Die 50 größten Cyber-Bedrohungen

Das Splunk Threat Research Team (STRT) hat eine Liste der größten Cyber-Sicherheitsbedrohungen zusammengestellt, gruppiert nach den Angriffstaktiken gemäß MITRE ATT&CK-Framework. Diese Liste soll Ihnen dabei helfen, Hackern einen Schritt voraus zu sein.

Hero Image
Command & Control

Command & Control

Command & Control

Was Sie wissen müssen: Bei einem Command-and-Control-Angriff übernimmt ein Hacker die Kontrolle über einen Computer, um Befehle oder Malware an andere Systeme im Netzwerk zu senden. In einigen Fällen führt der Angreifer Aufklärungsaktivitäten durch, indem er sich lateral im Netzwerk bewegt und sensible Daten sammelt.

Bei anderen Angriffen können Hacker diese Infrastruktur wiederum nutzen, um die eigentlichen Angriffe zu starten. Eine der wichtigsten Funktionen dieser Infrastruktur ist die Einrichtung von Servern, die mit Implantaten in kompromittierten Endpunkten kommunizieren. Diese Angriffe werden oft auch als C2- oder C&C-Angriffe bezeichnet.

Meist verschaffen sich Angreifer über Phishing-E-Mails und die Installation von Malware Zugang zum System. Dadurch wird ein Command-&-Control-Kanal eingerichtet, über den Daten zwischen dem kompromittierten Endpunkt und dem Angreifer ausgetauscht werden. Diese Kanäle leiten Befehle an den kompromittierten Endpunkt weiter und die Ausgabe dieser Befehle anschließend wieder zurück an den Angreifer.

In der Vergangenheit erfolgten prominente Command-&-Control-Angriffe aus Russland, dem Iran und sogar den USA. Aber natürlich können die Angreifer auch aus jedem anderen Land der Welt stammen. Allerdings tun sie alles, um ihre Herkunft zu verbergen.

Da die Kommunikation von entscheidender Bedeutung für sie ist, verwenden Hacker spezielle Techniken, um die wahre Natur ihrer Korrespondenz zu verschleiern. Sie versuchen oft, ihre Aktivitäten so lange wie möglich zu loggen, ohne entdeckt zu werden, und nutzen eine Vielzahl von Techniken, um unauffällig über Kanäle zu kommunizieren.

IoT-Bedrohungen

IoT-Bedrohungen

Was Sie wissen müssen: Weltweit gibt es schätzungsweise 13,1 Milliarden vernetzte IoT-Geräte – eine Zahl, die bis 2030 voraussichtlich auf 30 Milliarden ansteigen wird. Allerdings fehlt es diesen Geräten oft an einer Sicherheitsinfrastruktur. Dies führt zu eklatanten Schwachstellen im Netzwerk, die ihre Angriffsfläche exponentiell vergrößern und sie anfällig für Malware machen. Zu den Angriffen, die über IoT-Geräte ausgeführt werden können, gehören DDoS-, Ransomware- und Social-Engineering-Angriffe.

Hacker und Staaten mit böswilligen Absichten können Schwachstellen in vernetzten IoT-Geräten mit ausgeklügelter Malware ausnutzen, um sich Zugriff auf ein Netzwerk zu verschaffen. So können sie Benutzer überwachen oder geistiges Eigentum, geheime oder personenbezogene Daten und andere wichtige Informationen stehlen. Sobald Hacker in ein IoT-System eingedrungen sind, können sie ihren neu gewonnenen Zugriff auch dafür nutzen, sich lateral zu anderen angeschlossenen Geräten zu bewegen oder sich für verschiedene schädliche Zwecke Zugriff auf ein größeres Netzwerk zu verschaffen.

Diese Angriffe können von jedem Ort der Welt ausgehen. Da jedoch viele Akteure wie Behörden, Industrieunternehmen und Gesundheitsdienstleister IoT-Infrastrukturen ohne angemessene Sicherheitsvorkehrungen einsetzen, sind diese Systeme leichte Ziele für Angriffe feindlicher Staaten und krimineller Organisationen. Im Gegensatz zu Angriffen auf die technische Infrastruktur könnten Angriffe auf vernetzte Systeme der öffentlichen Verwaltung oder des Gesundheitswesens zu weitreichenden Störungen und Panik führen. Sogar Menschenleben könnten dabei in Gefahr geraten.

IoT-Bedrohungen

Ransomware

Was Sie wissen müssen: Ransomware ist Malware, mit der ein Host infiziert wird, um die Daten eines Opfers zu verschlüsseln und als eine Art Geisel zu halten, bis dem Angreifer ein Lösegeld (englisch „ransom“) gezahlt wird. Ransomware-Angriffe der jüngsten Zeit haben gezeigt, dass Hacker inzwischen damit drohen, die gestohlenen Daten weiterzugeben oder zu verkaufen, was den potenziellen Schaden dieser Art von Angriffen um ein Vielfaches steigert.

Es gibt unzählige Arten von Ransomware, doch bestimmte Gruppen sind besonders bösartig. Eine berüchtigte Gruppe namens Blackmatter hat verschiedene Organisationen angegriffen, die für die US-Wirtschaft und -Infrastruktur von entscheidender Bedeutung sind, darunter auch Unternehmen aus der Lebensmittel- und Agrarindustrie. Eine weitere Art von Ransomware, vor der Sie sich in Acht nehmen sollten, ist Ryuk. Bis 2019 war Ryuk mit 12,5 Millionen US-Dollar die Ransomware mit dem höchsten Lösegeld, das jemals gezahlt wurde.

Angreifer können Ransomware über Spear-Phishing-Kampagnen und Drive-by-Downloads sowie über herkömmliche, auf Remote-Diensten basierende Angriffe auf den Rechnern von Unternehmen und Privatpersonen installieren. Sobald die Malware auf dem Rechner des Opfers installiert ist, informiert sie den Benutzer mit einem Pop-up-Fenster oder durch Weiterleitung auf eine Website darüber, dass seine Dateien verschlüsselt sind. Erst gegen ein zu zahlendes Lösegeld werden diese Daten dann wieder entschlüsselt.

Ransomware ist in der Regel das Werk professioneller Cyberkrimineller, denn um nach der Erpressung von Regierungen oder Großunternehmen anonym zu bleiben, ist technologische Raffinesse erforderlich. Seit dem Aufkommen von Kryptowährungen, die anonyme Transaktionen vereinfachen, ist jedoch auch die allgemeine Bevölkerung einem größeren Risiko von Ransomware-Angriffen ausgesetzt.

Zugangsdaten

Credential Access (Zugriff auf anmeldedaten)

Account-Übernahme

Was Sie wissen müssen: Bei der Account-Übernahme werden Kreditkarten- oder Zugangsdaten nicht direkt gestohlen, vielmehr erfolgt der Angriff heimlich. Dadurch können die Angreifer die gestohlenen Daten so oft wie möglich nutzen, bevor verdächtige Aktivitäten überhaupt entdeckt werden. Häufige Ziele solcher Angriffe sind Banken, große Marktplätze und Finanzdienste wie PayPal. Im Grunde ist für solche Attacken jede Website anfällig, deren Nutzung eine Anmeldung erfordert.

Zu den gängigsten Methoden gehören Proxy-basierte „Checker“-One-Click-Apps, Brute-Force-Angriffe mit Botnets, Phishing und Malware. Außerdem gibt es noch das „Dumpster Diving“, bei dem in weggeworfenen Postsendungen nach personenbezogenen Daten gesucht wird, und den direkten Kauf von Listen per „Fullz“ – ein Slang-Begriff für Pakete mit vollständigen Identifizierungsdaten, die auf dem Schwarzmarkt angeboten werden. Sobald das Profil des Opfers gekauft oder erstellt wurde, kann ein Identitätsdieb diese Informationen nutzen, um wissensbasierte Authentifizierungssysteme auszuhebeln.

Ein Großteil unserer finanziellen und sonstigen Transaktionen findet heute online statt. Für Cyberkriminelle ist der Erwerb von Zugangsdaten und personenbezogenen Daten (wie Sozialversicherungsnummern, Privatadressen, Telefonnummern, Kreditkartennummern und andere Finanzdaten) ein lukratives Geschäft – unabhängig davon, ob sie die erworbenen Daten verkaufen oder für eigene Zwecke nutzen. Diese Art von Angriffen kann daher von jedem Ort der Welt ausgehen.

Brute Force

Brute-Force-Angriff 

Was Sie wissen müssen: Ein Brute-Force-Angriff zielt darauf ab, über einen Trial-and-Error-Ansatz in den Besitz von personenbezogenen Daten zu gelangen – vor allem Benutzernamen und Passwörter sind das Ziel. Dies ist eine der unkompliziertesten Möglichkeiten, sich Zugang zu einer Anwendung, einem Server oder einem passwortgeschützten Konto zu verschaffen, da der Angreifer einfach verschiedene Kombinationen von Benutzernamen und Passwörtern ausprobiert, bis er schließlich Erfolg hat. Die Erfolgswahrscheinlichkeit ist jedoch gering, denn für ein sechsstelliges Passwort gibt es Milliarden möglicher Kombinationen.

Die einfachste Form des Brute-Force-Angriffs ist ein Wörterbuchangriff, bei dem der Angreifer systematisch ein Wörterbuch oder eine Wortliste durcharbeitet und jeden einzelnen Eintrag ausprobiert, bis er Erfolg hat. Angreifer ergänzen dabei sogar Wörter mit Symbolen und Ziffern oder verwenden spezielle Wörterbücher mit geleakten und/oder häufig verwendeten Passwörtern. Und wenn ihnen die Zeit oder Geduld ausgeht, erledigen automatisierte Tools die Arbeit für sie – natürlich viel schneller und mit viel weniger Aufwand.

Da Brute-Force-Angriffe recht einfach und unkompliziert sind, können auch Hacker und Cyberkriminelle mit wenig oder null technischer Erfahrung versuchen, sich Zugang zu einem Account zu verschaffen. Die Angreifer haben entweder genug Zeit oder die erforderliche Rechenleistung, um ihr Ziel zu erreichen.

