Zugangsdaten stehlen mit Mobile Phishing

Mobile Phishing über SMS, soziale Medien und Messaging-Plattformen von Drittanbietern wie WhatsApp ist eine der häufigsten Methoden, mit denen Angreifer Zugangsdaten stehlen. Anschließend loggen sie sich in die Cloud-Infrastruktur des Unternehmens ein, um Zugang zu sensiblen Daten zu erhalten, die sie stehlen oder verschlüsseln können, um einen Ransomware-Angriff durchzuführen.

Der Global State of Mobile Phishing Report zeigt, dass die Zahl der mobilen Phishing-Angriffe im Jahr 2022 so hoch war wie nie zuvor: Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen war mindestens einem Angriff pro Quartal ausgesetzt – und auch im ersten Quartal 2023 setzte sich dieser Trend ungebrochen fort.

Hybride Arbeitsumgebungen und BYOD-Richtlinien könnten zwei Gründe für den Anstieg sein. Die Unternehmen mussten akzeptieren, dass persönliche Mobilgeräte für berufliche Zwecke genutzt werden können. Es gilt jedoch zu bedenken, dass jedes mobile Gerät – ob privat oder unternehmenseigen, verwaltet oder nicht verwaltet, iOS oder Android – anfällig für Phishing-Versuche ist. Smartphones und Tablets haben es den Mitarbeitern erleichtert, von überall aus produktiv zu sein, aber sie haben auch neue Herausforderungen für IT- und Sicherheitsteams mit sich gebracht. Sicherheitsverantwortliche haben deutlich weniger Einblick in diese Geräte als in unternehmenseigene Geräte, was bedeutet, dass es schwieriger ist, diese erhöhten Risiken zu verwalten.

Vor diesem Hintergrund haben es Angreifer heute vor allem auf die persönlichen Geräte der Benutzer abgesehen, um in Unternehmen einzudringen. Ein Mitarbeiter kann über persönliche Kanäle wie soziale Medien, WhatsApp oder E-Mail Opfer eines Social-Engineering-Angriffs werden. Sobald dies der Fall ist, können Angreifer Zugang zu den Netzwerken oder Daten seines Arbeitgebers erhalten. Das ist kein einmaliges Ereignis. Die Studie von Lookout zeigt, dass im Jahr 2022 mehr als 50 Prozent der persönlichen Geräte mindestens einmal pro Quartal einer Art von mobilem Phishing-Angriff ausgesetzt waren.

SMS-Phishing und ähnliche Angriffe

Kürzlich gab das Cloud-Kommunikationsunternehmen Twilio bekannt, dass Angreifer in seine internen Systeme eingedrungen sind, nachdem sie mithilfe eines SMS-Phishing-Angriffs Zugangsdaten von Mitarbeitern erlangt hatten. Etwa zur gleichen Zeit meldete Cloudflare, ein Unternehmen für Content-Delivery-Netzwerke und DDoS-Abwehr, dass seine Mitarbeiter ebenfalls angegriffen wurden, die Systeme jedoch nicht beeinträchtigt wurden. Später meldete Signal, ein Anbieter verschlüsselter Messaging-Apps und Kunde von Twilio, dass Angreifer die Sicherheitslücke nutzten, um an die Telefonnummern von 1.900 seiner Nutzer zu gelangen. Group-IB fand heraus, dass diese Angriffe Teil einer größeren Kampagne einer als „0ktapus“ bekannten Gruppe sind, die mehr als 130 Unternehmen kompromittiert hat, indem sie auf diejenigen abzielte, die Okta als Single-Sign-On-Anbieter nutzen.

Forscher des Lookout Threat Lab fanden heraus, dass 0ktapus-Mitarbeiter in verschiedenen Branchen wie Telekommunikation, Kryptowährungen, Kundenservice und soziale Medien ins Visier genommen hat. Im Fall von Twilio und Signal schienen die Angreifer ihren Angriff auf bestimmte Konten ausrichten zu wollen, um möglicherweise weitere Social-Engineering-Maßnahmen durchzuführen oder auf andere Weise zusätzliche Ziele zu kompromittieren. Dieser Vorfall zeigt, wie vernetzt die Dienste in einer Cloud-gesteuerten Welt sind, in der Angreifer schnell von einem Ziel zum nächsten springen können.

