Zweistufige Phishing-Angriffe werden nicht verschwinden
Update, 19. November 2024: Diese Geschichte, die ursprünglich am 17. November veröffentlicht wurde, enthält nun neue Berichte über andere Taktiken, die von Bedrohungsakteuren zunehmend bei Phishing-Cyberangriffen eingesetzt werden.
So wie Sicherheitsexperten Ihnen sagen werden, dass mehrschichtige Verteidigungsstrategien die besten sind, wenn es darum geht, erfolgreiche Angriffe abzuwehren, so werden Angreifer bei der Ausführung ihrer Cyber-Angriffe oft auf genau das Gleiche achten. Zweistufige Phishing-Angriffe sind nach den Worten von Sicherheitsforschern von Perception Point „zu einem Eckpfeiler der modernen Cyberkriminalität geworden“ und nutzen vertrauenswürdige Plattformen, „um bösartige Inhalte in Schichten bereitzustellen und so einer Erkennung zu entgehen“. Alles ändert sich, aber alles bleibt gleich. Dieselben Forscher haben vor einer neuen Angriffsmethode gewarnt, die solche 2SP-Taktiken nutzt, aber Microsoft Visio-Dateien als neue Umgehungstaktik einbezieht. Hier erfahren Sie, worauf Sie achten müssen und welche Maßnahmen Sie ergreifen können, um das Risiko zu verringern, Opfer dieser neuen 2SP-Cyberangriffe zu werden, und warum Sie bei Aufforderung nicht die Strg-Taste gedrückt halten sollten.
Zweistufige Cyber-Angriffe sind der Höhepunkt von Phishing by Design
Eine neue Analyse von Peleg Cabra, dem Produktmarketingmanager bei Perception Point, hat enthüllt, wie der Sicherheitsforscher Ariel Davidpur Als wir für den Anbieter arbeiteten, stellten wir fest, dass sich immer mehr Bedrohungsakteure an sie wandten die Verwendung von Microsoft Visio-Dateien im .vsdx-Format, um einer Erkennung zu entgehen bei Cyberangriffen, die Zugangsdaten stehlen.
Da Visio ein am Arbeitsplatz häufig verwendetes Tool zur Visualisierung komplexer Daten oder Arbeitsabläufe ist, passt die Verwendung von Dateien im .vsdx-Format gut zur Strategie der Bedrohungsakteure der „harmlosen Vertrautheit“, die im Mittelpunkt vieler Phishing-Angriffe steht. Nun, so die Forscher von Perception Point, werden genau dieselben Dateien als Waffe für die Übermittlung bösartiger URLs im Rahmen eines zweistufigen Phishing-Angriffsszenarios eingesetzt: Den Köder fallen lassen und die Falle stellen.
Die Sicherheitsforscher beschrieben, was sie als „dramatischen Anstieg zweistufiger Phishing-Angriffe unter Nutzung von .vsdx-Dateien“ bezeichneten, und erklärten, dass die Cyber-Angriffe „a Ausgeklügelte zweistufige Phishing-Taktikendie Hunderte von Organisationen weltweit mit einer neuen Täuschungsebene ins Visier nimmt, die darauf abzielt, der Entdeckung zu entgehen und das Vertrauen der Benutzer auszunutzen.“
Entwicklung der zweistufigen Phishing-Cyberangriffe
Wenn eine solche Warnung notwendig wäre, dann hier: Die Sicherheit von E-Mail-Konten ist von entscheidender Bedeutung, wenn Cyberangriffe wie diese neuesten zweistufigen Phishing-Angriffe gestoppt werden sollen. Warum so? Denn, so die Forscher, sie begannen damit, dass Bedrohungsakteure gehackte E-Mail-Konten ausnutzten, um E-Mails zu versenden, die grundlegende Authentifizierungsprüfungen bestehen, da sie von echten Domänen stammten.
Diese E-Mails enthalten eine übliche Phishing-Komponente, die den Empfänger in die Falle locken soll: ein Geschäftsangebot oder eine Bestellung, begleitet von einer dringenden Aufforderung zur Ansicht und Beantwortung. Wenn das Opfer genau das tut und auf die URL klickt, wird es natürlich zur Falle selbst geführt: einer oft kompromittierten Microsoft SharePoint-Seite selbst, aber egal, auf welcher Seite eine .vsdx-Viso-Datei gehostet wird. An diesem Punkt beginnen sich die Schichten des Cyberangriffs zu entfalten, da eine weitere URL in diese Datei eingebettet ist und sich hinter einem befindet, den die Forscher als anklickbaren Call-to-Action beschrieben haben, meist einer Schaltfläche „Dokument anzeigen“.
