Anzeige

Voice Phishing

Eine hochprofessionell agierende Gruppe von Kriminellen entlockt Mitarbeitern, die von zu Hause arbeiten, Zugangsdaten zu den digitalen Netzwerken ihrer Arbeitgeber. Zum Einsatz kommt ein Mix aus verschiedenen Phishing-Strategien, darunter Voice Phishing (Vishing).

Im Fadenkreuz der Kriminellen stehen Unternehmen aus der Finanz-, Telekommunikations- und Social-Media-Branche. Die Hybrid-Phishing-Gang ist äußerst erfolgreich und bietet ihre illegalen Dienste gegen Geld im Internet an.

Wie ein typischer Angriff abläuft

Ein Homeoffice-Mitarbeiter des Zielunternehmens erhält eine Reihe von Anrufen. Die Kriminellen geben vor, sich aus der IT-Abteilung des Unternehmens zu melden und Probleme mit der VPN-Verbindung beheben zu müssen. Damit wollen sie den Mitarbeiter dazu bringen, seine Zugangsdaten am Telefon preiszugeben oder auf einer gefälschten Internetseite einzugeben, die dem E-Mail- oder VPN-Portal des Zielunternehmens täuschend ähnlich sieht. Die Adresse dieser Seite erinnert an den Namen des Unternehmens und beinhaltet zusätzlich Abkürzungen wie „vpn“, „ticket“ oder „portal“. Auf der Phishing-Seite können sogar funktionierende Links auf echte interne Online-Ressourcen integriert sein.

Die Angreifer konzentrieren sich vor allem auf neue Mitarbeiter und geben sich selbst als Neuzugänge der IT-Abteilung aus. Um glaubwürdiger zu wirken, erstellen sie sogar Profile auf LinkedIn und versuchen, sich darüber mit anderen Mitarbeitern des Zielunternehmens zu vernetzen. So entsteht der Eindruck, dass das gefälschte Profil tatsächlich zu einem echten Mitarbeiter im Unternehmen gehört.

Bei dieser Art von Angriff kommt es für die Täter auf Schnelligkeit an. Denn viele Unternehmen setzen für den VPN-Zugang auf Multi-Faktor-Authentifizierung. Zusätzlich zu Benutzername und Passwort ist also eine weitere Information notwendig, um sich einzuloggen. Und diese Information – zum Beispiel ein einmaliger Code, der von einer App generiert oder per SMS an den Mitarbeiter gesendet wird – ist oft nur für kurze Zeit gültig.

Diese Sicherheitsmaßnahme umgehen die Kriminellen, indem sie auf ihren Phishing-Seiten diesen zusätzlichen Faktor einfach mit abfragen. Sollten die Opfer ihre Log-in-Informationen gleich am Telefon preisgeben, loggen sich die Kriminellen in Echtzeit im VPN ein, bevor der Zusatzcode nicht mehr gültig ist.

Wer steckt dahinter?

Ziel der Angriffe ist der Zugriff auf so viele interne Tools wie möglich, um damit die Kontrolle über digitale Vermögenswerte zu erhalten, die schnell zu Geld gemacht werden können. Dazu zählen insbesondere Social-Media- und E-Mail-Konten, Kontodaten und digitale Währungen.

Hinter den Angriffen steht wohl eine Gruppe junger Männer, die über Jahre gelernt hat, Mitarbeiter von Mobilfunk- und Social-Media-Unternehmen mittels Social Engineering dazu zu bringen, ihnen Zugriff auf interne Tools zu gewähren. Ziel solcher Angriffe ist üblicherweise, begehrte Accounts im Dark Web zu verkaufen, manchmal für tausende Dollar. Mittlerweile zielen sie aber darauf, mit gekaperten Accounts ganz andere kriminelle Taten zu begehen. 

Wie können sich Unternehmen schützen?

Viele Firmen setzen mittlerweile auf Awareness-Maßnahmen, um ihre Mitarbeiter für Phishing und andere digitale Gefahren zu sensibilisieren. Im Rahmen des Social E-Mail Audits sendet 8com beispielsweise Test-Phishing-Mails an Mitarbeiter von Kundenunternehmen, um das aktuelle Sicherheitsniveau festzustellen und gegebenenfalls geeignete Maßnahmen zur Verbesserung vorzuschlagen.

Eine weitere Schwachstelle in VPNs sind die Methoden, die bei der Multi-Faktor-Authentifizierung zum Einsatz kommen. Am sichersten sind physische Sicherheitsschlüssel, die immun gegen Phishing-Angriffe sind. Häufig kommen dabei USB-Geräte zum Einsatz, die einfach in das betreffende Gerät gesteckt werden, um nach Eingabe von Nutzernamen und Passwort den Log-in-Prozess abzuschließen. Auch wenn sich ein Mitarbeiter über eine gefälschte Phishing-Seite im internen Netzwerk anmelden will, wird der Log-in dadurch verweigert. Anfang 2017 führte etwa Google diese Form der Multi-Faktor-Authentifizierung ein und hatte nach eigenen Angaben seitdem keine erfolgreichen Phishing-Angriffe mehr zu beklagen.

Auch wenn durch die Anschaffung solcher USB-Geräte Kosten für Unternehmen entstehen, sind sie eine sinnvolle Investition, solange viele Mitarbeiter von zu Hause oder unterwegs arbeiten.

www.8com.de


Artikel zu diesem Thema

Hacker Stop
Aug 21, 2020

So lassen sich erfolgreiche Cyberangriffe verhindern

Cyberangriffe auf Unternehmen sind zahlreich. Wie der Bericht des Kriminologischen…
Datensicherheit
Aug 06, 2020

Datensicherheit und Vertrauensinfrastruktur mit Remote-IT

Unternehmen jeder Größe, vom kleinsten Privatunternehmen bis zum größten öffentlichen…

Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.