Kompromittierte Zugangsdaten

Kompromittierte Zugangsdaten

Was Sie wissen müssen: Die meisten Menschen verwenden zur Anmeldung bei Diensten auch heute noch die Ein-Faktor-Authentifizierung – was in puncto Cybersecurity ein absolutes No-Go ist. Zwar werden inzwischen strengere Anforderungen an Passwörter gestellt (z. B. hinsichtlich der Zeichenanzahl, der Kombination von Sonderzeichen und Zahlen oder der Erneuerungsintervalle), aber viele Endnutzer verwenden nach wie vor dieselben Anmeldedaten für mehrere Konten, Plattformen und Anwendungen. Obendrein versäumen sie es, Passwörter regelmäßig zu aktualisieren.

Das macht es Angreifern relativ leicht, sich Zugriff auf Nutzerkonten zu verschaffen. Mit dem Ergebnis, dass heute viele Sicherheitsverletzungen auf solche gesammelten Zugangsdaten zurückzuführen sind.

Ausgespähte Passwörter, Schlüssel und andere Identifikatoren können von Angreifern genutzt werden, um unbefugten Zugang zu Informationen und Ressourcen zu erlangen. Ein einzelner Account kann davon ebenso betroffen sein wie eine ganze Datenbank.

 

Mithilfe eines vertrauenswürdigen Accounts können sich Angreifer Zugriff auf ein Unternehmen verschaffen und unentdeckt sensible Datensätze ausschleusen, ohne dass es jemandem auffällt. Gängige Methoden zum Sammeln von Zugangsdaten sind Passwort-Sniffer, Phishing-Kampagnen und Malware-Angriffe.

Kompromittierte Zugangsdaten stellen einen sehr großen Angriffsvektor dar, da sich Angreifer dadurch relativ leicht Zugang zu Computern, passwortgeschützten Accounts und der Netzwerkinfrastruktur eines Unternehmens verschaffen können. Die Angreifer sind oft gut organisiert und haben es auf bestimmte Organisationen oder Personen abgesehen. Dabei muss es sich nicht zwingend um externe Akteure handeln. Ebenso können es auch Insider sein, die in gewissem Umfang legitimen Zugang zu den Systemen und Daten eines Unternehmens haben.

Credential Dumping

Credential Dumping

Was Sie wissen müssen: Credential Dumping bezeichnet einfach einen Angriff, mit dem Zugangsdaten von einem Zielsystem gesammelt werden. Auch wenn diese Daten nicht im Klartext vorliegen – oft sind sie gehasht oder verschlüsselt –, kann ein Angreifer sie dennoch extrahieren. Daher auch der Name „Dumping“ („Abladen“): Cyberkriminelle speichern Daten auf ihren Systemen und knacken sie später dort.

Oft versuchen Hacker, Passwörter von Systemen zu stehlen, in die sie bereits eingedrungen sind. Das Problem verschärft sich allerdings zusehends, wenn Nutzer ein und dasselbe Passwort für gleich mehrere Konten in verschiedenen Systemen verwenden.

Zu den auf diese Weise erlangten Zugriffsdaten gehören in der Regel auch solche von privilegierten Benutzern, die Zugang zu sensibleren Informationen und Systemoperationen haben können. Hacker attackieren oft eine Vielzahl von Quellen, um Zugangsdaten abzugreifen. Hierzu zählen z. B. Accounts des Security Accounts Manager (SAM) oder der Local Security Authority (LSA), NTDS von Domain-Controllern oder Group-Policy-Preference-Dateien (GPP).

 

Sobald die Angreifer im Besitz gültiger Zugangsdaten sind, können sie sich damit problemlos im Zielnetzwerk bewegen, neue Systeme ausfindig machen und für sie interessante Objekte identifizieren.

Credential Dumping kann von jedem Ort der Welt ausgehen. Und da fast jeder seine Passwörter wiederverwendet, lassen sich diese Informationen für zukünftige Angriffe leicht weiterverkaufen.

creden-reuse-aattack

Credential-Reuse-Angriff

Was Sie wissen müssen: Credential Reuse – also die Wiederverwendung von Zugangsdaten – ist in allen Unternehmen und Benutzergruppen ein allgegenwärtiges Problem. Heutzutage haben die meisten Benutzer Dutzende, wenn nicht Hunderte Accounts und müssen sich unzählige Passwörter merken, die auch noch strengen Anforderungen genügen müssen. Deshalb verwenden viele immer wieder ein und dasselbe, leicht zu merkende Passwort, um sich die Verwaltung der Zugangsdaten für verschiedene Accounts etwas zu vereinfachen. Kein Wunder, dass diese Praxis zu immensen Sicherheitsproblemen führen kann, wenn die Zugangsdaten kompromittiert werden.

Theoretisch erfolgt der Angriff relativ einfach, unkompliziert und überraschend unauffällig (wenn keine Zwei-Faktor-Authentifizierung aktiviert ist). Sobald die Zugangsdaten eines Benutzers gestohlen wurden, kann der Täter denselben Benutzernamen und dasselbe Passwort auf anderen Verbraucher- oder Banking-Websites ausprobieren, bis er schließlich Erfolg hat. Daher rührt auch der Begriff „Reuse“ (Wiederverwendung) in der Bezeichnung „Credential-Reuse-Attack“.

 

Sich überhaupt erst einmal Zugang zu verschaffen, ist jedoch etwas komplizierter. Um an privilegierte Informationen zu gelangen, beginnen Angreifer in der Regel mit einem Phishing-Versuch, bei dem sie Nutzer mithilfe täuschend echt aussehender E-Mails und Websites zur Herausgabe ihrer Zugangsdaten verleiten.

Diese Art von Attacke kann gezielt erfolgen, wenn der Angreifer das Opfer kennt und aus persönlichen, beruflichen oder finanziellen Gründen Zugang zu dessen Accounts erlangen möchte. Er kann jedoch auch von einem völlig Fremden ausgehen, der die personenbezogenen Daten des Nutzers im Darkweb gekauft hat.

Credential Stuffing

Credential Stuffing

Was Sie wissen müssen: Beim Credential Stuffing verwenden Cyberkriminelle gestohlene Zugangsdaten – häufig Benutzernamen und Passwörter, die sie durch einen vorherigen Daten-Hack erlangt haben –, um auf weitere Konten zuzugreifen. Hierfür richten sie Tausende oder gar Millionen von Anmeldeanfragen automatisiert an Webanwendungen. Indem sie sich ganz einfach anmelden, wollen sie auf möglichst einfache Weise auf sensible Accounts zugreifen. Dabei setzen die Angreifer darauf, dass Benutzer für mehrere Dienste immer dieselben Benutzernamen und Passwörter verwenden. Sind sie damit erfolgreich, können sie mit nur einem einzigen Satz an Zugangsdaten auf Accounts mit finanziellen und geschützten Informationen zugreifen und erhalten so Zugang zu nahezu allen Lebensbereichen.

Für einen Credential-Stuffing-Angriff benötigen Hacker nur Zugriff auf die Zugangsdaten, ein Tool für die Automatisierung und Proxys. Für gewöhnlich genügt ein Satz an Benutzernamen und Passwörtern aus einem vorhergegangenen Datenleck eines großen Unternehmens, um diese Zugangsdaten mithilfe automatisierter Tools in die Anmeldeaufforderungen anderer Websites zu „stopfen“ (Stuffing).

Proxys können den Standort von Angreifern verschleiern, die sich per Credential Stuffing Zugriff verschaffen wollen. Dies erschwert die Ermittlung der Herkunft ungemein. Credential-Stuffing-Angriffe können von jedem Ort der Welt ausgehen, doch meist lassen sie sich auf Brennpunkte der organisierten Cyberkriminalität zurückführen. Oft sind die Angreifer Einzelpersonen oder Hacker-Organisationen, die Zugang zu speziellen Tools zur Account-Überprüfung sowie zu zahlreichen Proxys haben, die verhindern, dass ihre IP-Adressen gesperrt werden. Weniger raffinierte Angreifer verraten sich mitunter, wenn sie versuchen, eine große Anzahl an Accounts über Bots zu infiltrieren, was zu einem unerwarteten Denial-of-Service-Angriff (DDoS) führt.

information-repositories

Daten aus Informations-Repositorys

Was Sie wissen müssen: Informations-Repositorys sind Tools, die die Speicherung von Informationen ermöglichen, z. B. Microsoft SharePoint oder Atlassian Confluence. Informations-Repositorys erleichtern in der Regel die Zusammenarbeit oder den Informationsaustausch zwischen Benutzern. Zudem enthalten sie eine Vielzahl von Daten, die für Angreifer reizvoll sein können. Daher nutzen manche Hacker solche Repositorys, um auf wertvolle Informationen zuzugreifen.

Informations-Repositorys werden oft von sehr vielen Benutzern verwendet. In der Folge kann sich die Aufdeckung von Sicherheitsverletzungen als schwierig erweisen. Angreifer können Informationen aus gemeinsam genutzten Speichersystemen sammeln, die in einer Cloud-Infrastruktur oder in Software-as-a-Service-Anwendungen (SaaS) gehostet werden.

Angreifer wie APT28 nehmen bevorzugt Behörden, Hotelbuchungswebsites, Telekommunikations- und IT-Unternehmen ins Visier. Als Mindestvorkehrung sollte der Zugriff auf Informations-Repositorys seitens privilegierter Benutzer (z. B. Active-Directory-Domain-, Unternehmens- oder Schema-Administratoren) genau überwacht werden, da derartige Accounts im Regelfall nicht für den Zugriff auf Informations-Repositorys verwendet werden. Für robustere Erkennungsfunktionen wird wahrscheinlich eine zusätzliche Infrastruktur zur Speicherung und Analyse von Logs erforderlich sein.

network-sniffing

Network Sniffing

Was Sie wissen müssen: Network Sniffing, auch Packet Sniffing genannt, bezeichnet das Erfassen, Überwachen und Analysieren von Daten, die in einem Netzwerk fließen, in Echtzeit. Ob über Hardware, Software oder eine Kombination aus beidem: Angreifer verwenden Sniffing-Tools, um unverschlüsselte Daten aus Netzwerkpaketen abzufangen, z. B. Anmeldedaten, E-Mails, Passwörter, Nachrichten und andere sensible Informationen. 

