[datensicherheit.de, 04.01.2021] Die zahlreichen erfolgreichen Cyber-Angriffe der vergangenen Monate hätten es mehr als deutlich gemacht: IT-Sicherheitsteams benötigten einen Einblick in die Interaktion der Benutzer mit ihrer IT-Infrastruktur über alle Medien hinweg. Vectra AI erläutert in einer aktuellen Stellungnahme, wie dies möglich werden könnte. Sicherheitsingenieure hätten Lösungen entwickelt, welche eine einheitliche Ansicht der Konten im Netzwerk und in der Cloud böten. Zudem wird darauf hingewiesen, dass – um herauszufinden, wie Angreifer „Office 365“ ausnutzen –, der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen liefere. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer aufzuspüren und darauf reagieren.

Angriffe aus der Cloud: Während der gesamten Phase wachsam bleiben!

„Wird ein potenzieller Angreifer entdeckt, der versucht, Daten aus der Produktionsdatenbank zu exfiltrieren, lässt sich dieser nicht einfach ausschalten, um sich der nächsten Aufgabe zuzuwenden.“
Sicherheitsexperten müssten daher sehen können, wie und wo die Angreifer eingedrungen sind, und diese Lücke stopfen. Das könnten sie jedoch nicht, „wenn sie die Punkte zwischen der Cloud und der Netzwerk-Infrastruktur nicht verbinden können“.

Angreifer sehen Cloud-Netzwerk nicht als das geringste Hindernis

Ein Beispiel wäre demnach, wenn ein Benutzer auf „Office 365“ das Opfer von Spear-Phishing wird, so dass gestohlene Zugangsdaten verwendet werden, um auf Kritische Infrastrukturen zuzugreifen. Eine zeitgemäße Sicherheitsplattform zeige dann diese Informationen auf, mit vollständigem Kontext darüber, was der Benutzer wann getan hat und warum man eingreifen sollte.
„Wenn jemand einige fragwürdige Exchange-Operationen auf ,Office 365‘ durchführt, kann eine moderne Lösung schnell zeigen, welche Hosts dieses Konto im Netzwerk betrifft, so dass sich sehen lässt, ob es verdächtige Aktivitäten auf diesen Hosts gegeben hat.“ Bei der Betrachtung einiger aktueller Angriffe werde deutlich, dass Angreifer das Cloud-Netzwerk nicht als das geringste Hindernis für den Verlauf ihres Angriffs sähen.

Ausnutzung legitimer Tools für unerlaubte Aktionen über die Cloud

Die Aktionen von „APT 33“ hätten mit dem Brute-Forcing schwacher Zugangsdaten und der Ausnutzung von E-Mail-Regeln begonnen, um zum Endpunkt zu gelangen. „Einmal auf dem Endpunkt angekommen, wurden die Zugangsdaten desselben Benutzers genutzt, um den Angriff seitlich voranzutreiben. Wenn die Netzwerk- und Cloud-Erkennungsportfolios nicht miteinander verknüpft sind, kann jedoch das Ausmaß eines solchen Angriffs komplett übersehen werden.“
Die Angriffsfläche von „Office 365“ sei nicht nur auf den ersten Zugriff beschränkt. Angreifer mit „Office 365“-Zugang könnten „SharePoint“ missbrauchen, um freigegebene Ordner zu beschädigen und sich mithilfe von DLL-Hijacking-Techniken oder durch das Hochladen von Malware seitlich auf Endpunkte auszubreiten. Dieselbe „SharePoint“-Funktionalität, welche für die Synchronisierung normaler Benutzerdateien verwendet werde, könne auf jedem Endpunkt ausgeführt werden, um eine einzelne Freigabe zu synchronisieren und so die Standard-Netzwerksammlungstechniken zu umgehen. Ein Angreifer könne dann mit ein paar Klicks dauerhafte Exfiltrationskanäle über „Power Automate“-Flows einrichten, welche täglich Daten von jedem infizierten Endpunkt hochladen könnten. Hierzu gebe es viele Möglichkeiten und es würden immer mehr.

