Share
Beitragsbild zu Analyse von Social-Engineering-Angriffen auf Helpdesks in der Praxis

Analyse von Social-Engineering-Angriffen auf Helpdesks in der Praxis

Social-Engineering-Angriffe haben sich erheblich weiterentwickelt, und einer der besorgniserregendsten Trends ist das Angreifen von Helpdesk-Mitarbeitern. Bei diesen Angriffen wird die menschliche Schwäche ausgenutzt, indem technische Sicherheitsvorkehrungen umgangen werden, um unbefugten Zugang zu Systemen zu erhalten. Der gut dokumentierte MGM-Angriff ist ein Beispiel für Social Engineering bei Helpdesks [1]. Diese Angriffe nehmen aufgrund der Erfolge der Angreifergemeinde immer mehr zu. Das U.S. Department of Health and Human Services (HHS) hat sogar eine Warnung [2] zu diesem Thema herausgegeben, in der Gesundheitseinrichtungen vor einer Zunahme der Aktivitäten von Bedrohungsakteuren gewarnt werden.

In diesem Blog-Beitrag werden Einblicke in die jüngsten Angriffe gegeben, die wir beobachtet haben und bei denen Helpdesk-Social-Engineering als Infiltrationstaktik eingesetzt wurde, und es werden Schritte aufgezeigt, die Organisationen unternehmen können, um sich gegen diese Angriffe zu schützen.

Einblicke aus dem HHS Sector Alert

Der HHS Sector Alert, der vom Health Sector Cybersecurity Coordination Center im April 2024 herausgegeben wurde, hebt die wachsende Bedrohung durch Social-Engineering-Angriffe hervor, die auf Helpdesk-Mitarbeiter abzielen. Laut der Warnung handelt es sich bei diesen Angriffen häufig um ausgeklügelte Vorwände, bei denen sich Angreifer als legitime Benutzer oder vertrauenswürdige Einrichtungen ausgeben, um sensible Informationen zu erlangen. Das Memo unterstreicht die Notwendigkeit erhöhter Wachsamkeit und Schulung der Helpdesk-Mitarbeiter, um diese betrügerischen Taktiken zu erkennen und zu vereiteln.

AI-Stimmenklon-Angriffe

Mit der zunehmenden Verfügbarkeit von KI-Tools nutzten Cyberkriminelle zunehmend die KI-Technologie zum Klonen von Stimmen, um raffinierte Social-Engineering-Angriffe durchzuführen. Mithilfe von KI klonen Angreifer die Stimmen von Führungskräften und geben sich in Telefonaten mit Helpdesk-Agenten und anderen Mitarbeitern überzeugend als diese aus. Diese neue Art von Betrug nutzt künstliche Intelligenz, um Vertrauen und Autorität auszunutzen, so dass es für die Opfer schwieriger wird, den Betrug zu erkennen. Diese Angriffe verdeutlichen die zunehmende Überschneidung von KI und Social Engineering und stellen Sicherheitsexperten vor neue Herausforderungen [3].

Verstehen von Helpdesk Social Engineering mit Beispielen aus der Praxis

Das Obsidian-Forschungsteam überwacht kontinuierlich das Benutzerverhalten und den Systemzugriff, um Anomalien zu identifizieren, die auf einen Social-Engineering-Angriff auf den Helpdesk hinweisen könnten. Dies wird durch die Reaktion auf Vorfälle sowie durch Vorfälle, die bei Kunden beobachtet wurden, unterstützt. Diese Angriffe umfassen auch andere Taktiken, wie z. B. den Missbrauch von “ Adversary in the Middle “ und das Zurücksetzen von Passwörtern im Self-Service, um die Kompromittierung der gesamten SaaS-Kill-Chain zu erleichtern.
Wir haben kürzlich zwei solcher Angriffe beobachtet und gestoppt. Im Folgenden sind die von den Angreifern verwendeten Taktiken dokumentiert, die deren Raffinesse verdeutlichen und Aufschluss über die Verteidigungsstrategie geben, die Unternehmen gegen diese Bedrohung anwenden müssen.

Angriff 1: Leiter des weltweiten Geschäftsbetriebs eines Medizintechnikunternehmens

In diesem Beispiel hatte es der Angreifer auf den Chief of Global Operations eines Medizintechnikunternehmens abgesehen. Es ist klar, dass der Angreifer es auf einen hochrangigen Benutzer abgesehen hat – eine Person mit Zugang zu Daten.

