Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
Seit der flächendeckenden Einführung von Multifaktor-Authentifizierungsprodukten in einer Reihe von Unternehmen und IT-Produkten sowie Portalen häufen sich die Vorfälle, bei denen die Maßnahmen umgangen werden. Angreifer haben sich mittlerweile darauf spezialisiert, mit mehreren Authentifizierungsstufen umzugehen. Es ist zunehmend üblich, dass Angreifer QR-Codes oder Bilder verwenden, um Opfer in die Irre zu führen. In den Betreffzeilen von Phishing-E-Mails wird oft der Name bekannter Marken oder Unternehmen missbraucht, um die Aufmerksamkeit zu erregen.
Folgende Methoden sind mittlerweile verbreitet:
- Bilder anstelle von Text
- QR-Codes anstelle von infizierten Links und Anhängen
- Zufallsgenerierung von „Absender“-Namen und E-Mail sowie Verschlüsselung mit SHA-256
- Manipulation von Betreffzeilen zur Verfälschung von Authentifizierungsdaten (SPF, DKIM, …)
Auf diese oder ähnliche Weise überlisten Angreifer vorhandene Filter und andere technische Schutzmaßnahmen, sodass Phishing-E-Mails im Posteingang der Mitarbeiter landen.
Im September hatte der Anbieter von Identitäts- und Authentifizierungsmanagement Okta vor Social-Engineering-Angriffen gewarnt, die die Mehrfaktor Authentifizierung umgehen. Diese Angriffe zielen auf IT-Mitarbeiter ab und versuchen, Administratorrechte zu erlangen, um Unternehmensnetzwerke zu infiltrieren und zu übernehmen.
Mehrere Unternehmen in den USA waren von wiederholten Social Engineering-Angriffen auf IT-Service-Desk-Mitarbeiter betroffen. Bei diesen Angriffen versuchten die Angreifer, die Mitarbeiter des Service-Desks dazu zu bringen, alle Mehrfaktor-Authentifizierungsfaktoren (MFA), die von hoch privilegierten Benutzern eingerichtet wurden, zurückzusetzen. Nachdem die hoch privilegierten Okta-Superadministrator-Konten kompromittiert waren, scheinen die Angreifer diese Situation auszunutzen, um legitime Identitätsföderations-Funktionen zu missbrauchen. Dadurch konnten sie sich innerhalb der infiltrierten Organisation als berechtigte Benutzer ausgeben.
Nach Angaben des MFA-Anbieters verfügten die Angreifer bereits über einige Informationen über die Zielorganisationen, bevor sie die IT-Mitarbeiter kontaktierten. Es scheint, dass sie entweder im Besitz von Passwörtern für privilegierte Benutzerkonten sind oder die Fähigkeit besitzen, den Authentifizierungsfluss über das Active Directory zu beeinflussen. Dies tun sie, bevor sie den IT-Service-Desk einer Zielorganisation kontaktieren und das Zurücksetzen sämtlicher MFA-Faktoren des Zielkontos anfordern. Bei den betroffenen Unternehmen hatten sie es speziell auf Nutzer mit Superadministrator-Rechten abgesehen. Darüber hinaus gaben sie sich außerdem mit einer gefälschten App als ein anderer Identitätsmanagement-Anbieter aus.
Eine wirksame Methode, um das eigene Unternehmen trotz kompromittierter MFA zu schützen, sind Schulungen zur Sensibilisierung für Sicherheitsfragen. Mitarbeiter aus allen Abteilungen können dadurch lernen, Social-Engineering-Taktiken zu erkennen und sich vor zielgerichteten Angriffen auf ihre Konten, sei es per E-Mail, in Teams-Chats oder in sozialen Medien, zu schützen.