Schutz vor SMS-Phishing

Zahlreiche Unternehmen sind in letzter Zeit Opfer von Phishing-Attacken geworden. Um mehr über den Twilio-Angriff zu erfahren, nutzten die Forscher des Lookout Threat Labs bekannte Muster, um zu sehen, ob sie zusätzliche Informationen über den dahinter stehenden Angreifer entdecken können.

Basierend auf den Bewertung der Infrastruktur dieser Kampagne haben die Hacker neben Twilio und Cloudflare in den letzten Monaten mehr als 30 Organisationen ins Visier genommen, darunter Mitarbeiter aus Unternehmen verschiedenen Branchen wie Telekommunikation, Kryptowährungen, Kundenservice und soziale Medien.

Es scheint, dass der Angreifer in diesen Fällen Phishing-Nachrichten verwendet hat, in denen er sich als Mitarbeiter des Support-Teams des jeweiligen Unternehmens ausgab. Anschließend wurden gestohlene Anmeldedaten benützt, um die mit diesen Logins verbundene Multifactor Authentication (MFA) auszulösen und so einen Fernzugriff auf die Konten zu erhalten.

Jedes Mal, wenn eine Sicherheitslücke auftritt, müssen Unternehmen über die Lehren nachdenken, die daraus gezogen werden können.

Im Folgenden nennt Lookout Tipps zum Schutz von Unternehmen vor mobilen Phishing-Angriffen, damit diese ihre eigene Sicherheitslage besser einschätzen können.

Verstehen, wie sich Phishing entwickelt hat

Phishing hat sich im Laufe der Jahre erheblich weiterentwickelt. Sicher, die klassischen BEC-Angriffe (Business Email Compromise) sind immer noch lukrativ, aber die Einführung von mobilen Geräten hat unzählige Möglichkeiten für Phishing-Angriffe eröffnet. Um das eigene Unternehmen zu schützen, sollte man diese Geräte und die Angriffe auf sie in der allgemeinen Sicherheitsstrategie berücksichtigen.

Um Mitarbeiter zur Herausgabe ihrer Anmeldedaten zu verleiten, nutzen Akteure aus der Bedrohungsszene die Tatsache aus, dass man allgemein den mobilen Geräten viel mehr vertraut. Mitarbeiter sind im Allgemeinen weniger geneigt, Vorsicht walten zu lassen, wenn man eine unaufgeforderte Textnachricht erhält, als wenn man denselben Inhalt an seine E-Mail-Adresse am Arbeitsplatz erhält. Außerdem verbergen mobile Geräte mit ihren kleineren Bildschirmen und ihrer vereinfachten Benutzeroberfläche viele verräterische Anzeichen eines Angriffs.

Phishing-Kits werden auch häufig auf dem Markt für Malware as a Service verkauft, was den Angreifern mehr Möglichkeiten als jemals zuvor bietet. Diese Kits können relativ billig sein und geben selbst unerfahrenen Angreifern die Möglichkeit an die Hand, Unternehmen mit komplexen Phishing-Kampagnen gezielt ins Visier zu nehmen.

Alarmsignale rechtzeitig wahrnehmen

Tatsache ist, dass die Angreifer immer besser darin werden, raffinierte, realistische Phishing-Kampagnen zu erstellen. Dies macht es zugleich schwieriger, Warnzeichen rechtzeitig zu erkennen, insbesondere auf mobilen Geräten. Aber auch wenn die roten Fähnchen klein sind, sind sie nicht zu übersehen, wenn man weiß, worauf man achten muss.

Bei einem Angriff nach dem Muster, der die MFA-Meldung eines Mitarbeiters auslöst, könnte der Standort in der Benachrichtigung falsch gewählt sein. Wenn sich ein Mitarbeiter in San Francisco befindet und die Benachrichtigung von einem anderen Ort aus ausgelöst wurde, sollte er die Zugriffsanfrage verweigern und sofort sein Sicherheitsteam benachrichtigen. Ein weiteres Anzeichen wäre eine abnormale Kommunikation, wenn man zum Beispiel nie Textnachrichten von seinem Arbeitsplatz erhält, aber plötzlich eine solche im Mail-Eingang vorfindet.

Wenn Mitarbeiter Nachrichten erhalten, in denen sie aufgefordert werden, ihre Anmeldedaten zu überprüfen, sollten sie diese Anfrage ebenfalls mit äußerster Vorsicht behandeln. Wenn sie nicht selbst versucht haben, sich irgendwo einzuloggen, sollten sie sich sofort mit ihren internen IT- und Security Teams in Verbindung setzen, um die Mitteilung auf ihre Gültigkeit zu überprüfen. Trifft dies nicht zu, sollten diese Teams den Rest des Unternehmens auf eingehende Angriffe ähnlicher Natur aufmerksam machen.

Alle Mitarbeiter sollten sich immer ein paar Sekunden oder Minuten Zeit nehmen, um alle eingehenden Nachrichten auf Anzeichen für eine böswillige Absicht hin zu überprüfen. Das können zum Beispiel Hinweise wie eine Diskrepanz beim Standort, falsch geschriebene Wörter oder verdächtige interne Seiten sein. Diese Augenblicke kritischer Überprüfung könnten das eigene Unternehmen vor einem Dateneinbruch bewahren.

Wie Unternehmen wachsam bleiben können

Da mobile Phishing-Angriffe über Kanäle jenseits der Kontrolle des eigenen Sicherheitsteams erfolgen können – wie zum Beispiel SMS, soziale Medien und Messaging-Plattformen von Drittanbietern wie WhatsApp – muss das Unternehmen insgesamt wachsam bleiben, um sich und seine Mitarbeiter zu schützen.

Mobiles Phishing ist eine der häufigsten Methoden, mit denen Angreifer Login-Berechtigungsnachweise stehlen. Anschließend loggen sie sich selbst in die Cloud-Infrastruktur des Unternehmens ein, um Zugriff auf sensible Daten zu erhalten, die sie stehlen oder für einen Ransomware-Angriff verschlüsseln können.

Um auf der sicheren Seite zu bleiben, sollten Unternehmen jeder Art und Größe eine Cloud-Sicherheitsplattform installieren, die sie durch die automatische Erkennung anomaler Verhaltensweisen vor einem potenziellen Cyber-Angriff warnen kann. Es ist nach Meinung von Lookout von entscheidender Bedeutung, dass jedes Unternehmen über fortschrittliche Sicherheitsfunktionen verfügt, die Anzeichen für bösartige Aktivitäten über das herkömmliche Netzwerk hinaus erkennen können – vor allem, da sich Angreifer immer mehr über verschiedene Geräte, Netzwerke und Anwendungen hinweg bewegen, um ihre Angriffe auszuführen.