Bitte halten Sie die Strg-Taste gedrückt. Dies ist eine Anweisung zu diesen neu aufgedeckten 2SP-Cyberangriffen
Hier werden diese 2SP-Cyberangriffe wirklich clever, obwohl ich es hasse, dieses Wort auf Cyberkriminelle zu übertragen. „Um auf die eingebettete URL zuzugreifen, werden Opfer angewiesen, die Strg-Taste gedrückt zu halten und zu klicken“, sagten die Forscher von Perception Point, „eine subtile, aber äußerst effektive Aktion, die darauf ausgelegt ist, E-Mail-Sicherheitsscanner und automatisierte Erkennungstools zu umgehen.“ Durch die Anforderung dieser menschlichen Interaktion hoffen die Angreifer, automatisierte Systeme zu umgehen, die ein solches Verhalten bei einem Angriff nicht erwarten.
Das Opfer wird nun auf eine weitere gefälschte Seite weitergeleitet, dieses Mal auf eine, die in jeder Hinsicht wie eine Microsoft 365-Portal-Anmeldeseite aussieht, die natürlich darauf ausgelegt ist, Benutzeranmeldeinformationen zu stehlen. Im Perception Point-Bericht wird dieser Schritt nicht erwähnt, einschließlich a Kompromittierung von Sitzungscookies Dies bedeutet, dass eine Möglichkeit, den Erfolg zu verhindern, darin besteht, eine robuste Zwei-Faktor-Authentifizierung für das Konto einzurichten, auf das solche Cyberangriffe abzielen.
Skalierbare Vektorgrafiken werden bei neuen Cyber-Angriffen eingesetzt – so geht's
Einem neuen Bericht von Lawrence Abrams, dem Chefredakteur von Bleeping Computer, zufolge nutzen Bedrohungsakteure zunehmend eine weitere clevere Taktik, nämlich die Verwendung skalierbarer Vektorgrafiken als Anhänge bei der Durchführung von Phishing-Cyberangriffen. Diese Technik dient dazu, dem Opfer entweder bösartige Formen anzuzeigen oder Malware direkt einzusetzen, wobei beides der Erkennung durch Sicherheitssoftware entgeht. Die Taktik beruht auf der Tatsache, dass skalierbare Vektorgrafiken im Gegensatz zu pixelkonstruierten Bildern mithilfe einer mathematischen Formel erstellt werden, die angibt, wie Linien, Formen und Text auf dem Bildschirm angezeigt werden sollen. Der Sicherheitsforscher MalwareHunterTeam sagte gegenüber Bleeping Computer wie Bedrohungsakteure die Tatsache ausnutzen, dass SVG-Anhänge HTML anzeigen und JavaScript ausführen können, wenn das Bild selbst geladen wird. Der Clou daran ist, dass diese zur Erstellung von Formularen zum Diebstahl von Anmeldeinformationen verwendet werden. Abrams demonstrierte, wie eine solche Technik eine Excel-Tabelle anzeigen könnte, die ein eingebettetes Anmeldeformular enthält, um Anmeldeinformationen an den Bedrohungsakteur zu senden, der die Cyberangriffe ausführt. Es wurde jedoch festgestellt, dass andere Cyberangriffe in den SVG-Anhängen eingebettetes JavaScript verwenden, um Browser beim Öffnen des Bildes selbst auf Websites umzuleiten, die von den Bedrohungsakteuren gehostet werden.
Eindämmung von Cyber-Angriffen auf SVG-Anhänge
„Das Problem besteht darin, dass es sich bei diesen Dateien meist nur um Textdarstellungen von Bildern handelt“, sagte Abrams, „sie von Sicherheitssoftware nicht so oft erkannt werden.“ Das bedeutet, dass die letzte Verteidigungslinie dieselbe ist wie die erste: Sie, der Mensch. Fragen Sie sich, warum Sie überhaupt einen Anhang im skalierbaren Vektorgrafikformat erhalten, wenn diese in Ihrem Arbeitsablauf nicht alltäglich sind. Wenn Sie ein Entwickler oder jemand anderes sind, der es gewohnt ist, SVG-Anhänge zu sehen, dann fragen Sie sich, wer sie sendet und ob dies für sie normales Verhalten ist. Behandeln Sie alle E-Mails, die einen SVG-Anhang enthalten, als verdächtig. Auf diese Weise können Sie sich und Ihr Unternehmen davor bewahren, Opfer dieser Phishing-Cyberangriffe zu werden.
Bekämpfung von Cyberangriffen während der International Fraud Week 2024
Internationale Betrugswoche findet dieses Jahr vom 17. bis 23. November statt und hat das Ziel, das Bewusstsein und die Aufklärung über Betrugsbekämpfung weltweit zu fördern. Es besteht kein Zweifel daran, dass Technologie sowohl eine mächtige Waffe darstellt als auch das Potenzial hat, Betrug einzudämmen, der oft die ultimative Nutzlast vieler Cyber-Angriffe darstellt. Vor diesem Hintergrund gibt es keinen besseren Zeitpunkt, die neuen Formen des Betrugs, mit denen Unternehmen konfrontiert sind, von der Cyber-Seite des Bedrohungszauns aus zu untersuchen. Die Anweisung, während des oben beschriebenen zweistufigen Phishing-Angriffs beim Klicken auf einen Link die Strg-Taste gedrückt zu halten, ist ein solches Beispiel, aber es gibt noch viele weitere.
