Getronics Redaktionsteam
In diesem Artikel:
Mit schätzungsweise 3,4 Milliarden böswilligen Anfragen nach Informationen, die täglich per E-Mail verschickt werden, sind Phishing-Angriffe die weltweit häufigste Form von Cyberattacken. Die meisten Unternehmen geben sich der Illusion hin, dass Phishing-Versuche leicht zu erkennen sind und dass Mitarbeiter niemals Opfer einer verdächtigen Anfrage nach ihren Anmeldedaten werden würden.
Doch eine Reihe von Phishing-Angriffen auf bekannte Unternehmen wie Cisco, Twilio und Uber hat die Aufmerksamkeit auf eine erschreckende Tatsache gelenkt:
- Phishing-Angreifer setzen immer raffiniertere Methoden ein, darunter auch KI-Nachrichten und E-Mails, um die Sache noch realistischer aussehen zu lassen.
- Als Einfallstor für Malware und Ransomware stellt Phishing eine extreme Gefahr für jedes Unternehmen dar.
- Selbst bei strengsten Sicherheitsstandards ist kein Unternehmen völlig sicher vor dem Risiko menschlichen Versagens, auf das sich Phishing stützt.
- Moderne Phishing-Angreifer nutzen menschliche Schwächen aus, um selbst fortschrittliche Sicherheitsmaßnahmen wie die Multifaktor-Authentifizierung (MFA) zu umgehen.
- Schlechte Gewohnheiten und mangelndes Bewusstsein der Mitarbeiter schaffen die idealen Voraussetzungen für einen Phishing-Angriff der nächsten Generation.
Tut Ihr Unternehmen alles, was nötig ist, um seine sensiblen Daten zu schützen und zu verhindern, dass es das nächste Opfer eines Phishing-Angriffs wird? Haben Sie die richtigen Schulungen und Technologien im Einsatz? Führen Sie aktiv Phishing-Risikobewertungen durch, um potenzielle Bedrohungen zu erkennen? Und selbst wenn Sie das tun, sind Sie dann sicher? In diesem Artikel gehen wir auf die Gefahren von Phishing ein - und darauf, wie Sie das Risiko menschlicher Fehler minimieren können, um Ihre internen Systeme zu sichern.
Höhere Einsätze: Phishing der nächsten Generation
Wir haben einen langen Weg zurückgelegt, seit die Praxis des Phishings in den späten 1990er Jahren erstmals bekannt wurde. Damals nahmen Hacker in der Regel per E-Mail Kontakt mit Einzelpersonen auf, gaben sich als vertrauenswürdiges Unternehmen aus und baten um sensible Informationen wie Anmeldedaten oder Kreditkartendetails. Während diese Angriffe verheerende Folgen für die betroffenen Opfer hatten, haben es die raffinierten Phishing-Angreifer von heute auf etwas viel Größeres abgesehen: die riesigen Mengen an sensiblen Kundendaten, die sich im Besitz von Unternehmen befinden.
Der Twilio-Einbruch im Jahr 2022 ist ein klassisches Beispiel. Cyberkriminelle schickten Textnachrichten an Twilio-Mitarbeiter, in denen sie sich als die IT-Abteilung des Unternehmens ausgaben und eine Änderung des Passworts forderten. Sie leiteten die Mitarbeiter auf eine gefälschte Version der Anmeldeseite des Unternehmens, wo sie die Anmeldedaten der Mitarbeiter abfingen und schließlich Zugriff auf die Daten von 125 Twilio-Kunden erhielten.
Die Zunahme von MFA-Müdigkeitsattacken
Eine immer häufiger auftretende Phishing-Methode ist der MFA-Müdigkeitsangriff (auch bekannt als MFA-Bombing, MFA = Multi-Faktor-Authentifizierung). Bei dieser Taktik beschaffen sich die Bedrohungsakteure die Anmeldedaten eines Opfers auf illegale Weise (z. B. durch Kauf im Darkweb). Sie verwenden die Anmeldedaten, um mehrere MFA-Anfragen auszulösen. Da sich das Opfer durch die Flut von MFA-Benachrichtigungen verwirrt oder überlastet fühlt, stimmt es der Anfrage möglicherweise einfach zu und denkt, es hätte sie versehentlich selbst ausgelöst.
Da jedoch viele Menschen sofort misstrauisch werden, wenn sie eine Reihe von unaufgeforderten MFA-Anfragen erhalten, verweigern sie möglicherweise die Authentifizierung. Da die Angreifer dies wissen, entwickeln sie ein Szenario, in dem die MFA-Anfrage legitim erscheint. Beispielsweise rufen sie das Opfer an oder schicken ihm eine E-Mail, in der sie sich als vertrauenswürdige Partei, z. B. die IT-Abteilung eines Unternehmens, ausgeben und ihm mitteilen, dass es seine Identität im Rahmen eines routinemäßigen Sicherheitsverfahrens authentifizieren muss. Indem er das Vertrauen des Opfers ausnutzt, erlangt der Bedrohungsakteur die Authentifizierung und erhält Zugang zu eingeschränkten Systemen.
