Meldung

Attacken auf Multifaktor-Authentifizierung

Zu den aktuell größten Cybergefahren zählen Phishing-Angriffe. Fast täglich sind dabei neue Varianten zu beobachten. Derzeit gibt es vor allem verstärkt MFA-Fatigue-Angriffe, wie die Hackerattacke auf den Fahrdienstleister Uber zeigt. Die CyberArk Labs haben fünf gängige Phishing-Attacken der jüngsten Vergangenheit identifiziert. Darauf aufbauend gibt CyberArk folgende Tipps zur Verringerung der Cyberrisiken.
Auch die Multifaktor-Authentifizierung schreckt Angreifer nicht unbedingt ab.
Phishing-Attacken nehmen auf breiter Front zu. Sicherheitsexperte CyberArk [1] zeigt auf, welche Varianten derzeit auftreten und welche Abwehrmaßnahmen helfen.

1. MFA-Fatigue-Attacken
Diese nutzen SMS- und Voice-Phishing, um sich als vertrauenswürdige Quellen auszugeben – dabei "ermüden" Angreifer die Nutzer mit zahlreichen MFA-Pushes bis sie Zugang zu den Zielsystemen erhalten. Angreifer finden so immer wieder neue Wege, um MFA-Anwendungen und Sicherheitskontrollen zu umgehen. Die Nutzung von Phishing-resistenten MFA-Faktoren wie FIDO, QR-Codes oder physischen Token kann dabei helfen, diese Bemühungen zu vereiteln.

Eine wirkungsvolle Abwehrmethode gegen MFA-Fatigue-Attacken ist auch die Änderung der MFA-Konfiguration. So können zum Beispiel Push-Benachrichtigungen durch One-Time Passwords (OTPs) ersetzt werden. Die OTP-Nutzung ist zwar weniger komfortabel, kann aber das MFA-Fatigue-Risiko minimieren. Ein benutzerfreundlicherer Ansatz besteht darin, für eine erfolgreiche MFA-Authentifizierung einen Nummernabgleich zu verlangen. Dabei wird Benutzern, die auf MFA-Push-Benachrichtigungen mit der Authenticator-App antworten, eine Zahlenfolge angezeigt. Sie müssen sie in die App eingeben, um den Prozess abzuschließen.

2. Social-Engineering-Angriffe
Eine wirksame Methode zum Schutz vor Social Engineering sind Security-Awareness-Trainings für die Mitarbeiter. Routinemäßig sollten Schulungen durchgeführt werden, um das sicherheitsbewusste Verhalten in der Unternehmenskultur zu verankern und die Mitarbeiter über die Entwicklung von Social-Engineering- und Phishing-Angriffstechniken zu informieren. Aber auch technische Schutzmaßnahmen müssen getroffen werden. Dazu zählt etwa die Nutzung von Spam-Filtern, die verhindern, dass verdächtige E-Mails oder unerwünschte Anhänge wie Gewinnspiele oder infizierte Bewerbungen in die Posteingänge der Mitarbeiter gelangen.

3. Identitätskompromittierung durch Diebstahl von Zugangsdaten
Awareness-Kampagnen können nicht immer verhindern, dass ein Benutzer Opfer eines Phishing wird. Folglich muss eine Verteidigungsstrategie auch ein Endpoint Privilege Management beinhalten, das die clientseitigen Credentials schützt und den Diebstahl von Cookies verhindert, der ein MFA-Bypassing ermöglichen kann.

4. Seitwärtsbewegungen von Angreifern im Netzwerk
Sind Hacker in einen Rechner eingedrungen, versuchen sie, weitere Systeme und Server zu kompromittieren und die Zugriffsrechte auszuweiten – bis hin zu Domain-Controllern. Eine Abwehrmaßnahme ist die Durchsetzung des Least-Privilege-Prinzips in der gesamten Infrastruktur, auch im Hinblick auf Anwendungen und Daten. Hier kommen intelligente Berechtigungskontrollen ins Spiel, die den Zugriff für alle Identitäten verwalten, sichern und überwachen.

5. Datenexfiltration
Bei einem der jüngsten Phishing-Vorfälle versuchten Angreifer, wieder in das Netzwerk einzudringen, nachdem sie Daten gestohlen hatten, aber anschließend entdeckt worden waren. Dabei zielten sie auf Mitarbeiter ab, die nach dem obligatorischen Zurücksetzen der Anmeldedaten möglicherweise nur einzelne Zeichen an ihren Passwörtern geändert hatten. Die Angreifer waren in diesem Fall nicht erfolgreich, aber er zeigt, wie wichtig sichere Passwortverfahren sind. Idealerweise wird dabei eine Lösung genutzt, die automatisch eindeutige und sichere Passwörter generiert und regelmäßig rotiert.

"Phishing hat eine neue Stufe der Innovation erreicht. Die jüngsten Ereignisse zeigen, wie weit Angreifer gehen, um ihre ahnungslosen Opfer zu täuschen. Betroffen sind auch solche Mitarbeiter, die denken, dass sie dank MFA gefahrlos agieren", erklärt Michael Kleist, Area Vice President DACH bei CyberArk. "Ein wirksamer Anti-Phishing-Schutz muss deshalb einerseits technische Lösungen umfassen und andererseits auch die menschliche Komponente berücksichtigen. Schließlich ist davon ausgehen, dass unerwünschte Klicks letztlich immer unvermeidlich sind. Folglich sollten auch Bedrohungen prinzipiell frühzeitig erkannt werden, bevor ein größerer Schaden entsteht. Außerdem muss die Security mehrstufig aufgebaut sein, um im Falle des Falles den Angreifer in der nächsten Verteidigungslinie abfangen zu können."
11.01.2023/dr

Tipps & Tools

Download der Woche: Alle meine Passworte [25.01.2023]

IT-Profis bewahren ihre Zugangsdaten meist in einem Passwortmanager auf. Ein solcher ist "Alle meine Passworte". Das Tool bringt neben seiner Kostenfreiheit als weitere Vorteile eine Exportfunktion sowie mehrere Verschlüsselungsarten mit. Ebenso möglich ist das automatische Einfügen der relevanten Daten in die entsprechenden Eingabefelder. [mehr]

Vorschau Februar 2023: Endpoint Security [23.01.2023]

Die Endgeräte der Mitarbeiter sind das Einfallstor für Malware und Hacker schlechthin. Wie Sie hier für deutlich mehr Sicherheit sorgen, erfahren Sie in der Februar-Ausgabe des IT-Administrator. So zeigen wir unter anderem, wie Sie iOS-Devices dank Lockdown Mode abriegeln und eine VPN-Umgebung mit WireGuard und Firezone aufbauen. Zudem werfen wir einen Blick auf Gophish, mit dem Sie eigene Phishing-Tests fahren können. In den Produkttests tritt unter anderem der senhasegura GO Endpoint Manager an, um sein Können zu beweisen. [mehr]

Fachartikel

Sichere Kollaboration gewährleisten [25.01.2023]

Angesichts der Eile, mit der das hybride Arbeiten eingeführt werden musste, haben viele Unternehmen eine der größten Herausforderungen übersehen: die Cybersicherheit. Kriminelle Akteure haben diese Unsicherheit und den Wandel in den vergangenen Jahren genutzt, um Unternehmen und ihre Mitarbeiter auszutricksen. Organisationen sollten die in unserem Fachartikel aufgeführten Aspekte beachten, um von den Vorteilen der hybriden Arbeitswelt profitieren zu können, ohne dabei die eigene Sicherheit zu gefährden. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen