So geraten Ihre Mitarbeiter ins Visier

Manche von uns posten ihr tägliches Leben in vielen Details in den sozialen Medien und denken dabei nicht an die Folgen, beziehungsweise die Informationen, die damit offengelegt werden. Denn Hacker nutzen auch Open Source Intelligence - also öffentlich zugängliche Online- oder Offline-Informationen, um Phishing-Angriffe anzubahnen, beziehungsweise zu personalisieren und so Unternehmensysteme zu kompromittieren.

Es ist deshalb wichtig, sich genau zu überlegen, was man online teilt. Vor allem sollte man dabei auch bedenken, wie Cyberkriminelle die Informationen nutzen könnten, um Unternehmen beziehungsweise deren Mitarbeiter zu targetieren. Die Sicherheit Ihres Unternehmens könnte nur eine Textnachricht vom nächsten Breach entfernt sein.

Wie die Angreifer OSINT-Recherchen nutzen

Das Szenario könnte beispielsweise wie folgt ablaufen: Ein Unternehmen stellt einen neuen Praktikanten ein und stattet ihn mit Schlüsseln zum Bürogebäude, Logins für das Netzwerk, einem Firmen-Smartphone und einer E-Mail-Adresse aus. Die ersten Tage im Job sind in der Regel stressig, schließlich gilt es, sich mit neuen Technologien und Kollegen vertraut zu machen.

Das ist auch ein Zeitraum, den Cyberkriminelle ausnutzen wollen: Sie suchen nach eifrigen Mitarbeitern, die ihren neuen Chefs gefallen wollen. Genau diesen Fall konnte ich vor kurzem direkt miterleben: Die E-Mails begannen ganz harmlos - jemand bat eine Praktikantin, ihn bei einem Projekt beziehungsweise einer Deadline zu unterstützen.

Stellt sich die Frage, wie kriminelle Angreifer überhaupt von neuen Mitarbeitern erfahren. Dazu nutzen sie in der Regel Business-Netzwerke wie LinkedIn - auch um ihren Phishing-Versuch personalisieren zu können. In unserem Fall lief es genau so ab und ermöglichte, dass die Angreifer eine Verbindung zu einer neuen Praktikantin in der Buchhaltung her. Dieser ließen sie anschließend eine E-Mail zukommen, die vermeintlich von einem Partner des Unternehmens stammte. Darin wurde die Mitarbeiterin aufgefordert, ihre Handynummer anzugeben, um ihr eine Textnachricht senden zu können.

Dreimal gelangten diese E-Mails in unseren geschäftlichen E-Mail-Eingang und wurden dabei nicht als Junk-E-Mails oder Phishing-Köder identifiziert. Der Grund: Die E-Mail wies nicht genügend Auslöser auf und konnte deshalb alle Schutzmaßnahmen inklusive EDR problemlos umgehen.

Der jüngste Data Breach bei Uber wurde offenbar ebenfalls dadurch ausgelöst, dass der Angreifer einen Administrator dazu brachte, eine gefälschte Anfrage zur Multifaktor-Authentifizierung zu genehmigen. Die Cyberkriminellen nahmen dazu Kontakt über WhatsApp auf, um sein Vertrauen zu gewinnen. Ob die Angreifer in diesem Fall ebenfalls Social-Media-Plattformen verwendet haben oder sie einfach nur Glück hatten, ist bislang unklar.

Auch Cloud-Kommunikationsanbieter Twilio teilte vor kurzem mit, Angreifer hätten es auf seine Mitarbeiter abgesehen. Demnach nutzten die Cyberkriminellen öffentlich zugängliche Datenbanken, um Namen von Mitarbeitern mit Telefonnummern abzugleichen und anschließend Attacken zu fahren.

OSINT-basierte Angriffe abwehren

Sicherheitsexpertin Rachel Tobac von SocialProof Security bestätigt auf Twitter, dass Cyberkriminelle vermehrt Business-Netzwerke und OSINT-Tools nutzen, um kleine und mittlere Unternehmen anzugreifen:

I’ve seen an increase in the New Hire SMS Phish attack method recently:
- new hire starts at org, they or the org announce new role on LinkedIn
- attacker looks up new hire’s phone number on data brokerage sites
- sends SMS phish pretending to be Exec to new hire in first month https://t.co/PnaXO8Y75J

— Rachel Tobac (@RachelTobac) September 10, 2022

Sie empfiehlt Unternehmen, neue Mitarbeiter nicht mehr auf LinkedIn aufzulisten und entsprechende Data-Removal-Dienste zu nutzen, um Datenbanken, die etwa von LinkedIn und anderen vorgehalten werden, zu bereinigen. In jedem Fall tun Sie gut daran, neue Mitarbeiter im Rahmen ihres Onboardings auf diese Art von Cyberangriffen und die Risiken für das Unternehmen hinzuweisen:

• Fordern Sie neue Mitarbeiter auf, nichts über ihren neuen Job oder ihre neue Rolle zu posten oder die Veröffentlichung auf vertrauenswürdige Kontakte zu beschränken.

• Lassen Sie Ihr Security-Team "Was wäre, wenn"-Übungen vorbereiten, um sicherzustellen, dass die Mitarbeiter wissen, wie angemessen zu reagieren ist. Machen Sie ihnen klar, dass die Angreifer potenziell jeden in der Firma ins Visier nehmen können, um sich Zugang zu verschaffen.

Nehmen Sie sich die Zeit, nicht nur technologische Barrieren zu errichten. Wenn Ihre gesamte Infrastruktur gefährdet werden kann, weil ein beliebiger User eine falsche Entscheidung trifft, liegt das Problem nicht unbedingt bei diesem selbst. Der Grund ist vielmehr, dass Ihre Prozesse ihn nicht ausreichend dabei unterstützt haben, richtig zu entscheiden. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.