Der Diebstahl von Zugangsdaten ist für Unternehmen eine der größten Bedrohungen durch Cyberkriminelle. So jedenfalls die Aussage des aktuellen Threat Report des unabhängigen europäischen Unternehmen für Cybersicherheit, aDvens. Ich stelle die Erkenntnisse, die das Unternehmen mir zukommen ließ, mal hier in den Blog ein.
Rund ein Viertel aller Cyberattacken 2024 basierte auf dieser Strategie. Dabei haben es Infostealer wie LummaC2, RisePro und Stealc auf Login-Daten von Mitarbeiterinnen und Mitarbeitern abgesehen. Das Angriffsmuster läuft dabei wie folgt ab: Die Angreifer greifen die Credentials über Phishing oder mit Schadsoftware infizierte Downloads ab.
Fake Anwendungen und -webseiten
Beispielsweise glauben Nutzer, ChatGPT auf ihren Computer herunterzuladen. Das Programm spiegelt aber lediglich die Weboberfläche von ChatGPT. Loggt der Nutzer sich in seinen Account ein, werden die Login-Daten abgegriffen. Diese Daten können dann von den Angreifern weiterverwendet werden. Die Cyberkriminellen sind dabei umso erfolgreicher, je häufiger auf eine Multifaktorauthentifizierung verzichtet beziehungsweise dieselben Passwörter für verschiedene Accounts wiederverwendet werden.
Captcha Hijacking als Angriffstechnik
In letzter Zeit hat sich laut aDvens eine neue Masche zum Diebstahl von Zugangsdaten etabliert. Das Ganze nennt sich Captcha Hijacking. Bösartige Webseiten fordern dabei Nutzer auf, Befehle in der Kommandozeile auszuführen, um zu beweisen, dass es sich um Menschen handelt – anstatt beispielsweise Objekte auf Bildern zu identifizieren.
Durch die Befehle wird ein Infostealer auf den Computer geladen – oft handelt es sich dabei um den LummaC2 Stealer. Dieser sammelt im Hintergrund Daten, indem er Tastatureingaben trackt, Screenshots macht oder versucht, im Browser gespeicherte Passwörter auszulesen.
Anmerkungen: In gut gemangten Unternehmensumgebungen sollte der Download und die Installation eigener Software eigentlich technisch blockiert sein. Aber es gibt Hundertausende unverwaltete Systeme in KMU-Unternehmen.
Missbrauch der gestohlenen Zugangsdaten
Mit den gestohlenen Zugangsdaten können die Angreifer häufig auf verschiedene Services zugreifen, manchmal sogar mit erweiterten Zugriffsrechten, was das Unternehmen besonders angreifbar macht. Speichern Mitarbeiter auch persönliche Login-Daten auf ihren Dienstcomputern können diese ebenfalls entwendet werden – zum Teil mit hohem finanziellem Schaden, wenn es sich z. B. um Anmeldedaten für das Onlinebanking handelt. Mit folgenden Maßnahmen kann man sich schützen:
- Starke, für jeden Dienst einzigartige Passwörter verwenden
- Zwei-Faktor-Authentifizierung aktivieren
- Vorsicht bei Links und Anhängen in E-Mails
- Aktuelle Sicherheitssoftware verwenden
- Mitarbeiter regelmäßig schulen
Und bei Verdacht auf Kompromittierung sollten die Passwörter sofort geändert werden. Ist aber alles nur Schadensbegrenzung, besser ist es, im Vorfeld die Kompromittierung zu verhindern. Und für den Schadensfall sollten in Firmen Ablaufpläne mit den durchzuführenden Maßnahmen vorhanden sein, um schnell reagieren zu können. Der Thread-Report ist hier nach einer Registrierung abrufbar.
MVP: 2013 – 2016
Das wird noch schlimmer wenn sich die SVG-Masche weiter durchsetzt:
https://www.threatdown.com/blog/criminals-smuggle-phishing-code-in-svg-images/
https://www.fortinet.com/blog/threat-research/scalable-vector-graphics-attack-surface-anatomy
Starke, für jeden Dienst einzigartige Passwörter verwenden
Zwei-Faktor-Authentifizierung aktivieren
Vorsicht bei Links und Anhängen in E-Mails
Aktuelle Sicherheitssoftware verwenden
Mitarbeiter regelmäßig schulen
Also zumindest für Firmen ist das doch das Kleine Einmal Eins… wer das schon nicht beherscht … sollte dirrekt liquidiert werden!
Aber ja ich verstehe es durchaus: Gutes Fachpersonal zu kriegen, erweist sich oft als schwierig. Besonders wenn man dieses nicht bezahlen möchte.