Lookout: Wie man sich vor SMS-Phishing und ähnlichen Angriffen schützt

Sicherheit (Pexels, allgemeine Nutzung)Momentan gibt fast jede Woche ein anderes bekanntes Unternehmen bekannt, dass es Opfer eines Hacks geworden ist, bei dem Daten abgeflossen sind. Für Administratoren in Unternehmen stellt sich die Frage, wie man die internen Systeme vor SMS-Phishing und ähnlichen Angriffen, die auf Mitarbeiter zielen, schützen kann. Vom Sicherheitsanbieter Lookout habe ich einige Hinweise dazu erhalten, die ich hier im Blog veröffentliche.


Anzeige

Vor kurzem erklärte Twilio, ein Unternehmen für die Kommunikation in der Cloud, dass in seine internen Systeme eingebrochen wurde, nachdem mithilfe eines SMS-Phishing-Angriffs Anmeldedaten von Mitarbeitern gestohlen wurden. Etwa zur gleichen Zeit meldete Cloudflare, ein Unternehmen für Content-Delivery-Netzwerke und DDoS-Abwehr (Distributed Denial of Service), dass seine Mitarbeiter ebenfalls angegriffen wurden, ihre Systeme jedoch nicht beeinträchtigt wurden.

Um mehr über den Twilio-Angriff zu erfahren, nutzten die Forscher des Lookout Threat Labs bekannte Muster, um zu sehen, ob sie zusätzliche Informationen über den dahinter stehenden Angreifer entdecken können. Basierend auf den Bewertung der Infrastruktur dieser Kampagne hat man neben Twilio und Cloudflare in den letzten Monaten mehr als 30 Organisationen ins Visier genommen, darunter Mitarbeiter aus Unternehmen verschiedenen Branchen wie Telekommunikation, Kryptowährungen, Kundenservice und soziale Medien.

Es scheint, dass der Angreifer in diesen Fällen Phishing-Nachrichten verwendet hat, in denen er sich als Mitarbeiter des Support-Teams des jeweiligen Unternehmens ausgab. Anschließend wurden gestohlene Anmeldedaten benützt, um die mit diesen Logins verbundene Multifactor Authentication (MFA) auszulösen und so einen Fernzugriff auf die Konten zu erhalten.

Jedes Mal, wenn eine Sicherheitslücke auftritt, müssen Unternehmen über die Lehren nachdenken, die daraus gezogen werden können. Im Folgenden nennt Lookout Tipps zum Schutz von Unternehmen vor mobilen Phishing-Angriffen, damit diese ihre eigene Sicherheitslage besser einschätzen können.

Verstehen, wie sich Phishing entwickelt hat

Phishing hat sich im Laufe der Jahre erheblich weiterentwickelt. Sicher, die klassischen BEC-Angriffe (Business Email Compromise) sind immer noch lukrativ, aber die Einführung von mobilen Geräten hat unzählige Möglichkeiten für Phishing-Angriffe eröffnet. Um das eigene Unternehmen zu schützen, sollte man diese Geräte und die Angriffe auf sie in der allgemeinen Sicherheitsstrategie berücksichtigen.

Um Mitarbeiter zur Herausgabe ihrer Anmeldedaten zu verleiten, nutzen Akteure aus der Bedrohungsszene die Tatsache aus, dass man allgemein den mobilen Geräten viel mehr vertraut. Mitarbeiter sind im allgemeinen weniger geneigt, Vorsicht walten zu lassen, wenn man eine unaufgeforderte Textnachricht erhält, als wenn man denselben Inhalt an seine E-Mail-Adresse am Arbeitsplatz erhält. Außerdem verbergen mobile Geräte mit ihren kleineren Bildschirmen und ihrer vereinfachten Benutzeroberfläche viele verräterische Anzeichen eines Angriffs.

Phishing-Kits werden auch häufig auf dem Markt für Malware as a Service verkauft, was den Angreifern mehr Möglichkeiten als jemals zuvor bietet. Diese Kits können relativ billig sein und geben selbst unerfahrenen Angreifern die Möglichkeit an die Hand, Unternehmen mit komplexen Phishing-Kampagnen gezielt ins Visier zu nehmen.


Anzeige

Lernen, wie man die Alarmsignale rechtzeitig wahrnimmt

Tatsache ist, dass die Angreifer immer besser darin werden, raffinierte, realistische Phishing-Kampagnen zu erstellen. Dies macht es zugleich schwieriger, Warnzeichen rechtzeitig zu erkennen, insbesondere auf mobilen Geräten. Aber auch wenn die roten Fähnchen klein sind, sind sie nicht zu übersehen, wenn man weiß, worauf man achten muss.