MFA-Müdigkeit in Aktion
Die Kriminellen, die hinter dem Cisco-Angriff von 2022 standen, hatten sich die Anmeldedaten des Google-Kontos des Opfers verschafft, die synchronisierte Anmeldedaten für dessen berufsbezogene Konten enthielten. Die Angreifer lösten MFA-Anfragen aus und riefen das Opfer dann telefonisch an, wobei sie sich als vertrauenswürdige Organisation ausgaben. Am Telefon überzeugten sie den Mitarbeiter, eine MFA-Anfrage zu akzeptieren, und verschafften sich so Zugang zu den internen Systemen von Cisco, wo sie Schadprogramme abwarfen und mehrere Server kompromittierten.
Bei einem ähnlichen Vorfall im Jahr 2022 wurde Uber Opfer eines MFA-Müdigkeitsangriffs durch die berüchtigte Hackergruppe Lapsus$. Die Hacker verschafften sich die VPN-Anmeldedaten eines externen Auftragnehmers, der für Uber arbeitet (wahrscheinlich im Darkweb erworben), und nutzten diese Anmeldedaten, um MFA-Anfragen auszulösen. Als der Auftragnehmer die Anfragen zunächst ignorierte, kontaktierten die Hacker ihn per WhatsApp, gaben sich als Ubers Support-Desk aus und forderten ihn auf, sich zu authentifizieren. Innerhalb kürzester Zeit hatten die Hacker Zugriff auf mehrere interne Systeme und erhielten schließlich erweiterte Berechtigungen für Tools wie G-Suite und Slack.
Bekämpfung von Phishing-Angriffen durch Technologie und Schulung
Phishing ist eine komplexe Herausforderung, die gemeinsame Anstrengungen der IT- und Personalabteilungen Ihres Unternehmens erfordert, da es sich an der Schnittstelle zwischen Technologie und menschlichem Verhalten abspielt. CIOs/CISOs und Personalleiter müssen einen ganzheitlichen Ansatz verfolgen, bei dem Menschen, Prozesse und Technik aufeinander abgestimmt sind. Hier sind die Eckpfeiler für einen solchen Ansatz:
Schulungen zum Sicherheitsbewusstsein
Die Mitarbeiter müssen kontinuierlich über die neuesten Phishing-Techniken und bewährte Verfahren geschult werden, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren. Im Falle der MFA-Müdigkeitsattacken von Uber und Cisco hätten die Unternehmen die Verstöße beispielsweise verhindern können, indem sie ihre Mitarbeiter und externen Partner speziell darin geschult hätten, wie sie einen MFA-bezogenen Phishing-Versuch erkennen.
Phishing-Angriffsresistente MFA-Praktiken
MFA-Methoden der nächsten Generation wie FIDO2/WebAuthn-Authentifizierung, QR-Codes und physische Token helfen, die Angriffsfläche Ihres Unternehmens zu verringern. Wenn der Benutzer eine Aktion durchführen muss, um seine Absicht, sich anzumelden, zu authentifizieren, verringert sich auch das Risiko von MFA-Ermüdungsangriffen, bei denen der Benutzer eine Anfrage akzeptieren könnte, nur um eine Flut von Push-Benachrichtigungen zu verhindern, die von einem Angreifer ausgelöst werden.
Starke Passwort-Praktiken
Setzen Sie strenge Kennwortrichtlinien durch, die schrittweise Änderungen von Kennwörtern (mit nur einem Zeichen) verbieten und starke, eindeutige Kennwörter verlangen.
Phishing-Risikobewertungen
Arbeiten Sie mit einem spezialisierten Cybersicherheitspartner zusammen, um das Phishing-Risiko Ihres Unternehmens regelmäßig zu bewerten und simulierte Phishing-Angriffe durchzuführen. Auf diese Weise können Sie Schwachstellen erkennen und beheben.
Null-Vertrauensrahmen
Implementieren Sie einen Zero-Trust-Ansatz, der bei jedem Schritt eine Überprüfung verlangt und so die Angriffsfläche minimiert.
Lassen Sie Phishing-Angreifern nicht die Oberhand. Sorgen Sie dafür, dass Ihre Mitarbeiter auf dem neuesten Stand sind, und retten Sie Ihr Unternehmen.
Wovon der Schutz Ihres Unternehmens vor einem Phishing-Angriff abhängt
Der Schutz Ihres Unternehmens vor einem Phishing-Angriff hängt von Ihrer Fähigkeit ab, das Bewusstsein zu schärfen, das richtige Verhalten zu fördern und sichere Technologien einzusetzen.
Unternehmen werden immer mit dem Risiko einer kleinen Minderheit von Mitarbeitern konfrontiert sein, die sich nicht an die Sicherheitsrichtlinien halten. Das bedeutet, dass der Schutz Ihres Unternehmens vor Phishing eher eine Frage der Risikominimierung als der völligen Beseitigung ist. Mit einer soliden Phishing-Risikobewertung und angemessenen Präventionsmaßnahmen bringen Sie Ihr Unternehmen jedoch auf den Weg in eine viel sicherere Zukunft. Erfahren Sie, wie Getronics Security Services Ihnen helfen kann, Ihr Unternehmen zu schützen.
