Stellen Sie sich einmal den Start in einen ganz gewöhnlichen Arbeitstag vor: Sie kommen morgens ins Büro, holen sich einen Kaffee, setzen sich an den Schreibtisch und schalten Ihren Rechner an. Doch beim Öffnen Ihres E-Mail-Programms ist es mit der Normalität vorbei: Die Zahl der ungelesenen Nachrichten ist über Nacht in den vierstelligen Bereich gestiegen. Ihr Postfach quillt förmlich über. Sie sehen sich die Mails an: Alles Spam.
Und so geht die eingangs geschilderte Situation weiter: Noch bevor der Kaffee seine Wirkung entfalten kann, steigen Blutdruck und Puls. Sie verfassen eine neue E-Mail an den Helpdesk, tippen sich den Frust von der Seele. Und genau in diesem Moment klingelt Ihr Telefon: Der IT-Support ist dran. Man hat Ihr Spam-Problem bemerkt und möchte Ihnen nun helfen. Dazu müssen Sie nur den Fernzugriff auf Ihren Rechner aktivieren. Ohne zu zögern, öffnen Sie AnyDesk – und hängen am Haken.
Mit genau dieser Social-Engineering-Methode hat die Black-Basta-Ransomware-Gruppe im Sommer ihre Opfer überlistet. Zunächst überschwemmten sie die Posteingänge der betroffenen Mitarbeiter mit Tausenden von E-Mails. Diese waren zwar nicht bösartig, aber doch nervig, bestanden sie doch meist aus Newslettern, Anmeldebestätigungen und ähnlichem. Danach gaben sie sich am Telefon als Support-Mitarbeiter aus, um mittels Remote-Zugriff in die Systeme der Opfer einzudringen.
Doch warum warnen wir heute davor?
Black Basta hat die Methode weiterentwickelt: Statt anzurufen, kontaktieren sie ihre Opfer nun über Microsoft Teams, wobei sie sich ebenfalls als IT-Support ausgeben. Sie benennen ihre Nutzerkonten mit entsprechenden Anzeigenamen wie „Help Desk“ und auch die Mandanten-IDs täuschen mit Begriffen wie „Support“, „Security“ und „Microsoft“ einen offiziellen Charakter vor. Das Ziel des Angriffs bleibt dasselbe: Aktivierung des Remote-Zugriffs und in der Folge die Übernahme der Systeme.
Augen auf bei Kollaborations-Tools und Remote-Zugriff
- Was viele nicht wissen: Kollaborations-Tools wie Microsoft Teams funktionieren nicht nur unternehmensintern. In den Standardeinstellungen ist es auch externen Nutzern möglich, mit Mitarbeitenden in Kontakt zu treten. Diese Einstellungen sollten sorgsam geprüft und gegebenenfalls deaktiviert oder auf einen notwendigen Kreis externer Domains beschränkt werden.
- Werden Sie über MS Teams von einem vermeintlichen IT-Support oder anderen „offiziellen“ Stellen kontaktiert, seien Sie misstrauisch. Prüfen Sie, ob es sich dabei tatsächlich um den richtigen Ansprechpartner in Ihrem Unternehmen handelt – und fragen Sie im Zweifelsfall über einen anderen Kommunikationskanal bei diesem nach. Besondere Vorsicht ist geboten, wenn Sie den Remote-Zugriff auf Ihren Rechner ermöglichen oder Dateien installieren sollen.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.