Bei einem Angriff nach dem Muster, der die MFA-Meldung eines Mitarbeiters auslöst, könnte der Standort in der Benachrichtigung falsch gewählt sein. Wenn sich ein Mitarbeiter in San Francisco befindet und die Benachrichtigung von einem anderen Ort aus ausgelöst wurde, sollte er die Zugriffsanfrage verweigern und sofort sein Sicherheitsteam benachrichtigen. Ein weiteres Anzeichen wäre eine abnormale Kommunikation, wenn man zum Beispiel nie Textnachrichten von seinem Arbeitsplatz erhält, aber plötzlich eine solche im Mail-Eingang vorfindet.

Wenn Mitarbeiter Nachrichten erhalten, in denen sie aufgefordert werden, ihre Anmeldedaten zu überprüfen, sollten sie diese Anfrage ebenfalls mit äußerster Vorsicht behandeln. Wenn sie nicht selbst versucht haben, sich irgendwo einzuloggen, sollten sie sich sofort mit ihren internen IT- und Security Teams in Verbindung setzen, um die Mitteilung auf ihre Gültigkeit zu überprüfen. Trifft dies nicht zu, sollten diese Teams den Rest des Unternehmens auf eingehende Angriffe ähnlicher Natur aufmerksam machen. Alle Mitarbeiter sollten sich immer ein paar Sekunden oder Minuten Zeit nehmen, um alle eingehenden Nachrichten auf Anzeichen für eine böswillige Absicht hin zu überprüfen. Das können zum Beispiel Hinweise wie eine Diskrepanz beim Standort, falsch geschriebene Wörter oder verdächtige interne Seiten sein. Diese Augenblicke kritischer Überprüfung könnten das eigene Unternehmen vor einem Dateneinbruch bewahren.

Wie Unternehmen wachsam bleiben können

Da mobile Phishing-Angriffe über Kanäle jenseits der Kontrolle des eigenen Sicherheitsteams erfolgen können – wie zum Beispiel SMS, soziale Medien und Messaging-Plattformen von Drittanbietern wie WhatsApp – muss das Unternehmen insgesamt wachsam bleiben, um sich und seine Mitarbeiter zu schützen.

Mobiles Phishing ist eine der häufigsten Methoden, mit denen Angreifer Login-Berechtigungsnachweise stehlen. Anschließend loggen sie sich selbst in die Cloud-Infrastruktur des Unternehmens ein, um Zugriff auf sensible Daten zu erhalten, die sie stehlen oder für einen Ransomware-Angriff verschlüsseln können.

Um auf der sicheren Seite zu bleiben, sollten Unternehmen jeder Art und Größe eine Cloud-Sicherheitsplattform installieren, die sie durch die automatische Erkennung anomaler Verhaltensweisen vor einem potenziellen Cyber-Angriff warnen kann. Es ist nach Meinung von Lookout von entscheidender Bedeutung, dass jedes Unternehmen über fortschrittliche Sicherheitsfunktionen verfügt, die Anzeichen für bösartige Aktivitäten über das herkömmliche Netzwerk hinaus erkennen können – vor allem, da sich Angreifer immer mehr über verschiedene Geräte, Netzwerke und Anwendungen hinweg bewegen, um ihre Angriffe auszuführen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Lookout: Wie man sich vor SMS-Phishing und ähnlichen Angriffen schützt

  1. Info sagt:

    Alls größtes Problem sehe ich die Verwendung von Java-Script(bzw. deren neue Namens-Gebungen in neuen BS). So gut wie jede Website verwendet es inzwischen um Statistik/Werbung/andere "Sicherheitskritische Funktionen" vorbei an AD-Blockern/DN-Blockern zu realisieren.

    Derzeitige einzige Lösung ist genaue IP-Bereiche oder IPs zu blockieren – was aufwandstechnisch keine gute/permanente Lösung ist.

    Schutzprogramme sollten vermehrt die Möglichkeit zur Blockierung von "bestimmten gewollt/bekannten kritischen" ".js" bieten. Keine Funktion nur für individuelle Browser/APPs.

    Letzte Artikel zum Problem…
    Google Chrome erlaubt Webseiten das Schreiben (ohne Nachfrage) in die Windows-Zwischenablage
    Lookout: Wie man sich vor SMS-Phishing und ähnlichen Angriffen schützt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.