KnowBe4, der Anbieter der weltweit größten Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, warnt vor immer trickreicheren Angriffstechniken, die die Opfer dazu bringen sollen, in Kryptowährungen zu „investieren“. Neue Angriffsdetails der Threat Analysis Group (TAG) von Google zeigen, wie Cyberkriminelle stetig neue Wege finden, einen initialen Angriff für weitere Krypto-Betrügereien zu nutzen.
Einige Cyberkriminelle konzentrieren sich nicht mehr nur auf direkte Angriffe, wie zum Beispiel Ransomware. In vielen Fällen dient ein erster Angriff nur als „Türöffner“, um den Betrug zu starten, mit dem die Kriminellen tatsächlich Geld verdienen. In einem kürzlich erschienenen Blog der TAG haben die Sicherheitsforscher von Google die Details eines neuen Angriffs beschrieben, der die Opfer dazu bringen soll, Anteile von Kryptowährungen zu kaufen.
Zunächst übernehmen die Bedrohungsakteure ein YouTube-Konto mit einer großen Anzahl an Abonnenten, um dann die Seite des YouTubers so umzugestalten, dass sie täuschend echt einer realen Krypto-Börse ähnelt. Diese illegalen Konto-Übernahmen werden durch Phishing-Angriffe erleichtert, bei denen Bedrohungsakteure über 15.000 E-Mail-Konten speziell für diesen Angriff erstellen. In den Phishing-E-Mails wird den YouTubern dann eine attraktive Kooperation angeboten, im Zuge derer sie für eine neue Antiviren-Software werben sollen. Der betroffene YouTube-Influencer wird dann auf eine mit Malware verseuchte Landing Page verwiesen und erhält dort eine PDF-Datei, die seinen Rechner mit einer Malware infiziert, die Cookies stiehlt. Sobald das Ziel infiziert ist, nimmt sich die Malware Browser-Cookies vom Computer des Opfers und lädt sie auf die Command & Control-Server des Cyberkriminellen hoch.
Die Cookies werden schließlich für einen „Pass-the-Cookie“-Angriff verwendet – eine Hijacking-Technik, die den Zugriff auf Benutzerkonten ermöglicht (und oft sogar Multifaktor-Authentifizierung (MFA) umgehen kann), indem die gestohlenen Sitzungscookies im Browser des Betrügers gespeichert werden. Sobald nun auf die YouTube-Kanäle zugegriffen wird, werden diese zu Krypto-Börsen umbenannt, anschließend geht der eigentliche Betrug von statten. Den Opfern, also den Abonnenten des infizierten YouTubers, wird fälschlicherweise Kryptowährung in Form von Werbegeschenken im Austausch für eine kleine Gebühr versprochen.
Obwohl viele Organisationen nicht das primäre Ziel solcher Cyber-Angriffe sind (da sie nicht in der Lage sind, auf ihrem YouTube-Kanal für das Produkt eines anderen Unternehmens zu werben), weist dieser Betrug die üblichen Elemente eines vielversprechenden Cyber-Angriffs auf. Die vorgetäuschte Glaubwürdigkeit der Betrüger bewegt viele Opfer dazu, sich darauf einzulassen, außerdem nutzen diese raffinierte Verschleierungstechniken, um nicht entlarvt zu werden.
Security Awareness als Schlüssel zur Verteidigung gegen Phishing-Kampagnen
„Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes Security Awareness Training für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zunächst werden sogenannte Baseline-Tests durchgeführt, die es ermöglichen, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. Zudem sollte man herausfinden, auf welche Art von Angriffen sie hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren“, sagt Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden. Benutzer, die ein Sicherheitstraining absolvieren, fallen weitaus seltener auf Phishing-Angriffe herein, ganz gleich, wie treffsicher die Nachahmung ist. Indem sie ganz bewusst unerwartete E-Mails auf Absenderangaben, Inhalt, Art der Anfrage und Branding prüfen, ist es ihnen möglich, nahezu jeden Phishing-Angriff einfach zu identifizieren.