Die Risiken menschlicher Fehler: Wie gut ist Ihr Unternehmen vor Phishing-Angriffen der nächsten Generation geschützt?

Eine Reihe von Phishing-Angriffen, die sich in jüngster Zeit gegen namhafte Unternehmen wie Cisco, Twilio und Uber richteten, hat jedoch die Aufmerksamkeit auf eine erschreckende Tatsache gelenkt:

• Phishing-Angreifer wenden ausgefeiltere Methoden als je zuvor an, darunter KI-Nachrichten und E-Mails, um ihre Angriffe noch realistischer wirken zu lassen.
• Als Übertragungsweg für Malware und Ransomware stellt Phishing für jedes Unternehmen ein extremes Risiko dar.
• Selbst bei strengsten Sicherheitsstandards ist kein Unternehmen vollständig vor dem Risiko menschlicher Fehler geschützt, auf das Phishing setzt.
• Moderne Phishing-Angreifer nutzen menschliche Schwächen aus, um selbst fortschrittliche Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) zu umgehen.
• Schlechte Gewohnheiten und mangelndes Bewusstsein seitens der Mitarbeiter schaffen die idealen Voraussetzungen für einen Phishing-Angriff der nächsten Stufe.

Tut Ihr Unternehmen alles, was nötig ist, um seine sensiblen Daten zu schützen und zu verhindern, dass es das nächste Opfer eines Phishing-Angriffs wird? Verfügen Sie über die richtigen Schulungen und Technologien? Führen Sie aktiv Phishing-Risikobewertungen durch, um potenzielle Bedrohungen zu identifizieren? Und selbst wenn ja: Sind Sie wirklich sicher? In diesem Artikel beleuchten wir die Gefahren von Phishing – und zeigen auf, wie Sie das Risiko menschlicher Fehler minimieren können, um die Sicherheit Ihrer internen Systeme zu erhöhen.
 

Der Einsatz wird höher: Phishing der nächsten Generation
Seitdem das Phishing Ende der 1990er Jahre erstmals für Aufsehen sorgte, haben wir einen langen Weg zurückgelegt. Damals kontaktierten Hacker ihre Opfer in der Regel per E-Mail, gaben sich als vertrauenswürdiges Unternehmen aus und fragten nach sensiblen Informationen wie Anmeldedaten oder Kreditkartendaten. Während diese Angriffe für die betroffenen Opfer verheerende Folgen hatten, haben es die ausgeklügelten Phishing-Angreifer von heute auf etwas viel Größeres abgesehen: die riesigen Mengen sensibler Kundendaten, über die Unternehmen verfügen.

Der Hackerangriff auf Twilio im Jahr 2022 ist ein klassisches Beispiel dafür. Cyberkriminelle verschickten SMS an Twilio-Mitarbeiter, gaben sich als die IT-Abteilung des Unternehmens aus und forderten diese auf, ihre Passwörter zu ändern. Sie leiteten die Mitarbeiter auf eine gefälschte Version der Anmeldeseite des Unternehmens weiter, wo sie die Zugangsdaten der Mitarbeiter abgriffen und schließlich Zugriff auf die Daten von 125 Twilio-Kunden erlangten.
 

Der Anstieg von MFA-Fatigue -Angriffen
Eine zunehmend verbreitete Form des Phishing ist der MFA-Fatigue-Angriff (auch als „MFA-Bombing“ bekannt). Bei dieser Taktik verschaffen sich Angreifer auf illegale Weise die Zugangsdaten eines Opfers (beispielsweise durch den Kauf im Darkweb). Sie nutzen diese Zugangsdaten, um mehrere MFA-Anfragen auszulösen. Das Opfer fühlt sich durch die Flut von MFA-Benachrichtigungen verwirrt oder überfordert und genehmigt die Anfrage möglicherweise einfach, weil es glaubt, diese versehentlich selbst ausgelöst zu haben.

Da viele Menschen jedoch sofort misstrauisch werden, wenn sie eine Reihe unaufgeforderter MFA-Anfragen erhalten, weigern sie sich möglicherweise, sich zu authentifizieren. Da die Angreifer dies wissen, inszenieren sie mithilfe von Social Engineering ein Szenario, in dem die MFA-Anfrage legitim erscheint. Beispielsweise rufen sie das Opfer an oder senden ihm eine E-Mail, wobei sie sich als vertrauenswürdige Partei, wie etwa die IT-Abteilung eines Unternehmens, ausgeben, und ihm mitteilen, dass es im Rahmen eines routinemäßigen Sicherheitsverfahrens seine Identität bestätigen muss. Indem der Angreifer das Vertrauen des Opfers ausnutzt, erreicht er die Authentifizierung und verschafft sich Zugriff auf geschützte Systeme.
 

