Vor Kurzem haben wir einen Phishing-Angriff auf einen unserer Kunden entdeckt. In diesem Blogbeitrag analysieren wir den Lebenszyklus des Angriffs, um zu zeigen, warum Sie eine durchdachte Lösung benötigen, um sich vor ausgeklügelten Identitätsbedrohungen zu schützen.
Was ist passiert?
In einer Kundenumgebung, in der die Browsererweiterung von Obsidian getestet wurde, haben wir zwei kritische Warnmeldungen beobachtet, die von derselben Benutzeridentität ausgelöst wurden:
- Phishing-Versuch: Von unserer Browsererweiterung gemeldet.
- Versuch der Kontoübernahme: Innerhalb einer Minute von unserem Bedrohungsinformationssystem erkannt.
Nach der Untersuchung der Aktivitätszeitachse des Benutzers verlief der Angriff wie folgt:
- Der Benutzer hat auf eine Phishing-Website zugegriffen: https://groupsecured[.]top/, die von der Browser-Erweiterung von Obsidian als bösartig gekennzeichnet wurde. Da die Erweiterung während des Pilotprojekts jedoch im Trockenlaufmodus ausgeführt wurde, wurde die Website nicht blockiert, sodass der Angriff fortgesetzt werden konnte.
- Innerhalb einer Minute versuchte der Angreifer, sich über einen „Adversary-in-the-Middle“-Proxy (AiTM) mit privaten Proxy-IPs in das Microsoft-Konto des Benutzers einzuloggen. Glücklicherweise blockierte eine bedingte Zugriffsrichtlinie den Anmeldeversuch. Trotzdem wurde das Passwort des Benutzers kompromittiert, wodurch andere SaaS-Anwendungen für zukünftige Angriffe anfällig wurden. Obsidian meldete diese Kompromittierung des Passworts.
Bei näherer Betrachtung stellten wir fest, dass die Phishing-Seite Cloudflare-Drehkreuze verwendete, um herkömmliche Erkennungsmethoden zu umgehen. Obwohl der Kunde über ein E-Mail-Sicherheitsgateway (ESG) verfügte, konnte der Angriff nicht abgefangen werden.
Das Leben eines „Phish“
Auch wenn dies wie ein gewöhnlicher Phishing-Versuch erscheinen mag, unterstreicht es die Komplexität moderner Phishing-Techniken. Erfolgreiche Angriffe durchdringen mehrere Ebenen der Verteidigung eines Unternehmens über die verschiedenen Technologiebereiche hinweg.
Ein typischer Phishing-Pfad
Hier ist eine vereinfachte Darstellung des Phishing-Angriffs:
- Phishing-E-Mail wird an die E-Mail-Adresse des Unternehmens zugestellt
- Benutzer besucht Phishing-Website über einen Browser auf einem Unternehmensgerät.
- Anmeldeinformationen werden mithilfe von AiTM-Techniken gestohlen und es werden weitere Angriffe auf SaaS-Anwendungen versucht.
Herkömmliche Abwehrmaßnahmen wie E-Mail-Sicherheitsfilter können nur begrenzt eingesetzt werden. Angreifer entwickeln sich weiter und nutzen Techniken wie CAPTCHA, um diese Abwehrmaßnahmen zu umgehen.
Alternative Angriffswege
Während sich das obige Beispiel auf E-Mail-basiertes Phishing konzentriert, setzen Angreifer häufig alternative Methoden ein, um die Sicherheit von Unternehmen zu umgehen:
- Persönliche E-Mail: Phishing-E-Mails werden an persönliche Konten gesendet, um die E-Mail-Filter von Unternehmen zu umgehen.
- Smishing (SMS-Phishing): Phishing-Links werden über Textnachrichten übermittelt, insbesondere wenn Angreifer Zugriff auf persönliche Nummern haben.
Diese Methoden werden häufig bei gezielten Angriffen eingesetzt, bei denen leicht online verfügbare persönliche Informationen ausgenutzt werden.
Sicherung des Stacks
Phishing-Angriffe erstrecken sich über mehrere Ebenen des Tech-Stacks, darunter:
- Phishing-Kanäle: Firmen-E-Mail, persönliche E-Mail, SMS, Messaging-Apps.
- Benutzergeräte und Clients: Unternehmens-Desktops, persönliche Geräte, Browser, Apps.
- Netzwerke: Unternehmens-, Heim- und öffentliche Netzwerke.
- SaaS-Anwendungen: Das eigentliche Ziel, bei dem Anmeldeinformationen verwendet werden, um Zugriff zu erhalten.
Die Kombination dieser Technologie-Stacks schafft viele Angriffspfade, und die Komplexität der Sicherung jeder Ebene wächst exponentiell. Dies unterstreicht die Notwendigkeit einer robusten Sicherheitsarchitektur.
Aufbau einer effektiven Verteidigung
Um sich gegen Phishing zu schützen, müssen Unternehmen ihre Sicherheitskontrollen auf allen Ebenen überprüfen. Eine Schlüsselstrategie besteht darin, Engpässe zu identifizieren – kritische Bereiche, die Angreifer nicht umgehen können. In SaaS-Umgebungen ergeben sich zwei natürliche Engpässe:
- Die SaaS-Anwendung: Die Überwachung und Protokollierung jeder Interaktion auf der Anwendungsebene gewährleistet die Sichtbarkeit verdächtigen Verhaltens.
- Der Browser: Die meisten SaaS-Interaktionen erfolgen über einen Browser, sodass die Browsersicherheit für die Verhinderung von Phishing-Angriffen von entscheidender Bedeutung ist.
Bei Obsidian konzentriert sich unsere Strategie auf diese Schwachstellen. Unsere Browser-Erweiterung bietet Phishing-Erkennung in Echtzeit und gibt Warnungen aus, wenn Benutzer bösartige Websites besuchen. Wenn ein Angriff an der Browser-Erweiterung vorbeischlüpft, analysieren unsere Erkennungssysteme die SaaS-Aktivitätsprotokolle, um verdächtiges Verhalten zu identifizieren und potenzielle Sicherheitsverletzungen zu stoppen, bevor sie eskalieren.
Abschlussbemerkungen
Phishing-Angriffe entwickeln sich weiter, und Angreifer finden immer kreativere Wege, um herkömmliche Abwehrmaßnahmen zu umgehen. Ein mehrschichtiger Ansatz, der kritische Kontrollpunkte wie den Browser und SaaS-Anwendungen sichert, ist der Schlüssel zur Verhinderung von Kontoübernahmen und zum Schutz vor identitätsbasierten Bedrohungen. Die Kombination von browserbasiertem Schutz mit SaaS-Überwachung und Richtlinien für den bedingten Zugriff bietet einen starken Schutz selbst gegen die ausgefeiltesten Phishing-Versuche.
Quelle: Obsidian Security-Blog
Ihr Kontakt zu uns:
Pascal Cronauer, Regional Sales Director, Central Europe @Obsidian Security | SaaS Security | SSPM | Threat Mitigation | Integration Risk Mgmt
Marko Kirschner, Technical Enthusiast @Obsidian Security