E-Mail-Sicherheit

    Phishing zum Diebstahl von Zugangsdaten: Zunahme, Risiken und Lösungen

    Der Diebstahl von Anmeldedaten ist weit verbreitet und gefährlich - aber Sie können Ihr Unternehmen und Ihre Benutzer schützen, indem Sie Maßnahmen ergreifen, um E-Mail-Phishing-Angriffe und die Wiederverwendung von Passwörtern zu verhindern.

    by Bill Camarda
    900-getty-woman-in-dark-conf-room.jpg

    Wichtige Punkte

    • Der Diebstahl von Zugangsdaten ist nach wie vor extrem hoch, da böswillige Akteure die größten Sorgen der Benutzer ausnutzen, wie z. B. die COVID-19-Pandemie.
    • Die Wiederverwendung von Passwörtern macht es Kriminellen leicht, gestohlene Anmeldedaten auf weiteren Websites und innerhalb Ihres Netzwerks zu nutzen - und damit potenzielle Opfer von Benutzern und Unternehmen zu werden.
    • Sensibilisierungsschulungen und technische Gegenmaßnahmen können zusammenwirken, um Ihre Risiken zu verringern.

    Der Diebstahl von Zugangsdaten durch E-Mail-Phishing ist zu einem beunruhigend weit verbreiteten Problem geworden - und wird durch die von der COVID-19-Pandemie verursachten Unterbrechungen noch verschärft. Da Benutzer ihre Anmeldedaten häufig über mehrere Standorte hinweg wiederverwenden, können gestohlene Anmeldedaten verwendet werden, um in E-Mail-Systeme oder andere Anlagen des Unternehmens einzudringen, was sowohl für Einzelpersonen als auch für Unternehmen ein wachsendes Risiko darstellt. Laut dem 2019 Data Breach Investigations Report von Verizon [1] sind 29 % der Sicherheitsverletzungen in Unternehmen auf die Verwendung gestohlener Zugangsdaten zurückzuführen.

    COVID-19 Gefälschte Websites und E-Mail-Betrug

    Die COVID-19-Pandemie löste eine Welle von Phishing-Angriffen auf Zugangsdaten aus, die die Ängste und das Informationsbedürfnis der Benutzer ausnutzen. Ein Grund dafür ist, dass solche Phishing-Angriffe im Vergleich zu komplexeren Malware-Exploits mit relativ geringem Kosten- und Arbeitsaufwand durchgeführt werden können - solange sie also effektiv sind, werden Angreifer sie nutzen.

    Im Frühjahr 2020 verzeichnete Mimecast einen massiven Anstieg von gefälschten Websites mit dem Thema Coronavirus, die sich auf aktuelle Fragen der Nutzer zu Infektionsschutz und -tests, finanzielle Unterstützung für Arbeitslose, Änderungen von Steuerfristen und -vorschriften sowie den Status der IRS-Zahlungen für wirtschaftliche Auswirkungen konzentrierten. Auch E-Mail-Phishing-Betrügereien, die Menschen auf solche gefälschten Websites lenken, nahmen rapide zu.

    Darüber hinaus hat Mimecast über 500 verdächtige Domains entdeckt, die sich als Netflix und andere Streaming-Websites ausgeben, darunter Disney+, Amazon Prime Video und YouTube TV. Oftmals fordern solche Seiten Kreditkarteninformationen an, aber sie können auch wichtige persönliche Daten wie Sozialversicherungsnummern abfragen oder Malware installieren, die darauf abzielt, die Anmeldedaten der Endbenutzer zu sammeln.

    In vielen Fällen fordern diese gefälschten Websites Personen auf, ihre bereits vorhandenen "offiziellen" Anmeldedaten einzugeben, oder bieten ihnen ein kostenloses Abonnement an, wenn sie ein neues Konto erstellen und sich anmelden. Diese Anmeldedaten können dann verkauft oder für den Zugang zu anderen Systemen verwendet werden. Wie Thom Bailey, Sr. Director, Product/Strategy bei Mimecast, fest: "Leider verwenden Menschen oft dieselben Benutzernamen und/oder Passwörter auf verschiedenen Websites, so dass sie dieselben Anmeldedaten für geschäftliche oder private Anmeldungen verwenden."

    Die Risiken der Passwortwiederverwendung

    Eine Umfrage von Google/Harris 2019 [2] ergab, dass 52 % der Befragten dasselbe Passwort für mehrere Konten verwenden und weitere 13 % dasselbe Passwort für alle ihre Konten verwenden.

