Verhinderung von Account-Takeover-Angriffen (ATO), Teil 3: Abwehr von Phishing

Account-Takeover-Attacken sind eine Form von Cyberangriffen, bei denen ein Hacker die Kontrolle über bestehende Benutzerkonten übernimmt. Erfolgreiche ATO-Angriffe können zu einer Vielzahl von katastrophalen Folgen führen. Wenn Kundenkonten kompromittiert werden, können Angreifer verschiedene Formen von Betrug begehen, die in großem Umfang zu Rufschädigung, Problemen mit Händlerkonten und Problemen bei der Einhaltung von Vorschriften führen können. Wenn interne Benutzerkonten gekapert werden, sind die möglichen Folgen sogar noch zerstörerischer, einschließlich Systemverletzungen, Datenexfiltration und Installation von Ransomware.

In dieser Artikelserie erörtern wir, wie man sich vor Account-Takeover-Angriffen schützen kann. Teil 1 gab einen Überblick über ATO, einschließlich der Arten von Angriffen und der Grundlagen der ATO-Erkennung. In Teil 2 haben wir einen detaillierten Blick auf MFA (Multi-Faktor-Authentifizierung) geworfen, die Konten mit zusätzlichen Schutzmaßnahmen wie Einmal-Passcodes sichert.

In diesem Artikel setzen wir unsere Untersuchung der ATO-Prävention fort, indem wir Gegenmaßnahmen für einen der wichtigsten ATO-Vektoren erörtern.

Phishing-Schutz für Ihr Unternehmen

Phishing ist eine Form des Social Engineering, bei der Benutzer dazu verleitet werden, schädliche Aktionen auszuführen. Die Ziele des Angreifers können unterschiedlich sein, z. B. Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben oder sogar Malware zu installieren. In diesem Artikel werden wir uns auf Aktionen konzentrieren, die zu ATO führen sollen.

Phishing ist heute eine der häufigsten und gefährlichsten Cyber-Bedrohungen. Der SlashNext-Bericht zum Stand des Phishings im Jahr 2022 ergab, dass es innerhalb von sechs Monaten über 255 Millionen versuchte Phishing-Angriffe gab. Jeder kann davon betroffen sein; Untersuchungen des britischen Office for National Statistics zeigen, dass Erwachsene im Alter von 25 bis 44 Jahren die meisten Phishing-Nachrichten erhalten, wobei die 35- bis 44-Jährigen am ehesten auf diese klicken.

Phishing kann viele verschiedene Formen annehmen. Einige Kampagnen richten sich an bestimmte Personen, während andere ein „weites Netz“ spannen und bösartige Korrespondenz an so viele Benutzer wie möglich senden. Laut dem Data Breach Investigations Report 2022 von Verizon beginnen 96 % der Phishing-Angriffe mit einer E-Mail, aber auch andere Kanäle wie Telefon, SMS und ähnlich aussehende Website-Domains werden genutzt.

Diese Angriffe können sehr raffiniert sein und manchmal Benutzer täuschen, die glauben, dass sie gute Sicherheitspraktiken anwenden. Phishing war für einige der größten bekannten Cyberangriffe verantwortlich, die zu ATO-Angriffen geführt haben, darunter der Einbruch bei Sony Pictures im Jahr 2014 (Die Kriminellen schickten Phishing-E-Mails, die sich als von Apple stammend ausgaben, an hochrangige Sony-Führungskräfte und leiteten sie auf eine gefälschte Anmeldeseite weiter, die ihre Anmeldedaten abfing).

Vier Verteidigungsschichten gegen Phishing

Anti-Phishing-Maßnahmen lassen sich in vier Kategorien einteilen:

• Filtern von Phishing-Nachrichten, damit sie die beabsichtigten Empfänger nicht erreichen
• Aufklärung der Benutzer, damit sie nicht auf die Nachrichten hereinfallen, die die Filterung umgehen
• Verhindern, dass die getäuschten Benutzer schädliche Aktionen durchführen
• Schadensbegrenzung, wenn die drei oben genannten Schritte fehlschlagen

Für die Sicherung interner Benutzerkonten sind alle diese Maßnahmen wichtig; für externe Kunden sind die dritte und vierte Kategorie am wichtigsten. Ein solides Sicherheitskonzept umfasst Maßnahmen in allen vier Kategorien.

