KnowBe4 warnt: Device Code-Phishing nicht auf die leichte Schulter nehmen

Vor kurzem haben Microsoft-Forscher in einem Blogbeitrag von einer neuartigen Phishing-Kampagne berichtet, bei der die Angreifer es auf die Eingabe von Gerätecodes abgesehen haben. Wohl Mitte des vergangenen Jahres hatte eine Gruppe Cyberkrimineller die Device Code-Phishing-Kampagne gestartet. Ihr Ziel: staatliche Stellen, NGOs und Privatunternehmen.

Device Codes kommen häufig als Authentifizierungsmethode zur Absicherung eines digitalen Dienstes zum Einsatz. Die Methode ermöglicht es Nutzern, schnell und unkompliziert über mehrere Endgeräte auf einen Dient zuzugreifen. So können sie etwa ihren Konferenzdienst über die firmeneigene Hardware im Konferenzraum, zum Beispiel eine Videoanlage, nutzen, indem sie über ihr Smartphone die Zustimmung zu diesem Zugriff erteilen.

Beim Device Code-Phishing weiß der Angreifer in aller Regel schon etwas über sein Opfer. Über Phishing- und Social Engineering-Angriffe kennt er Namen, weiß über die eingesetzten Dienste Bescheid, und hat sich in den Besitz der Opfer-ID gebracht. Nun richtet er zunächst, getarnt mit der Nutzer-ID des Opfers, eine Anfrage an den entsprechenden Dienst. Der sendet ihm dann auf sein Endgerät einen Gerätecode – ein One Time Password (OPT) – samt Link. Dass es sich beim anfragenden Endgerät nicht um das Endgerät des Opfers handelt, erkennt der Dienst nicht. Nun sendet der Angreifer seinem Opfer eine gut getarnte Phishing-Nachricht, die den Gerätecode und den Link enthält, und bittet es, den Link anzuklicken und den Gerätecode einzugeben. Klickt das Opfer nun auf den Link und gibt den Code in seinem Gerät ein, wird das Gerät des Angreifers vom Dienst automatisch authentifiziert. Der Dienst glaubt nun, dass das Endgerät des Angreifers ein weiteres Endgerät des Opfers sei. Der Angreifer kann sich als Opfer ausgeben und im Dienst – genauso wie das Opfer – frei bewegen; zumindest für eine begrenzte Zeit. Der Angreifer hat nun Zugriff auf sensible Daten und die Möglichkeit, die Dienste für weitere Angriffe zu missbrauchen.

Ein großes Problem für die Opfer und ihre Arbeitgeber: Herkömmliche Sicherheitsmechanismen schlagen bei Device-Code-Phishing in aller Regel nicht immer Alarm, da der in der Phishing-Mail enthaltene Link ja echt ist. Die eigene Belegschaft vor Device Code-Phishing zu schützen, ist möglich und nötig, erfordert aber einige Arbeit. Cybersicherheitsverantwortliche sollten:

• ihre Mitarbeiter und Kollegen anweisen, der Aufforderung, einen Gerätecode einzugeben, nur dann nachzukommen, wenn sie zuvor bei einem Dienst eine diesbezügliche Anfrage selbst initiiert haben,
• IP-Adressen eingrenzen und Geo-Fencing nutzen, um das Risiko erfolgreicher Device Code-Phishing-Angriffe zu reduzieren,
• die Gerätecode-Authentifizierung Ihrer Dienste deaktivieren,
• ihre gesamte Belegschaft regelmäßig über das ganze Spektrum von Ansätzen für Phishing-Angriffe – auch und gerade Device Code-Phishing-Angriffe – aufklären und sie informieren, wie man diese rechtzeitig erkennt und meldet,
• ihre Anti-Phishing-Maßnahme so ausbauen, dass Angreifer gar nicht erst an die Informationen gelangen, die sie benötigen, um einen Device Code Phishing-Angriff erfolgreich zu initiieren.

Um all diese zu erreichen, werden Unternehmen beim Ausbau ihrer Cybersicherheit intelligenten Anti-Phishing-Technologien eine größere Bedeutung beimessen müssen. Moderne Anti-Phishing-E-Mail-Managementtoolskombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Im Gegensatz zu herkömmlichen Lösungen, können sie potenzielle Phishing-E-Mails ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und möglicher Social Engineering-Taktiken. Daneben werden Unternehmen aber auch fortschrittliche Schulungen und Trainings zum Einsatz bringen müssen. Sie müssen ihren Mitarbeitern helfen, die subtilen Anzeichen von Phishing rechtzeitig zu erkennen – bevor es zu spät ist. Moderne Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. So ist es Unternehmen möglich, ihre Human Risks zurückzufahren und ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen

Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Bild/Quelle: https://depositphotos.com/de/home.html