Network Detection and Response empfohlen, um Angriffen über die Cloud zu wehren

Denkbar sei auch ein Problem in der Cloud, bei dem sich die Angreifer mit Brute-Force-Aktivitäten die Zugangsdaten eines Kontos verschafft haben, gefolgt von der Erstellung neuer E-Mail-Regeln, „was zwar schlecht, aber nicht schlimm ist“. Es sei dabei aber auch zu einer seitlichen Bewegung im Netzwerk gekommen, was viel besorgniserregender sei, da nicht bekannt sei, wie die Hacker hereingekommen sind. „In Cognito bedeutet das Zusammenführen dieser Ansichten, dass Analysten einen frühen und vollständigen Überblick haben, der es ihnen ermöglicht, den Angriff zu stoppen, bevor Daten verschoben werden oder Schaden entsteht.“
Um herauszufinden, wie Angreifer „Office 365“ ausnutzen, liefere der aktuelle „Spotlight Report“ von Vectra AI nützliche Informationen. Mit einer modernen „Network Detection and Response“-Plattform könnten Unternehmen Sichtbarkeit herstellen, um Angreifer in ihren Netzwerken und „Office 365“-Implementierungen zu erkennen und darauf zu reagieren.

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2020
Office 365: Zunehmender Missbrauch von Nutzerkonten

VECTRA, Chris Morales, 19.10.2020
The Office 365 Tools and Open Services Attackers Love to Use

VECTRA
O365 Security Spotlight Report – Report & Stats | Vectra AI

[datensicherheit.de, 29.06.2020] Am 30. Juni ist der „Social Media Tag 2020“. In diesem Zusammenhang sollte unterstrichen werden, dass – gerade weil die moderne Welt gar nicht mehr ohne vorstellbar ist – Soziale Medien Schauplätze von einigen der größten Betrugsfälle sind. So warnt aktuell NordVPN insbesondere Nutzer von „Instagram“ vor steigenden Betrugszahlen auf dieser „Social Media“-Plattform. Durch deren Fokus auf lebhafte Bilder sowie hochwertigen Content und die weiter wachsende Beliebtheit bietet „Instagram“ demnach „ein leichtes Ziel für Cyber-Kriminelle, die sich online als ehrliche, gute Menschen ausgeben“.

Social Media: Jüngere Nutzer-Generation im Visier

Das Primärziel für Online-Betrug seien Personen, welche sich mit Cybersecurity nicht gut auskennen. Dies zeige sich generell dadurch, dass auf Plattformen mit jüngerem Publikum gezielt werde, da Betrüger junge Menschen als naiver einschätzten.
Jüngsten Daten zufolge seien 30 Prozent der weltweiten „Instagram“-Nutzer zwischen 18 und 24 Jahren alt, und 35 Prozent zwischen 25 und 34. Insgesamt benutzten bereits unglaubliche 72 Prozent aller Teenager „Instagram“.
Interessanterweise sei „Instagram“ bei Frauen beliebter als bei Männern – Statistiken zeigten, dass 56,3 Prozent der Nutzer weiblich seien.

Häufigste Arten von Betrugsversuchen auf Social Media Webplattform Instagram

Für ihren Betrug hätten die Cyber-Kriminellen ein paar ausgeklügelte Maschen parat. „Instagram“ habe einige der häufigsten Arten von Betrug in Kategorien unterteilt:

