[datensicherheit.de, 22.09.2022] „Die jüngste Kompromittierung des international erfolgreichen US-Fahrdienstleisters Uber dominiert nicht nur in Deutschland die Nachrichten in den IT-Medien“, kommentiert Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, eine aktuelle, aufsehenerregende Hacker-Attacke. Es werde vermutet, dass es einem Hacker durch den Einsatz von Social-Engineering-Methoden gelungen sei, sich Zugriff auf das gesamte Netzwerk von Uber zu verschaffen.

Foto: KnowBe4

Jelle Wieringa rät abermals zu umfassendem Training des Sicherheitsbewusstseins der Mitarbeiter

Hacker behauptet, vollständige Kompromittierung von Uber erreicht zu haben

Der Angreifer soll bei diesem Vorfall in mehrere interne Systeme eingedrungen sein und sich administrativen Zugriff auf die „Cloud“-Dienste von Uber verschafft haben – unter anderem auf „Amazon Web Services“ (AWS) und „Google Cloud“ (GCP).
„Er selbst behauptet, eine vollständige Kompromittierung von Uber erreicht zu haben und hat Screenshots veröffentlicht, auf denen er volle Administratorrechte auf AWS und GCP besitzt“, berichtet Wieringa und führt aus: „Ein Sicherheitsingenieur bei Yuga Labs, der mit dem Hacker korrespondierte, hat diese Behauptungen bereits bestätigt, wobei das tatsächliche Ausmaß des Angriffs immer noch unklar ist.“

Angriff durch Textnachricht an Uber-Mitarbeiter initiiert

Der Hacker, laut eigenen Angaben erst 18 Jahre alt, habe zudem gegenüber der „New York Times“ erklärt, dass der Angriff durch eine Textnachricht an einen Uber-Mitarbeiter initiiert worden sei. Im Zuge dessen habe er sich als Mitarbeiter der IT-Abteilung des Unternehmens ausgegeben und den Angestellten zur Preisgabe eines Passworts überredet. Wieringa: „So gelang es ihm, mit dem Einsatz dieser klassischen und simplen Social-Engineering-Technik, tief in die Systeme von Uber einzudringen.“ Er solle laut neuesten Angaben auch ein Mitglied der bekannten und äußerst erfolgreichen Hacker-Gruppe „Lapsus$“ sein.
Mit Hilfe des Passworts habe sich der Angreifer schließlich leicht Zugang zum internen VPN verschaffen können. „Im Unternehmensnetzwerk fand er hochprivilegierte Anmeldeinformationen auf Netzwerkdateifreigaben und nutzte diese, um auf alles zuzugreifen, einschließlich der Produktionssysteme, der EDR (Endpoint Detection and Response)-Konsole und der Slack-Verwaltungsoberfläche von Uber.“

Vorfall bei Uber zeigt, wie anfällig bisherige Ansätze für Sicherheitslücken sind

„Die Kombination aus ,Zero Trust’ und der Multi-Faktor-Authentifizierung scheint in der Sicherheitsbranche zu einem leeren Versprechen für totale Sicherheit geworden zu sein, aber der Vorfall bei Uber zeigt deutlich, wie anfällig auch dieser Ansatz für Sicherheitslücken ist“, so Wieringa.
Umso wichtiger seien effektive Maßnahmen zur Vorbeugung solcher raffinierter Social-Engineering-Angriffe. „Beim ,Social Engineering’ geht es darum, eine Person so zu manipulieren, dass sie tut, was der Bedrohungsakteur möchte“, erläutert Wieringa. Das Fundament der Sicherheitsstrategie sollte deshalb ein umfassendes Training des Sicherheitsbewusstseins der Mitarbeiter bilden.

Weitere Informationen zum Thema:

TAGESSPIEGEL BACKGROUND, Haya Shulman und Michael Waidner, 21.09.2022
Der Uber-Hack und was wir aus ihm lernen können

The New York Times, Kate Conger und Kevin Roose, 15.09.2022
Uber Investigating Breach of Its Computer Systems / The company said on Thursday that it was looking into the scope of the apparent hack

[datensicherheit.de, 30.09.2021] Malwarebytes Labs hat nach eigenen Angaben wieder einmal einen Scam-Versuch entdeckt – diesmal verkleidet als angebliche Sicherheitswarnung von Uber. Diese Warnung sei ziemlich überzeugend gewesen und habe die gleiche Anrede verwendet, welche von Uber in seinen echten Sicherheits-E-Mails und SMS genutzt werde. „Auffallend dabei ist, dass die gefälschte Sicherheitswarnung von einer Telefonnummer kam, die Uber auch tatsächlich verwendete. Das bedeutet nicht, dass Uber einen Betrug durchführt – das ,Call ID Spoofing‘ ist relativ weit verbreitet unter Betrügern, um ihre Nachrichten so auszusehen lassen, als kämen sie von einer vertrauenswürdigen Quelle.“ Das Heimtückische daran: „Weil die echte Nummer gefälscht wurde, erschien die Fake-Sicherheitsmeldung neben den echten Sicherheitsmeldungen, die User von Uber erhalten.“