Ähnlich wie das Abhören eines Telefongesprächs läuft das Network Sniffing im Hintergrund. Angreifer hören unbemerkt mit, wenn Informationen zwischen zwei Parteien in einem Netzwerk ausgetauscht werden. Dazu platzieren sie in einem Netzwerk einen sogenannten Sniffer, indem sie Software installieren oder Hardware an ein Gerät anschließen. So können sie den Traffic über das kabelgebundene oder drahtlose Netzwerk, mit dem das Host-Gerät verbunden ist, abfangen und aufzeichnen. Aufgrund der Komplexität der meisten Netzwerke können sich Sniffer lange Zeit unentdeckt darin aufhalten.

Network Sniffing wird oft ganz legal von Internetanbietern, Werbeagenturen, Behörden und anderen Organisationen und Institutionen eingesetzt, die den Netzwerkverkehr überprüfen müssen.

 

Ebenso kann es aus reinem Vergnügen von Hackern durchgeführt werden, oder aber von Staaten, die sich geistiges Eigentum aneignen wollen. Wie bei Ransomware können auch Network Sniffer in das Netzwerk eingeschleust werden, indem eine bestimmte Person gezielt dazu verleitet wird, auf einen infizierten Link zu klicken. Auch Insider mit Zugang zu sensibler Hardware können einen Angriffsvektor darstellen.

privilige-user-compromise

Kompromittieren privilegierter Benutzer

Was Sie wissen müssen: Viele schwerwiegende Datenschutzverletzungen lassen sich auf den Missbrauch privilegierter Zugangsdaten zurückführen. Es handelt sich dabei um Accounts mit weitreichenden Rechten, wie beispielsweise Benutzer mit Domain-Administrator- oder Root-Berechtigungen. Immer öfter nutzen Angreifer die Zugangsdaten privilegierter Benutzer, um auf die Ressourcen und Informationen eines Unternehmens zuzugreifen und sensible Daten auszuschleusen. Ein Angreifer, der sich Zugriff auf Anmeldeinformationen privilegierter Benutzer verschafft, kann die Kontrolle über die Infrastruktur eines Unternehmens gewinnen und damit Sicherheitseinstellungen ändern, Daten exfiltrieren, Benutzerkonten erstellen und vieles mehr. Da er ein legitimer Benutzer zu sein scheint, ist er auch schwer zu entdecken.

Angreifer versuchen, durch Social-Engineering-Methoden, Spear-Phishing-Nachrichten, Malware oder Pass-the-Hash-Angriffe Zugriff auf privilegierte Accounts zu erhalten. Viele Unternehmen haben ein komplexes Netz aus Fernzugängen für Remote-Mitarbeiter, Lieferanten und Dienstleister geschaffen. Bei vielen dieser Verbindungen, einschließlich der Cloud, erfolgt der Zugriff mithilfe weitreichend privilegierter Accountzugangsdaten. Diese alle zu finden, zu kontrollieren und zu überwachen, ist schwierig – und ein möglicher Angriffspunkt für Cyberkriminelle.

 

Sobald die Angreifer sich Anmeldeinformationen beschafft haben, infiltrieren sie das System und stehlen, was sie können, z. B. SSH-Schlüssel, Zertifikate und Hashes für die Domain-Verwaltung. Ein einziger erfolgreich gehackter Account genügt schon für ein großes Datenleck, das ein Unternehmen in die Knie zwingen kann.

Da Angreifer, die privilegierte Benutzer kompromittieren, schwer zu entdecken sind und weitreichenden Zugang zu allen Arten von Datenprivilegien bekommen, ist dieser Angriffstyp überaus attraktiv. Er wird häufig für verschiedene Arten von Cyberangriffen genutzt – sei es für politisch-ideologisch motivierte Cyberspionage von Staaten oder für raffinierte, finanziell motivierte Cyberkriminelle wie Lapsus$.

Spyware

Spyware

Was Sie wissen müssen: Spyware ist eine Art von Malware, die darauf abzielt, personenbezogene Daten oder vertrauliche Daten einer Organisation zu sammeln. Auch Webaktivitäten (wie etwa Suchvorgänge, Verläufe und Downloads) einer Zielperson können damit verfolgt und verkauft werden, ebenso lassen sich Bankkontodaten erfassen und sogar Identitäten stehlen. Es gibt viele Arten von Spyware, die jeweils besondere Taktiken nutzen, um die Zielperson auszuspähen. Letztlich kann Spyware ein Gerät übernehmen und Daten exfiltrieren oder personenbezogene Daten an eine unbekannte externe Partei senden – ohne vorherige Zustimmung oder Kenntnis des Opfers.

Spyware kann sich auf verschiedene Weise auf dem Gerät einer Zielperson installieren. In der Regel fasst sie in einem System Fuß, indem sie den Benutzer täuscht oder vorhandene Schwachstellen ausnutzt. Dies kann zum Beispiel passieren, wenn ein unvorsichtiger Benutzer einer plötzlich erscheinenden Aufforderung oder einem Pop-up-Fenster zustimmt. Auch Software oder Upgrades aus nicht zuverlässigen Quellen, E-Mail-Anhänge von unbekannten Absendern oder von illegalen Sites gestreamte Filme und Musik können Spyware enthalten.

Dank inzwischen leicht erhältlicher Crimeware-Kits kann diese Art von Angriff von jeder Person und jedem Ort ausgeführt werden. In den meisten Fällen stammt Spyware jedoch von böswilligen Organisationen, die die Daten ihrer Opfer an Dritte verkaufen möchten.

web-session-cookie-theft

Web-Session-Cookie-Diebstahl

Was Sie wissen müssen: Wenn ein Angreifer erfolgreich ein Session Cookie stiehlt, kann er alle Aktionen durchführen, zu denen der ursprüngliche Benutzer berechtigt ist. Eine Gefahr für Unternehmen besteht darin, dass Cookies zur Identifizierung authentifizierter Benutzer in Single-Sign-On-Systemen verwendet werden können. Dadurch erhält der Angreifer womöglich Zugriff auf alle Webanwendungen, die das Opfer nutzen kann – beispielsweise Finanzsysteme, Kundendatensätze oder Branchensysteme, die möglicherweise vertrauliches geistiges Eigentum enthalten.

Nachdem ein Nutzer auf einen Dienst zugegriffen und seine Identität bestätigt hat, wird auf dessen Rechner für längere Zeit ein Web Session Cookie gespeichert. Dadurch soll verhindert werden, dass sich der Benutzer jedes Mal neu anmelden muss. Hacker können Session Cookies mithilfe von Malware stehlen und das Cookie in einen von ihnen kontrollierten Browser importieren. Auf diese Weise können sie die Website oder Anwendung nutzen, solange das Session Cookie aktiv ist. Einmal auf der Website angemeldet, kann der Angreifer auf sensible Daten zugreifen, E-Mails lesen oder Aktionen durchführen, für die das Konto des Opfers eine Berechtigung besitzt.

Cookie-Diebstahl erfolgt in der Regel durch Malware, die die Cookies des Opfers kopiert und direkt an den Angreifer sendet. Zum Einschleusen der Malware auf den Computer des Opfers haben Cyberkriminelle viele Möglichkeiten, die in diesem E-Book behandelt werden – angefangen beim Phishing über Makroviren bis hin zu Cross-Site-Scripting und mehr. Viele Hacker, die Cookies stehlen, gehören zu größeren Netzwerken, die von Russland oder China aus operieren. Die Hintermänner des YouTube-Angriffs gehörten beispielsweise zu einer Gruppe von Hackern, die über ein russischsprachiges Forum verbunden waren.

business-invoice

Execution (Ausführung)

Geschäftsrechnungsbetrug

Was Sie wissen müssen: Beim Rechnungsbetrug wird versucht, ein Unternehmen mit einer gefälschten (aber überaus echt wirkenden) Rechnung zu einer Zahlung zu bewegen. Tatsächlich gehen die gezahlten Beträge jedoch an Betrüger, die sich als Lieferanten ausgeben. Um keinen Verdacht zu erregen, stellen die Hacker dabei oft kleinere Beträge in Rechnung. Hundert- oder gar tausendfach wiederholt, können diese Kleinstbeträge am Ende eine hohe Summe ergeben.

Bei diesem Angriff werden gefälschte Rechnungen an Zielpersonen geschickt, um betrügerisch an Geld zu kommen – in der Hoffnung, dass große Unternehmen ihre Buchhaltungsprozesse nicht genau kontrollieren. Hacker wählen ihre Ziele dabei in der Regel anhand der Größe eines Unternehmens, des Standorts oder der Lieferanten aus. Anschließend versenden sie täuschend echt erscheinende, gefälschte Rechnungen mit dringenden Zahlungsaufforderungen wie „Zahlung bereits 90 Tage überfällig. Bitte sofort begleichen!“. Nicht selten werden die in Rechnung gestellten Beträge von der vielbeschäftigten Buchhaltung weitestgehend ungeprüft überwiesen.

Überall auf der Welt gibt es Einzelpersonen, die Rechnungsbetrug betreiben. Darüber hinaus existieren inzwischen auch regelrechte Betrügerringe, die über die nötige Organisation und entsprechende Ressourcen verfügen, um das Bankinstitut der Betrugsopfer ausfindig zu machen und geschickt gefälschte Rechnungen zu erstellen.

cloud-cryptomining

Cloud-Cryptomining

Was Sie wissen müssen: Cryptomining ist ein schwieriges und ressourcenintensives Business – aus guten Gründen, denn die Komplexität soll sicherstellen, dass die Anzahl der täglich geminten Blocks konstant bleibt. Daher war es nur eine Frage der Zeit, dass sich ebenso ehrgeizige wie skrupellose Miner irgendwann die Rechenleistung großer Unternehmen anzueignen versuchen. Diese unter Cyberkriminellen gängige Praxis ist als Cryptojacking bekannt.