MFA-Müdigkeit in der Praxis
Die Täter hinter dem Cisco-Angriff im Jahr 2022 hatten die Zugangsdaten des Opfers für dessen Google-Konto erbeutet, in dem auch die synchronisierten Zugangsdaten für dessen berufliche Konten gespeichert waren. Die Angreifer lösten MFA-Anfragen aus und riefen das Opfer anschließend telefonisch an, wobei sie sich als vertrauenswürdige Organisation ausgaben. Am Telefon überzeugten sie den Mitarbeiter, einer MFA-Anfrage zuzustimmen, und verschafften sich so Zugang zu den internen Systemen von Cisco, wo sie Malware einschleusten und mehrere Server kompromittierten.

Bei einem ähnlichen Vorfall im Jahr 2022 fiel Uber einem MFA-Fatigue-Angriff der berüchtigten Hackergruppe Lapsus$ zum Opfer. Die Hacker hatten die VPN-Zugangsdaten eines für Uber tätigen externen Auftragnehmers in die Hände bekommen (wahrscheinlich im Darkweb erworben) und nutzten diese, um MFA-Anfragen auszulösen. Als der Auftragnehmer die Anfragen zunächst ignorierte, kontaktierten die Hacker ihn über WhatsApp, gaben sich als Uber-Support aus und wiesen ihn an, sich zu authentifizieren. In kürzester Zeit hatten die Hacker Zugriff auf mehrere interne Systeme und erlangten schließlich erweiterte Berechtigungen für Tools wie G-Suite und Slack.
 

Bekämpfung von Phishing-Angriffen durch Technologie und Schulungen
Phishing ist eine komplexe Herausforderung, die eine gemeinsame Anstrengung der IT- und Personalabteilungen Ihres Unternehmens erfordert, da sie an der Schnittstelle zwischen Technologie und menschlichem Verhalten stattfindet. CIOs/CISOs und Personalverantwortliche müssen einen ganzheitlichen Ansatz verfolgen, bei dem Menschen, Prozesse und Technologie aufeinander abgestimmt sind. Hier sind die Eckpfeiler für einen solchen Ansatz:

Schulungen zur Sensibilisierung für Sicherheitsfragen
Mitarbeiter benötigen kontinuierliche Schulungen zu den neuesten Phishing-Techniken und bewährten Vorgehensweisen, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren. Im Fall der MFA-Fatigue-Angriffe auf Uber und Cisco hätten die Unternehmen die Sicherheitsvorfälle beispielsweise verhindern können, wenn sie ihren Mitarbeitern und externen Partnern gezielt vermittelt hätten, wie man einen MFA-bezogenen Phishing-Versuch erkennt.

Phishing-resistente MFA-Verfahren
MFA-Verfahren der nächsten Generation wie die FIDO2/WebAuthn-Authentifizierung, QR-Codes und physische Token tragen dazu bei, die Angriffsfläche Ihres Unternehmens zu verringern. Indem der Benutzer eine Aktion ausführen muss, um seine Absicht zur Anmeldung zu bestätigen, wird zudem das Risiko von MFA-Fatigue-Angriffen verringert, bei denen der Benutzer eine Anfrage möglicherweise nur akzeptiert, um eine Flut von Push-Benachrichtigungen zu stoppen, die von einem Angreifer ausgelöst wurden.

Richtlinien für sichere Passwörter
Setzen Sie strenge Passwortrichtlinien durch, die inkrementelle Passwortänderungen (um jeweils ein Zeichen) verbieten und sichere, einzigartige Passwörter vorschreiben.

Phishing-Risikobewertungen
Arbeiten Sie mit einem spezialisierten Cybersicherheitspartner zusammen, um das Phishing-Risiko Ihres Unternehmens regelmäßig zu bewerten und simulierte Phishing-Angriffe durchzuführen. So können Sie Schwachstellen identifizieren und Sicherheitslücken beheben.

Zero-Trust-Framework
Implementieren Sie einen Zero-Trust-Ansatz, der bei jedem Schritt eine Überprüfung erfordert und so die Angriffsfläche minimiert.
Lassen Sie Phishing-Angreifern nicht die Oberhand gewinnen. Stellen Sie sicher, dass Ihre Mitarbeiter auf dem neuesten Stand sind, und schützen Sie Ihr Unternehmen.
 

Was den Schutz Ihres Unternehmens vor einem Phishing-Angriff ausmacht, erfahren Sie unter
. Der Schutz Ihres Unternehmens vor einem Phishing-Angriff hängt davon ab, inwieweit es Ihnen gelingt, das Bewusstsein zu schärfen, die richtigen Verhaltensweisen zu fördern und sichere Technologien einzuführen.

Unternehmen werden stets mit dem Risiko konfrontiert sein, dass eine kleine Minderheit der Mitarbeiter die Sicherheitsrichtlinien nicht einhält. Das bedeutet, dass es beim Schutz Ihres Unternehmens vor Phishing darum geht, Risiken zu minimieren, anstatt sie vollständig zu beseitigen. Dennoch: Mit einer fundierten Phishing-Risikobewertung und geeigneten Präventionsmaßnahmen ebnen Sie Ihrem Unternehmen den Weg in eine wesentlich sicherere Zukunft. Erfahren Sie, wie Getronics Services Sie beim Schutz Ihres Unternehmens unterstützen kann.