Cloud
Aus der Sicht des Betrogenen
Menschen zu überlisten, dient Tätern als Einfallstor in Unternehmen. Deshalb ist es wichtig, dass User die psychologischen Tricks möglicher Angreifer kennen und durchschauen. Das Beispiel eines Support Scams zeigt, was dabei psychisch und technisch abläuft.
Save to Folio
Etwa eine Billiarde (englisch 1 Trillion) Dollar wird jedes Jahr durch Internetkriminalität umgesetzt. Wäre die Kriminalität ein Staat würde sie nach BIP irgendwo zwischen der Schweiz und Saudi Arabien unter den Top 20 größten Volkswirtschaften rangieren. Es wird viel darüber geschrieben, welche Methoden Täter verwenden, um die Opfer auszutricksen. Aber wer fällt darauf herein? Tatsächlich können alle Menschen Opfer von Betrügereien werden. Und da scheint es auch nicht zu helfen, wenn darüber viel zu lesen ist. Denn wer in einer Betrugssituation steckt, sieht die Welt anders. Was geht im Kopf eines Mitarbeiters dabei vor, warum funktioniert der Betrug, und wie lässt sich dem entgegen wirken?
Der Support Scam
Montag Morgen im Büro:
Nanu, was ist das denn? 1000 neue Mails … und auf einmal? Das kann doch gar nicht sein… und alles nur Müll. Ich kenn weder die Absender, noch haben die Betreffzeilen etwas mit mir zu tun. Da hat unsere IT wohl mal wieder Mist gebaut. Aber wie soll ich jetzt bei all dem Müll die Mails herausfinden, die wirklich für mich wichtig sind? Da wird unsere IT aber was von mir zu hören kriegen.
Nanu, ein neuer Teams-Kanal? Microsoft Helpdesk nennt sich das, und sie schreiben mich an? Sie haben gerade festgestellt, dass ich auch zu den Opfern der Mail-Flut gehöre. Na schön, dann muss ich ja nicht mehr selbst ein Ticket öffnen. Müsste sowieso erst einmal nachlesen, wie unser aktueller Prozess überhaupt funktioniert.
Aha, es ist nur bei einigen wenigen etwas schiefgelaufen. Na, hab ich wohl wieder das große Los gezogen. Ich soll eine kleine einfache Anpassung durchführen. Warum macht ihr das eigentlich… ach so, na klar… Privacy. Also, dann mal her mit dem Link. Gut, dass sie das über Teams gemacht haben. Über Mail hätt ich ihnen das sofort als bedenklich zurückgeschickt.
Also dann, Link geklickt und Passwort eingegeben. Diese ständigen MFA Verifizierungen gehen einem ja sowas von auf den Geist…
Was ist schief gelaufen?
Dieser zielgerichtete Angriff wurde mehrfach erfolgreich gegen Unternehmen angewendet. Die betroffenen Nutzer waren in der Regel ahnungslos, bis sie von der IT befragt wurden.
Die Täter wenden verschiedene psychologische Tricks an
- Schockmoment: Mail-Flut: Moderne Spamfilter sind in der Lage, unsere Inboxen von Müll weitgehend frei zu halten. Kommt es doch zu einem hohen Aufkommen von Mail-Müll, liegt die Vermutung nahe, dass es sich um einen IT-Fehler handelt. Die Mail-Flut wurde von den Tätern akribisch vorbereitet. Mehrere Bots versendeten Kopien von tatsächlich harmlosen Mails, die einer Cybererkennung entgehen. Das Opfer sollte den Eindruck eines IT-Fehlers haben.
- Kontaktaufnahme über Teams: Vielen Menschen ist nicht bekannt, dass Microsoft Teams nicht nur der internen Kommunikation dient, sondern zur vereinfachten Zusammenarbeit mit externen Unternehmen nach außen offen sein kann. Einem Kontakt über Teams vertrauen User also stärker als einem über andere Kommunikationsmedien.
- Korrelation: Der Mitarbeiter erkennt einen Zusammenhang zwischen dem Support Call – hier über Teams – und einem tatsächlich erlebten „Problem“. Diesen Zusammenhang zu konstruieren, ist die „Kunst“ beim so genannten „Support Scam“. Im Fall von Privatangriffen wird oft auch die technische Unkenntnis des Opfers ausgenutzt.
- Isolierung des Opfers: Den Tätern ist nicht bekannt, ob das Opfer Kontakt zu anderen Mitarbeitern oder sogar zum Helpdesk hatte. Deshalb ist es wichtig, ihm seine Einzigartigkeit klarzumachen. Nur der gegenwärtige Support-Kontakt kann ihm helfen. Oft wird dabei auch noch eine gewisse Dringlichkeit signalisiert, denn je weniger das Opfer überlegen kann, desto einfacher für die Täter. In der hier geschilderten Situation ist ein Aufruf zur Dringlichkeit nicht erfolgt. Die Vertrauensstellung über Teams wurde hergestellt und der konstruierte Support-Case ist für den Mitarbeiter bereits Anlass genug tätig zu werden.
- Privacy als Angriffswerkzeug: Zugriff auf ein System, auf Daten oder in diesem Falle auf ein Login, sind durch Sicherheitsmechanismen geschützt. Täter brauchen die aktive Mithilfe ihres Opfers, um Zugang zu erhalten. Um zu erklären, dass man selbst als „Unternehmens IT“ nicht alles einstellen kann, wird oft der Begriff „Privacy“ verwendet. Die meisten Menschen verstehen unter „Privacy“ alles, was sie selbst betrifft, und akzeptieren es, wenn ihnen mitgeteilt wird, dass nur sie auf bestimmte Daten zugreifen können. Tatsächlich erzeugt es sogar Vertrauen in den Support, wenn mitgeteilt wird, dass man aus Gründen der „Privacy“ eben nicht selbst tätig werden kann, sondern den Betroffenen bitten muss.
