Alle 14 Tage aktuelle News aus der IT-Szene   >   
Österreichs Bundesrechenzentrum fördert Nachhaltigkeit durch CO2-freie IT 23. 04. 2024
Das IT Rechenzentrum des Bundes in Wien treibt mit grünem Strom und innovativen Energierückgewinnungssystemen die Nachhaltigkeit in Österreichs IT-Landschaft voran.
Wachsender Bedarf an digitaler Sicherheit durch Post-Quanten-Kryptographie 22. 04. 2024
Die Ergebnisse des PKI & Digital Trust Report 2024 von Keyfactor und Vanson Bourne unterstreichen den dringenden Bedarf an verbesserten Sicherheitsmaßnahmen in Unternehmen im Hinblick auf die bevorstehende Ära der Quantencomputer.
KI sichert Lieferketten 22. 04. 2024
SAP unterstützt mit KI-gestützten Lieferketteninnovationen bei der Umgestaltung der Fertigung.
A1 Österreich übernimmt die NTT Austria vollständig 10. 04. 2024
A1 Österreich kündigt die Übernahme von 100% der Anteile an der NTT Austria an, nachdem sie bereits das Alcatel Lucent Telefoniegeschäft erfolgreich integrierte.
ACP TechRent fusioniert mit McWERK 08. 04. 2024
ACP TechRent erweitert sein Managed-Service-Angebot im Bereich Workplace und Education.
Veeam würdigt herausragende Leistungen seiner Partner in Österreich 03. 04. 2024
Die Veeam Partner Awards gehen heuer an SNS - Saturn Networking Solutions, ANEO Solutions, A1 Telekom Austria, ACP IT Solutions, Bechtle Austria, Cancom Austria und MAIT Austria.
KPMG Österreich tritt SAP-PartnerEdge-Programm bei 27. 03. 2024
Dem Beratungshaus stehen im Rahmen der neuen Kooperation zahlreiche Tools für die digitale Geschäftstransformation zur Verfügung.
SAP und NVIDIA intensivieren Partnerschaft 20. 03. 2024
Die beiden Tech-Player wollen mit ihrer neuen Kooperation den Einsatz generativer KI in Unternehmensanwendungen vorantreiben.
IT Security made in Austria 13. 03. 2024
Medialine partnert mit dem österreichischen Hersteller von „Quantum safe“ Speicherlösungen fragmentiX.
Neue Funktionen für SAP Datasphere 07. 03. 2024
Frische Features für SAP Datasphere und eine neue Unternehmenspartnerschaft helfen Unternehmen beim produktiven und sicheren Umgang mit Geschäftsdaten.
KI-Transformation: Effizienzsteigerung statt Innovation im Mittelpunkt 06. 03. 2024
Laut einer aktuellen Befragung hat die Mehrheit der Unternehmen noch keine KI-Strategie.
Nagarro fördert Digitalisierungsideen 19. 02. 2024
Nagarro sucht erneut innovative Ideen zu digitalen Geschäftsmodellen, Produkten und Services. Als Gewinn winkt ein Realitätscheck durch Expert:innen im Wert von 50.000 Euro.
Einfacher Weg zur Cloud-First-Strategie 12. 02. 2024
SAP präsentiert neue Möglichkeiten für Migration und Modernisierung von Softwaresystemen.
Dätwyler IT Infra übernimmt Seabix 18. 12. 2023
Der IT-Infrastruktur-Anbieter holt sich eine intelligente Kommunikationslösung ins Portfolio.
Bechtle konsolidiert Geschäft in Österreich 18. 12. 2023
Die beiden österreichischen Unternehmen der Bechtle-Gruppe gehen ab 2024 gemeinsame Wege.
hosttech launcht Kl-gestützte Domainsuche 15. 12. 2023
Der Internet Service Provider lanciert mit Domain GPT eine eigens entwickelte Kl-gestützte Domainsuche.
BOLL übernimmt Distribution von WALLIX in Österreich 15. 12. 2023
Der Security-VAD nimmt die Privileged-Access-Management(PAM)-Lösung des französischen Softwareanbieter ins Programm für Österreich.
vshosting expandiert nach DACH 14. 12. 2023
Der europäische Business Cloud Provider bietet seine Dienstleistungen nun auch im deutschsprachigen Raum an.
weiter
Barracuda

Webformular-Angriffe: Drei neue illegale Wege ins Konto 10.06.2020

Gastbeitrag: Wie Angriffe mit Webformularen funktionieren und wie sich Organisationen dagegen schützen, erklärt Klaus Gheri