Wie sich roten Fahnen erkennen lassen

Tatsache ist, dass die Angreifer immer besser darin werden, raffinierte, realistische Phishing-Kampagnen zu erstellen. Das macht es schwieriger, rote Flaggen zu erkennen, besonders auf mobilen Geräten. Aber auch wenn die roten Fähnchen klein sind, sind sie da, wenn bekannt ist, worauf zu achten ist. Bei einem Angriff wie diesem, der die MFA-Lösung eines Mitarbeiters auslöst, könnte der Standort in der Benachrichtigung falsch sein. Wenn sich ein Mitarbeiter in Berlin befindet und die Benachrichtigung von einem anderen Ort aus ausgelöst wurde, sollte er die Zugriffsanfrage verweigern und sein Sicherheitsteam sofort benachrichtigen. Ein weiteres Anzeichen wäre eine abnormale Kommunikation. So berichtete beispielsweise einer der drei Signal-Benutzer, die von der Twilio-Sicherheitsverletzung betroffen waren, dass er mitten in der Nacht einen SMS-Verifizierungscode erhalten hat.

Wenn Mitarbeiter Nachrichten erhalten, in denen sie aufgefordert werden, ihre Zugangsdaten zu verifizieren, sollten sie die Aufforderung mit äußerster Vorsicht behandeln. Wenn sie nicht selbst versucht haben, sich irgendwo anzumelden, sollten sie sich sofort mit ihren internen IT- und Sicherheitsteams in Verbindung setzen, um zu überprüfen, ob die Mitteilung gültig war. Ist dies nicht der Fall, können diese Teams den Rest des Unternehmens auf eingehende Angriffe ähnlicher Natur aufmerksam machen. Mitarbeiter sollten sich immer ein paar Sekunden Zeit nehmen, um alle Nachrichten auf Anzeichen für böswillige Absichten zu überprüfen, wie z. B. eine Diskrepanz beim Standort, falsch geschriebene Wörter oder verdächtige URLs. Diese Sekunden kritischen Denkens könnten viele Unternehmen vor Datenpannen bewahren.

Wie Unternehmen wachsam bleiben können

Der Vorfall bei Signal zeigt, wie anfällig Unternehmen für diese Art von Angriffen sind. Die Art und Weise, wie sich der Twilio-Angriff auf Signal-Benutzer ausbreitete, ist eine deutliche Erinnerung daran, dass das Ziel eines Angreifers nicht immer der Dienst ist, den er ursprünglich kompromittiert hat. Daher müssen Unternehmen wachsam bleiben, um sich und ihre Mitarbeiter zu schützen.

Um wachsam zu bleiben, können Unternehmen eine Cloud-Sicherheitsplattform implementieren, die sie durch die automatische Erkennung von anomalem Verhalten vor einem möglichen Cyberangriff warnt. Es ist von entscheidender Bedeutung, dass jedes Unternehmen über fortschrittliche Sicherheitsfunktionen verfügt, die Indikatoren für bösartige Aktivitäten über das herkömmliche Netzwerk hinaus erkennen können. Dies gilt vor allem, da Angreifer sich über verschiedene Geräte, Netzwerke und Anwendungen hinwegbewegen, um ihre Angriffe auszuführen.

Die Rolle von Zero Trust

Die Idee von Zero Trust ist, nichts und niemandem zu vertrauen, solange nicht überprüft ist, wer oder was der Benutzer oder das Gerät vorgibt zu sein. Da Unternehmen den Zustand der Telefone ihrer Nutzer nicht überprüfen können, ist es nur logisch, dass sie die Geräte mit Misstrauen behandeln, insofern sie diese nicht gegen firmeneigene Geräte austauschen. Die Realität ist, dass Mitarbeiter heute von überall aus tätig sind und dabei Netze und Geräte nutzen, die das Unternehmen nicht kontrollieren kann.

Natürlich sollten die Unternehmen Mitarbeitern nicht bedingungslos Zugang zu ihren Anwendungen und Daten gewähren, sei es zum Rechenzentrum über VPN oder zu SaaS-Anwendungen wie Microsoft 365, Salesforce oder Workday. Als die Berufswelt pandemiebedingt, wo immer es möglich war, auf Fernarbeit umstellte, galt es jedoch, der Belegschaft möglichst unkompliziert Zugang zu Unternehmensressourcen zu gewähren. Die meisten Sicherheitsteams haben daher kurzerhand die Kapazität ihrer VPNs erweitert. Dies ist jedoch ein Ansatz nach dem Prinzip „Alles oder Nichts“, der jedem, der eine Verbindung hat, unbegrenzten Zugang gewährt. Viele der Endgeräte, die Mitarbeiter bei der Fernarbeit verwenden – insbesondere Tablets, Smartphones und Chromebooks – unterliegen keiner zentralen Administration und auch die verwendeten Netzwerke stehen nicht unter Kontrolle.

Aus diesem Grund muss Zero Trust eine wichtige Säule der Cybersicherheitsstrategie eines jeden Unternehmens sein. Unternehmen können nicht mehr jedem Nutzer und jedem Gerät uneingeschränkten Zugang gewähren, da sich ihre Daten ungehindert von Endgeräten zu Cloud-Anwendungen bewegen. Stattdessen müssen sie verstehen, was mit ihren Benutzern und Endgeräten vor sich geht, damit sie nur genau auf die benötigten Anwendungen und Daten zugreifen können. Nur mit vollständiger Sichtbarkeit können Sie sicherstellen, dass Mitarbeiter und Daten sicher sind.

