Social Engineering
So kreativ tricksen Hacker
Foto: Nejron Photo - shutterstock.com
"Unaufhörliche Kreativität" zeigten Bedrohungsakteure im vergangenen Jahr, als sie die Achillesferse einer jeden Organisation - ihr Humankapital - angriffen, heißt es im jährlichen Bericht "The Human Factor 2022" von Proofpoint. Der Report stützt sich auf mehrere Billionen Datenpunkte, die das Unternehmen untersucht hat, um die neuesten Angriffstrends zu identifizieren, die auf den "Faktor Mensch" abzielen.
"Im vergangenen Jahr haben Angreifer gezeigt, wie skrupellos sie wirklich sind. Das macht den Schutz der Mitarbeiter vor Cyberbedrohungen zu einer anhaltenden - und oft augenöffnenden - Herausforderung für Unternehmen", sagt Ryan Kalember, Executive Vice President für die Cybersicherheitsstrategie bei Proofpoint.
- Anzahl der Angriffe über böswillige URLs und Anhänge in E-Mails.jpg
Phishing-Nachrichten gehören zu den Klassikern im Cybercrime. Die Angreifer wollen ihre Opfer dazu bringen auf Links und E-Mail-Anhänge zu klicken. In den von Proofpoint beobachteten Fällen liesen die Hacker ihrer Kreativität freien Lauf, um ihre Opfer zu täuschen. - Anzahl der Phishing-Angriffe mit Pandemie-Inhalt.jpg
Anfang 2021 war der Corona-Impstoff für eine breite Masse verfügbar. Dies nutzten die Angreifer aus und verschickten gefälschte E-Mails mit Coron-Bezug. - Phishing E-Mail mit Netflix-Serie als Köder.jpg
"Squidgame" ist eine Erfolgsserie des Streaming-Anbieters Netflix, die im September 2021 erschien. Hacker nutzten die Serie als Köder, um Verbraucher dazu zu bringen, auf Phishing-Links und böswillige Anhänge zu klicken. - Kampagnen, die legitime Services ausnutzten.jpg
Außerdem nutzten sie vertrauenswürdige Services wie Google Drive, Dropbox und OneDrive aus, um Nutzer in die Falle zu locken. - Beispiel eines Phishing-Dokuments.jpg
Proofpoint beobachtete intensiv eine Hackergruppe, die der Hersteller TA571 nennt. So sieht eine Nachricht aus der Phishig-Kampagne der Gruppe aus, die vorgibt von DocuSign zu kommen. - Eine weitere Phishing-Mail.jpg
Die Cyberangreifer versuchten auch über einen einfachen Gesprächseinstieg die Nutzer zu täuschen. - Angegriffene Abteilungen.jpg
Auf die Finanz-, Personal- und Rechtsabteilungen in Unternehmen haben es die Hacker 2021 am häufigsten abgesehen.
Phishing im Homeoffice
Die Kombination von Remote-Arbeit und das Verschmelzen von Arbeit und Privatleben auf den Smartphones haben die Techniken der Angreifer beeinflusst, heißt es in dem Bericht. Im Laufe des Jahres haben sich SMS-Phishing- oder Smishing-Versuche in den Vereinigten Staaten mehr als verdoppelt, während sich in Großbritannien 50 Prozent der Phishing-Köder auf Zustellungsbenachrichtigungen konzentrierten. Die Erwartung, dass wahrscheinlich mehr Menschen von zu Hause aus arbeiteten, führte sogar zu konventioniellen Betrügereien per Telefon. Hier verzeichnete Proofpoint mehr als 100.000 Telefonangriffe pro Tag.
