[Video] “Bin beim Phishing”: Wie Angreifer in Unternehmensnetzwerke eindringen und wie man sie schnell fängt
Lindas Experiment
In der neuesten Episode unserer Dokumentarreihe “Adventures in Cyberland” nimmt Linda Liukas, bekannte Autorin von Kinderbüchern und TEDx-Sprecherin, an einem interessanten Experiment teil. Sie stimmt etwas zu, das andere Leute niemals erlauben würden – sie erlaubt unseren Cyber Security Experten sie zu hacken.
Angreifer nutzen Vertrauen, um Zugang zum Ziel zu bekommen
Sollte man sich selbst Sorgen um Hacking machen? Für normale Bürger ist es wirklich nicht besonders wahrscheinlich, dass sie Ziel einer fortschrittlichen Cyberattacke werden. Aber bei Angestellten, die Zugriff zu den wichtigen Informationen und Systemen eines Unternehmens haben, kann das eine sehr reale Gefahr sein. Im Fall von Linda könnte das Zeil des Angreifers sein, Zugang zum wertvollen Netzwerk der mit ihr zusammenarbeitenden Firmen zu bekommen.
Heutzutage ist eine der besten Methoden für jeden Angreifer das so genannte Social Engineering, das Ausnutzen der menschlichen Psyche. Um an die wertvollen Assets der Firmen zu kommen, ist die Aufklärungsphase sehr wichtig. Zusätzlich zum Data Mining aller verfügbaren Onlinedaten und Recherche auf Social Media, kann es durchaus sein, dass der Angreifer versucht, sich vor Ort Zutritt zu verschaffen oder sogar im Müll des Unternehmens nach Materialien sucht, um Zugang zum Ziel zu bekommen.
In Lindas Fall wäre ein gut geeigneter Angriffsweg, sich Zugang zu Lindas E-Mail- oder Social-Media-Accounts zu verschaffen – zum Beispiel durch Phishing-Mails. Spear-Phishing E-Mails sind immer so angelegt, dass sie so aussehen, als kämen sie von jemandem, dem das Ziel vertraut. Sie sind so gestaltet, dass das Ziel dazu verleitet wird, einen schädlichen Link zu klicken und dann sensible Daten wie Passwörter einzugeben. Mit dem Zugang zu Lindas Accounts könnten die Angreifer das Vertrauen ausnutzen, das Linda in ihrem Netzwerk genießt, ein Malware-Payload verschicken und so Zugang zum Zielunternehmen erlangen.
Ist schon das Klicken auf eine Phishing E-Mail ein Fehler?
Die meisten Angriffe sind das Resultat von einfachen menschlichen Fehlern. Für eine gut informierte Person kann es durchaus möglich sein, Angriffen durch besondere Wachsamkeit eine Zeitlang zu entgehen. Bei Unternehmen ist das Problem, dass der Fehler eines einzelnen Mitarbeiters schon Folgen haben kann. Die Angreifer wiederum haben eine endlose Zahl Versuche und die Zeit auf ihrer Seite. Wenn sie genügend Zeit und Durchhaltevermögen haben, kommen sie irgendwann rein.
Eigentlich ist es nicht mal fair, hier von menschlichen Fehlern zu sprechen. E-Mails sind doch schließlich dafür da, geöffnet und gelesen zu werden, oder etwa nicht? Der korrekte Weg, das Problem anzugehen, ist andere Kontrollen im Arsenal zu haben. Wenn Sie ein Unternehmen schützen müssen, sollten Sie sich niemals darauf verlassen, dass Ihre Angestellten Schad-E-Mails nicht öffnen.
Eine gezielte Attacke kann monatelang unentdeckt bleiben
Ein Angreifer, der sich durch Social Engineering Zugang verschafft hat, ist sehr schwer zu erkennen. Im Normalfall schafft es ein Unternehmen nicht, eine gut geplante Attacke schnell zu erkennen. Die Angreifer verlassen sich dabei auf das Fehlen von ganzheitlicher Sichtweise innerhalb der IT-Infrastrukturen der Unternehmen, um ihre Bewegungen zu verstecken. Je länger ein Angreifer unentdeckt bleibt, desto größer wird der finanzielle Verlust und der Schaden an Marke und Ruf des angegriffenen Unternehmens.
Der einzige funktionierende Weg, Ihr Unternehmen gegen gezielte Attacken zu schützen, ist die Kombination aus Smarter Software und den besten menschlichen Talenten. Wirkungsvolle Erkennungs- und Reaktionslösungen sind die beste Art sicherzustellen, dass Ihr Unternehmen gut auf Angriffe vorbereitet ist.
Wurde Linda gehackt?
Also, was war denn nun das Ergebnis des Hacking Experiments mit Linda und welche Taktiken wurden genutzt? Das sehen Sie in unserer zweiten Episode von “Adventures in Cyberland”.
Haben Sie die erste Episode verpasst? Sie finden sie hier.
Linda Liukas ist Programmiererin, Autorin von Kinderbüchern und TED-Sprecherin. Sie versteht es meisterhaft, komplexe Zusammenhänge in einfach zu verstehende, spaßige und farbige Form zu bringen. Oft klingt Cyber Security wie Geschlechtskundeunterricht: voller Panikmache oder langweilig und nicht praktikabel. In dieser F-Secure Serie wird Linda die Gefahrenlandschaft erkunden, wie Angreifer operieren, wie künstliche Intelligenz in der Cyber Security genutzt wird und sich anschauen, wie man am besten Attacken erkennt und verhindert – all das mit der Hilfe der größten Talente in der Industrie.
Kategorien