Verhinderung von Account-Takeover-Angriffen (ATO), Teil 1: Einführung

Account-Takeover-Angriffe treten auf, wenn Hacker versuchen, die Kontrolle über legitime Benutzerkonten zu erlangen. Nachdem die Hacker die Konten kompromittiert haben, schleusen sie Informationen ein oder nutzen sie für böswillige Aktionen.

ATO-Attacken sind eine der größten Cyber-Bedrohungen, mit denen Unternehmen heute konfrontiert sind. Laut dem Data Breach Investigations Report 2022 von Verizon ist die Verwendung gestohlener Anmeldedaten der häufigste Vektor für Systemverletzungen. In der Tat waren ATO-Angriffe in jüngster Zeit bei mehreren hochkarätigen Cyberangriffen im Spiel. Der Hack bei Colonial Pipeline im Jahr 2021 begann, als Angreifer ein altes Benutzerkonto kompromittierten, das ihnen Zugang zum internen Netzwerk des Unternehmens verschaffte. Cisco wurde im Mai 2022 mit einem ähnlichen Vorfall konfrontiert: Die Angreifer verschafften sich Zugang zum VPN eines Kunden, indem sie das persönliche Google-Konto eines Mitarbeiters kompromittierten.

Bedrohungsakteure verfügen über eine Vielzahl von Methoden zur Durchführung von Kontoübernahmeangriffen, und eine robuste Sicherheitsstrategie muss mehrere Arten der ATO-Prävention umfassen. In diesem Artikel beginnen wir eine kurze Serie über Account-Takeover und wie man sich davor schützen kann. Hier werden wir diskutieren:

• Arten von ATO-Angriffen
• Verschiedene Ansätze zu ihrer Erkennung
• Die wichtigsten Methoden, um sie abzuwehren

In den folgenden Artikeln werden wir dann tiefer in die einzelnen Methoden eintauchen und einige Best Practices besprechen.

Stufen von Account-Takeover

Ein ATO-Angriff kann in zwei Phasen unterteilt werden:

• Die Übernahme. Hier verfügen die Angreifer noch nicht über gültige Anmeldeinformationen für Benutzerkonten. Dies könnte daran liegen, dass sie bisher keine Anmeldeinformationen von dem System erhalten haben, auf das sie abzielen. Oder sie verfügen über Anmeldedaten (die z. B. bei Systemverletzungen an anderen Standorten gestohlen wurden), haben aber noch nicht bestätigt, ob und welche davon auf dem Zielsystem funktionieren.
• Die Ausnutzung. Sobald gültige Berechtigungsnachweise erlangt oder bestätigt wurden, kann sich ein Angreifer als diese Benutzer ausgeben, sich anmelden und eine Reihe von böswilligen Aktivitäten durchführen sowie die Rechte missbrauchen, die die Benutzer auf dem Zielsystem haben.

In dieser Artikelserie konzentrieren wir uns auf die erste Phase, in der Angreifer bislang nicht in der Lage sind, die Identität des Benutzers anzunehmen, und versuchen, diese Fähigkeit zu erlangen.

Typen von ATO-Attacken

Wie bereits erwähnt, verwenden Hacker bei ATO-Angriffen eine Vielzahl von Methoden. Es gibt mehrere Kategorien von Account-Takeover.

Brute Force

Wie der Name schon andeutet, ist ein Brute-Force-Angriff einfach und simpel. Er erfordert, dass der Angreifer ein hohes Volumen an Datenverkehr an das Zielsystem sendet.

• Ausfüllen von Anmeldeinformationen: Es gibt verschiedene Arten von Angriffen auf Anmeldeinformationen, aber Credential-Stuffing ist einer der häufigsten. In diesem Fall verfügt der Angreifer über eine Liste von Anmeldedaten, die er von anderen Websites erhalten hat (entweder direkt bei Einbrüchen gestohlen oder im Darknet von anderen Hackern gekauft). Der Hacker verwendet automatisierte Software, um die Liste durchzugehen und die Anmeldedaten in Anmeldeformulare auf dem Zielsystem zu „stopfen“, um zu sehen, ob sie funktionieren.
• Wörterbuch-Angriffe: Ein Wörterbuch-Angriff ist eine einfachere Form des Credential-Stuffing. Hacker machen sich die unglückliche Tatsache zunutze, dass viele Menschen immer noch schwache Passwörter verwenden, indem sie ein „Wörterbuch“ mit häufig verwendeten Passwörtern durchgehen, um zu sehen, welche, wenn überhaupt, funktionieren.

