Sie sind hier: Home » Markt » Hinweise & Tipps

Aus Whale-Phishing-Aktivitäten lernen


Diebstahl geistigen Eigentums, Teil 3: Behalten Sie Ihren CEO im Auge
CEOs und andere C-Level-Führungskräfte überprüfen

Von Varonis

(27.10.15) - Hacker setzen bei breit angelegten Angriffen häufig auf Phishing-Methoden, um den ganz normalen Angestellten eines Unternehmens dazu zu bringen, seine Zugangsdaten preis zu geben. Die potenzielle Folge: Kundendaten werden in großem Stil abgezogen. Man kann sich die Urheber solcher Kampagnen ein bisschen vorstellen wie die Walmarts der Cyber-Welt. Sie verkaufen Kreditkartendaten (natürlich auf dem Schwarzmarkt) für ein paar Euro das Stück. Daneben gibt es aber auch Cyber-Gangs (und Regierungen), die ein anderes Ziel ins Visier nehmen. Für sie ist speziell das gehobene Management interessant, denn hier gibt es die Möglichkeit direkt auf das geistige Kapital eines Unternehmens zuzugreifen.

DarkHotel ist eine dieser Elite-Gangs. Sie entwickelte eine Malware, um Spitzenmanager in Luxushotels anzugreifen: Die maßgeschneiderten APTs installierten einen einfachen Keylogger auf den Laptops ihrer Opfer und schickten die Ergebnisse anschließend an ein Netzwerk aus Command-and-Control-Servern.

Warum sollte man seine Zeit mit Kreditkartendaten vergeuden, wenn man kritische Insider-Informationen abgreifen und zweistellige Millionenbeträge mit schnellen Transaktionen an der Börse verdienen kann? Ein ziemlich lukrativer Job...

Whaling
Diese Attacken laufen gemeinhin unter dem Oberbegriff "Whale-Phishing". Aber dahinter steckt mehr als die üblichen Insider- und Outsider-Kategorien.

Der Initiator des Angriffs ist zwar ein Outsider. Doch was er erreichen kann, hängt in hohem Maß von den Gewohnheiten und Verhaltensweisen einer speziellen Gruppe von Insidern ab. Insider, die wahrscheinlich keine Internet-Experten im engeren Sinne sind.

Die DarkHotel-Gang hat es geschafft, die WLAN-Netzwerke von Hotels zu hacken – hauptsächlich in Japan, Korea, Taiwan und China – und Gäste zu überwachen, sobald diese sich angemeldet haben. Diese Spitzen-Führungskräfte erhielten dann eine Meldung mit der Aufforderung, ein Update für eine legitime Software wie Adobe Flash zu installieren. Der Patch enthielt ein äußerst raffiniertes und gut getarntes APT-Paket, das sich selbst auf Kernel-Ebene der betreffenden Laptops installierte.

Laut Experten von Kaspersky Labs, die die Attacke entdeckt haben, zielte die Gang auf "Top-Manager aus den USA und Asien ab, die im Asien-Pazifik-Raum investierten und Geschäfte machten, CEOs, Senior Vice Presidents, Vertriebs- und Marketingleiter und Top-Mitarbeiter aus dem F&E-Bereich."

Die Hacker befolgten einfach die Best Practices des Social Engineering: Man muss die Gewohnheiten und Vorlieben seiner potenziellen Opfer genau kennen und dann den perfekten Ansatzpunkt finden.

Neben Luxushotels nutzen hohe Führungskräfte zusätzlich gerne Fahrdienste. Eine Phishing-E-Mail mit dem Betreff "Rechnung für Limousine" würde sicher das Interesse von Vice Presidents und anderen Mitarbeitern der Chefetage wecken.

Und genau diesen Ansatz hat die Gang für ihre Attacken verwendet. Die angehängte Rechnung im PDF-Format enthielt die entsprechende Malware. Wie bei ganz gewöhnlichen Phishing-E-Mails, die auch "Otto Normalverbraucher" bekommt, wird die Payload durch das Öffnen der Datei geladen.