- Security Fatique: Gerade weil die Absicherung bestimmter Bereiche durch Technologie erfolgt und Multifaktor-Authentifizierung (MFA) zum alltäglichen Brot wird, erzeugt dies bei Menschen eine gewisse Ermüdung in Bezug auf die Wachsamkeit. Und hier ruft schließlich der Support an und sagt, er kann nicht selbst zugreifen.
- Technik der Angreifer: Die Kontaktaufnahme über Teams und das Einsenden tausender E-Mails erfordert Aufwand seitens der Täter. Zudem muss man das Opfer persönlich ansprechen. Die Verbindung auf den Office365-Account wird gefälscht. Das Opfer erhält einen irreführenden Link, über den seine Eingabe im Klartext übernommen wird. Parallel greifen die Täter auf den tatsächlichen Office365-Account zu, den das Opfer auch mit seiner MFA-Freigabe verifiziert. Zu den ersten weiteren Maßnahmen zählt die Einstellung der gefälschten E-Mails, um dem Opfer die Illusion zu geben es hätte geklappt. Parallel wird in der etablierten Sitzung die MFA Verifikation umgestellt, so dass sich die Täter künftig selbst freischalten können.
Was können Verteidiger tun?
Schulungen haben den Sinn, Menschen auf mögliche Angriffswege vorzubereiten. Dazu zählt auch, den Schulungsteilnehmern die psychologischen Tricks möglicher Angreifer bewusst zu machen, so dass sie in einer solchen Situation möglicherweise einen Aha-Effekt erleben und anders reagieren. Selbstverständlich müssen sie über die eingesetzten Tools -- hier MS Teams -- Bescheid wissen. Ebenso sollten die Prozesse, wie das Aufsetzen eines Support-Tickets oder die Einhaltung von Zahlungsvorschriften, genau bekannt sein.
Der Mensch kann viele Angriffe als erste Instanz aufhalten. Im Bereich zielgerichteter Attacken wird es für ihn allerdings u.a. durch die Verfügbarkeit von künstlicher Intelligenz zunehmend schwieriger, diese noch als solche zu erkennen. Hier ist nun Technologie gefragt.
Im Zero Trust-Verfahren müssen sich Mitarbeiter zunächst verifizieren, bevor der Zugriff auf Daten gestattet wird. Im geschilderten Fall ist aber genau das passiert. Der Mitarbeiter selbst wurde davon überzeugt, die Verbindung zu öffnen. Hier greifen Zero Trust-Verfahren, die mit Attack Surface Risk Management bzw. übergreifendem Detection-and-Response (XDR) gekoppelt sind. Denn diese erkennen die Einwahl einer zweiten Person aus einer anderen Geolokation. Dies ist nur möglich, wenn die Einwahldaten korrumpiert wurden. Eine Sperrung solcher Daten kann automatisiert eingerichtet werden. Zudem wird die IT-Sicherheitsabteilung über den Vorfall unterrichtet und kann weitere Maßnahmen einleiten.
Da die Absicht der Täter bei derartigen Angriffen unbekannt ist, müssen alle Aktivitäten überprüft werden, die im fraglichen Zeitraum zwischen Beginn des Angriffs und der Aufdeckung durch die IT erfolgt sind. Eine der ersten Aktionen, die Täter in solchen Fällen durchführen, ist das Aufbauen einer Persistenz. So wurde mehrfach versucht, die Multifaktor-Authentifizierung umzustellen. Auch wird versucht, andere Standbeine im Netz einzurichten. Oft werden dazu einfach Mails im Namen des Opfers an interne oder externe Kontakte versendet, die weitere Angriffsoptionen für Täter eröffnen. XDR unterstützt auch hier, weitere Indikatoren zu erkennen und Gegenmaßnahmen zu definieren.
War man nicht in der Lage, den Zugriff der Täter sofort abzublocken, besteht eine hohe Wahrscheinlichkeit, dass auch Dritte z.B. die Lieferkette, einbezogen wurde. Ist dies der Fall, sollten diese unverzüglich über den Vorfall informiert werden.
Fazit
Für die Täter ist Betrug eine Mischung aus Spiel bzw. Nervenkitzel und Geld verdienen. Sie werden es immer wieder versuchen und dabei neue Methoden ausprobieren. Es sollte nicht unterschätzt werden, dass hier oft Spezialisten am Werk sind, die Zugänge als Servicedienstleistung offerieren (sog. Access as a Service). Zudem ist das persönliche Risiko selbst bei einer Entdeckung minimal. Sind sie erfolgreich werden die gelegten Zugänge meist weiterverkauft.
Es ist dabei nicht auszuschließen, dass ein Angriff auf kleinere Unternehmen der Vorbereitung einer Attacke auf Größere dient – so genanntes „Island Hopping“. Ziel ist dann nicht das eigene Unternehmen, sondern Zugriff auf eine Mailbox mit Kontakten zu Partnern in der Lieferkette. Gelingt es Tätern tatsächlich, Zugang – selbst für kurze Zeit – zu erlangen, muss deshalb festgestellt werden, was sie alles erreicht haben. Der Mensch kann als wertvoller Unterstützer viele Angriffe abwehren. Aber bei immer neueren technischen Möglichkeiten auch für die Angreifer wird er sich immer schwerer tun. Darauf müssen sich Unternehmen vorbereiten.