Ein Report (PDF) des Sicherheitsanbieters Proofpoint räumt mit fünf gängigen Fehlannahmen in Sachen Social Engineering auf.
"Trotz aller Bemühungen der Verteidiger versuchen Cyberkriminelle weiterhin, Unternehmen zu betrügen und Lösegeld zu erpressen - das kostet jedes Jahr Milliarden. Sicherheitsentscheider stellen bislang den Schutz von physischen und Cloud-basierten Infrastrukturen in den Vordergrund. Das hat dazu geführt, dass der Faktor Mensch inzwischen zum wichtigsten Einfallstor für Angreifer geworden ist", kommentiert Sherrod DeGrippo, Vice President Threat Research and Detection bei Proofpoint, die Ergebnisse.
Social Engineering: 5 fatale Irrtümer
Den folgenden fünf Social-Engineering-Fehlannahmen sollten sich CISOs und ihre Teams bewusst sein, wenn sie ihr Unternehmen vor erfolgreichen Social-Engineering-Angriffen schützen möchten.
1. "Bedrohungsakteure sprechen nicht mit Zielen"
Anzunehmen, dass Angreifer weder Zeit noch Mühe investieren, um mit ihren Opfern in Kontakt zu treten und eine Beziehung aufzubauen, ist fatal. Die Proofpoint-Forscher haben im Jahr 2021 beobachtet, dass mehrere Bedrohungsakteure unproblematische E-Mails nutzen, um eine solche Konversation anzustoßen.
"Effektives Social Engineering zielt darauf ab, beim Benutzer Emotionen zu erzeugen, die ihn dazu bringen, sich auf Inhalte einzulassen. Mit harmlosen E-Mails, die ein falsches Gefühl der Sicherheit vermitteln, legen Bedrohungsakteure den Grundstein für eine Beziehung, die in der Folge leichter ausgenutzt werden kann", schreiben die Forscher.
Proofpoint hat mehrere Business-E-Mail-Compromise (BEC)-, Malware- und APT-Kampagnen beobachtet, die nach diesem Muster vorgehen.
2. "Legitime Dienste sind vor Missbrauch sicher"
Laut Proofpoint sind Benutzer eher geneigt, mit Inhalten zu interagieren, wenn diese von einer (vermeintlich) bekannten und vertrauenswürdigen Quelle stammen. Allerdings missbrauchen Cyberkriminelle regelmäßig auch legitime Dienste - etwa Cloud-Storage-Angebote oder Content Distribution Networks, um Malware zu verbreiten und Anmeldedaten abzugreifen.
"Bedrohungsakteure ziehen es möglicherweise vor, Malware über legitime Dienste zu verbreiten, da sie damit wahrscheinlicher E-Mail-Sicherheitsvorkehrungen umgehen können. Die Abwehr von Bedrohungen, die auf legitimen Diensten gehostet werden, ist nach wie vor diffizil. Sie erfordert, unter Umständen geschäftsrelevante Services zu reglementieren oder zu blockieren", schreiben die Proofpoint-Experten.
Die Analyse des Sicherheitsanbieters ergab auf Kampagnenebene, dass OneDrive der am häufigsten missbrauchte Service ist, gefolgt von Google Drive, Dropbox, Discord, Firebase und SendGrid.
3. "Angreifer nutzen keine Telefone"
Tendenziell werden Social-Engineering-Angriffe vor allem mit E-Mails in Verbindung gebracht. Laut Proofpoint setzen Bedrohungsakteure jedoch zunehmend auf Call-Center-basierte E-Mail-Bedrohungen, die menschliche Interaktion per Telefon beinhalten.
"Die E-Mails selbst enthalten keine bösartigen Links oder Anhänge - die Betroffenen müssen proaktiv eine gefälschte Kundendienstnummer in der E-Mail anrufen, um mit dem Bedrohungsakteur in Kontakt zu treten. Wir beobachten täglich über 250.000 dieser Bedrohungen", heißt es im Report.
Dabei identifizieren die Experten zwei Arten dieser Callcenter-Bedrohungen Bei der einen kommt eine kostelose, legitime Remote-Assistance-Software zum Einsatz, bei der anderen wird als Dokument getarnte Malware verwendet, um Rechner zu kompromittieren.
4. "Bestehende Konversationen zu beantworten, ist sicher"
Das Gefühl von Vertrauen und Sicherheit, das bestehende E-Mail-Konversationen umgibt, wird von Betrügern laut Proofpoint durch Thread- oder Konversations-Hijacking ausgenutzt: "Normalerweise erwartet der Empfänger eine Antwort vom Absender und ist daher eher geneigt, auf den eingeschleusten Inhalt einzugehen", so die Forscher.
Um eine bestehende Konversation erfolgreich zu kapern, müssen sich Bedrohungsakteure Zugang zum Posteingang eines Benutzers verschaffen. Das funktioniert auf verschiedene Weise - beispielsweise durch Phishing, Malware oder Passwort-Spraying-Techniken. Cyberkriminelle kapern unter Umständen auch komplette E-Mail-Server oder Postfächer und senden über Botnetze automatische Antworten. Im Jahr 2021 beobachtete der Sicherheitsanbieter demnach über 500 Kampagnen, die Thread-Hijacking nutzten und mit 16 verschiedenen Malware-Familien in Verbindung standen.
5. "Köder gibt es nur mit Business-Bezug"
Obwohl bösartige Akteure oft auf Unternehmen und ihre Mitarbeiter abzielen, ist die Annahme falsch, dass sie sich dabei rein auf geschäftsbezogene Inhalte als Köder verlassen. Vielmehr nutzen Bedrohungsakteure laut Proofpoint auch aktuelle Ereignisse, Nachrichten und Popkultur-Inhalte, um ihre maliziösen Inhalte an Mann und Frau zu bringen. Der Report führt mehrere Kampagnen aus dem letzten Jahr an, die diesen Ansatz verfolgten. Zum Beispiel:
Angriffe, die mit den Themenbereichen "Blumen" und "Dessous" speziell auf den Valentinstag abzielten,
der Banking-Trojaner Dridex, der mit Motiven aus der Netflix-Serie "Squid Game" auf US-Nutzer zugeschnitten war, und
durchschnittlich mehr als sechs Millionen COVID-19-bezogene Bedrohungen pro Tag im Jahr 2021.
(fm)