SASE-Plattform als Lösung

Eine Lösung ist die Integration von Endpunktsicherheit mit Secure Access Service Edge (SASE) auf einer Plattform. Dies bedeutet, die Daten vom Endpunkt bis zur Cloud auf eine Art und Weise zu schützen, die die persönliche Privatsphäre respektiert. Auf den verwalteten Endpunkten kommt hierbei ein Forward Proxy zum Einsatz, der den gesamten Internetverkehr durch die Plattform leitet. Der Datenverkehr lässt sich dadurch auf Anfragen von bösartigen Websites oder Websites, die nicht mit den Richtlinien des Unternehmens zur akzeptablen Nutzung übereinstimmen, prüfen. Die Plattform kann auch persönliche Konten erkennen und von der weiteren Prüfung ausschließen, um sicherzustellen, dass die Privatsphäre der Mitarbeiter gewahrt bleibt. Links, die in SaaS-Anwendungen und privaten Unternehmensanwendungen enthalten sind, werden ebenfalls analysiert, denn wenn Nutzer auf einen Link klicken, versucht ihr Browser trotzdem, auf den Link zuzugreifen.

Sobald die Anfrage des Benutzers an die Plattform weitergeleitet wird, bestimmt die Policy Engine die zu ergreifenden Maßnahmen. Da das Internet zum Standardnetzwerk des Unternehmens geworden ist, ist es wichtig, die Nutzer zu schützen, ohne ihnen die Möglichkeit zu nehmen, ihre Arbeit zu erledigen. Mit einer einheitlichen Policy-Engine können Unternehmen granulare Richtlinien erstellen und durchsetzen, die sich dynamisch ändern, wenn sich der Kontext und der Inhalt des Zugriffs ändert. So lassen sich zum Beispiel die folgenden Parameter definieren: Wenn ein Benutzer eine Aktivität auf der Website mit den Kategorien Betrug/Phishing und SPAM-URLs durchführt, wird der Zugriff auf die Website verweigert.

KI-gestützte Phishing-Erkennung über die Cloud

Die geräteinterne und KI-gestützte Phishing-Erkennung über eine cloudbasierte Sicherheitsplattform ermöglicht es Unternehmen, Angriffe dort zu stoppen, wo sie beginnen, und Benutzer daran zu hindern, sich mit Phishing-Websites zu verbinden, sowohl auf Unternehmens- als auch Privatgeräten. Eine solche Lösung erkennt und blockiert Phishing-Angriffe über jede beliebige mobile App und hindert Mitarbeiter daran, Zugangsdaten preiszugeben oder bösartige Software herunterzuladen.

Der Schutz vor Phishing-Bedrohungen ist ein Bereich, an den Unternehmen denken müssen, wenn sie ihren Nutzern eine hybride Arbeitsumgebung bieten. Mit den richtigen Ansätzen – SASE und Zero Trust – und zeitgemäßer Sicherheitstechnologie ist es möglich, die hybride Arbeitswelt sicher zu gestalten.

Sascha Spangenberg

Global MSSP Solutions Architect, Security Expert in Mobile and SASE bei Lookout.

Roger Homrich

Recent Posts

Webcast | Generative KI im Unternehmen: Von der Strategie zum konkreten Einsatz (Aufzeichnung)

"Damit KI-Projekte wirklich einen Mehrwert bringen, müssen Unternehmen zunächst klassische Hausaufgaben erledigen", sagt Thomas Meier…

2 Tagen ago

Von KI noch „Lichtjahre entfernt“

Interim Managerin Jane Enny van Lambalgen: „Es gibt wichtigere Baustellen als KI im Mittelstand.“

3 Tagen ago

WWK Versicherungen setzt auf Infrastrukturlösungen von Dell

Die flächendeckende Einführung von Remote Work wird durch hyperkonvergente VxRail-Systeme unterstützt.

3 Tagen ago

Braucht Innovation Open Source?

Die Fähigkeit, innovative Geschäftsmodelle voranzutreiben, setzt Open-Source-Prinzipien voraus, sagt Gregor von Jagow von Red Hat.

3 Tagen ago

Digitaler Kaffeeanbau mit smarter IoT-Lösung

Das von Cisco unterstützte Projekt ConSenso will herausfinden, wie sich der Klimawandel auf die Arabica-Kaffeepflanzen…

5 Tagen ago

Ubuntu: Das beliebteste Open-Source-Betriebssystem startet durch

Ubuntu ist eine echte Alternative zu proprietären Betriebssystemen, sagt Tytus Kurek von Canonical im Interview.

5 Tagen ago