Fast 100.000 Formular-basierte Angriffe registrierte Barracuda in den ersten vier Monaten 2020 Wie oft am Tag geben Anwender irgendwo Daten oder Passwörter ein? Und wie oft machen sie das einfach aus Routine, um schnell weiterzukommen und ohne den Zweck zu hinterfragen? Genau diese Abstumpfung machen sich nun Cyberkriminelle zunutze mit sogenannten Formular-basierten Angriffen (Formular-based Attacks). Diese neue Art von Angriffen imitiert in der Regel bekannte Marken. Besonders häufig nutzt sie Webseiten mit Google Branding, um die Opfer zur Weitergabe von Anmeldeinformationen zu verleiten. In den ersten vier Monaten des Jahres 2020 gab es fast 100.000 solcher Angriffe, sie machten vier Prozent aller Spear-Phishing-Angriffe aus, wie Barracuda-Forscher festgestellt haben. Die Forscher gehen davon aus, dass diese Zahl weiter steigen wird, da Cyberkriminelle mit diesen Angriffen erfolgreich Zugangsdaten erlangen.

Rund zwei Drittel der Formular-basierten Angriffe nutzen Google Websites Formular-basierte Angriffe

Angriffe auf der Basis von Webformularen sind eine tückische Variante von Brand Impersonation Attacks, also Attacken, die Marken imitieren. Für diese Variante nutzen Betrüger Webseiten für Filesharing, Dateifreigaben oder andere Produktivitätssoftware wie docs.google.com oder sway.office.com, um die Opfer dazu zu bringen, ihre Zugangsdaten herauszugeben. Die vorausgehende Phishing-E-Mail enthält in der Regel einen Link zu einer dieser Websites. Da die Seiten grundsätzlich legitim sind, ist dieser hochspezialisierte Angriff schwer zu erkennen. Außerdem gibt es eine besonders trickreiche Variante, bei der der Zugang auf das Konto erschlichen wird, ganz ohne dass die Zugangsdaten gestohlen werden müssen.

Von allen Formular-basierten Angriffen, die Barracuda zwischen dem 1. Januar 2020 und dem 30. April 2020 entdeckte, nutzten die Angreifer in 65 Prozent der Fälle Google-Websites für Dateifreigabe und -speicherung. Dazu gehören storage.googleapis.com (25 Prozent), docs.google.com (23 Prozent), storage.cloud.google.com (13 Prozent) und drive.google.com (4 Prozent).

Im Vergleich dazu waren die Marken von Microsoft bei 13 Prozent der Angriffe im Visier: So kam onedrive.live.com auf 6 Prozent, sway.office.com auf 4 Prozent und forms.office.com auf 3 Prozent. Zu den anderen Sites, die für Brand Impersonation Attacks verwendet wurden, gehören sendgrid.net (10 Prozent), mailchimp.com (4 Prozent) und formcrafts.com (2 Prozent). Andere Sites machten zusammen 6 Prozent der formularbasierten Angriffe aus.

Phishing-Mail und Phishing Sites eines Formular-basierten Angriffs Drei Wege über Formulare zum Konto

Cyberkriminelle nutzen Formular-basierte Angriffe für den Diebstahl von Anmeldeinformationen auf verschiedene Weise. Die drei häufigsten Taktiken sind diese:

1. Verwendung legitimer Websites als Vermittler: Bei dieser Taktik versuchen Cyberkriminelle, ihre E-Mails so aussehen zu lassen, als hätte eine File-Sharing-Site wie OneDrive sie automatisch generiert. So bringen sie ihr Opfer über eine legitime File-Sharing-Site auf eine Phishing-Site. Der Angreifer sendet also eine E-Mail mit einem Link. Dieser führt zu einer Datei, die auf einer Website wie zum Beispiel sway.office.com gespeichert ist. Die Datei wiederum enthält ein Bild mit einem Link zu einer Phishing-Website und diese fragt die Anmeldedaten ab.

2. Erstellen von Online-Formularen für Phishing: Bei diesem Ansatz erstellen Angreifer ein Webformular unter Verwendung legitimer Dienste wie forms.office.com. Die Formulare ähneln einer Anmeldeseite eines legitimen Dienstes. Den Link zu dem Formular fügen sie dann in Phishing-E-Mails ein, um Zugangsdaten zu sammeln.

Diese Angriffe unter Vorspiegelung einer falschen Identität sind schwer zu erkennen, da sie Links enthalten, die auf legitime Websites verweisen, welche tatsächlich häufig von Organisationen verwendet werden. Gleichzeitig ist Anwendern mit einem geschulten Blick für IT-Sicherheit klar, dass Dienste, die eine Kontoverifizierung oder Kennwortänderungen anfordern, solche Domänen normalerweise nicht verwenden.

3. Zugang zu Konten ohne Passwörter: Bei dieser besonders bösartigen Angriffsvariante verschaffen sich Hacker Zugang zu den Konten ihrer Opfer, ohne deren Zugangsdaten zu stehlen. Wie funktioniert das? Die ursprüngliche Phishing-E-Mail enthält einen Link zu einer Seite, die wie eine gewöhnliche Anmeldeseite aussieht. Sogar der Domain-Name im Browser-Fenster scheint mit dem übereinzustimmen, was der Benutzer zu sehen erwartet.