Cryptojacking hat mit seiner explosionsartigen Zunahme im Herbst 2017 auch die Aufmerksamkeit der Medien auf sich gezogen. Dabei haben sich die Angriffe von Browser-Exploits und Mobiltelefonen zu Cloud-Diensten für Unternehmen wie Amazon Web Services (AWS), Google Cloud Platform (GCP) und Microsoft Azure verlagert.


Wie weit verbreitet diese Praxis tatsächlich ist, lässt sich nicht genau bestimmen, da die Angreifer ihre Fähigkeiten ständig weiterentwickeln, um unentdeckt zu bleiben. Dazu setzen sie beispielsweise nicht gelistete Endpunkte ein, drosseln ihre CPU-Nutzung und verstecken die IP-Adresse des Mining-Pools hinter einem kostenlosen Content Delivery Network (CDN).


Wenn sich kriminelle Miner eine Cloud-Instanz aneignen und dabei oft Hunderte neue Instanzen aufsetzen, können die Kosten für den Account-Inhaber in astronomische Höhen steigen. Grund genug, Systeme auf verdächtige Aktivitäten zu überwachen, die auf ein infiltriertes Netzwerk hindeuten.

Da es sich bei Kryptowährungen um eine globale Ware handelt, können diese Angriffe von jedem Ort der Welt ausgehen. Anstatt sich jedoch darauf zu konzentrieren, woher die Angriffe kommen, ist es wichtig, Cloud-Computing-Instanzen auf Aktivitäten im Zusammenhang mit Cryptojacking und Cryptomining zu überwachen. Darunter fallen z. B. neue Cloud-Instanzen, die aus bisher unbekannten Regionen stammen, Benutzer, die eine ungewöhnlich hohe Anzahl von Instanzen starten, oder Computing-Instanzen, die von bislang unbekannten Benutzern gestartet werden.

cross site scripting

Cross-Site Scripting (XSS)

Was Sie wissen müssen: XSS-Angriffe treten auf, wenn ein Cyberkrimineller eine Webanwendung nutzt, um schädlichen Code – im Allgemeinen in Form eines browserseitigen Skripts – an einen anderen Endbenutzer zu senden. Schwachstellen, die diese Angriffe ermöglichen, sind weit verbreitet und treten überall dort auf, wo eine Webanwendung Eingaben eines Benutzers generiert, ohne sie zu validieren oder zu verschlüsseln.

Der Browser des Endbenutzers hat keine Möglichkeit zu erkennen, dass das Skript nicht vertrauenswürdig ist, und führt es automatisch aus. Da er glaubt, das Skript stamme aus einer vertrauenswürdigen Quelle, kann es auf Cookies, Session Tokens oder andere vertrauliche Informationen des Browsers zugreifen. Diese Skripte können sogar den Inhalt der HTML-Seite umschreiben.

Es gibt zwei Arten von XSS-Angriffen: persistente und reflektierte. Persistente XSS-Angriffe liegen vor, wenn ein injiziertes Skript dauerhaft an einem festen Ort auf dem Server gespeichert wird, z. B. in einem Forenbeitrag oder Kommentar. Jeder Benutzer, der auf der infizierten Seite landet, ist von dem XSS-Angriff betroffen. Bei einem reflektierten XSS-Angriff wird das eingeschleuste Skript dem Benutzer als Antwort auf eine Anfrage angezeigt, z. B. als Suchergebnisseite.

XSS-Angriffe kommen nicht mehr so häufig vor wie in der Vergangenheit, was in erster Linie auf Verbesserungen bei Browsern und Sicherheitstechnologien zurückzuführen ist. Trotzdem sind sie immer noch so weit verbreitet, dass sie vom Open Web Application Security Project unter den zehn größten Bedrohungen geführt werden. Die Datenbank Common Vulnerabilities and Exposures listet fast 14.000 Schwachstellen im Zusammenhang mit XSS-Angriffen auf.

credential-dumping

Cryptojacking-Angriff

Was Sie wissen müssen: Cryptojacking bezeichnet einen Angriff, bei dem ein Hacker Computersysteme mit Malware angreift, die sich auf einem Gerät versteckt und dessen Rechenleistung ausnutzt, um Kryptowährungen wie Bitcoin oder Ethereum zu minen – und zwar auf Kosten des Opfers. Das Ziel der Angreifer ist es, mit Rechenressourcen anderer wertvolle Kryptowährungen zu erzeugen.

Eine Möglichkeit für Cryptojacking-Angriffe besteht darin, einen schädlichen Link in einer Phishing-E-Mail zu versenden. Klickt der Benutzer darauf, wird Cryptomining-Code auf seinen Computer heruntergeladen. Eine andere Methode ist, JavaScript-Code in eine besuchte Webseite einzubetten – auch bekannt als Drive-by-Angriff. Beim Besuch der Website wird automatisch schädlicher Code zum Mining von Kryptowährungen auf den Computer des Besuchers heruntergeladen. Der Cryptomining-Code arbeitet dann unbemerkt im Hintergrund. Das einzige Anzeichen für einen solchen Cyber-Angriff ist ein Computer, der deutlich langsamer arbeitet als sonst üblich.

Diese Angriffe können von jedem Ort der Welt ausgehen. Heutzutage sind für Kryptojacking keine besonderen technischen Fähigkeiten erforderlich. Im Deep Web sind Kryptojacking-Kits für nur 30 Dollar erhältlich. Dies ist eine niedrige Einstiegshürde für Hacker, die mit relativ geringem Risiko schnelles Geld verdienen wollen. Bei einem Angriff bemerkte eine europäische Bank ungewöhnliche Traffic-Muster auf ihren Servern, auffällig langsame nächtliche Prozesse und unerklärliche Online-Server. Am Ende sollte sich herausstellen, dass die Ursache dafür ein skrupelloser Mitarbeiter war, der ein Cryptomining-System installiert hatte.

DDoS-Angriff

DDoS-Angriff

Was Sie wissen müssen: Ein DDoS-Angriff ist ein Versuch von Hackern, Hacktivisten oder Cyberspionen, Websites lahmzulegen, Zielserver zu verlangsamen und zum Absturz zu bringen sowie Onlinedienste zu blockieren, indem sie diese mit Traffic aus vielen verschiedenen Quellen überfluten. „DDoS“ steht für „Distributed Denial of Service“, also „verteilte Dienstverweigerung“. Wie der Name erahnen lässt, handelt es sich dabei um weit verteilte Brute-Force-Angriffe mit dem Ziel, Chaos und Zerstörung anzurichten. Ins Visier geraten häufig populäre oder hochrangige Websites von Banken, Nachrichtenredaktionen oder Regierungen, um die jeweiligen Organisationen von der Veröffentlichung wichtiger Informationen abzuhalten oder sie finanziell zu schädigen.

Die Angreifer hinter DDoS-Attacken wollen ihr Ziel schädigen, Web-Eigentum sabotieren, den Ruf von Marken schädigen und finanzielle Verluste verursachen, indem sie Benutzer am Zugriff auf eine Website oder Netzwerkressource hindern. DDoS nutzt Hunderte oder gar Tausende infizierte Bot-Computer auf der ganzen Welt. Diese als Botnets bekannten Armeen von kompromittierten Computern führen den Angriff gleichzeitig aus, um eine maximale Wirksamkeit zu erreichen.

Hacker oder Hackergruppen, die diese infizierten Computer kontrollieren, agieren als sogenannte „Botmaster“, die anfällige Systeme mit Malware (oftmals Trojaner) infizieren. Wenn ausreichend viele Geräte infiziert sind, gibt der Botmaster ihnen den Angriffsbefehl. Die Zielserver und -netzwerke werden dann mit Serviceanfragen bombardiert und somit praktisch lahmgelegt und ausgeschaltet.

DDoS-Angriffe erfolgen verteilt, d. h., der auf das Netzwerk des Opfers abzielende Traffic stammt aus vielen verschiedenen Quellen. Die Hacker können ihre Angriffe also von jedem Ort der Welt ausführen. Darüber hinaus ist es aufgrund ihrer verteilten Natur nicht möglich, diese Angriffe zu vereiteln, indem nur eine einzige Quelle gesichert oder blockiert wird.

IoMT-Bedrohung

IoMT-Bedrohungen

Was Sie wissen müssen: Das Internet der medizinischen Dinge (Internet of Medical Things, IoMT) hat das Gesundheitswesen, wie wir es kennen, transformiert – besonders während der COVID-19-Pandemie. Der Einsatz des IoMT bietet unzählige Möglichkeiten für die Diagnose, Behandlung und das Management der Gesundheit und des Wohlbefindens von Patienten und ist der Schlüssel zur Senkung der Kosten bei gleichzeitiger Verbesserung der Pflegequalität. Doch mit der Zahl der vernetzten Geräte wächst auch das Cybersecurity-Risiko. Seit 2020 gehen über 25% der Cyberangriffe auf Organisationen im Gesundheitswesen auf das Konto von IoMT-Bedrohungen.

Digitale Technologien altern in der Regel schneller als ihre physischen Gegenstücke mit langem Produktlebenszyklus. Daher können veraltete Geräte und Software schnell zu ernsthaften Schwachstellen in der Cybersicherheit führen – sowohl in Krankenhäusern als auch bei Patienten. Derzeit erlauben die Hersteller ihren Kunden nicht, Geräte selbst zu reparieren und zu patchen. Manche gehen sogar so weit, dass dann die Garantie erlischt. In Verbindung mit fehlender Verschlüsselung, hartcodierten Anmeldeinformationen und laxen Sicherheitskontrollen können Organisationen im Gesundheitswesen nur wenig tun, um das durch ältere Geräte verursachte Risiko zu minimieren.