Der Angreifer setzte sich im Namen des Benutzers mit dem Helpdesk in Verbindung, um das Passwort des Benutzers zurückzusetzen. Darüber hinaus ging der Angreifer noch einen Schritt weiter und setzte auch das mit dem Konto verbundene MFA-Gerät zurück. Dies sind zwei Schritte, die wir bei den meisten Helpdesk-Angriffen beobachten können. Obwohl MFA eine starke Verteidigungsschicht bietet und die meisten Benutzer glauben, dass sie durch MFA geschützt sind, haben Angreifer Wege gefunden, MFA zu unterlaufen. In den letzten 12 Monaten haben wir festgestellt, dass Angreifer bei 70 % der SaaS-Verletzungen MFA unterlaufen haben.

Wie in der unten stehenden Warnung hervorgehoben wird, ist eine Kombination dieser Ereignisse höchst verdächtig – und oft bösartig. Bei einem hochrangigen Benutzer wurde das Kennwort zurückgesetzt, das MFA-Gerät zurückgesetzt und Aktivitäten von einem Gerätetyp generiert, der für diesen Benutzer nicht typisch ist.

Der Angreifer versuchte, auf eine Reihe von Dokumenten zuzugreifen, um die Unternehmensinfrastruktur zu erforschen und nach Informationen zu suchen, die es ihm ermöglichen würden, seitwärts zu gehen (glücklicherweise wurde er aufgehalten, bevor dies geschehen konnte!). Dazu gehörten Dokumente mit folgenden Namen:

  • IT First Day Onboarding
  • Leitfaden für die VPN-Anmeldung
  • AWS-Konfiguration

Wenn Sie so etwas sehen, sollte Ihr Spionagegespür aktiviert werden!

Angriff 2: Versicherungsfachmann in einer Gesundheitseinrichtung

In diesem nächsten Beispiel zielte der Angreifer auf einen Versicherungsspezialisten in einer Gesundheitseinrichtung ab. Dieser Vorfall bietet viele interessante Einblicke.
Der angegriffene Benutzer hatte erneut Zugriff auf die Gesundheitsdaten der Kunden der Einrichtung. Das Zurücksetzen des Passworts war wieder das Ziel – in diesem Fall kam es von einem lokalen AD-Server – ebenso wie das MFA-Update (die Duo-Telefonnummer).

Interessant war in diesem Fall der nächste Schritt: Der Angreifer loggte sich mit der neuen Duo-Telefonnummer als MFA in die Mailbox des Opfers ein und löschte die E-Mail-Benachrichtigung für das Zurücksetzen des Passworts beim Helpdesk. Dies ist ein weiteres Muster, das wir bei Passwort- und MFA-Rücksetzungen beobachten.

Diese Aktivitäten bieten mehrere Möglichkeiten, sie zu entdecken, wie unten zu sehen ist – das Löschen der E-Mail zum Zurücksetzen des Passworts oder das Ändern der MFA auf eine andere Telefonnummer. Beide Aktivitäten sind jedoch an sich ganz normal. Es ist der Kontext, der auf ein Problem hindeutet.

Der erste Alarm, der für das verdächtige MFA-Update für die registrierte Duo-Telefonnummer des Opfers ausgelöst wurde, stammte von einem Hosting-Anbieter wie Digital Ocean oder Bulletproof-Hosting-Anbietern, die üblicherweise von Bedrohungsakteuren verwendet werden. Interessanterweise wählte der Bedrohungsakteur auch einen für die Organisation üblichen IP-Standort, was darauf schließen lässt, dass es sich um einen geplanten und gut recherchierten Angriff handelte. Wir haben beobachtet, dass Bedrohungsakteure Proxys und VPN-Anbieter nutzen, um IP-Standorte in der Nähe der Unternehmensstandorte zu erhalten, um Geofencing und Länderblocklisten zu unterlaufen.

Die nächste Warnung betrifft die Löschung der Sicherheitsmeldung aus dem Posteingang des Opfers. In diesem Fall ist der wichtige Kontext das Gerät, von dem aus der Löschvorgang ausgeführt wurde. Wir sehen, dass diese Aktivität von einem Gerät mit seltenen Elementen wie dem Betriebssystem und dem Browser ausgeführt wurde.

Schritte zum Schutz vor Social Engineering am Helpdesk

Die oben genannten Taktiken verdeutlichen, vor welchen Herausforderungen Unternehmen stehen, wenn sie versuchen, Angreifer zu stoppen. Es ist jedoch möglich, verschiedene Sicherheitsmaßnahmen zu ergreifen, um das Risiko von Social Engineering am Helpdesk zu minimieren.

