4 aktuelle Social-Engineering-Techniken, auf die Sie in diesem Monat des Cybersecurity Awareness achten sollten
Da in vielen Ländern der Monat der Cybersicherheit in vollem Gange ist, ist jetzt ein guter Zeitpunkt, um auf einige der neuesten Social-Engineering-Techniken hinzuweisen. Das Motto für das Jahr 2023, „Secure Our World“, hebt die Fähigkeit, Phishing zu erkennen und zu melden, als einen der vier Schritte für eine sichere Welt besonders hervor. Doch die Bedrohungsakteure gehen bei ihren Social-Engineering-Angriffen weit über herkömmliche Phishing-Kampagnen hinaus. Im Folgenden werfen wir einen Blick auf einige der neuesten Techniken, auf die Sie diesen Monat und darüber hinaus achten sollten.
Open Redirect Phishing
Open-Redirect-Phishing ist eine interessante und effektive Taktik, die technisches Wissen über Schwachstellen von Webanwendungen oder Websites mit psychologischer Manipulation kombiniert. Offene Weiterleitungsfehler treten auf, wenn eine Website oder App nicht einschränkt oder validiert, wie sie Nutzer von einer URL zu einer anderen weiterleitet. Es gibt viele legitime Gründe, Benutzer während des Besuchs einer Website oder der Verwendung einer App umzuleiten, z. B. die Verfolgung ihrer Aktivitäten zur Marketingoptimierung, die Führung durch mehrstufige Prozesse oder die Umleitung von veralteten Inhalten auf neue Seiten. Hier ist ein hypothetisches Beispiel, um zu verdeutlichen, was ein offener Umleitungsfehler ist.
Nehmen wir die Domain http://trustedwebsite.com , die eine offene Umleitungsschwachstelle aufweist. Eine legitime Weiterleitungs-Url könnte wie folgt aussehen:
https://trustedwebsite.com/redirect?url=https://trustedwebsite.com/newpage
Da diese hypothetische Website jedoch eine offene Umleitungslücke aufweist, kann ein Angreifer eine irreführende URL erstellen, wie z. B:
https://trustedwebsite.com/redirect?url=https://malwarewebsite.com
Das Problem besteht darin, dass aufgrund der offenen Umleitungsschwachstelle keine Validierung stattfindet und der Benutzer durch Anklicken dieses Links auf http://malwarewebsite.com gelangt. Wo kommt nun das Social Engineering ins Spiel? Da ein Benutzer, der eine E-Mail mit der letztgenannten URL erhält, möglicherweise nur die Domäne http://trustedwebsite.com bemerkt und annimmt, dass der Link sicher ist, können Hacker überzeugende E-Mails mit bösartigen Weiterleitungen erstellen. Erschwerend kommt hinzu, dass E-Mail-Sicherheitslösungen diese E-Mails oft nicht als verdächtig einstufen, weil die verlinkte Domain selbst nicht bösartig ist. Hacker entdecken Websites oder Anwendungen mit diesen Schwachstellen mit automatischen Scanning-Tools oder durch die manuelle Überprüfung von Umleitungsparametern.
Benutzer sollten sich bewusst sein, dass sie die URLs in den E-Mails, die sie erhalten, sorgfältig prüfen müssen. URLs mit verkürzten Links wie http://bit.ly sind ein besonderes Indiz für die Verschleierung einer bösartigen Domain.
QR Phishing
Quick-Response-Codes (QR-Codes) sind die allgegenwärtigen schwarz-weißen Quadrate, die von Smartphones gescannt werden. Diese Codes haben sich nahtlos in verschiedene Aspekte der täglichen Gesellschaft integriert, die für die Menschen selbstverständlich sind – vom mobilen Bezahlen bis hin zu Speisekarten in Restaurants. Die Verbreitung von QR-Codes hat auch dazu geführt, dass sie als Social-Engineering-Bedrohung in Form von QR-Phishing (oder „Quishing“, wie es in einigen Quellen heißt) genutzt werden.
Da QR-Codes fast immer Links zu Websites enthalten (obwohl sie auch andere Inhalte kodieren können), ist es für Cyberkriminelle möglich, einen bösartigen QR-Code zu generieren, der, wenn er gescannt wird, die Opfer auf betrügerische Websites leitet, zum Herunterladen unerwünschter Apps auffordert oder bösartige Aktionen wie Zahlungen auslöst. Die diskrete Platzierung gefälschter QR-Codes über legitimen Codes, z. B. auf öffentlichen Werbetafeln oder Bezahlterminals, ist eine clevere Methode, um das wachsende Vertrauen in diese schwarz-weißen Muster auszunutzen.