Insider-Bedrohungen nehmen zu
Außerdem bestätigt der Bericht, dass die Risiken, die von Insider-Bedrohungen ausgehen, weiter zunehmen. "Langfristige hybride Arbeit und eine hohe Fluktuation haben die Risiken durch Insider-Bedrohungen verschärft", sagt Sherrod DeGrippo, Vice President of Threat Research and Detection bei Proofpoint, gegenüber CSO. "Es gibt viel mehr Unsicherheit über das richtige Protokoll, welche Daten tabu sind oder nicht und was die richtigen Kanäle sind, die man verwenden sollte."
Risiken für die Lieferkette
Die zunehmende Anzahl von Supply-Chain-Angriffen war eine weitere bedeutende Entwicklung im Laufe des Jahres 2021. In jedem Monat hatten 80 Prozent der Proofpoint-Kunden eine Bedrohung entdeckt, die von einem Lieferanten auszugehen schien. Der Bericht stellt jedoch fest, dass sich Lieferkettenbedrohungen von anderen Angriffsarten unterscheiden, da es sich dabei hauptsächlich um Phishing-Attacken oder Betrugsversuche handelt, die selten Malware beinhalten.
"Supply-Chain-Angriffe über Software- oder Hardware-Anbieter sowie Drittanbieter explodieren. Es ist keine Überraschung, dass 80 Prozent der Unternehmen monatlich von einem kompromittierten Lieferantenkonto angegriffen werden", sagt Rajiv Pimplaskar, CEO des SASE-Anbieters Dispersive Holdings, gegenüber CSO.
Nutzer mit hohen Zugriffsrechten werden angegriffen
Wie zu erwarten, fanden die Proofpoint-Forscher heraus, dass Benutzer mit den höchsten Berechtigungen in einer Organisation auch am stärksten von Angreifern ins Visier genommen wurden. Manager und Führungskräfte machen nur 10 Prozent der gesamten Benutzer in Unternehmen aus, stellen aber fast 50 Prozent des schwersten Angriffsrisikos dar.
Ausnutzung von Cloud-Anbietern
Des Weiteren berichten die Studienautoren, dass die Cybergegner auch kommerzielle Cloud-Anbieter für ihre bösartigen Techniken ausnutzen. Denn Dienste wie Microsoft OneDrive, Google Drive und Dropbox nutzen viele Mitarbeiter täglich und klicken deshalb auf Links, die von diesen Anbietern kommen. Eine Hackergruppe, die von Proofpoint TA571 genannt wird, nutzt diese Angriffsmethode sehr umfangreich. TA571 verteilt E-Mails mit einem Link zu einer ZIP-Datei, die von OneDrive oder Google Drive gehostet wird. Wenn der komprimierte Ordner, der eine Excel-Datei enthält, geöffnet wird, infiziert die URSNIF-Malware das System.
Security Awareness und Technik
In den allermeisten Fällen sind menschliche Faktoren, die bei einem Sicherheitsvorfall entscheidend waren, wichtiger als die technischen Angriffstaktiken, behaupten die Forscher. Cyberkriminelle suchen nach Beziehungen, die genutzt werden können, nach Vertrauen, das missbraucht werden kann, und nach Zugriffen, die ausgenutzt werden können.
Deshalb empfiehlt Proofpoint Unternehmen, eine Lösung bereitzustellen, die ihnen Einblick gibt, welche Mitarbeiter attackiert werden, wie sie angegriffen werden und ob sie auf einen Phishing-Köder geklickt haben. CISOs sollten das individuelle Risiko, das jeder Nutzer darstellt, berücksichtigen. Genauso wie die Art und Weise, wie der Mitarbeiter ins Visier genommen wird, auf welche Daten er Zugriff hat und ob er dazu neigt, Angriffen zum Opfer zu fallen.
"Unternehmen müssen Wege finden, Technologie zu nutzen, um Probleme wie Phishing und Social Engineering in großem Maßstab zu lösen", sagt De Grippo. "Wir können nicht erwarten, dass Einzelpersonen der einzige Schutz vor Angriffen von operationalisierten und organisierten Bedrohungsakteuren sind." (ms)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.