IoMT-Angreifer verfügen über Möglichkeiten und Ressourcen, um Gesundheitsdienstleister ausfindig zu machen, bei denen sie Schwachstellen vermuten. Zumeist handelt es sich dabei um Unternehmen, die einen schlechten Überblick über ihre Anlagen oder Bestände haben und deren Systeme und Geräte veraltet sind.

malicious-powershell

PowerShell-Angriffe

Was Sie wissen müssen: PowerShell ist ein von Microsoft entwickeltes Befehlszeilen- und Skripting-Tool, das auf .NET (ausgesprochen „dot net“) basiert und es Administratoren und Benutzern ermöglicht, Systemeinstellungen zu ändern und Aufgaben zu automatisieren. Das Command Line Interface (CLI) bietet viele Tools und hohe Flexibilität, was es zu einer beliebten Shell- und Skriptsprache macht. Auch Angreifer haben die Vorzüge von PowerShell erkannt – nämlich die Möglichkeit, ein System unbemerkt als Code-Endpunkt zu nutzen und Aktionen im Hintergrund auszuführen.

PowerShell ist eine Skriptsprache, die auf den meisten Unternehmenscomputern ausgeführt wird. Da die meisten Unternehmen ihre Code-Endpunkte nicht überwachen, erschließt sich die Logik hinter dieser Art von Angriff schnell: Angreifer können sich relativ leicht Zugriff verschaffen. Noch leichter ist sogar die Einbettung in das System. Es muss keine Malware installiert werden, um das schädliche Skript zu starten oder auszuführen. Der Hacker kann seine Entdeckung also mühelos vermeiden, indem er die Analyse der ausführbaren Dateien einfach umgeht und anschließend nach Belieben Schaden anrichtet.

Diese Art von Angriff ist ausgefeilter als andere Methoden und wird in der Regel von einem Powerhacker ausgeführt. Im Gegensatz zu Amateuren, die eher auf Brute-Force-Angriffe zurückgreifen, weiß dieser Angreifer genau, was er tut. Hacker gehen stets unauffällig vor, verwischen geschickt ihre Spuren und wissen, wie sie sich lateral im Netzwerk bewegen können.

man-in-the-middle

Man-in-the-Middle-Angriff

Was Sie wissen müssen: Bei Man-in-the-Middle-Angriffen (kurz MITM, auch Adversary-in-the-Middle oder AiTM genannt) wird ein Proxy-Server eingerichtet, der die Anmeldesitzung des Opfers abfängt. Dadurch kann sich der Angreifer zwischen die beiden Parteien oder Systeme schalten, um Zugang zu sensiblen Informationen zu erhalten bzw. diese zu entwenden. Man-in-the-Middle-Angriffe machen es Cyberkriminellen möglich, Daten abzufangen, zu senden und zu empfangen, die für eine andere Person bestimmt sind – oder die gar nicht verschickt werden sollen. Und zwar so, dass keine der beiden Parteien etwas davon mitbekommt, bis es dann zu spät ist.

Praktisch jeder kann einen Man-in-the-Middle-Angriff ausführen. Seit der Implementierung von HTTPS Everywhere sind diese Arten von Angriffen jedoch schwieriger auszuführen und damit auch seltener geworden. Bei einem solchen Angriff schaltet sich der Hacker zwischen den Benutzer und die eigentliche Website (oder einen anderen Benutzer) und leitet die Daten zwischen den Parteien weiter. Dabei kann er beliebige Daten aus der Interaktion ausschleusen.

Da die Durchführung von MITM-Angriffen durch die Verbesserung der Sicherheitstechnologien mittlerweile schwieriger geworden ist, sind die einzigen Gruppen, die solche Angriffe heute noch versuchen, sehr versierte Hacker oder staatliche Akteure. 2018 entdeckte die niederländische Polizei vier Mitglieder der russischen Hackergruppe Fancy Bear vor der Organisation für das Verbot von Chemiewaffen in den Niederlanden. Sie versuchten dort, durch MITM-Infiltration die Zugangsdaten von Mitarbeitern zu stehlen. Später im selben Jahr gaben die Regierungen der USA und Großbritanniens Warnungen heraus, wonach staatlich unterstützte Akteure aus Russland zum Zweck der MITM-Exfiltration aktiv Router in Privathaushalten und Unternehmen ins Visier nehmen.

System-Fehlkonfiguration

System-Fehlkonfiguration

Was Sie wissen müssen: Falsche oder schlichtweg fehlende Sicherheitskonfigurationen sind ein weit verbreitetes Problem, das Unternehmen gefährden kann. Dies kann auf fast jeder Ebene des IT- und Sicherheits-Stacks geschehen, vom drahtlosen Netzwerk des Unternehmens über Web- und Serveranwendungen bis hin zum benutzerdefinierten Code.

Typische Ursachen für diese Angriffe sind fehlende Patches, die Verwendung von Standardkonten oder unnötigen Diensten, unsichere Standardkonfigurationen oder schlechte Dokumentation. Dies kann z. B. das Versäumnis sein, einen Security Header auf einem Webserver zu implementieren oder den administrativen Zugang für bestimmte Mitarbeiterebenen zu deaktivieren. Angriffe können auch dann erfolgen, wenn sich Hacker aufgrund fehlender Updates Zugriff auf ältere Anwendungen mit inhärenten Fehlkonfigurationen verschaffen.

Eine Fehlkonfiguration ist an und für sich keine böswillige Handlung, da sie meist auf menschliches Versagen zurückzuführen ist. Angreifer wissen jedoch genau, wo sie suchen müssen, wenn sie eine unsichere Konfiguration im IT-Stack einer bestimmten Organisation vermuten.

watering-hole-attack

Watering-Hole-Angriff

Was Sie wissen müssen: Bei einem Watering-Hole-Angriff wird der Computer des Benutzers durch den Besuch einer infizierten Website mit Malware kompromittiert, die darauf abzielt, das Netzwerk zu infiltrieren und Daten oder finanzielle Vermögenswerte zu stehlen. Bei der eingesetzten Technik handelt es sich im Grunde genommen um einen Zero-Day-Angriff mit dem Ziel, das Computersystem zu infizieren, um sich Zugriff auf das Netzwerk zu verschaffen und so finanzielle Vorteile oder geschützte Informationen zu erlangen.

Zunächst erstellen die Angreifer ein digitales Profil ihrer Zielperson, um herauszufinden, welche Websites sie häufig besucht. Anschließend suchen sie nach Schwachstellen, die sie komprimittieren und ausnutzen können. Dann braucht der Angreifer nur noch zu warten, bis die Website erneut besucht wird. Die inzwischen kompromittierte Website infiziert wiederum das Netzwerk der Zielperson, wodurch die Angreifer in das System eindringen und von dort aus auf andere Systeme zugreifen können.

Zwar können diese Angriffe von jedem Ort der Welt ausgehen, viele der Cyberkriminellen, die hinter diesem Angriff stecken, stammen jedoch aus Ländern, in denen organisierte Hackergruppen derzeit florieren, wie z. B. Russland und China. Im Jahr 2018 wurde ein Watering-Hole-Angriff auf Länderebene der chinesischen Bedrohungsgruppe „LuckyMouse“ (auch bekannt als „Iron Tiger“, „EmissaryPanda“, „APT 27“ und „Threat Group 3390”) zugeordnet, die dafür bekannt ist, dass sie mit zahlreichen Arten von Angriffen, darunter auch Watering-Hole-Angriffen, auf Regierungen, den Energiesektor und die Fertigungsindustrie abzielt.

zero-day-exploit

Zero-Day-Exploit

Was Sie wissen müssen: Eine Zero-Day-Schwachstelle ist im Kern eine Sicherheitslücke. Dabei handelt es sich um eine Schwachstelle in einer Software oder einem Computernetzwerk, die Hacker unmittelbar nach der allgemeinen Verfügbarkeit oder Veröffentlichung des Produkts ausnutzen. „Zero Day“ (null Tage) bezieht sich darauf, dass die Hacker sehr schnell zuschlagen, sodass den Entwicklern keine Zeit bleibt, Vorsorge zu treffen.

Die Art der Schwachstelle hat Einfluss darauf, wie der Angriff durchgeführt wird. Zero-Day-Angriffe folgen jedoch einem bestimmten Muster. Zunächst prüft der Hacker (oder die Hackergruppe) den Code auf mögliche Schwachstellen. Sobald er fündig geworden ist, erstellt er eigenen Code, der diese Schwachstelle ausnutzt. Dann infiltriert er das System (mit einer oder mehreren der in diesem E-Book beschriebenen Methoden), infiziert es mit dem Schadcode und startet den Zero-Day-Exploit.

Die heutige Verbreitung von Technologie hat zu einer explosionsartigen Zunahme von Zero-Day-Angriffen geführt. Diese Angriffe können zwar von überall aus gestartet werden, Ausgangspunkt sind aber oft Staaten oder Regionen mit ausgedehnten cyberkriminellen Netzen und Infrastrukturen. Jüngsten Berichten zufolge ging der Großteil der Zero-Day-Bedrohungen im Jahr 2021 auf Hackergruppen in China zurück.

drive-by-data-download-attack

Initial Access (Erstzugriff)

Drive-by-Download-Angriff

Was Sie wissen müssen: Unter einem Drive-by-Download versteht man das unbeabsichtigte Herunterladen von schädlichem Code auf einen Computer oder ein Mobilgerät, wodurch der Benutzer verschiedenen Bedrohungen ausgesetzt sein kann. Cyberkriminelle nutzen Drive-by-Downloads, um personenbezogene Daten zu stehlen und zu sammeln, Banking-Trojaner einzuschleusen oder Exploit-Kits und andere Malware auf Endgeräte zu laden. Zum Schutz vor Drive-by-Downloads sollten Systeme regelmäßig mit den neuesten Versionen von Anwendungen, Software, Browsern und Betriebssystemen aktualisiert oder gepatcht werden. Außerdem ist es ratsam, sich von unsicheren oder potenziell schädlichen Websites fernzuhalten.

Das Besondere an Drive-by-Downloads ist, dass Benutzer nichts anklicken müssen, um den Download zu starten. Schon das Aufrufen oder Durchstöbern einer Website kann den Download aktivieren. Der schädliche Code ist so konzipiert, dass er ohne das Wissen des Benutzers schädliche Dateien auf das Gerät des Opfers herunterlädt. Dabei werden unsichere, anfällige oder veraltete Anwendungen, Browser oder sogar ganze Betriebssysteme ausgenutzt.