    Dies stellt natürlich ein Risiko für den Einzelnen dar: Cyberkriminelle können versuchen, in die Finanzwebseiten der Benutzer einzudringen, indem sie dasselbe Passwort, dieselbe Benutzer-ID und ähnliche Kombinationen verwenden. Aber es schafft auch ein ernsthaftes Risiko für Ihr Unternehmen. Cyberkriminelle können sich mit gestohlenen Anmeldedaten, die legitim erscheinen, bei den E-Mail-Servern oder anderen Systemen Ihres Unternehmens anmelden und so viele Ihrer herkömmlichen Schutzmaßnahmen umgehen. Wenn Sie öffentliche E-Commerce- oder Finanzdienstleistungsseiten betreiben, können Kriminelle mit legitimen Anmeldedaten betrügerische Transaktionen durchführen - und das ist sowohl ein finanzielles als auch ein Reputationsrisiko.

    Selbst wenn Benutzer gefälschte Websites und E-Mail-Phishing-Angriffe sorgfältig vermeiden, erhöht die wahllose Wiederverwendung von Passwörtern das Risiko, da es bei großen Datenschutzverletzungen zu massiven Diebstählen von Zugangsdaten kommt. Wenn Hacker E-Mail-/Kennwortpaare von einer beliebigen Website stehlen und weitergeben, können sie Angriffe zum Ausfüllen von Anmeldeinformationen durchführen, um herauszufinden, wo diese Paare (oder ähnliche Kombinationen) ebenfalls funktionieren könnten. Um solche Angriffe zu unterstützen, werden weiterhin große Datenbanken mit gestohlenen Zugangsdaten im Dark Web oder auf anderen Plattformen wie Discord verkauft. Medienberichten zufolge standen beispielsweise im April 2020 mehr als eine halbe Million Zoom-Kontozugangsdaten zum Kauf bereit. [3]

    Was Sie gegen den Diebstahl von Zugangsdaten tun können

    Die Schulung des Sicherheitsbewusstseins ist ein Schlüsselelement des grundlegenden "Blockierens und Angreifens", das Unternehmen benötigen, um Menschen und Vermögenswerte vor dem Diebstahl von Zugangsdaten zu schützen. Die meisten Verantwortlichen für Cybersicherheit wissen um die zunehmende Raffinesse von E-Mail-Betrug, E-Mail-Phishing und Spoofing-Angriffen, die auf den Diebstahl von Zugangsdaten abzielen. Aber normale Benutzer - die ihre eigenen Sorgen, Verantwortlichkeiten und Ablenkungen haben, insbesondere wenn sie zu Hause arbeiten - müssen regelmäßig daran erinnert werden.

    Natürlich können auch "bewusste" Mitarbeiter von technischer Unterstützung profitieren, um sich gegen E-Mail-Betrug, Phishing und andere Formen des Social Engineering zu wehren. Diese technischen Maßnahmen könnten umfassen:

    • E-Mail-Sicherheitsdienste, die bösartige Websites kennzeichnen und verhindern, dass Nutzer darauf zugreifen
    • Scans von E-Mail-Kopfzeilen und -Inhalten, um betrügerische Nachrichten unter Quarantäne zu stellen, sie zu verwerfen oder die Benutzer vor ihrer Gefährlichkeit zu warnen
    • Stärkerer Einsatz der Multifaktor-Authentifizierung, damit ein Krimineller nicht nur mit Benutzer-ID und Passwort in Ihr Netzwerk eindringen kann
    • Passwort-Tresore, damit Einzelpersonen verschiedene Passwörter für jede Verwendung erstellen und diese sicher aufbewahren und nutzen können
    • Screening-Tools zum Abgleich neuer oder bestehender Passwörter mit aktualisierten Master-Listen schwacher oder kompromittierter Passwörter sowie "Fuzzy-Logic"-Tools, um zu verhindern, dass Benutzer ihre Passwörter auf eine Weise ändern, die leicht zu erraten ist
    • Begrenzung der Anmeldeversuche mit Passwörtern (beachten Sie jedoch, dass Kriminelle Botnets nutzen können, um den Anschein zu erwecken, dass die Versuche von verschiedenen Standorten aus erfolgen)
    • Abkehr von Passwörtern[4], da Biometrie und Technologien wie der WebAuthn-Authentifizierungsstandard die passwortfreie Authentifizierung immer praktischer machen

    Die Quintessenz

    Kriminelle greifen dort an, wo es am einfachsten ist, und wo Benutzer und Unternehmen am anfälligsten sind. Dazu gehören häufig E-Mail-Phishing und gefälschte Websites, um Anmeldedaten zu erlangen, die für den Zugriff auf Unternehmenssysteme verwendet werden können. Um Ihr Risiko zu verringern, sollten Sie einen mehrschichtigen Ansatz verfolgen, der Sensibilisierungsschulungen mit technischen Gegenmaßnahmen kombiniert.

    [1] 2019 Data Breach Investigations Report , Verizon

    [2] Online Security Survey, Google / Harris Poll , Google

    [3] Gestohlene Zoom-Zugangsdaten: Hacker verkaufen billigen Zugang , Bank Info Security

    [4] Bye Bye Passwords: Neue Wege der Authentifizierung , SANS

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang