Ransomware-Angriffe auf Uber und Rockstar – ist MFA nicht ausreichend?

Tom Huckle, BlueVoyant[10]

Tom Huckle, Direktor für Informationssicherheit und Compliance EMEA bei BlueVoyant

Die jüngsten Cyberangriffe auf zwei große Unternehmen, Uber und Rockstar, hatten etwas gemeinsam: In beiden Fällen verschafften sich Hacker Zugang zu den internen Netzwerken der Unternehmen, indem sie Social Engineering einsetzten, um die Multi-Faktor-Authentifizierung (MFA) zu umgehen. Diese Vorfälle sind eine erneute Mahnung für Unternehmen, sich mit dieser Art von Angriffen zu befassen und zu überprüfen, wie sie sich gegen die komplexe Bedrohungslandschaft heutzutage behaupten können.

MFA kann Social Engineering oft nicht verhindern

Social-Engineering-Angriffe, die von kompetenten Cyberkriminellen durchgeführt werden, sind extrem schwer abzuwehren, da sie auf menschliches Verhalten abzielen und nicht versuchen, die technische Sicherheit zu umgehen. MFA erfordert, dass Benutzer zwei oder mehr Verifizierungsfaktoren angeben, um Zugang zu einem Konto oder einer Ressource zu erhalten, und ist eine anerkannte und sehr empfohlene Methode, um Sicherheitskontrollen zu kombinieren. Die jüngsten Angriffe auf Uber und Rockstar haben jedoch bewiesen, dass diese zusätzliche Sicherheitsebene auch bei vorhandener MFA umgangen werden kann.

Im Falle des Angriffs auf Uber ist hervorzuheben, dass das kompromittierte Konto offenbar einem externen Anbieter gehörte und Uber selbst davon ausgeht, dass das Passwort aus dem Dark Web abgegriffen und nicht, wie vom Angreifer behauptet, durch einen Social-Engineering-Angriff auf das Unternehmen erlangt wurde. Laut Uber war für dieses Konto die Multi-Faktor-Authentifizierung aktiviert, aber der Auftragnehmer akzeptierte eine der MFA-Push-Benachrichtigungen, und der Angreifer konnte sich anmelden. Die Details werden noch ermittelt, aber eine Mischung aus Social Engineering und kompromittierten Anmeldedaten scheint die Ursache für den ersten Einbruch in die Systeme des Unternehmens zu sein.

Bessere Schutzmaßnahmen sind erforderlich

Diese Angriffe, die inzwischen beide mit Lapsus$ in Verbindung gebracht werden, sind nur eine weitere Lektion in Sachen MFA, die nach einer Reihe von Lapsus$-Angriffen Anfang des Jahres ans Licht kam. Die Angriffe im März haben gezeigt, wie Push-Benachrichtigungen in MFA ein Unternehmen leicht für menschliche Fehler anfällig machen können. Zudem macht die Behauptung des Uber-Angreifers, MFA mit Social Engineering umgehen zu können, deutlich, wie Unternehmen einen Schritt weiter gehen können, um die Wirksamkeit von MFA zu verbessern. Authentifizierungsmethoden wie der Nummernabgleich, bei dem die Benutzer Codes aus Authentifizierungsanwendungen eingeben müssen, bieten sicherere Überprüfungen als Codes, die per Text oder E-Mail gesendet werden, die leichter abgefangen werden können. Eine weitere Option ist der Wechsel zu einem physischen Authentifizierungsschlüssel für Mitarbeiter.

Während Uber und Rockstar nun mit den Behörden zusammenarbeiten, um zu analysieren, wie es zu den erfolgreichen Attacken gekommen ist, ist es wichtig, dass Unternehmen und IT-Teams rund um den Globus wachsam bleiben, um Lehren aus diesen Vorfällen zu ziehen. Heutzutage sind Flexibilität und das Vertrauen in die Anpassung an die sich entwickelnden Bedrohungen der Schlüssel zur Sicherheit. Was an einem Tag als Verteidigung funktioniert, kann am nächsten Tag versagen. Leider gibt es nicht die perfekte Lösung, die alle aktuellen und zukünftigen Bedrohungen ausschalten kann, aber es gibt natürlich Maßnahmen, die einen zusätzlichen Schutz bieten können. Die beste Verteidigung für Unternehmen ist ein ganzheitliches Cybersicherheitsprogramm, das mit angemessenen Mitteln ausgestattet ist und das die Bedrohungen für das Unternehmen kontinuierlich überprüft, sich an sie anpasst und eine Kultur des Bewusstseins und der gesunden Skepsis unter den Mitarbeitern fördert.