  1. Regelmäßige Schulungen und Simulationen durchführen: Helpdesk-Mitarbeiter sollten regelmäßig geschult werden, um Social Engineering-Versuche zu erkennen und darauf zu reagieren. Simulierte Phishing-Übungen können den Mitarbeitern helfen, wachsam zu bleiben und rote Fahnen in realen Szenarien zu erkennen.
  2. Implementieren Sie Verfahren zur Identitätsüberprüfung: Strenge Überprüfungsprozesse für Helpdesk-Interaktionen können unbefugten Zugriff verhindern. Dazu gehören die Multi-Faktor-Authentifizierung und die Querverifizierung von Anfragen über mehrere Kanäle.
  3. Ermutigen Sie zur Meldung von Vorfällen: Wenn Mitarbeiter dazu ermutigt werden, verdächtige Interaktionen umgehend zu melden, können Unternehmen schnell auf potenzielle Verstöße reagieren und Muster analysieren, um die Abwehrkräfte zu stärken.
  4. Überwachen und warnen Sie bei verdächtiger Nutzung von Anmeldeinformationen und Änderungen: Die Überwachung und Alarmierung bei verdächtigen Aktivitäten, wie z. B. MFA-Deaktivierungen und Passwortrücksetzungen, ist entscheidend. Stellen Sie sicher, dass Ihre SaaS-Sicherheitsplattform ungewöhnliche Muster oder Verhaltensweisen im Zusammenhang mit diesen Aktionen erkennen kann und Warnmeldungen mit relevantem Kontext auslöst, damit die Sicherheitsteams diese untersuchen und umgehend reagieren können. Dieser proaktive Ansatz trägt dazu bei, Risiken zu mindern, bevor sie von Angreifern ausgenutzt werden können.
  5. Begrenzen Sie die Auswirkungen mit gesicherten Konfigurationen Ihrer SaaS-Anwendungen: Wie bei beiden Angriffen deutlich wurde, zielen Bedrohungsakteure auf Benutzer mit Zugangsberechtigungen ab. Wenn Sie sicherstellen, dass Ihre SaaS-Anwendungen sicher konfiguriert sind, können Sie die Auswirkungen eines möglichen Angriffs begrenzen. Dazu gehört die Durchsetzung des Prinzips der geringsten Privilegien, die Sicherstellung, dass die Zugriffskontrollen ordnungsgemäß konfiguriert sind, und die regelmäßige Überprüfung der Berechtigungen, um unbefugten Zugriff zu verhindern. Ihre SaaS-Sicherheitsplattform kann diesen Arbeitsablauf automatisieren – besonders wichtig, wenn Sie Dutzende oder Hunderte von SaaS-Anwendungen zu schützen haben. Sie kann dabei helfen, Konfigurationsabweichungen zu verwalten, übermäßige Privilegien zu reduzieren, kontinuierliche Überwachung und automatische Warnmeldungen bereitzustellen, um Fehlkonfigurationen zu erkennen und zu beheben, bevor sie ausgenutzt werden können.
Schlussfolgerung

Die sich ständig weiterentwickelnde Landschaft der Cyber-Bedrohungen erfordert eine proaktive und vielschichtige Verteidigungsstrategie. Wie die jüngsten Angriffe und das Aufkommen von KI-Stimmenklon-Betrug zeigen, kann Social Engineering verheerende Auswirkungen haben.

Obsidian Security bietet einen umfassenden Ansatz, um sicherzustellen, dass Unternehmen gut gerüstet sind, um Social Engineering-Bedrohungen im Helpdesk und viele andere SaaS-Bedrohungen zu erkennen, zu verhindern und darauf zu reagieren. Für detailliertere Informationen darüber, wie Obsidian Security Ihr Unternehmen schützen kann, kontaktieren Sie uns oder erkunden Sie die verschiedenen Anwendungsfälle unter www.obsidiansecurity.com.

Bleiben Sie wachsam, bleiben Sie sicher.

Quelle: Obsidian Security-Blog


Ihr Kontakt zu uns:

Pascal Cronauer, Regional Sales Director, Central Europe @Obsidian Security | SaaS Security | SSPM | Threat Mitigation | Integration Risk Mgmt

Marko Kirschner, Technical Enthusiast @Obsidian Security

References

[1] SOCRadar Cyber Intelligence Blog on MGM Casino Hack

[2] HHS Sector Alert on Help Desk Social Engineering

[3] McAfee Blog on AI Voice Cloning Scams

Firma zum Thema

LogRhythm