• Romantik-Betrug: Betrüger versuchen, online Beziehungen aufzubauen und das Vertrauen des Opfers zu gewinnen. Sobald dies gelungen ist, behaupten sie, Geld für Visum, Flüge oder andere Reiseausgaben zu benötigen.
• Verlosungs-Betrug: Die Betrüger geben sich als Unternehmen oder andere zuverlässige Accounts aus und informieren die Nutzer über einen vermeintlichen Gewinn oder Preis in einem Wettbewerb, an dem sie wahrscheinlich nicht einmal teilgenommen haben. Im Gegenzug für den Preis verlangen die Betrüger dann eine kleine Verwaltungs- oder Portogebühr. Eventuell fragen sie auch nach persönlichen Daten, um diese dann für illegale Zwecke zu nutzen.
• Kredit-Betrug: Betrüger bieten Kredite zu günstigen Zinskonditionen oder sehr kleinen Gebühren an. Nach der ersten Zahlung an die Betrüger verschwinden diese allerdings höchstwahrscheinlich spurlos.
• Betrug mittels gefälschter Investitionen: Durch reißerische Aufrufe, wie z.B. „Schnell reich werden“, werden Opfer animiert, in fragwürdige Konzepte zu investieren, die sich letztlich als Schneeballsysteme entpuppen. Sobald das Opfer die Zahlung tätigt, verschwinden sowohl die Betrüger als auch das Geld.
• Job-Betrug: Die Betrüger posten gefälschte Jobangebote, um an persönlichen Daten Interessierter zu kommen (wie zum Beispiel Ausweisnummer, Adresse, etc.).
• Kreditkarten-Betrug: Die Betrüger nutzen gestohlene Informationen, um online Käufe abzuwickeln oder locken Opfer mit günstigen Produkten und Services, um deren Kreditkarteninformationen zu auszuspähen.
• Betrug mit kostenpflichtigen Abonnements: Die Betrüger bieten kostenpflichtige Abonnements oder lebenslangen Zugang zu Web-Plattformen gegen eine einmalige Zahlung an.
• Phishing-Betrug: Die Betrüger versuchen, durch das Zusenden einer vertrauenswürdig erscheinenden Nachricht oder eines Links an persönliche Daten zu kommen, um Zugang zu einem „Instagram“-Account zu erhalten. Falls dies gelingt, erlangen die Betrüger möglicherweise auch Zugang zu der hinterlegten Telefonnummer und der E-Mail-Adresse. Er könnte zudem das Passwort ändern, um den Nutzer so aus seinem Account aussperren.
• Sponsoring-Betrug: Die Betrüger geben sich als echte Marken oder Unternehmen aus, welche „Influencern“ ein Werbevertrag anbieten. So versuchen sie, an die Bankdaten der Opfer zu gelangen.

Sicherheitstipps für die Nutzung von Social Media Angeboten

Obwohl die Menge der verschiedenen Betrugsmaschen überwältigend scheine, seien sich Sicherheitsexperten einig, dass ein Account vor Betrügern sicher sein sollte, wenn für ausreichend Schutz gesorgt ist. Ruby Gonzalez, „Head of Communications“ bei NordVPN, hat hierzu ein paar Sicherheitstipps parat:

• Ein sicheres Passwort benutzen! Es sei sicherzustellen, dass ein einzigartiges Passwort benutzt wird, welches noch nie von irgendwelchen Sicherheitslücken betroffen war. „Passworterzeuger, wie ,NordPass‘, sind ein praktisches Tool um starke Passwörter zu erstellen oder zu prüfen, ob ein bestimmtes Passwort bereits einem Hacker-Angriff ausgesetzt war“, erläutert Gonzalez.
• Nicht zu viel teilen! Es sollten nur die erforderlichen persönlichen Informationen angegeben und im „Social Media“-Bereich nicht zu viel geteilt werden. Je weniger Informationen über sich selbst preisgegeben werden desto unwahrscheinlicher sei es, dass diese gestohlen werden.
• Wachsam bleiben! Es sei immer ratsam, in den Sozialen Medien skeptisch zu bleiben. Wenn ein Account verdächtig und gefälscht aussieht, sollte durchaus dem eigenen „Bauchgefühl“ vertraut und nicht mit der verdächtigen Person interagiert werden. Gonzalez: „Wenn ein Link fragwürdig scheint, klick ihn nicht an. Gib außerdem keine persönlichen Daten auf verdächtigen Webseiten ein. Und wenn ein Angebot wie ein Gewinnspiel, Job oder Giveaway zu gut klingt, um wahr zu sein, dann ist es wahrscheinlich auch nicht wahr.“ Betrüger versuchten, Opfer immer durch Angebote anzulocken, „denen man nur schwer widerstehen kann“.
• Profil auf „privat“ setzen! Bei vielen Betrugsmaschen versuchten die Betrüger, den ersten Kontakt aufzubauen, indem sie einem Account folgten. Durch eine Umstellung des eigenen Profils auf „privat“ sei mehr Kontrolle darüber zu erlangen, „wer dir folgt und wer deine persönlichen Informationen sehen kann“, so Gonzalez.

Weitere Informationen zum Thema:

datensicherheit.de, 08.07.2019
Social Media: Einfallstor für Cyber-Kriminelle

datensicherheit.de, 01.07.2019
KnowBe4 unterstützt Unternehmen gegen Social Media-Phishing