit befragter CISOs in einer Untersuchung des Sicherheitssoftware-Anbieters Bromium.  mehr

  • 2018-02-23

    Hacker sind dreister denn je

    Die Bedrohungslage hat sich im vergangenen Jahr stark verändert. Schwachstellen in Web-Frameworks und Content-Management-Systemen wie Apache Struts, WordPress und Joomla zählten 2017 zu den größten Problemen im Bereich Web Application Security. Sicherheitsmaßnahmen, die 2017 noch als wirksam eingestuft wurden, werden 2018 wirkungslos sein.  mehr