Social Engineering ist kein neues Konzept, selbst in der Welt der Cybersicherheit. Allein Phishing-Betrügereien gibt es schon seit fast 30 Jahren, wobei Angreifer immer wieder neue Wege finden, um Opfer dazu zu verleiten, auf einen Link zu klicken, eine Datei herunterzuladen oder vertrauliche Informationen preiszugeben.
Bei BEC-Angriffen (Business Email Compromise) wurde dieses Konzept aufgegriffen, indem der Angreifer Zugriff auf ein legitimes E-Mail-Konto erhielt und sich als dessen Besitzer ausgab. Angreifer argumentieren, dass Opfer eine E-Mail, die von einer vertrauenswürdigen Quelle stammt, nicht hinterfragen würden – und allzu oft haben sie Recht.
Doch E-Mail ist nicht das einzige wirksame Mittel, mit dem Cyberkriminelle Social-Engineering-Angriffe durchführen. Moderne Unternehmen sind auf eine Reihe digitaler Anwendungen angewiesen, von Cloud-Diensten und VPNs bis hin zu Kommunikationstools und Finanzdienstleistungen. Darüber hinaus sind diese Anwendungen miteinander verbunden, sodass ein Angreifer, der eine davon kompromittieren kann, auch andere kompromittieren kann. Unternehmen können es sich nicht leisten, sich ausschließlich auf Phishing- und BEC-Angriffe zu konzentrieren – nicht, wenn die Kompromittierung von Geschäftsanwendungen (Business Application Compromise, BAC) zunimmt.
Ausrichtung auf Single Sign-on
Unternehmen nutzen digitale Anwendungen, weil sie hilfreich und bequem sind. Im Zeitalter der Remote-Arbeit benötigen Mitarbeiter Zugriff auf wichtige Tools und Ressourcen von einer Vielzahl von Standorten und Geräten aus. Anwendungen können Arbeitsabläufe rationalisieren, den Zugriff auf wichtige Informationen verbessern und es den Mitarbeitern erleichtern, ihre Arbeit zu erledigen. Eine einzelne Abteilung innerhalb einer Organisation verwendet möglicherweise Dutzende von Anwendungen, während dieEin durchschnittliches Unternehmen nutzt mehr als 200. Leider wissen Sicherheits- und IT-Abteilungen nicht immer über diese Anwendungen Bescheid – geschweige denn, dass sie sie genehmigen –, was die Kontrolle zu einem Problem macht.
Die Authentifizierung ist ein weiteres Problem. Das Erstellen (und Merken) eindeutiger Benutzernamen- und Passwortkombinationen kann für jeden, der für seine Arbeit Dutzende verschiedener Apps verwendet, eine Herausforderung sein. Die Verwendung eines Passwort-Managers ist eine Lösung, die jedoch für die IT-Abteilung möglicherweise schwierig durchzusetzen ist. Stattdessen optimieren viele Unternehmen ihre Authentifizierungsprozesse durch Single-Sign-On-Lösungen (SSO)., die es Mitarbeitern ermöglichen, sich einmal bei einem genehmigten Konto anzumelden, um Zugriff auf alle verbundenen Anwendungen und Dienste zu erhalten. Da SSO-Dienste Benutzern jedoch einfachen Zugriff auf Dutzende (oder sogar Hunderte) von Geschäftsanwendungen ermöglichen, sind sie ein wertvolles Ziel für Angreifer. Natürlich verfügen SSO-Anbieter über eigene Sicherheitsfunktionen und -fähigkeiten – menschliches Versagen bleibt jedoch ein schwer zu lösendes Problem.
Social Engineering, weiterentwickelt
Viele Anwendungen – und sicherlich die meisten SSO-Lösungen – verfügen über eine Multifaktor-Authentifizierung (MFA). Dies macht es für Angreifer schwieriger, ein Konto zu kompromittieren, ist aber sicherlich nicht unmöglich. MFA kann für Benutzer lästig sein, da sie sich möglicherweise mehrmals am Tag damit bei Konten anmelden müssen – was zu Ungeduld und manchmal auch zu Nachlässigkeit führt.