Die zunehmende Verbreitung vorgefertigter Drive-by-Download-Kits ermöglicht es Hackern jeder Erfahrungsstufe, diese Art von Angriffen durchzuführen. Diese Kits können gekauft und eingesetzt werden, ohne dass der Hacker eigenen Code schreiben oder eine eigene Infrastruktur für die Datenexfiltration oder andere illegale Aktivitäten aufbauen muss. Da Angriffe dieser Art so leicht sind, können sie praktisch von jedem Ort der Welt aus erfolgen.

Phishing

Phishing 

Was Sie wissen müssen: Ein Phishing-Angriff soll Verbraucher, Benutzer oder Mitarbeiter dazu verleiten, einen böswilligen Link anzuklicken, der sie meist zu einer gefälschten Website führt. Dort werden sie wiederum dazu angehalten, personenbezogene Daten wie Bankkontennummern, Kreditkartendaten oder Passwörter einzugeben. Die Angriffe erfolgen per E-Mail, Sofortnachricht oder über eine andere Kommunikationsform. Auf den gefälschten Websites, die nicht selten täuschend echt aussehen, fangen die Angreifer sämtliche Informationen ab, die übermittelt werden. Oder sie bringen Malware in Umlauf, die darauf abzielt, Geld von Konten, personenbezogene Kundendaten oder andere wichtige Vermögenswerte zu stehlen.

Das Opfer wird in der Regel durch eine E-Mail ausgetrickst, deren Absender sich als jemand ausgibt, den es kennt – z. B. ein Vorgesetzter oder ein Kollege. In der gefälschten Nachricht wird das Opfer dazu verleitet, schädliche Anhänge zu öffnen oder auf Links zu klicken. Diese führen dann zu Webseiten, die einem legitimen Webauftritt zum Verwechseln ähnlich sehen.

Noch vor wenigen Jahrzehnten konnte eine große Anzahl an Phishing-Angriffen nach Nigeria zurückverfolgt werden. Diese Angriffe waren unter dem Namen 419-Scams bekannt – in Anlehnung an den Code für Betrug im nigerianischen Strafgesetzbuch. Heute haben Phishing-Angriffe ihren Ursprung in aller Welt, wobei laut dem InfoSec Institute viele in den BRIC-Ländern (Brasilien, Russland, Indien und China) auftreten. Aufgrund der einfachen Verfügbarkeit von Phishing-Toolkits sind selbst Hacker mit nur geringen technischen Kenntnissen in der Lage, Phishing-Kampagnen zu starten. Die Hintermänner dieser Kampagnen reichen von einzelnen Hackern bis hin zu organisierten Cyberkriminellen.

social-engineering-attack

Social-Engineering-Angriff

Was Sie wissen müssen: Social Engineering ist der Sammelbegriff für ein breites Spektrum an schädlichen Aktivitäten, die auf psychologische Manipulation setzen, um Benutzer dazu zu bringen, Sicherheitsfehler zu begehen oder sensible Informationen preiszugeben. Was Social Engineering besonders gefährlich macht, ist die Tatsache, dass es auf menschlichem Versagen beruht und nicht auf Schwachstellen in Software und Betriebssystemen. Fehler, die von legitimen Benutzern begangen werden, sind viel weniger vorhersehbar und daher schwieriger zu erkennen und zu vereiteln als ein auf Malware basierender Angriff.

Social-Engineering-Angriffe gibt es in vielen verschiedenen Formen. Sie können überall dort erfolgen, wo menschliche Interaktion Teil eines Prozesses ist. Im Folgenden stellen wir Ihnen die fünf häufigsten Formen digitaler Social-Engineering-Angriffe vor. Ein Täter spioniert das anvisierte Opfer zunächst aus, um die für den Angriff erforderlichen Hintergrundinformationen zu erhalten, wie etwa potenzielle Einstiegspunkte und schwache Sicherheitsprotokolle. Dann gewinnt der Angreifer das Vertrauen des Opfers und liefert Anreize für nachfolgende Handlungen, die gegen Sicherheitspraktiken verstoßen, z. B. die Preisgabe sensibler Informationen oder Zugriff auf wichtige Ressourcen.

Social Engineering kann viele Formen annehmen, aus verschiedensten Richtungen kommen und unterschiedlich motiviert sein. Am häufigsten erfolgen Social-Engineering-Angriffe in Form von Phishing-E-Mails. Eine weitere Form ist das „Pretexting“, bei dem der Angreifer einen guten Vorwand schafft, um wichtige Daten zu stehlen. Beim „Baiting“ oder „Quid pro Quo“ bietet der Angreifer dem Opfer etwas Begehrenswertes im Tausch gegen Zugangsdaten an. Und schließlich gibt es noch den als „Tailgating“ oder „Piggybacking“ bezeichneten Miteintritt, bei dem ein Angreifer Zugang zu einem geschlossenen Bereich eines Unternehmens erhält, indem er einem authentifizierten Mitarbeiter durch gesicherte Türen folgt.

sql-injection

SQL Injection

Was Sie wissen müssen: SQL Injection ist eine Art von Injektionsangriff, bei dem Datenbanken mit schädlichen SQL-Statements manipuliert oder zerstört werden. SQL-Statements steuern Datenbanken von Webanwendungen und können zur Umgehung von Sicherheitsmaßnahmen verwendet werden, wenn die Benutzereingaben nicht ordnungsgemäß bereinigt werden.

Bei einem SQL-Injection-Angriff wird eine SQL-Abfrage über die Eingabedaten vom Client in die Anwendung eingeschleust oder „injiziert“. Ein erfolgreicher SQL-Injection-Exploit kann sensible Daten aus der Datenbank auslesen, Datenbankdaten ändern oder Verwaltungsoperationen in der Datenbank ausführen. Ebenso kann er dazu dienen, den Inhalt einer bestimmten Datei im DBMS-Dateisystem wiederherzustellen und in manchen Fällen Befehle an das Betriebssystem zu senden.

Da das Internet zu einem großen Teil auf relationalen Datenbanken basiert, sind SQL-Injection-Angriffe sehr häufig. Wenn man in der Datenbank Common Vulnerabilities and Exposures nach „injection“ sucht, erhält man 15.000 Ergebnisse.

supply-chain-attack

Supply-Chain-Angriff

Was Sie wissen müssen: Ein Supply-Chain-Angriff ist ein mächtiger Cyberangriff, der selbst die ausgefeiltesten Sicherheitsvorkehrungen durch seriöse Drittanbieter durchbrechen kann. Da Anbieter Zugriff auf sensible Daten benötigen, um sich in die internen Systeme ihrer Kunden zu integrieren, sind bei einem Cyberangriff oft auch die Daten ihrer Kunden betroffen. Und weil Anbieter vertrauliche Daten für zahlreiche Kunden speichern, können sich Hacker mit einem einzigen Angriff auf die Lieferkette Zugang zu den sensiblen Daten vieler Unternehmen verschaffen, quer durch viele Branchen. Supply-Chain-Angriffe gehören zu den größten Cyberbedrohungen überhaupt. Die jüngste Flut dieser Attacken deutet darauf hin, dass diese Methode zurzeit die Angriffsart der Wahl für staatliche Akteure ist.

Ein Supply-Chain-Angriff nutzt legitime, vertrauenswürdige Prozesse, um vollständigen Zugriff auf die Daten von Unternehmen zu erlangen. Er zielt dabei auf Software-Quellcode, Updates oder Build-Prozesse des Anbieters ab. Angriffe dieser Art sind schwer zu erkennen, da sie mit einem gewissen Abstand zur Angriffsfläche stattfinden. Kompromittierte Anbieter übertragen dann unwissentlich Malware in ihr Kundennetzwerk. Mögliche Angriffsvektoren sind Software-Updates von Drittanbietern, Anwendungsinstaller und Malware auf angeschlossenen Geräten. Ein einziges Software-Update reicht aus, um Tausende von Unternehmen zu infizieren – und das mit minimalem Aufwand für Hacker, die nun „legitimen“ Zugang haben, um sich lateral durch betroffene Unternehmen zu bewegen.

Bei Supply-Chain-Angriffen handelt es sich um groß angelegte, ausgeklügelte Angriffe, die von erfahrenen Bedrohungsakteuren verübt werden. Oftmals werden diese von Staaten unterstützt und sind ideologisch motiviert, obwohl auch finanzieller Gewinn ein wichtiges Motiv ist.

application-access-token

Lateral Movement (Seitwärtsbewegung)

Application Access Token

Was Sie wissen müssen: Mit einem OAuth-Zugriffstoken kann ein Hacker die vom Benutzer gewährte REST-API nutzen, um E-Mails zu durchsuchen, Kontakte aufzulisten und weitere Aktionen durchzuführen. Bei einem Cloud-basierten E-Mail-Dienst erhält eine schädliche Anwendung nach Gewährung eines OAuth-Zugriffstokens potenziell langfristigen Zugriff auf Funktionen des Benutzerkontos, wenn ein „Refresh“-Token vergeben wird, über das ein Zugriff im Hintergrund erfolgen kann.

Angreifer können mit Application Access Tokens den normalen Authentifizierungsprozess umgehen und Zugriff auf eingeschränkt verfügbare Konten, Informationen oder Dienste auf entfernten Systemen erhalten. Diese Tokens werden in der Regel von Benutzern gestohlen und anstelle von Zugangsdaten verwendet.