Wie weit soll die Überwachung gehen?
Natürlich müssen IT-Sicherheitsmaßnahmen alle Mitarbeiter überwachen. Nur so lässt sich der Diebstahl geistigen Eigentums durch Insider oder durch Hacker aufdecken, die den Perimeter-Schutz mithilfe gestohlener oder erratener Zugangsdaten umgehen konnten.
Was wir aus Whale-Phishing-Aktivitäten lernen, ist aber, dass Cyber-Gangs keine Kosten und Mühen scheuen, um proprietäre Inhalte zu stehlen. Die IT sollte also unbedingt die Chefetage ebenfalls überprüfen.

Ein Hinweis für die IT-Sicherheitsabteilung: Für C-Level-Führungskräfte sollten Sie sich über Regeln zu verschiedenen Typen aus der Analyse des Benutzerverhaltens schlau machen und alle Meldungen ernst nehmen. Gehen Sie nicht per se davon aus, dass es sich vermutlich um falsch-positive Ergebnisse handelt.

Wenn Sie eine Warnmeldung erhalten, weil ein Manager eine wichtige Präsentation in einen weniger gut geschützten Bereich des Dateisystems verschoben hat, dann rufen Sie ihn sofort an!

Es ist unserer Ansicht nach nicht notwendig, eine Spezialeinheit von "IT-Bodyguards" einzurichten, die ausschließlich die Chefetage schützen. Doch es ist durchaus sinnvoll, ein bis zwei Mitarbeiter des IT-Sicherheits-Teams zu bitten, ein Auge auf die Aktivitäten der C-Level-Führungskräfte zu haben.

Wenn ein Unternehmen nicht selbst Zeit und Geld investiert, um die Verhaltensweisen und Gewohnheiten seiner Top-Manager kennenzulernen, werden die Hacker das für Sie tun... und der Preis wird sehr viel höher sein. (Varonis: ra)

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Compliance, die gelebt wird

    Trotz strikterer Cybersecurity- und Compliance-Vorgaben behandeln viele KMU die Dokumentation ihrer IT-Infrastruktur noch stiefmütterlich. Dabei birgt fehlende oder unvollständige Dokumentation das Risiko von ineffizientem Troubleshooting und teuren Fehlentscheidungen. Ohne verlässliche Informationen zu Netzstrukturen, Systemabhängigkeiten oder Rechten wird jeder Incident zur Blackbox.

  • Echtzeitüberweisungen gemäß IPR

    Zahlungsdienstleister stehen unter Druck: Bis Oktober dieses Jahres müssen sie die Verification of Payee (VOP) umgesetzt haben und die Versendung von Echtzeitüberweisungen (Instant Payments) möglich machen. NTT Data erklärt die größten Hürden - und wie sie bis zur Deadline überwunden werden können.

  • PCI-DSS und Sichtbarkeit

    Als anerkanntes Security Framework ist der Payment-Card-Industry-Data-Security-Standard (kurz: PCI-DSS) für Anbieter von Kreditkartentransaktionen ein absolutes Compliance-Muss. Tiho Saric, Senior Sales Director bei Gigamon, verrät, wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird.

  • Resilienz kritischer Infrastrukturen stärken

    Mit dem neuen KRITIS-Dachgesetz steht die deutsche Wirtschaft vor einer sicherheitspolitischen Zäsur. Ziel des juristischen Rahmenwerks ist es, die Resilienz kritischer Infrastrukturen zu stärken - und das über alle Sektoren hinweg: von Energie, Wasser und Telekommunikation über Gesundheit und Ernährung bis hin zum Transportwesen. Neben Konzernen geraten nun zunehmend auch mittelständische Betreiber in den Fokus.

  • E-Mails mit geschäftskritischen Inhalten

    Unternehmen, die ein falsches Bild von der grundsätzlichen Aufbewahrung von E-Mails mit geschäftskritischen Inhalten haben, laufen Gefahr, gesetzliche Vorgaben der GoBD oder DSGVO zu missachten. Folglich müssen sie dann mit juristischen und finanziellen Konsequenzen rechnen. Umso erstaunlicher ist es, dass zahlreiche Unternehmen ihrem Schutz noch immer nur wenig Bedeutung beimessen.

Das umstrittene "Recht auf Vergessenwerden" EGVP-Bürger-Client komplett abgeschaltet

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen