Täglich werden mehr als 3,4 Milliarden Phishing E-Mails verschickt, die Empfänger verleiten, aktiv zu werden – auf etwas zu klicken, Passwörter auf Webseiten einzugeben usw. Daneben gibt es immer häufiger Phishing-E-Mails, die als Träger für andere, weitaus intelligentere Angriffsarten dienen, die ohne aktives Handeln größeren Schaden anrichten und sich nur schwer aufhalten lassen. In diesem Beitrag wird untersucht, wie diese „Adversary-in-the-middle“-Angriffe Phishing E-Mails nutzen und welche Auswirkungen diese haben können. Außerdem werden vier Tipps zur Prävention derartiger Angriffe vorgestellt, um Unternehmen zu ermöglichen ihren Schutz zu erhöhen.
Bei „Adversary-in-the-middle“ (AitM) handelt es sich um eine hochentwickelte Angriffsmethode, die es Cyber-Kriminellen ermöglicht, die Netzwerkkommunikation abzufangen. Von dort aus können Cyberangreifer Anmeldedaten stehlen, Verschlüsselungs- und Identitätsprüfungsschlüssel kopieren und weitere Angriffe durchführen.
AitM-Angriffe beginnen in der Regel mit einer Phishing-E-Mail, die den Anschein erweckt, sie stamme aus einer seriösen Quelle. Die Phishing-E-Mail enthält in der Regel versteckte HTML-Elemente (z. B. in Schaltflächen eingebettete schädliche Links), die eine Verbindung zu einer betrügerischen Webseite herstellen. Dabei wird ein falscher Vorwand erfunden, um Empfänger dieser Phishing E-Mail dazu zu bringen, auf den schädlichen Link zu klicken.
Dazu benutzen die Angreifer Mittel über Hierarchie, Zeitdruck, Hilfsbereitschaft und/oder Vertrauen, um den Adressaten zu überzeugen. Sobald auf einen schädlichen Link geklickt wird, wird der E-Mail-Empfänger auf eine oder mehrere nicht näher beschriebene Umleitungsseiten weitergeleitet. Letztendlich gelangt das Opfer auf die AitM-Phishing Webseite. Jetzt geht der Angriff von einem Phishing-Betrug in einen vollständigen AitM über. Dabei kommen immer häufiger Methoden zum Ansatz, die es ermöglichen u.a. auch Multi Faktor Systeme auszuhebeln (z.B. über die Übernahme von Session Cookies).
Auswirkungen von AitM-Taktiken
Angriffe wie diese können es dem Täter ermöglichen, sich nahtlos in wichtige Unternehmenssysteme zu schleusen, beispielsweise in geschäftliche E-Mail- oder Cloud-Umgebungen. Dadurch können Angreifer schnellere, effizientere und lukrativere Angriffe ausführen, die vom Einsatz von Ransomware bis hin zu „Business E-Mail Compromise“ (BEC)-Betrug reichen. Angreifer können die AiTM-Position auch dazu nutzen, den Datenverkehr zu überwachen oder zu modifizieren, wie bei der Übertragung von manipulierten Daten
Im Endeffekt können Angreifer eine Stellvertreter-ähnliche Position einnehmen, um den Datenverkehr zu den beabsichtigten Zielen zu übernehmen. Als sinnvolle Tipps zur Prävention von AitM-Angriffen gelten:
- Anti-Phishing-Maßnahmen: Unternehmen sollten sicherstellen, dass es Phishing in den frühesten Stadien des Angriffszyklus stoppen kann. Die Schulung von Mitarbeitern, sowie die Integration strenger Sensibilisierungsprogramme ist außerdem ratsam.
- Monitoring-Tools: CISO-Dashboards, Protokollierungsprogramme und SIEM-Lösungen (Security and Information and Event Management) ermöglichen es Unternehmen, anormale Verhaltensweisen, die auf AitMs hinweisen können, schnell zu erkennen.
- Automatischer Zugangswiderruf: Beibehaltung der Berechtigung zum automatischen Zugriffsentzug, damit Administratoren jederzeit die Zugriffsrechte für jedes Konto verwalten können.
- Konfiguration der Zugriffsrichtlinien: Festlegung von Parametern für die Bestimmung, worauf Benutzer mit ihrem Gerät Zugriff haben.
AitMs sind eine weitverbreite Angriffsmethode, die von den Bedrohungsakteuren immer wieder neu erfunden wird, um ihre Ziele zu erreichen. Anhand der vier aufgezeigten Tipps lässt sich jedoch feststellen, dass sich Unternehmen gegen diese Attacken wappnen können.
Dirk Berger ist SE Manager Security Consulting Strategic Channel Partners bei Check Point Software Technologies.