Da die digitale Welt immer mehr auf identitätsbasierte Autorisierung für Benutzer, Anwendungen und Geräte angewiesen ist, eröffnet sich der Spielraum für identitätsbasierte Angriffe. Diese zielen in erster Linie auf die Schwachstellen in Identitätssystemen ab, um sie für böswillige Zwecke auszunutzen oder zu manipulieren.
Der Missbrauch von Identitäten, sei es die einer Einzelperson oder einer Organisation, ist eine klassische Taktik für Cyberangriffe, die von Hackern eingesetzt wird, um sich unbefugten Zugang zu verschaffen, vertrauliche Informationen zu stehlen oder sich für betrügerische Zwecke als legitime Instanz auszugeben. Leider stehen identitätsbasierte Angriffe immer noch an erster Stelle, wenn es darum geht, die Sicherheitsvorkehrungen von Unternehmen zu durchbrechen. Einem im Cyber Defense Magazine veröffentlichten Artikel zufolge machten identitätsbasierte Angriffe 65 % aller von Expel im Zeitraum von Q1 bis 2022 beobachteten Vorfälle aus, wobei allein 63 % auf die Kompromittierung von Geschäfts-E-Mails (BEC) und Geschäftsanwendungen (BAC) entfielen.
Dieser Artikel befasst sich mit dem Konzept der identitätsbasierten Angriffe, ihren verschiedenen Arten, den potenziellen Risiken, die sie in unserer sich ständig weiterentwickelnden technologischen Landschaft darstellen, und den Möglichkeiten, sie abzuwehren.
Was ist ein identitätsbasierter Angriff?
Mit der zunehmenden Verbreitung von Remote-Arbeitskulturen und der digitalen Transformation von Unternehmen sind sensible Informationen von Einzelpersonen und Organisationen heute leichter zugänglich als je zuvor. Dies ermöglicht es Cyberkriminellen, Sicherheitslücken in Identitäts- und Authentifizierungssystemen auszunutzen, um sich unbefugt Zugang zu verschaffen, Daten zu manipulieren oder sich als legitimer Benutzer, Anwendung oder Gerät auszugeben.
Identitätsbasierte Angriffe sind ausgeklügelte und gezielte Cyber-Bedrohungen, die die digitalen Identitäten von Personen, Anwendungen und Geräten, die mit einer Organisation verbunden sind, gefährden. Die Angreifer dringen in die Systeme, Netzwerke oder sensiblen Ressourcen des Unternehmens ein, indem sie die Anmeldeinformationen stehlen oder die Authentifizierungsmechanismen aushebeln. Sobald sie im Netzwerk sind, können sie Daten verändern, löschen oder verschlüsseln, um den Betrieb zu stören oder Lösegeldzahlungen zu verlangen.
Was diese Art von Angriffen besonders besorgniserregend macht, ist die Tatsache, dass sie über längere Zeiträume unentdeckt bleiben und es den Angreifern ermöglichen, unbemerkt in Netzwerke und Systeme einzudringen, wertvolle Informationen zu sammeln und weitere Angriffe vorzubereiten.
Berichten zufolge wurde die Cybersicherheitslandschaft durch eine Reihe laufender Angriffe erschüttert, die in einer breit angelegten und strukturierten Kampagne auf Cloud-Dienste, insbesondere Office 365, abzielen. Die Angriffe, die von dem als fortgeschrittene Bedrohung eingestuften Akteur APT28 (Fancy Bear oder Strontium) durchgeführt werden, beinhalten Brute-Force-Passwort-Spraying-Techniken. Die Ziele dieser Angriffe sind umfangreich und umfassen Regierungs- und Militäreinrichtungen in den Vereinigten Staaten und Europa.
Beispiel für mehrere TTPs, die im Rahmen dieser Art von Brute-Force-Kampagne zusammen verwendet werden. Quelle: CISA-Beratung.
