Device Codes kommen häufig als Authentifizierungsmethode zur Absicherung eines digitalen Dienstes zum Einsatz. Die Methode ermöglicht es Nutzern, schnell und unkompliziert über mehrere Endgeräte auf einen Dienst zuzugreifen. So können sie etwa ihren Konferenzdienst über die firmeneigene Hardware im Konferenzraum, zum Beispiel eine Videoanlage, nutzen, indem sie über ihr Smartphone die Zustimmung zu diesem Zugriff erteilen.
Angreifer im Besitz der Opfer-ID
Beim Device Code-Phishing weiß der Angreifer in aller Regel schon etwas über sein Opfer. Über Phishing- und Social Engineering-Angriffe kennt er Namen, weiß über die eingesetzten Dienste Bescheid, und hat sich in den Besitz der Opfer-ID gebracht. Nun richtet er zunächst, getarnt mit der Nutzer-ID des Opfers, eine Anfrage an den entsprechenden Dienst. Der sendet ihm dann auf sein Endgerät einen Gerätecode – ein One Time Password (OPT) – samt Link. Dass es sich beim anfragenden Endgerät nicht um das Endgerät des Opfers handelt, erkennt der Dienst nicht.
Nun sendet der Angreifer seinem Opfer eine gut getarnte Phishing-Nachricht, die den Gerätecode und den Link enthält, und bittet es, den Link anzuklicken und den Gerätecode einzugeben. Klickt das Opfer nun auf den Link und gibt den Code in seinem Gerät ein, wird das Gerät des Angreifers vom Dienst automatisch authentifiziert. Der Dienst glaubt nun, dass das Endgerät des Angreifers ein weiteres Endgerät des Opfers sei. Der Angreifer kann sich als Opfer ausgeben und im Dienst – genauso wie das Opfer – frei bewegen; zumindest für eine begrenzte Zeit. Der Angreifer hat nun Zugriff auf sensible Daten und die Möglichkeit, die Dienste für weitere Angriffe zu missbrauchen.
Belegschaft vor Device Code-Phishing schützen
Ein großes Problem für die Opfer und ihre Arbeitgeber: Herkömmliche Sicherheitsmechanismen schlagen bei Device-Code-Phishing in aller Regel nicht immer Alarm, da der in der Phishing-Mail enthaltene Link ja echt ist. Die eigene Belegschaft vor Device Code-Phishing zu schützen, ist möglich und nötig. Sie sollten einen Gerätecode nur eingeben, wenn sie zuvor bei einem Dienst eine diesbezügliche Anfrage selbst initiiert haben.
IT-Verantwortlich können IP-Adressen eingrenzen und Geo-Fencing nutzen, um das Risiko erfolgreicher Device Code-Phishing-Angriffe zu reduzieren, die Gerätecode-Authentifizierung ihrer Dienste deaktivieren, regelmäßig über das ganze Spektrum von Ansätzen für Phishing-Angriffe – auch und gerade Device Code-Phishing-Angriffe – aufklären und Anti-Phishing-Maßnahme so ausbauen, dass Angreifer gar nicht erst an die Informationen gelangen, die sie benötigen, um einen Device Code Phishing-Angriff erfolgreich zu initiieren.
Um all diese zu erreichen, werden Unternehmen beim Ausbau ihrer Cybersicherheit intelligenten Anti-Phishing-Technologien eine größere Bedeutung beimessen müssen. Anti-Phishing-E-Mail-Managementtools kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Im Gegensatz zu herkömmlichen Lösungen, können sie potenzielle Phishing-E-Mails ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und möglicher Social Engineering-Taktiken. Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. So ist es Unternehmen möglich, ihre Human Risks zurückzufahren und ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen.
Dr. Martin J. Krämer
ist Security Awareness Advocate bei KnowBe4.
Neueste Kommentare
Noch keine Kommentare zu Device Code-Phishing: „Legal“ auf Geräte zugreifen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.