Kompromittierte Access Tokens können einen ersten Schritt hin zur Kompromittierung anderer Dienste darstellen. Wenn ein Token beispielsweise Zugriff auf die primäre E-Mail-Adresse eines Opfers gewährt, kann der Angreifer den Zugriff auf alle anderen Dienste ausweiten, die das Ziel abonniert hat. Hierfür muss der Angreifer nur die Routineprozesse für vergessene Passwörter anstoßen. Der direkte API-Zugang über ein Token hebt die Wirksamkeit eines zweiten Authentifizierungsfaktors auf und kann gegenüber Gegenmaßnahmen wie dem Ändern von Passwörtern immun sein.

cloud-access-management

Cloud-Zugriffsverwaltung 

Was Sie wissen müssen: Die Verwaltung von Zugriffsberechtigungen in Unternehmen wird immer wichtiger, um Cloud-basierte Sicherheitsvorfälle zu vermeiden. Zu schwache oder nicht vorhandene Sicherheitsvorkehrungen – oder wie in diesem Fall falsch konfigurierte Sicherheitskontrollen – können die Sicherheit von Daten gefährden und Unternehmen einem unnötigen Risiko aussetzen. Letztlich kann dies den Ruf einer Marke erheblich schädigen.

Zu einem solchen Angriff kommt es in der Regel durch schlechte Kommunikation, fehlende Protokolle, unsichere Standardkonfigurationen und schlechte Dokumentation. Sobald Angreifer eine dieser Schwachstellen ausgenutzt und in der Cloud-Umgebung Fuß gefasst haben, können sie Privilegien nutzen, um auf andere Remote-Zugangspunkte zuzugreifen und nach unsicheren Anwendungen und Datenbanken oder schwachen Netzwerkkontrollen zu suchen. Anschließend können sie unbemerkt Daten exfiltrieren.

Missmanagement und Fehlkonfigurationen in einer Cloud-Umgebung sind für sich genommen noch keine böswilligen Handlungen. Zumeist handelt es sich dabei um Sicherheitslücken, die auf menschliches Versagen zurückzuführen sind.

macro-viruses

Makroviren

Was Sie wissen müssen: Ein Makrovirus ist ein Computervirus, das in der gleichen Makrosprache geschrieben ist, die auch für bestimmte Softwareanwendungen verwendet wird. Einige Anwendungen wie Microsoft Word, Excel und PowerPoint ermöglichen in Dokumenten die Einbettung von Makroprogrammen, die beim Öffnen des Dokuments automatisch ausgeführt werden. Über diesen Mechanismus können sich jedoch auch schädliche Computerbefehle schnell verbreiten – mit ein Grund, warum es gefährlich sein kann, unbekannte E-Mail-Anhänge oder E-Mails von unbekannten Absendern zu öffnen. Viele Antivirenprogramme können Makroviren erkennen, aber ihr Verhalten lässt sich auch dann nur schwer analysieren.

Social-Engineering-Angriffe gibt es in vielen verschiedenen Formen. Sie können überall dort erfolgen, wo menschliche Interaktion Teil eines Prozesses ist. Im Folgenden stellen wir Ihnen die fünf häufigsten Formen digitaler Social-Engineering-Angriffe vor. Ein Täter spioniert das anvisierte Opfer zunächst aus, um die für den Angriff erforderlichen Hintergrundinformationen zu erhalten, wie etwa potenzielle Einstiegspunkte und schwache Sicherheitsprotokolle. Dann gewinnt der Angreifer das Vertrauen des Opfers und liefert Anreize für nachfolgende Handlungen, die gegen Sicherheitspraktiken verstoßen, z. B. die Preisgabe sensibler Informationen oder Zugriff auf wichtige Ressourcen.

Social Engineering kann viele Formen annehmen, aus verschiedensten Richtungen kommen und unterschiedlich motiviert sein. Am häufigsten erfolgen Social-Engineering-Angriffe in Form von Phishing-E-Mails. Eine weitere Form ist das „Pretexting“, bei dem der Angreifer einen guten Vorwand schafft, um wichtige Daten zu stehlen. Beim „Baiting“ oder „Quid pro Quo“ bietet der Angreifer dem Opfer etwas Begehrenswertes im Tausch gegen Zugangsdaten an. Und schließlich gibt es noch den als „Tailgating“ oder „Piggybacking“ bezeichneten Miteintritt, bei dem ein Angreifer Zugang zu einem geschlossenen Bereich eines Unternehmens erhält, indem er einem authentifizierten Mitarbeiter durch gesicherte Türen folgt.

pass-the-hash

Pass the Hash

Was Sie wissen müssen: Pass the Hash ermöglicht es einem Angreifer, das Passwort eines Benutzers mit dem zugrundeliegenden NTLM- oder LanMan-Hash anstelle des zugehörigen Klartext-Passworts zu authentifizieren. Sobald der Hacker einen gültigen Benutzernamen zusammen mit den Hash-Werten des Passworts besitzt, kann er sich problemlos im Account des Benutzers anmelden und Aktionen auf lokalen oder entfernten Systemen durchführen. Hashes ersetzen also im Wesentlichen die ursprünglichen Passwörter, aus denen sie generiert wurden.

Auf Systemen, die NTLM-Authentifizierung verwenden, wird das Passwort oder die Passphrase eines Benutzers niemals im Klartext übermittelt. Stattdessen wird es im Rahmen eines Challenge-Response-Authentifizierungsverfahrens als Hash-Wert gesendet. In diesem Fall werden gültige Passwort-Hashes für das verwendete Konto mithilfe einer Technik erfasst, die Zugriff auf die Zugangsdaten ermöglicht.

Diese Art von Angriff ist ausgefeilter als andere Methoden. Hinter Pass-the-Hash-Attacken stecken daher in der Regel gut organisierte Hackergruppen, die es auf eine bestimmte Organisation oder Person abgesehen haben und auf politische Einflussnahme oder finanziellen Gewinn aus sind.

suspicious-cloud-authentication-activities

Verdächtige Cloud-Authentifizierungsaktivitäten

Was Sie wissen müssen: Unternehmen dürfen nicht mehr ausschließlich auf Netzwerksicherheit setzen, sondern müssen auch Benutzeridentitäten besser schützen und authentifizieren. Bis vor kurzem war dies jedoch viel leichter gesagt als getan. Bei bestimmten Technologien fehlten einfach die notwendigen Integrationsmöglichkeiten, wodurch Unternehmen nur beschränkte Möglichkeiten hatten, die Gesamtsicherheit ihrer Ressourcen zentral zu überwachen.

Mittlerweile gibt es viele Technologien rund um das Thema Zugriffskontrolle, wie beispielsweise die Multifaktor-Authentifizierung (MFA). Zur Vermeidung nicht legitimer Authentifizierungen bei Cloud-Anwendungen sollte kein Benutzer oder Gerät – ob unternehmensintern oder -extern – implizit vertrauenswürdig sein. Auch der Zugriff auf alle Ressourcen sollte explizit und kontinuierlich authentifiziert und autorisiert werden.

Angreifer können leicht in das Netzwerk eindringen oder den Perimeter durchbrechen, wenn kein oder nur ein schwaches IAM-Framework eingerichtet ist. Gleiches gilt, wenn sich ein Unternehmen noch immer auf Netzwerk- oder Endpunktsicherheit verlässt. In beiden Fällen können sich Angreifer aufgrund der laxen Zugangskontrollen problemlos mit den gestohlenen Anmeldedaten anmelden, ohne entdeckt zu werden. Anschließend können sie sich lateral im Netzwerk sowie in allen vernetzten Systemen bewegen, Assets kompromittieren und irreparablen Schaden anrichten – wodurch sie letztlich völlig freie Hand haben.

Angesichts der steigenden Zahl von Phishing-Angriffen, der stetig wachsenden Menge an Benutzeridentitäten und der immer weiter zunehmenden Cloud-Nutzung kann diese Art von Angriffen von überall erfolgen. Auch Drittanbieter, interne und externe Mitarbeiter oder Auftragnehmer können dahinter stecken.

suspicious-zoom-child-processes

Verdächtige untergeordnete Zoom-Prozesse

Was Sie wissen müssen: Bei diesen Angriffen werden im Wesentlichen lokale Schwachstellen der Softwarearchitektur von Zoom ausgenutzt, um Rechte auszuweiten. Sie können beispielsweise von einem lokalen Angreifer gestartet werden, der bereits die physische Kontrolle über einen anfälligen Computer hat. Durch Nutzung einer Schwachstelle kann sich der Angreifer dauerhaften Zugriff auf verschiedene Funktionen des Computers eines Opfers verschaffen. Dadurch erhält er die Möglichkeit, Ransomware, Trojaner, Spyware und andere Arten von Schadcode auf den Zielsystemen zu installieren, um noch mehr Schaden anzurichten.

Eine Angriffsmöglichkeit ist das Zoom-Installationsprogramm, das die Zoom MacOS-App ohne jegliche Benutzerinteraktion installiert. Bei diesem Szenario kann ein lokaler Angreifer mit geringen Benutzerberechtigungen das Zoom-Installationsprogramm mit Malware infizieren, um sich höchste Root-Berechtigungen zu verschaffen. Dadurch erhält er Zugriff auf das zugrundeliegende Mac-Betriebssystem, was es ihm wiederum erleichtert, Malware oder Spyware ohne Zustimmung oder Wissen des Benutzers auszuführen.

 

Eine weitere Angriffsmöglichkeit stellt eine Schwachstelle in der Validierungsfunktion für lokale Bibliotheken in Zoom dar. Cyberkriminelle können eine bösartige Drittanbieter-Bibliothek in den Prozess-/Adressbereich von Zoom laden, die automatisch alle Zugriffsrechte von Zoom erbt. Ohne Wissen oder Zustimmung des Benutzers können die Angreifer dann die Kontrolle über die Kamera- und Mikrofonberechtigungen erlangen.

Das Besondere an dieser Methode ist, dass ein Angreifer physischen Zugriff auf den Computer des Opfers haben muss, um die verschiedenen Sicherheitslücken ausnutzen zu können. Ein solcher Angriff kommt also entweder von innen oder von Hackern, die sich Zugang zu einem verloren gegangenen oder gestohlenen Gerät verschafft haben. Ein weiteres Angriffsszenario ist eine Post-Malware-Infektion durch einen externen Angreifer, der bereits zuvor Zugriff auf das Zielsystem hatte (wahrscheinlich durch einen früheren Malware-Exploit).

application-access-token

Privilege Escalation (Rechteausweitung)

AWS-Angriffe (Amazon Web Services)

Was Sie wissen müssen: Das Modell der geteilten Verantwortung von Amazon besagt, dass AWS für die Umgebung außerhalb der virtuellen Maschine verantwortlich ist, während der Kunde für die Sicherheit innerhalb des S3-Containers zu sorgen hat.