Wie Muhammad Yahya Patel, leitender Sicherheitsingenieur bei Check Point Software, betonte, hat die Weiterentwicklung der Technologie sowohl legitimen Branchen als auch Cyberkriminellen mehr Macht verliehen, was die Betrugsprävention gleichzeitig wichtiger und komplexer macht. „Von Cyberbetrug und internem Betrug bis hin zu immer ausgefeilteren Betrügereien wie CEO-Betrug und KI-gesteuerte Systeme„“, sagte Patel, „die Landschaft des Geschäftsbetrugs ist vielfältig und entwickelt sich weiter.“
Während sich der Verlauf des Cyberbetrugs zweifellos parallel zu den technologischen Fortschritten weiterentwickelt hat, könnten manche sogar sagen, dass er die technologische Trendlinie überholt hat, ist es für die Abwehr ihrer Auswirkungen von entscheidender Bedeutung, die wichtigsten Betrugskategorien und die häufigsten Cyberangriffe zu kennen .
Patel schlägt vor, dass die folgenden sechs Kategorien auf Ihrer Sensibilisierungsliste stehen sollten:
- Cyberbetrug: Der Einsatz von Phishing, Malware und Ransomware ist nach wie vor weit verbreitet. Cyberkriminelle haben es auf sensible Daten abgesehen und stören den Geschäftsbetrieb.
- Interner Betrug: Interner Betrug stellt eine erhebliche Bedrohung von innen dar und beinhaltet betrügerische Handlungen von Mitarbeitern, einschließlich Dokumentenfälschung, Unterschlagung und Diebstahl.
- Rechnungsbetrug: Betrüger senden gefälschte Rechnungen an Unternehmen in der Hoffnung, dass diese ohne Prüfung bearbeitet werden.
- CEO-Betrug: Wird oft als Business Email Compromise (BEC) bezeichnet. Betrüger geben sich als hochrangige Führungskräfte aus, um Mitarbeiter dazu zu bringen, Gelder zu überweisen oder die Weitergabe vertraulicher Informationen
- Rückgabebetrug: Besonders häufig kommt es im Einzelhandel zu Rückgabebetrug, wenn Kunden Rückgaberichtlinien ausnutzen, um sich einen finanziellen Vorteil zu verschaffen.
- Betrug bei der Lohn- und Gehaltsabrechnung: Wenn Mitarbeiter Lohn- und Gehaltsabrechnungssysteme zum persönlichen Vorteil manipulieren, kann dies zu unerwarteten finanziellen Verlusten führen.
Eine Abkehr von generischen hin zu gezielten Cyber-Angriffen
Ransomware ist ein hervorragendes Beispiel dafür, wie sich eine Bedrohung im Laufe der Zeit entwickelt und dadurch viel gefährlicher wird. Ransomware begann als eine völlig ungezielte Art von Cyber-Angriff, der bei der Verbreitung von Schadsoftware einen ziellosen Ansatz verfolgte. Durch den Versand möglichst vieler „infizierter“ E-Mails an ein möglichst breites Publikum, unabhängig von der Zahlungsfähigkeit oder dem Wert der gespeicherten Daten, hofften die Bedrohungsakteure, dass genügend Opfer beißen würden, um daraus Gewinn zu machen. Es war fast zwangsläufig, dass die Angreifer, die das meiste Geld verdienten, diejenigen waren, die erkannten, dass die strategische Ausrichtung auf diejenigen mit den meisten Verlusten und den größten Bankguthaben an die Spitze gelangte. Dies führte letztendlich dazu, dass sich die gesamte Ransomware-Landschaft dahingehend veränderte, dass ausgefeilte Aufklärungsmethoden, das Eindringen in Systeme über längere Zeiträume und das Extrahieren sensibler Daten, um sie gegen Einzelpersonen oder Unternehmen in doppelten Erpressungsplänen auszunutzen, zur Norm wurden. „Dieser erhöhte Grad an Personalisierung macht es schwieriger zu erkennen und ist oft verheerender“, sagte Patel. „Da Cyberbetrug immer ausgefeilter wird, müssen sich unsere Abwehrmaßnahmen entsprechend weiterentwickeln.“ Da KI die Reichweite und Auswirkungen von Betrug erhöht, müssen Unternehmen eine ebenso dynamische Sicherheit einführen und KI-gestützte Lösungen nutzen, um Angreifern einen Schritt voraus zu sein und sie auszutricksen.“ Es lässt sich kaum argumentieren, dass der Aufbau einer robusten Abwehr gegen Cyberangriffe nicht nur Betrug verhindert, sondern, wie Patel abschließend, „eine sicherere und vertrauenswürdigere Umgebung für alle fördert“.