Scam-Webseite mit falscher Uber-Domain

Mitarbeiter von Malwarebytes hätten erkannten, „dass es sich bei der Nachricht um Betrug handelt, da der Domainname nicht richtig aussah“. Er habe zwar das Wort „Uber“ enthalten, sei aber nicht der offizielle Uber-Domainname („uber.com“). Zudem sei dieser Domainname nur wenige Tage alt gewesen – „ein lautes Warnsignal!“
Da Betrugs-Webseiten oft schnell entdeckt würden, seien sie in der Regel nur wenige Tage online. Eine weitere Überprüfung habe ergeben, „dass diese neue Webseite in Russland gehostet wurde“ – dies sei noch ein Hinweis, da Uber keine Webseiten in Russland betreibe.

Falsche Webseite passte zum Branding von Uber

Diese falsche Webseite habe dem „Branding“ von Uber gut genug entsprochen, um auf den ersten Blick überzeugend zu wirken. Dieser Betrug sei ein gutes Beispiel dafür, wie eine Scam-Webseite vertrauenswürdige Elemente nutze, um diese gegen den Nutzer zu verwenden:

Call ID Spoofing
Das Fälschen der Anrufer-ID sei relativ einfach, daher könnten sich Nutzer nicht darauf verlassen, „dass die Nachricht auch tatsächlich von der besagten Nummer stammt“.

Vorhängeschloss-Symbol
Wie alle guten Betrugsseiten habe sie zudem ein gültiges Sicherheitszertifikat und das Vorhängeschloss-Symbol gehabt. „Eine nützliche Erinnerung daran, dass das Vorhängeschloss vor dem Domainnamen dem User nur zeigt, dass die Verbindung zur Webseite sicher ist, aber nichts darüber aussagt, wie sicher oder vertrauenswürdig die Webseite selbst ist.“

Lehre aus Uber-Scam: Merkmale zum Erkennen von Phishing-Webseiten

• Domain-Name
  Webseiten verwenden generell nicht den offiziellen Domainnamen. In diesem Fall habe der Name plausibel ausgesehen, sei aber falsch gewesen.
• Persönliche Informationen
  Betrüger fragen nach Dingen, die ein Service-Provider bereits kennen sollte, wie etwa Zahlungsinformationen.
• Dringlichkeit
  Scammer wollten immer wichtige Informationen, und zwar schnell. Obwohl es verschiedene Arten von Betrug gebe, liefen sie normalerweise darauf hinaus, dass sensible Daten wie aus heiterem Himmel erfragt würden.

Obwohl diese Webseite schnell geschlossen worden sei, tauchten genauso schnell Neue wieder auf. Es sei für Betrüger ein Leichtes, viele weitere identische Ersatzseiten unter neuen Domainnamen zu erstellen, daher sollte man vorsichtig sein.

Weitere Informationen zum Thema:

Malwarebytes LABS, Mark Stockley, 24.09.2021
Uber security alert scam spoofs real Uber number — Watch out!

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 26.05.2021
Elon Musk, Tesla und Bitcoins: Hacker mit neuen Aufhängern für Scam-Kampagnen / Bitdefender Labs warnen vor betrügerischen Scam-Mails

[datensicherheit.de, 04.01.2018] Symantec hat nach eigenen Angaben neue Erkenntnisse zu einer neuen „Android“-Malware: Diese habe es auf die Anmeldedaten von UBER-Nutzern abgesehen. Um den Angriff zu verdecken, nutze sie „Deeplinks“ der echten UBER-App. Bei der Analyse der neuesten Malware-Variante einer „Android“-Fake-App habe man zudem neue Social-Engineering-Techniken entdeckt, die für Millionen von UBER-Nutzern, darunter auch Deutsche, die gerade auch im Ausland oftmals den UBER-Service nutzen, gefährlich werden könnten.

Darstellung einer imitierten UBER-Benutzeroberfläche

Die „Android“-Fake-App zeige in regelmäßigen Abständen eine imitierte UBER-Benutzeroberfläche an. Sie fordert demnach die Nutzer dazu auf, ihre Anmeldedaten mit UBER-ID und -Passwort einzugeben. Nach der Eingabe sende die Malware diese an ihren Remote-Server.

Täuschung des Nutzers durch Angabe des aktuellen Standortes

Um den Nutzer in Sicherheit zu wiegen, werde in der Fake-App eine Oberfläche der echten UBER-App mit dem aktuellen Standort des jeweiligen Nutzers angezeigt. Die Malware verwendet laut Symantec dazu einen Deep-Link-URI (Uniform Resource Identifier) der originalen UBER-App, mit dem normalerweise eine Fahrtanfrage ab dem aktuellen Standort ausgelöst wird.

Weitere Informationen zum Thema:

Symantex. Blogs / Threat Intelligence, 03.01.2018
Android Malware Steals Uber Credentials and Covers Up the Heist Using Deep Links

datensicherheit.de, 31.08.2015
iOS: Malware stiehlt 225.000 Apple-Konten zur Nutzung der App „Utopia“