Jelle Wieringa, Security Awareness Advocate bei KnowBe4
Ein Bedrohungsakteur hat kürzlich Kryptowährung von rund 6 000 Anlegern gestohlen, nachdem er eine Schwachstelle ausgenutzt hat, um die SMS-Multifaktor-Authentifizierungs-Sicherheitsfunktion des Unternehmens zu umgehen. Das betroffene Unternehmen Coinbase ist die zweitgrößte Kryptowährungsbörse der Welt und hat rund 68 Millionen Nutzern aus über 100 Ländern.
In der Benachrichtigung, die letzte Woche an die betroffenen Kunden verschickt wurde, erklärt Coinbase, dass zwischen März und dem 20. Mai 2021 ein Bedrohungsakteur einen Hacker-Angriff durchgeführt hat, um in die Kundenkonten einzudringen und Kryptowährungen zu stehlen. Die Durchführung dieses ausgeklügelten Angriffs bedurfte laut Coinbase der Kenntnis der Angreifer über die E-Mail-Adressen, die Passwörter und der Telefonnummern der Kunden, und außerdem des Zugriffs auf die E-Mail-Konten der Opfer.
Die Frage, wie die Angreifer an diese Informationen gelangen konnten, ist zwar noch nicht geklärt, aber Coinbase geht davon aus, dass die Angreifer die Kontodaten mithilfe von Phishing-Kampagnen gestohlen haben, die auf Coinbase-Kunden abzielten. Es ist darüber hinaus bekannt, dass Banking-Trojaner, die üblicherweise zum Diebstahl von Online-Bankkonten eingesetzt werden, auch Coinbase-Konten ausspionieren.
„Dies ist nicht das erste Mal, dass MFA-benutzende Coinbase-Kunden kompromittiert worden sind. Es ist mindestens das zweite oder dritte Mal. Alle MFA-Lösungen können auf verschiedene Weise gehackt werden. SMS-basierte MFA-Lösungen gehören zu den am leichtesten zu knackenden MFA-Lösungen. In den meisten Fällen müssen die Benutzer die SMS-basierte MFA verwenden. Das Problem bei allen MFA-Lösungen ist, dass die Benutzer nicht darüber informiert werden, dass jede Art von MFA gehackt, missbraucht und umgangen werden kann. Die Lösung besteht darin, dafür zu sorgen, dass alle Beteiligten die potenziellen Schwachstellen ihrer jeweiligen MFA-Variante kennen, und dass alle über mögliche Angriffe und deren Vermeidung aufgeklärt werden,“ sagt Roger A. Grimes, Datadriven Evangelist bei KnowBe4.
Das enorme Bedrohungspotenzial solcher Phishing-Kampagnen zeigt sich darin, dass mehr als drei Milliarden gefälschte E-Mails täglich im Umlauf sind und über 90% der Cyberattacken in dieser Form starten. Die große Problematik hierbei ist, dass die E-Mail-Filter bei weitem nicht alle dieser Phishing-Mails erkennen und die Angriffe zudem immer raffinierter werden. Die Mitarbeiter einer Organisation sind folglich immer komplexeren Manipulationstechniken durch Social Engineering ausgesetzt.
Security Awareness als Schlüssel zur Verteidigung gegen Phishing-Kampagnen
Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassenden Security Awareness Training für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zunächst werden sogenannte Baseline-Tests durchgeführt, die es ermöglichen, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. Zudem sollte man herausfinden, auf welche Art von Angriffen sie hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren.
Die Schulung der Benutzer mit interaktivem und ansprechendem On-Demand-Material ist notwendig, damit die Botschaft wirklich verinnerlicht wird und nicht nur oberflächlich behandelt und gleich wieder vergessen wird. Weiterhin sollten die internen Schulungen monatlich wiederholt und auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als menschliche Firewall geschult und eingesetzt werden.