Warum sind identitätsbasierte Angriffe so gefährlich?
Wenn nicht sofort gehandelt wird, können die Auswirkungen von identitätsbasierten Angriffen weitreichend sein. Vom Sammeln sensibler Informationen bis hin zur Ausnutzung des Zugangs für böswillige Aktivitäten und die Störung von Geschäftsabläufen können diese Angriffe verheerende Folgen haben.
Einige der Gefahren identitätsbasierter Angriffe sind:
Finanzieller Verlust
Einem von IBM Security veröffentlichten Bericht zufolge belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung auf 4,24 Millionen Dollar. Identitätsdiebstahl und Angriffe zur Übernahme von Konten können für Privatpersonen und Unternehmen erhebliche finanzielle Verluste zur Folge haben. Angreifer können gestohlene Identitäten ausnutzen, um betrügerische Transaktionen durchzuführen, Bankkonten zu leeren oder sogar Lösegeld zu fordern.
Datenverletzungen
Identitätsbasierte Angriffe können zu Datenschutzverletzungen führen, die zur Preisgabe vertraulicher und sensibler Informationen führen. Angreifer haben es oft auf Anmeldedaten, persönliche Daten, Finanzinformationen oder geistiges Eigentum abgesehen.
Unbefugter Zugriff
Angreifer verschaffen sich unbefugten Zugang zu Systemen, Netzwerken oder Cloud-Diensten, indem sie legitime Benutzeridentitäten stehlen oder sich als solche ausgeben. Auf diese Weise können sie sich seitlich in der Infrastruktur eines Unternehmens bewegen, ihre Privilegien ausweiten und auf sensible Ressourcen zugreifen.
Schädigung der Reputation
Identitätsbasierte Angriffe verursachen nicht nur greifbare Verluste wie finanzielle Verluste und Datenverluste, sondern können auch den Ruf eines Unternehmens schädigen. Dies führt dazu, dass Kunden und Stakeholder das Vertrauen in die Fähigkeit des Unternehmens verlieren, ihre Daten zu schützen, was wiederum zu finanziellen Verlusten und potenziellen rechtlichen Konsequenzen führt.
Arten von identitätsbasierten Angriffen
Cyberkriminelle nutzen verschiedene Arten von identitätsbasierten Angriffen, um die Identität von Unternehmen auszunutzen und ihre Sicherheit zu gefährden.
Phishing (einschließlich Social Engineering)
Phishing-Angriffe gehören zu den häufigsten Cyberangriffen, bei denen sich Hacker als legitime Unternehmen ausgeben, um betrügerische E-Mails und Nachrichten zu versenden und die Empfänger dazu zu bringen, ihre sensiblen Daten wie Anmeldedaten, Sozialversicherungsnummern oder Finanzdaten preiszugeben.
Spear-Phishing
Spear-Phishing ist eine gezieltere und raffiniertere Version herkömmlicher Phishing-Angriffe, bei der die Hacker den Angriff auf bestimmte Personen und Organisationen zuschneiden. Sie sammeln Informationen über ihre Ziele, um die Phishing-Nachrichten zu personalisieren, sie überzeugender zu machen und die Erfolgswahrscheinlichkeit zu erhöhen.
Diebstahl von Zugangsdaten
Cyberangreifer können sich auf betrügerische Weise die Anmeldedaten des Opfers verschaffen, wie z. B. Benutzernamen und Kennwörter. Sie setzen verschiedene Methoden ein, um diese Informationen zu stehlen, darunter Malware, Keylogger und Phishing-Angriffe. Einmal gestohlen, können sie verwendet werden, um unbefugten Zugriff auf Benutzerkonten, sensible Daten oder sogar privilegierte Systeme innerhalb eines Unternehmens zu erhalten.