Filtern von Phishing-Nachrichten

In den letzten Jahren haben die Anbieter von Kommunikationsdiensten ihre Fähigkeiten zur Ausfilterung bösartiger Nachrichten verbessert. In vielen Ländern blockieren oder kennzeichnen Telekommunikationsunternehmen beispielsweise einen großen Prozentsatz von automatischen Anrufen oder Massen-SMS-Kampagnen.

Für Unternehmen ist, wie bereits erwähnt, die E-Mail das größte Problem. Auch hier verbessert sich die Situation. Viele E-Mail-Lösungen für Unternehmen, wie z. B. die fortschrittlichen automatischen Scans von Google Mail, können verdächtige Inhalte erkennen, bevor sie dem Benutzer zugestellt werden. Die Nachricht kann dann unter Quarantäne gestellt, in Spam verschoben oder im Posteingang des Benutzers als nicht vertrauenswürdig markiert werden.

Wenn Ihr Unternehmen diese Möglichkeiten noch nicht nutzt, sollte es das jetzt tun. Die automatische Erkennung und Unterdrückung von Phishing-Mails ist eine risikoarme und wirkungsvolle Möglichkeit, Ihre Sicherheitslage erheblich zu verbessern.

Benutzer über Phishing aufklären

Die automatische Filterung blockiert offensichtliche Phishing-Kampagnen, erkennt aber nicht immer ausgefeiltere Versuche. Hier ist die Aufklärung der Benutzer entscheidend.

Mitarbeiter des Unternehmens, Auftragnehmer und andere Benutzer sollten regelmäßig Schulungen zur E-Mail-Hygiene, zur Erkennung von Social-Engineering-Taktiken und zu ähnlichen Themen erhalten. Obwohl einige moderne Phishing-Versuche schwer zu erkennen sind, gibt es in der Regel einige Indikatoren, die die Authentizität einer E-Mail verraten können. Tippfehler, vage Anweisungen und unbekannte „Absender“-Adressen sind häufig Anzeichen dafür, dass eine Nachricht nicht echt ist.

Wie viele Führungskräfte bestätigen können, kann die Entwicklung eines effektiven Anti-Phishing-Schulungsprogramms eine Herausforderung sein, da die Menschen unterschiedlich reagieren und sich unterschiedlich sorgfältig verhalten. Organisationen wie die CISA (U.S. Cybersecurity & Infrastructure Security Agency) bieten Schulungsmaterialien an, die hilfreich sein können. Eine weitere gute Quelle ist phishing.org.

Verhindern, dass getäuschte Benutzer handeln

Filter können nicht unbedingt alle Phishing-Nachrichten blockieren, und Aufklärung kann (leider) nicht immer verhindern, dass Benutzer getäuscht werden. Daher ist es wichtig, zu versuchen, Benutzer von schädlichen Handlungen abzuhalten.

So sollten Mitarbeiter beispielsweise verpflichtet werden, bei der Ausübung ihrer beruflichen Tätigkeit Passwort-Manager zu verwenden. Beim Besuch einer bösartigen Website, die eine legitime Website vortäuscht, wird die automatische Ausfüllfunktion des Passwortmanagers nicht aktiviert. Dies wird den Benutzer zwar nicht daran hindern, seine Anmeldedaten manuell einzugeben, sollte aber zumindest (bei entsprechender Schulung) als Warnung dienen, dass etwas nicht stimmt.

Insgesamt sollte Ihr Unternehmen klare interne Richtlinien festlegen, die verhindern, dass Informationen preisgegeben werden. So sollte es Benutzern beispielsweise untersagt sein, ihre Anmeldedaten per E-Mail weiterzugeben. Stattdessen müssen die Mitarbeiter persönlich Kontakt aufnehmen (z. B. per Telefon- oder Videoanruf), um sensible Anfragen wie Zahlungsfreigaben zu überprüfen. Dies kann dazu beitragen, Phishing-Angriffe wie den CEO-Betrug zu vereiteln (bei dem der Angreifer sensible Anmeldedaten anfordert, indem er sich als leitender Angestellter eines Unternehmens ausgibt). Diese Technik beruht darauf, dass sich der Benutzer unter Druck gesetzt fühlt, die Anfrage zu erfüllen, selbst wenn er erkennt, dass sie ungewöhnlich ist.