Der Link enthält jedoch eine Anfrage nach einem Zugriffstoken für eine Anwendung. Nach der Eingabe der Anmeldedaten zeigt das Endgerät dem Opfer eine Liste von App-Berechtigungen zur Annahme. Durch das Akzeptieren dieser Berechtigungen gibt das Opfer zwar keine Passwörter an Angreifer weiter, aber er gewährt der Anwendung des Angreifers ein Zugriffstoken, um mit den gleichen Anmeldedaten dauerhaft auf das Konto zuzugreifen. (Microsoft hat diese spezielle Anwendung mittlerweile deaktiviert, aber Barracuda sieht weiterhin Fälle, in denen Angreifer diese Taktik anwenden.)

Angriffe wie diese bleiben mit hoher Wahrscheinlichkeit lange Zeit unbemerkt. Schließlich gehen die Anwender davon aus, dass sie ihre Anmeldedaten auf einer völlig legitimen Website verwendet haben. Selbst eine Zwei-Faktor-Authentifizierung richtet in diesem Fall nichts aus, um Angreifer abzuwehren, da der Benutzer deren bösartige Anwendung für den Zugriff auf Konten zugelassen hat.

Wie sich Organisation schützen können

Unternehmen und Organisationen haben verschiedene Möglichkeiten, diese Art von Angriffen abzuwehren. Zentral sind die folgenden fünf Maßnahmen:

  • API-basierte Verteidigung des Postfachs: Cyberkriminelle passen ständig ihre Taktik an, um E-Mail-Gateways und Spam-Filter zu umgehen. Daher benötigen Organisationen eine Lösung, die künstliche Intelligenz zur Erkennung und Blockierung von Angriffen wie Kontoübernahme und Domain-Imitation einsetzt. Anstatt sich ausschließlich auf die Suche nach bösartigen Links oder Anhängen zu verlassen, brauchen Organisationen Technologie, die Machine Learning nutzt, um normale Kommunikationsmuster zu erlernen. Dadurch kann die Lösung Anomalien erkennen, die auf einen Angriff hindeuten.
  • Multi-Faktor-Authentifizierung: Die Multi-Faktor-Authentifizierung, auch MFA, Zwei-Faktor-Authentifizierung oder zweistufige Verifizierung genannt, bietet eine zusätzliche Sicherheitsebene über Benutzername und Passwort hinaus. Gängige Varianten sind  beispielsweise einen Authentifizierungscode, Fingerabdruck oder Netzhautscan.
  • Schutz vor Kontoübernahme: Es gibt Technologien, die verdächtige Aktivitäten und potenzielle Anzeichen einer Kontoübernahme identifizieren, wie zum Beispiel Anmeldungen zu ungewöhnlichen Tageszeiten oder von ungewöhnlichen Standorten und mit untypischen IP-Adressen. Unternehmen sollten sich IPs ganz genau anschauen, die mehrere verdächtige Verhaltensweisen aufweisen, einschließlich fehlgeschlagener Anmeldeversuche und Zugriffe von verdächtigen Geräten.
  • Überwachung von E-Mail-Konten auf böswillige Posteingangsregeln: Kriminelle nutzen diese Regeln häufig im Zuge einer Kontoübernahme. Kriminelle loggen sich in das Konto ein, erstellen Weiterleitungsregeln und verstecken oder löschen so alle E-Mails, die sie vom Konto aus versenden, um ihre Spuren zu verwischen.
  • Erweiterte Sicherheitsschulung der Benutzer: Unternehmen sollten Benutzer im Rahmen von Sicherheitsschulungen über E-Mail-Angriffe auch zu der Möglichkeit Formular-basierter Angriffe aufklären. Hierzu zählt, wie Nutzer Angriffe erkennen, welchen Schaden sie anrichten können und wo und wie Mitarbeiter diese melden können. Empfehlenswert sind zudem Phishing-Simulationen, um Benutzer in der Erkennung von Cyberattacken zu schulen, die Wirksamkeit von Schulungen zu testen und die Resilienz der Organisation gegen Phishing einzuschätzen.

Letztlich geht es darum, erneut für einen sorgsamen Umgang mit Passworten und Berechtigungen zu werben und das Bewusstsein für die neue Masche der Cyberkriminellen zu schaffen: Auch legitim erscheinende Formulare können ein Angriff sein.

Der Autor Klaus Gheri ist General Manager Network Security bei Barracuda Networks.

it&t business medien eU
Tel.: +43/1/369 80 67-0
office@ittbusiness.at
Impressum
Datenschutz
Website by NIKOLL.AT