Anzeige

Voice Phishing

Eine hochprofessionell agierende Gruppe von Kriminellen entlockt Mitarbeitern, die von zu Hause arbeiten, Zugangsdaten zu den digitalen Netzwerken ihrer Arbeitgeber. Zum Einsatz kommt ein Mix aus verschiedenen Phishing-Strategien, darunter Voice Phishing (Vishing).

Im Fadenkreuz der Kriminellen stehen Unternehmen aus der Finanz-, Telekommunikations- und Social-Media-Branche. Die Hybrid-Phishing-Gang ist äußerst erfolgreich und bietet ihre illegalen Dienste gegen Geld im Internet an.

Wie ein typischer Angriff abläuft

Ein Homeoffice-Mitarbeiter des Zielunternehmens erhält eine Reihe von Anrufen. Die Kriminellen geben vor, sich aus der IT-Abteilung des Unternehmens zu melden und Probleme mit der VPN-Verbindung beheben zu müssen. Damit wollen sie den Mitarbeiter dazu bringen, seine Zugangsdaten am Telefon preiszugeben oder auf einer gefälschten Internetseite einzugeben, die dem E-Mail- oder VPN-Portal des Zielunternehmens täuschend ähnlich sieht. Die Adresse dieser Seite erinnert an den Namen des Unternehmens und beinhaltet zusätzlich Abkürzungen wie „vpn“, „ticket“ oder „portal“. Auf der Phishing-Seite können sogar funktionierende Links auf echte interne Online-Ressourcen integriert sein.

Die Angreifer konzentrieren sich vor allem auf neue Mitarbeiter und geben sich selbst als Neuzugänge der IT-Abteilung aus. Um glaubwürdiger zu wirken, erstellen sie sogar Profile auf LinkedIn und versuchen, sich darüber mit anderen Mitarbeitern des Zielunternehmens zu vernetzen. So entsteht der Eindruck, dass das gefälschte Profil tatsächlich zu einem echten Mitarbeiter im Unternehmen gehört.

Bei dieser Art von Angriff kommt es für die Täter auf Schnelligkeit an. Denn viele Unternehmen setzen für den VPN-Zugang auf Multi-Faktor-Authentifizierung. Zusätzlich zu Benutzername und Passwort ist also eine weitere Information notwendig, um sich einzuloggen. Und diese Information – zum Beispiel ein einmaliger Code, der von einer App generiert oder per SMS an den Mitarbeiter gesendet wird – ist oft nur für kurze Zeit gültig.

Diese Sicherheitsmaßnahme umgehen die Kriminellen, indem sie auf ihren Phishing-Seiten diesen zusätzlichen Faktor einfach mit abfragen. Sollten die Opfer ihre Log-in-Informationen gleich am Telefon preisgeben, loggen sich die Kriminellen in Echtzeit im VPN ein, bevor der Zusatzcode nicht mehr gültig ist.

Wer steckt dahinter?

Ziel der Angriffe ist der Zugriff auf so viele interne Tools wie möglich, um damit die Kontrolle über digitale Vermögenswerte zu erhalten, die schnell zu Geld gemacht werden können. Dazu zählen insbesondere Social-Media- und E-Mail-Konten, Kontodaten und digitale Währungen.

Hinter den Angriffen steht wohl eine Gruppe junger Männer, die über Jahre gelernt hat, Mitarbeiter von Mobilfunk- und Social-Media-Unternehmen mittels Social Engineering dazu zu bringen, ihnen Zugriff auf interne Tools zu gewähren. Ziel solcher Angriffe ist üblicherweise, begehrte Accounts im Dark Web zu verkaufen, manchmal für tausende Dollar. Mittlerweile zielen sie aber darauf, mit gekaperten Accounts ganz andere kriminelle Taten zu begehen. 

Wie können sich Unternehmen schützen?

Viele Firmen setzen mittlerweile auf Awareness-Maßnahmen, um ihre Mitarbeiter für Phishing und andere digitale Gefahren zu sensibilisieren. Im Rahmen des Social E-Mail Audits sendet 8com beispielsweise Test-Phishing-Mails an Mitarbeiter von Kundenunternehmen, um das aktuelle Sicherheitsniveau festzustellen und gegebenenfalls geeignete Maßnahmen zur Verbesserung vorzuschlagen.

Eine weitere Schwachstelle in VPNs sind die Methoden, die bei der Multi-Faktor-Authentifizierung zum Einsatz kommen. Am sichersten sind physische Sicherheitsschlüssel, die immun gegen Phishing-Angriffe sind. Häufig kommen dabei USB-Geräte zum Einsatz, die einfach in das betreffende Gerät gesteckt werden, um nach Eingabe von Nutzernamen und Passwort den Log-in-Prozess abzuschließen. Auch wenn sich ein Mitarbeiter über eine gefälschte Phishing-Seite im internen Netzwerk anmelden will, wird der Log-in dadurch verweigert. Anfang 2017 führte etwa Google diese Form der Multi-Faktor-Authentifizierung ein und hatte nach eigenen Angaben seitdem keine erfolgreichen Phishing-Angriffe mehr zu beklagen.

Auch wenn durch die Anschaffung solcher USB-Geräte Kosten für Unternehmen entstehen, sind sie eine sinnvolle Investition, solange viele Mitarbeiter von zu Hause oder unterwegs arbeiten.

www.8com.de


Artikel zu diesem Thema

Hacker Stop
Aug 21, 2020

So lassen sich erfolgreiche Cyberangriffe verhindern

Cyberangriffe auf Unternehmen sind zahlreich. Wie der Bericht des Kriminologischen…
Datensicherheit
Aug 06, 2020

Datensicherheit und Vertrauensinfrastruktur mit Remote-IT

Unternehmen jeder Größe, vom kleinsten Privatunternehmen bis zum größten öffentlichen…

Weitere Artikel

Supply Chain

Attacken auf die Software-Supply-Chain haben sich verdreifacht

Aqua Security, ein Anbieter cloudnativer Security, gab heute die Ergebnisse der aktuellen Studie „Software Supply Chain Security Review“ über Angriffe auf Software-Supply-Chains bekannt. Die Experten konnten über einen Zeitraum von sechs Monaten feststellen,…
Bankkarten

Eine gehackte deutsche Zahlungskarte kostet 16 Euro im Dark Web

Eine neue Studie von NordVPN hat 31.000 deutsche Zahlungskarten analysiert, die im Dark Web verkauft werden. Laut dieser Untersuchung liegt der angebotene Durchschnittspreis einer deutschen Zahlungskarte bei 15 Euro und 79 Cent.
Spionage

DazzleSpy attackiert Besucher von pro-demokratischer Nachrichtenseite in Hongkong

Die Webseite des Radiosenders D100 in Hongkong wurde kompromittiert. Ein Safari-Exploit wird ausgeführt, der eine Spionagesoftware auf die Macs der Besucher des Nachrichtenportals installiert.
Mond Rot

MoonBounce: Gefährliches Rootkit schlummert in der Firmware

Sicherheitsforscher von Kaspersky haben ein kleines, aber gefährliches Rootkit gefunden, das vom Unified Extensible Firmware Interface (UEFI) eines Computers Malware nahezu ungestört verbreiten kann.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.