Ein empfohlener Aktionsplan für die oben genannten Maßnahmen

DIE CISA empfiehlt ein vierstufiges Vorgehen bei der Implementierung von technischen Systemen zur Bekämpfung von Phishing:

1. Nutzen Sie Ihren E-Mail-Anbieter und Ihre Client-Anwendungen, um eingehende E-Mails in Echtzeit zu filtern und zu scannen. Richten Sie Listen autorisierter Absender ein, schreiben Sie Hyperlinks in Klartext um (so dass die Benutzer ihr Ziel leicht erkennen können), und verbieten Sie die Verwendung potenziell problematischer Dateierweiterungen wie ausführbare Dateien und komprimierte Archive.
2. Verwenden Sie Systeme zum Schutz vor ausgehendem Internet, um den Benutzerzugriff auf bösartige Websites zu verhindern. Sie können diese Filter auf Netzwerkebene integrieren, indem Sie DNS-Regeln verwenden. Auf diese Weise können Sie Verbindungen zu bekannten bösartigen Websites, Domänen mit niedrigem Reputationswert oder besorgniserregenden Merkmalen wie der Ähnlichkeit mit einer wichtigen Eigenschaft (z. B. micro-soft.com anstelle von microsoft.com) verhindern.
3. Sichern Sie die Client-Software für den Benutzer, indem Sie die Verwendung von autorisierten Browsern, E-Mail-Anwendungen und Betriebssystemen vorschreiben. Dies hindert Hacker daran, bekannte Schwachstellen in älteren Plattformen auszunutzen.
4. Bieten Sie Schutz auf Host-Ebene für Benutzergeräte. Installieren und aktualisieren Sie signatur- und verhaltensbasierte Lösungen zur Erkennung von Malware, die in der Lage sind, anomale Aktivitäten in Echtzeit zu erkennen. Stellen Sie sicher, dass die in Ihre Plattformen integrierten Sicherheitslösungen, wie z. B. der Echtzeitschutz von Windows Defender, jederzeit aktiviert sind.

Schadensbegrenzung bei erfolgreichen Phishing-Angriffen

Mit den oben genannten Maßnahmen lassen sich die meisten Phishing-Versuche abwehren. Trotzdem ist es immer noch möglich, dass ein ausgeklügelter und gezielter Angriff erfolgreich ist.

Unternehmen sollten sich auf diese Möglichkeit einstellen und vorbereiten. Idealerweise würde das Zero-Trust-Sicherheitsmodell in allen Systemen implementiert werden. Das ist leichter gesagt als getan, sollte aber dennoch das Ziel sein.

Es ist auch wichtig, das Prinzip der geringsten Privilegien zu befolgen und durchzusetzen, wodurch der potenzielle Schaden, den ein kompromittiertes Konto anrichten kann, begrenzt wird.

Bei Kundenkonten kann die ATO-Minderung eine Herausforderung darstellen, da es schwieriger ist, zu erkennen, wann ein Angriff erfolgreich war und ein Hacker begonnen hat, sich als legitimer Benutzer auszugeben. Hier ist es wichtig, eine Web-Sicherheitslösung zu haben, die UEBA (User and Entity Behavioral Analytics) beinhaltet, die anomales Verhalten erkennen und kennzeichnen kann.

Fazit

ATO-Angriffe sind auf dem Vormarsch: Laut einem Bericht des Betrugsbekämpfungsanbieters GIACT werden zwischen 2019 und 2021 38 % der US-Verbraucher Opfer einer Übernahme. Cyberkriminelle finden diese Art von Angriffen attraktiv, weil sie relativ einfach zu bewerkstelligen sind, die Exfiltration von Informationen oder die Unterbrechung der Aktivitäten eines Unternehmens ermöglichen und langfristigen Zugriff auf privilegierte Funktionen bieten können.

In der aktuellen Bedrohungslage benötigen Unternehmen nicht nur eine WAF (Web Application Firewall) der nächsten Generation, DDoS-Schutz und Hostile-Bot-Management, sondern auch einen speziellen mehrschichtigen Schutz gegen ATO. Bislang haben wir uns mit MFA und Anti-Phishing-Schutz befasst. Im nächsten und letzten Artikel dieser Reihe werden wir eine weitere wichtige, aber oft unterschätzte Anti-ATO-Technologie besprechen: die Ratenbegrenzung.

Share this post