Credential Stuffing
Credential Stuffing ist ein Cyberangriff, bei dem Cyberkriminelle gestohlene Benutzernamen und Kennwörter aus einer Quelle verwenden, um sich unbefugten Zugang zu anderen Konten zu verschaffen. Sie machen sich die gängige Praxis zunutze, dass Personen Passwörter über mehrere Plattformen hinweg wiederverwenden.
Man-in-the-Middle-Angriffe (MitM)
Im Zusammenhang mit identitätsbasierten Angriffen zielen MitM-Angriffe darauf ab, sensible Informationen wie Anmeldeinformationen oder Finanzdaten abzufangen, die zwischen dem Opfer und einer vertrauenswürdigen Einrichtung ausgetauscht werden. Die Angreifer nutzen Schwachstellen im Kommunikationskanal oder in der Netzwerkinfrastruktur aus.
Passwort-Spraying
Hierbei handelt es sich um einen Brute-Force-Angriff, der von Cyberkriminellen eingesetzt wird, um sich unbefugten Zugang zu mehreren Konten zu verschaffen. Im Gegensatz zu herkömmlichen Passwortangriffen, die sich auf ein einziges Benutzerkonto konzentrieren, werden beim Password-Spraying schwache oder häufig verwendete Passwörter für viele Konten ausgenutzt.
Wie kann man sich vor identitätsbasierten Angriffen schützen?
Um sich vor diesen identitätsbasierten Angriffen zu schützen, sollten Einzelpersonen und Unternehmen solide Sicherheitspraktiken anwenden.
Verwenden Sie starke und eindeutige Passwörter
Einfache Passwörter sind leicht zu knacken und bieten Cyberangreifern einen bequemen Einstieg in die Sicherheitsmechanismen eines Unternehmens. Aus diesem Grund ist es wichtig, komplexe und eindeutige Passwörter zu verwenden, die eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
Einsatz von E-Mail-Filterprotokollen
Richten Sie effektive E-Mail- und Online-Filtersysteme ein, um Phishing-E-Mails, schädliche Links und verdächtige Websites zu erkennen und zu blockieren. Diese Filter können die Benutzer vor Social-Engineering-Angriffen und schädlichen Websites schützen. Unsere Red Sift Digital Resilience Platform geht beispielsweise über eine verbesserte Erkennung hinaus und gibt Ihnen die Werkzeuge an die Hand, um Phishing zu unterbinden und die Einhaltung der laufenden E-Mail- und Web-Sicherheitsprotokolle zu gewährleisten.
Implementieren Sie Multi-Faktor-Authentifizierung (MFA)
Da identitätsbasierte Angriffe immer raffinierter werden, kann das Hinzufügen einer zusätzlichen Schutzebene zu Ihrer digitalen Infrastruktur einen entscheidenden Beitrag zur Gewährleistung einer robusten Sicherheitslage leisten. So kann beispielsweise die Aktivierung von MFA das Risiko eines unbefugten Zugriffs verringern, indem Benutzer aufgefordert werden, neben Passwörtern zusätzliche Authentifizierungsfaktoren wie Fingerabdruck, Token oder SMS-Verifizierungscode anzugeben.
Wie Red Sift helfen kann, identitätsbasierte Angriffe zu verhindern
Der Schutz vor identitätsbasierten Angriffen ist in der heutigen digitalen Landschaft, in der sich die Cyber-Bedrohungen ständig weiterentwickeln und immer raffinierter werden, von entscheidender Bedeutung. Durch die Implementierung solider Sicherheitspraktiken können Einzelpersonen und Unternehmen das Risiko, Opfer dieser bösartigen Angriffe zu werden, erheblich verringern.
Möchten Sie Ihre Sicherheitslage verbessern und sich gegen eine sich ständig weiterentwickelnde Bedrohungslandschaft schützen? Die Digital Resilience Platform von Red Sift behebt die wichtigsten Schwachstellen in den Bereichen E-Mail, Domänen und Netzwerkperimeter.
Source: Red Sift-Blog
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Julian Wulff, Director Cyber Security Central Europe at Red Sift