In der Folge haben Bedrohungen, die Schwachstellen durch Konfigurations- und Bereitstellungsfehler ausnutzen, stark zugenommen. Begünstigt wird dies dadurch, dass viele Unternehmen schnell Cloud-Technologien eingeführt haben und AWS-Kunden selbst für die Sicherung ihrer Umgebung verantwortlich sind. Das Problem: In Zukunft wird es immer mehr Bedrohungen geben, die AWS-Kunden im Blick behalten müssen.

Ein Angriff auf eine AWS-Instanz kann auf verschiedenste Art und Weise erfolgen: Die beschleunigte Verlagerung in die Cloud aufgrund der weltweiten COVID-19-Pandemie hat die Zahl der Bedrohungen für Cloud-Anbieter erhöht.

 

Wichtig ist die Überwachung von Aktivitäten, um beispielsweise verdächtiges Verhalten innerhalb einer AWS-Umgebung zu erkennen. Weitere Aktivitäten, auf die geachtet werden sollte, sind S3-Zugriffe von unbekannten Standorten und durch unbekannte Benutzer.

 

Unbedingt überwacht und kontrolliert werden muss auch, wer Zugriff auf die AWS-Infrastruktur des Unternehmens hat. Ein guter Ausgangspunkt für Untersuchungen ist die Erkennung verdächtiger Anmeldungen bei der AWS-Infrastruktur. Nur so lassen sich Aktivitäten wie etwa die missbräuchliche Nutzung aufgrund kompromittierter Anmeldeinformationen verhindern. Diese können sonst direkt zu finanziellen Schäden führen, da den Benutzern alle vom Angreifer erstellten EC2-Instanzen in Rechnung gestellt werden.

Aufgrund der Vielfalt der auf AWS gehosteten Dienste und angesichts tagtäglich neuer Cloud-Bedrohungen können diese Angriffe praktisch von überall und jedem kommen.

insider-threat

Insider-Bedrohung 

Was Sie wissen müssen: Ein Insider-Angriff oder eine Insider-Bedrohung ist eine schädliche Attacke seitens einer Person, die autorisierten Zugriff auf das Computersystem, das Netzwerk und die Ressourcen eines Unternehmens besitzt. Häufig zielen die Angreifer darauf ab, geheime, geschützte oder anderweitig sensible Informationen und Vermögenswerte abzugreifen, um sich selbst zu bereichern oder Informationen an Wettbewerber weiterzugeben. Angreifer können auch versuchen, ein Unternehmen durch Systemunterbrechungen zu sabotieren, was Produktivitäts-, Rentabilitäts- und Reputationsverluste zur Folge haben kann.

Böswillige Insider besitzen einen klaren Vorteil: Sie haben bereits autorisierten Zugriff auf das Netzwerk, die Daten und die Assets eines Unternehmens. Mitunter verfügen sie über Accounts, die ihnen Zugang zu wichtigen Systemen oder Daten geben. Dadurch ist es für sie ein Leichtes, Sicherheitskontrollen zu umgehen, Daten ausfindig zu machen und an Außenstehende zu senden.

Hinter Insider-Angriffen stecken meist böswillige Mitarbeiter des betroffenen Unternehmens oder Cyberspione, die sich als Auftragnehmer, Lieferanten oder externe Mitarbeiter ausgeben. Sie können sowohl eigenständig als auch im Auftrag von Nationalstaaten, Verbrecherbanden oder konkurrierenden Organisationen agieren. Mögliche Urheber sind auch externe Lieferanten oder Auftragnehmer, die irgendwo auf der Welt ansässig sind. Im Regelfall haben die Angreifer in gewissem Umfang legitimen Zugang zu den Systemen und Daten des Unternehmens.

router-and-infrastructure-security

Router- und Infrastruktur-Sicherheit

Was Sie wissen müssen: Router-Implantate sind selten, und es wird allgemein angenommen, dass sie eher theoretischer Natur sind. Laut neuesten Hinweisen von Herstellern kommen sie in der Praxis jedoch durchaus vor. Der erste Angriffsvektor scheint keine Zero-Day-Schwachstelle zu sein. Vielmehr wird angenommen, dass die Zugangsdaten entweder die Standardwerte sind oder vom Angreifer für die Installation der Backdoor gekapert wurden. Die Position des Routers im Netzwerk macht ihn jedoch zu einem idealen Ziel für ein erneutes Eindringen oder die Infektion mit weiterer Malware.

Viele Unternehmen übersehen, dass Netzwerkgeräte wie Router und Switches mögliche Einfalltstore für Hacker sein können. Angreifer kompromittieren Netzwerkgeräte und erhalten dann möglicherweise direkten Zugriff auf die interne Infrastruktur des Unternehmens. Damit können sie die Angriffsfläche effektiv vergrößern und Zugriff auf private Services und Daten erlangen.

Bei komplexen Bedrohungen nehmen Angreifer gerne diese kritischen Punkte ins Visier, um so Netzwerk-Traffic abzufangen und umzuleiten. Oder aber sie flashen Betriebssysteme über eine Backdoor und implementieren schwächere kryptografische Algorithmen, damit sich der Netzwerk-Traffic leichter entschlüsseln lässt.

SIM-Jacking

SIM-Jacking

Was Sie wissen müssen: SIM-Jacking (auch bekannt als SIM-Swap-Scam, Port-out-Betrug, SIM-Splitting oder SIM-Swapping) ist eine Art der Account-Übernahme, die in der Regel eine Schwachstelle der Zwei-Faktor-Authentifizierung und der zweistufigen Verifizierung ausnutzt. Der zweite Faktor ist dabei eine SMS oder ein Anruf an ein Mobiltelefon. Einfach ausgedrückt bedeutet SIM-Jacking, dass sich ein Angreifer beim Mobilfunkanbieter als die Zielperson ausgibt und deren Handynummer stiehlt. Diese lässt er dann auf eine andere SIM-Karte übertragen, die sich bereits in seinem Besitz befindet.

Ein Hacker ruft bei der Support-Hotline des Mobilfunkanbieters an, gibt sich als die Zielperson aus und behauptet, er habe seine SIM-Karte verloren. Der Angreifer kann die Identität der Zielperson nachweisen, da er durch einen der vielen Datenbank-Hacks der letzten zehn Jahre in den Besitz einiger personenbezogener Daten (Adresse, Passwörter oder Sozialversicherungsnummer) gelangt ist. Der Mitarbeiter des Serviceanbieters kann natürlich nicht wissen, dass es sich bei dem Anrufer um einen Betrüger handelt, und nimmt die Umstellung vor. Und damit wird diese Telefonnummer – der Schlüssel zu zahlreichen digitalen Lebensbereichen – plötzlich von einer anderen Person kontrolliert.

SIM-Jacker versuchen in der Regel, etwas Wertvolles von ihren Opfern zu erpressen, z. B. Bitcoin- oder andere Kryptowährungs-Wallets oder wertvolle Social-Media-Konten. Manchmal geht es ihnen auch nur um Rufschädigung, wie im Fall der Hackergruppe Chuckling Squad, die es auf den ehemaligen Twitter-CEO Jack Dorsey abgesehen hatte.

suspicious-okta-activity

Verdächtige Okta-Aktivitäten

Was Sie wissen müssen: Okta ist der branchenführende Single-Sign-On-Anbieter (SSO). Benutzer, die sich einmalig bei Okta authentifiziert haben, können von dort aus auf eine Vielzahl webbasierter Anwendungen zugreifen. Diese Anwendungen werden Benutzern zugewiesen und ermöglichen Administratoren, zentral zu steuern, welche Benutzer auf welche Anwendungen zugreifen dürfen. Okta bietet auch zentrales Logging, damit man sich ein besseres Bild davon machen kann, wie und von wem die Anwendungen genutzt werden.

SSO ist zwar eine große Erleichterung für Benutzer, eröffnet aber auch Angriffsmöglichkeiten. Hacker, die sich Zugriff auf Okta verschaffen, können darüber auch auf eine Vielzahl von Anwendungen zugreifen.

Die Ausnutzung dieser Schwachstelle ermöglicht einen Credential-Stuffing-Angriff, bei dem der Angreifer in den Besitz von Benutzernamen und Passwörtern gelangt. Diese können aus verschiedensten Quellen stammen, etwa kompromittierten Websites, Phishing-Angriffen oder Passwort-Dump-Sites. Durch Brute-Force-Angriffe mithilfe automatisierter Tools probieren Hacker diese Zugangsdaten in großem Maßstab auf zahlreichen Websites aus, in der Hoffnung, sich Zugriff darauf zu verschaffen. Bei Erfolg können die Angreifer dann beliebig viele Angriffe in Form von Phishing- oder Spam-Kampagnen starten – sei es, um auf personenbezogene Daten und andere sensible Informationen zuzugreifen oder die gekaperten Accounts finanziell ausbluten zu lassen.

 

Bei Password-Spraying-Angriffen, bei denen es sich im Grunde um Brute-Force-Angriffe handelt, werden zahlreiche Benutzernamen in ein automatisiertes Programm eingespeist, das versucht, zugehörige Passwörter zu erraten. Die Angreifer gehen also nach dem Gießkannenprinzip vor und hoffen, dass eine der Kombinationen aus Benutzername und Passwort korrekt ist. Eine einzige korrekte Kombination genügt.

Angriffe dieser Art können praktisch von überall erfolgen. Manche lassen sich auf raffinierte Hackerbanden zurückführen. Urheber können aber auch weniger ausgebuffte, einzeln agierende Cyberkriminelle an entfernten Standorten sein, die mit automatisierten Tools jede Menge Brute-Force-Angriffe auf einmal durchführen.

Bereit, Cyberbedrohungen mit Splunk abzuwehren?

Erfahren Sie mehr über die wichtigsten Methoden zur Erkennung von Cybersecurity-Bedrohungen mit Splunk und MITRE ATT&CK.