Bei einigen MFA-Lösungen muss der Benutzer einen Code eingeben oder seinen Fingerabdruck zeigen. Andere fragen einfach: „Bist du das?“ Letzteres ist zwar für den Benutzer einfacher, gibt Angreifern aber Handlungsspielraum. Ein Angreifer, der bereits eine Reihe von Benutzeranmeldeinformationen erhalten hat, versucht möglicherweise mehrmals, sich anzumelden, obwohl er weiß, dass das Konto durch MFA geschützt ist. Indem das Telefon des Benutzers mit MFA-Authentifizierungsanfragen gespammt wird, Angreifer erhöhen die Alarmbereitschaft des Opfers. Viele Opfer gehen bei einer Flut von Anfragen davon aus, dass die IT-Abteilung versucht, auf das Konto zuzugreifen, oder klicken auf „Genehmigen“, nur um die Flut an Benachrichtigungen zu stoppen. Menschen lassen sich leicht verärgern, und Angreifer nutzen dies zu ihrem Vorteil.
Dadurch ist BAC in vielerlei Hinsicht einfacher zu erreichen als BEC. Gegner, die sich an BAC beteiligen, müssen ihre Opfer nur dazu drängen, eine schlechte Entscheidung zu treffen. Und indem Angreifer Identitäts- und SSO-Anbieter ins Visier nehmen, können sie Zugriff auf potenziell Dutzende verschiedener Anwendungen erhalten, darunter Personal- und Gehaltsabrechnungsdienste. Der Zugriff auf häufig verwendete Anwendungen wie Workday erfolgt häufig über SSO, wodurch Angreifer Aktivitäten wie Direkteinzahlungen und Gehaltsabrechnungsbetrug durchführen können, bei denen Gelder direkt auf ihre eigenen Konten geschleust werden können.
Diese Art von Aktivität kann leicht unbemerkt bleiben – deshalb ist es wichtig, über netzwerkinterne Erkennungstools zu verfügen, die verdächtiges Verhalten erkennen können, selbst von einem autorisierten Benutzerkonto aus. Darüber hinaus sollten Unternehmen den Einsatz von priorisieren Phish-resistente FIDO-Sicherheitsschlüssel (Fast Identity Online).
bei Verwendung von MFA. Wenn reine FIDO-Faktoren für MFA unrealistisch sind, besteht die nächstbeste Lösung darin, E-Mail, SMS, Sprache und zeitbasierte Einmalkennwörter (TOTPs) zugunsten von Push-Benachrichtigungen zu deaktivieren und dann MFA oder Richtlinien des Identitätsanbieters zu konfigurieren, um den Zugriff einzuschränken auf verwaltete Geräte als zusätzliche Sicherheitsebene.
Priorisierung der BAC-Prävention
Aktuelle Forschung zeigt an
dass BEC- oder BAC-Taktiken bei 51 % aller Vorfälle eingesetzt werden. Obwohl weniger bekannt als BEC, gewährt erfolgreiches BAC Angreifern Zugriff auf eine Vielzahl geschäftlicher und privater Anwendungen, die mit dem Konto verknüpft sind. Social Engineering ist für heutige Angreifer nach wie vor ein äußerst lukratives Werkzeug – eines, das parallel zu den Sicherheitstechnologien weiterentwickelt wurde, mit denen es gestoppt werden soll.
Moderne Unternehmen müssen ihre Mitarbeiter schulen und ihnen zeigen, wie sie die Anzeichen eines potenziellen Betrugs erkennen und wo sie ihn melden können. Da Unternehmen jedes Jahr mehr Anwendungen nutzen, müssen Mitarbeiter Hand in Hand mit ihren Sicherheitsteams zusammenarbeiten, um dafür zu sorgen, dass die Systeme vor immer raffinierteren Angreifern geschützt bleiben.