In einem aktuellen Beispiel, das auf Mitarbeiter abzielte, wurden diese durch gefälschte Microsoft-Sicherheitswarnungen aufgefordert, die Sicherheitseinstellungen ihres Kontos über QR-Codes zu aktualisieren. Diese Codes leiteten die Benutzer jedoch zu bösartigen Websites, auf denen die Bedrohungsakteure ihre Anmeldedaten stahlen. Um die Bedrohung durch QR-Code-Phishing zu bekämpfen, muss die Öffentlichkeit stärker für diese Social-Engineering-Technik sensibilisiert werden, und es müssen sichere QR-Scanner mit URL-Vorschaufunktion verwendet werden.
MFA Fatigue
Während viele Ratschläge zur Cybersicherheit den Wert der Multi-Faktor-Authentifizierung (MFA) hervorheben, haben Hacker begonnen, bestimmte Implementierungen dieser stärkeren Authentifizierungsmethode auszunutzen. Sogenannte MFA-Ermüdungsangriffe nutzen die Ermüdung und Frustration aus, die Benutzer empfinden können, wenn sie häufig zur Eingabe mehrerer Authentifizierungsfaktoren aufgefordert werden, insbesondere wenn der Prozess umständlich ist oder sich wiederholt.
Mit der Zeit können wiederholte MFA-Aufforderungen die Benutzer desensibilisieren und sie dazu bringen, Authentifizierungsanfragen ohne gründliche Prüfung zu genehmigen. Angreifer machen sich diese Ermüdung zunutze, indem sie Benutzer mit gefälschten MFA-Aufforderungen in einem Push-Bombing-Angriff überfluten. Inmitten der Flut von Push-Benachrichtigungen könnten die Zielbenutzer versehentlich eine bösartige Anfrage genehmigen.
Eine Möglichkeit zur Abwehr von MFA-Müdigkeitsangriffen besteht für Unternehmen darin, biometrische oder Token-basierte MFA-Lösungen zu verwenden. Dies ist jedoch keine Lösung für die Bedrohung von Personen, die private Apps und Online-Dienste außerhalb des Geschäftskontexts nutzen. Unternehmen, die Push-Benachrichtigungen oder einmalige Codes verwenden, sollten einen adaptiven Ansatz in Betracht ziehen, der diese zusätzlichen Authentifizierungsschritte nur bei risikoreichen Transaktionen oder ungewöhnlichen Anmeldungen erfordert.
Deepfake Phishing
Während viele Ratschläge zur Cybersicherheit den Wert der Multi-Faktor-Authentifizierung (MFA) hervorheben, haben Hacker begonnen, bestimmte Implementierungen dieser stärkeren Authentifizierungsmethode auszunutzen. Sogenannte MFA-Ermüdungsangriffe nutzen die Ermüdung und Frustration aus, die Benutzer empfinden können, wenn sie häufig zur Eingabe mehrerer Authentifizierungsfaktoren aufgefordert werden, insbesondere wenn der Prozess umständlich ist oder sich wiederholt.
Mit der Zeit können wiederholte MFA-Aufforderungen die Benutzer desensibilisieren und sie dazu bringen, Authentifizierungsanfragen ohne gründliche Prüfung zu genehmigen. Angreifer machen sich diese Ermüdung zunutze, indem sie Benutzer mit gefälschten MFA-Aufforderungen in einem Push-Bombing-Angriff überfluten. Inmitten der Flut von Push-Benachrichtigungen könnten die Zielbenutzer versehentlich eine bösartige Anfrage genehmigen.
Eine Möglichkeit zur Abwehr von MFA-Müdigkeitsangriffen besteht für Unternehmen darin, biometrische oder Token-basierte MFA-Lösungen zu verwenden. Dies ist jedoch keine Lösung für die Bedrohung von Personen, die private Apps und Online-Dienste außerhalb des Geschäftskontexts nutzen. Unternehmen, die Push-Benachrichtigungen oder einmalige Codes verwenden, sollten einen adaptiven Ansatz in Betracht ziehen, der diese zusätzlichen Authentifizierungsschritte nur bei risikoreichen Transaktionen oder ungewöhnlichen Anmeldungen erfordert.
Sensibilisierung (Awareness) ist der Schlüssel
Die Verteidigung gegen die neuesten Social-Engineering-Techniken im Unternehmenskontext beginnt damit, dass Unternehmen ein effektives und kontinuierliches Sicherheitsbewusstsein bei ihren Mitarbeitern fördern. DIESEC unterstützt modernes Social Engineering-Bewusstsein, indem es simulierte Tests mit den neuesten Angriffsvektoren durchführt und eine Social Engineering-Bewusstseinskampagne auf der Grundlage der Ergebnisse dieser Tests maßschneidert.