Thought Leadership
Eine aktuelle Untersuchung von Barracuda Networks zeigt, wie schnell sich ein einzelner Phishing-Vorfall zu einer schwerwiegenden Sicherheitsverletzung entwickeln kann.
In einer kontrollierten Angriffssimulation gelang es einem Red-Team, innerhalb weniger Minuten Zugangsdaten zu stehlen, Sicherheitsmechanismen zu umgehen und einen dauerhaften Zugriff auf Systeme einzurichten.
Vom E-Mail-Link zur vollständigen Kompromittierung
Wie Barracuda berichtet, begann die Simulation mit einer täuschend echt wirkenden E-Mail, die mithilfe generativer KI erstellt wurde. Der Empfänger öffnete die Nachricht und folgte einem Link zu einer gefälschten Microsoft-Anmeldeseite. Bereits nach kurzer Zeit wurden Benutzername und Passwort eingegeben.
Selbst die anschließende Multi-Faktor-Authentifizierung konnte den Angriff nicht stoppen. Die Täter fingen zusätzlich Sitzungsinformationen und Authentifizierungs-Cookies ab. Damit war der Zugriff auf das Benutzerkonto möglich, ohne erneut eine Anmeldung durchführen zu müssen.
Zugriff auf Postfach und Cloud-Dienste
Nach der erfolgreichen Übernahme des Kontos konnten die Angreifer E-Mails lesen, Nachrichten im Namen des Opfers versenden und auf weitere Dienste wie SharePoint oder OneDrive zugreifen. Zusätzlich richteten sie Regeln im Posteingang ein, um ihre Aktivitäten zu verschleiern.
Auch die Freigabe schädlicher OAuth-Anwendungen gehörte zum Szenario. Dadurch blieb der Zugriff selbst dann bestehen, wenn die ursprüngliche Sitzung bereits beendet worden wäre.
Schadcode durch vermeintliche Verifizierung
Im weiteren Verlauf kam eine Methode zum Einsatz, die als ClickFix-Betrug bekannt ist. Dabei wurde das Opfer aufgefordert, einen zusätzlichen Verifizierungsschritt auszuführen. Durch das Einfügen eines Codes wurde unbemerkt ein schädliches Skript aktiviert, das den Angreifern einen ersten Zugang zum Endgerät verschaffte.
Nach Angaben von Barracuda war damit bereits innerhalb von fünf Minuten ein dauerhafter Zugriff erreicht. Von diesem Punkt aus könnten Angreifer ihre Rechte weiter ausbauen, Daten entwenden oder Schadsoftware nachladen.
Jesus Cordero-Guzman, Director Solution Architects AppSec, NetSec & XDR EMEA im Office of the CTO bei Barracuda, warnt davor, sich ausschließlich auf die Multi-Faktor-Authentifizierung zu verlassen. Moderne Angriffe zielten zunehmend auf Browser-Sitzungen und Authentifizierungs-Tokens ab. Unternehmen müssten deshalb davon ausgehen, dass einzelne Phishing-Nachrichten trotz Schutzmaßnahmen Nutzer erreichen können.
Entscheidend sei ein mehrschichtiger Sicherheitsansatz, der verdächtige Aktivitäten früh erkennt und kompromittierte Konten schnell isoliert.
KI-gestützte E-Mail-Angriffe benötigen nur fünf Minuten bis zu einer persistenten Kompromittierung (Copyright: Barracuda Networks)
Mehrere Schutzebenen notwendig
Aus den Ergebnissen der Simulation leitet Barracuda mehrere Maßnahmen ab, um die Risiken zu reduzieren. Dazu zählen phishingresistente Authentifizierungsverfahren, etwa über Sicherheitsschlüssel, sowie moderne E-Mail-Schutzsysteme mit Echtzeiterkennung.
Ebenso wichtig seien Verfahren zur E-Mail-Authentifizierung wie DMARC, regelmäßige Sensibilisierung der Mitarbeitenden für neue Social-Engineering-Methoden und die Einschränkung besonders risikobehafteter Werkzeuge.
Darüber hinaus sollten Sicherheitsteams ungewöhnliche Anmeldemuster und auffälliges Verhalten nach einer erfolgreichen Anmeldung überwachen. Neue Posteingangsregeln, geplante Aufgaben oder verdächtige Gerätezugriffe können Hinweise darauf sein, dass sich Angreifer bereits dauerhaft im System festgesetzt haben.
Moderne Phishing-Angriffe werden immer schneller und professioneller. Durch den Einsatz von KI lassen sich täuschend echte Nachrichten in großem Umfang erzeugen. Die Zeitspanne zwischen dem ersten Klick und einer vollständigen Kompromittierung schrumpft dadurch auf wenige Minuten.
Für Unternehmen bedeutet dies, dass einzelne Schutzmaßnahmen nicht mehr ausreichen. Gefragt sind Sicherheitskonzepte, die den gesamten Lebenszyklus eines Angriffs berücksichtigen und auch nach einer erfolgreichen Erstinfektion weitere Eskalationsstufen verhindern können.
(red/Barracuda)