Social Engineering

• Phishing: Diese Form der ATO zielt darauf ab, Benutzer dazu zu verleiten, dem Angreifer ungewollt ihre Anmeldedaten zu übermitteln. Dies kann durch das Anklicken bösartiger Links oder durch die Beantwortung sorgfältig gestalteter E-Mails geschehen, die den Anschein erwecken, eine legitime Quelle zu haben, z. B. die Bank oder den IT-Administrator.
• Spear-Phishing: Hierbei handelt es sich um einen Phishing-Angriff, der auf bestimmte Benutzer abzielt und sehr individuell auf sie zugeschnitten ist. Wenn sie gut ausgeführt werden, können diese Angriffe eine hohe Erfolgsquote haben.

Systemausbeutung

• Man-in-the-Middle-Angriffe: Angreifer können Netzwerke infiltrieren, um den Datenverkehr zwischen Geräten und Servern abzufangen. Dies kann den Diebstahl von API-Tokens, Benutzernamen und Kennwörtern ermöglichen, die nicht über verschlüsselte Verbindungen gesendet werden. Im öffentlichen Internet ist MitM weniger verbreitet als früher (dank der Allgegenwärtigkeit von HTTPS), aber es kann unter bestimmten Umständen immer noch funktionieren.
• Sitzungsangriffe: Streng genommen ist ein Session-Hijacking-Angriff nicht unbedingt eine Form von ATO (da der Angreifer nicht immer die Anmeldedaten des Benutzers erhält). Er kann jedoch dieselbe Wirkung haben, da der Angreifer die Identität des Benutzers für die Dauer der Sitzung annehmen kann.
• Datendiebstahl, Viren und Malware: Hacker können Anmeldedaten bei Datenschutzverletzungen oder durch den Einsatz spezieller Malware wie Keylogger erlangen, um sie von Benutzerrechnern zu sammeln.

Eine umfassende Sicherheitsstrategie zur ATO-Prävention umfasst mehrere Schutzebenen, um alle diese Angriffsarten abzuwehren. Außerdem schließen sich diese Bedrohungen nicht gegenseitig aus. Wir beobachten häufig ausgeklügelte, mehrstufige ATO-Angriffe, bei denen Hacker verschiedene Strategien und Taktiken innerhalb eines einzigen Ereignisses ausprobieren.

Erkennung von ATO-Angriffen

Vielen Unternehmen fehlt der Überblick über die ATO-Versuche, die auf ihre Infrastruktur abzielen. ATO-Schutz beginnt damit, dass man weiß, wann sie stattfinden. Die robustesten ATO-Präventionstools nutzen die Automatisierung, um anomale Aktivitäten auf der Grundlage allgemeiner Indikatoren zu erkennen:

• Viele fehlgeschlagene Anmeldeversuche für einen einzelnen Benutzer deuten oft auf einen Wörterbuch-Angriff hin.
• Hohe Raten von fehlgeschlagenen Anmeldeversuchen bei mehreren Benutzern können auf einen Angriff zum Ausfüllen von Anmeldeinformationen hinweisen.
• Anmeldeversuche für mehrere Benutzer von einer einzigen IP-Adresse aus sind ebenfalls ein Warnsignal, insbesondere wenn sie innerhalb eines kurzen Zeitraums beobachtet werden.
• Ungewöhnliche Anmeldeversuche sollten ein Alarmsignal sein, z. B. wenn Anmeldeversuche von europäischen und afrikanischen IP-Adressen für ein in den Vereinigten Staaten registriertes Benutzerkonto eingehen.
• Verdächtige Identitäten von Client-Geräten: Ein Zustrom von Anfragen von Geräten, deren Identität nicht bekannt ist oder die generische Eigenschaften verwenden, ist ein weiterer Indikator dafür, dass der Datenverkehr unrechtmäßig ist.
• Verdächtiges Client-Verhalten: Ein legitimer Benutzer weist erkennbare Verhaltensmuster auf. Beispielsweise beginnt die Anmeldung bei einer Webanwendung mit einer GET-Anfrage, gefolgt von einer POST-Anfrage. Ein ATO-Angreifer wird versuchen, effizient zu arbeiten, und daher oft gegen diese Verhaltensmuster verstoßen, z. B. durch massenhaftes Senden von POST-Anfragen ohne vorhergehende GETs.
• Hohe Übermittlungsraten von Anmeldeformularen können auf einen laufenden ATO hinweisen, selbst wenn andere Metriken nicht anomal zu sein scheinen

Wie man ATO-Angriffe verhindert

Obwohl es sich bei Account-Takeover um eine komplizierte Bedrohung handelt, ist es möglich, Kontoübernahmeangriffe mit einer robusten Sicherheitsstrategie abzuwehren. In den nächsten Artikeln dieser Reihe werden wir Methoden und bewährte Verfahren erörtern, die Sie anwenden können, um die Konten Ihrer Benutzer zu schützen. Bleiben Sie dran!

Share this post