Dropbox und Co. werden für Phishing missbraucht

Onlineplattformen für den Datenaustausch wie Dropbox, OneDrive und Google Drive sind populär. Das haben auch Cyberkriminelle bemerkt und nutzen es aus, warnt Melani. [...]

Haben die Cyberkriminellen einmal Zugang zu einem Konto, können sie prinzipiell dieselben Einstellungen vornehmen wie der Konto-Inhaber. (c) Dropbox

Plattformen für den Dokumentenaustausch à la Dropbox oder zur Zusammenarbeit wie Google Docs sind beliebt. Anwendern wird dabei erlaubt, Dokumente online zu teilen und sogar auf ganze Bürosysteme online zuzugreifen. Manchmal reicht nur ein Passwort, um Zugriff auf ein E-Mail-Konto, aber auch auf diverse andere Dokumente zu erhalten.

Es ist deshalb nicht verwunderlich, dass diese Zugangsdaten von grossem Interesse für Phisher sind. Entsprechend häuften sich die entsprechenden Angriffe, wie die Melde- und Analysestelle Informationssicherheit des Bundes (Melani) warnt. Zudem werde das Kompromittieren eines ersten Kontos oft als weiterführender Angriffsvektor gegen die anderen Mitarbeitenden und die Firmeninfrastruktur verwendet.

So hat Melani in den letzten Monaten Meldungen zu zahlreichen Phishing-Attacken erhalten, die solche Plattformen imitieren und versuchen, an Zugangsdaten zu gelangen. Zum Beispiel werden die Webseiten von Microsoft Office 365 oder OneDrive nachgebaut. Die Qualität und die Art der E-Mails unterscheide sich stark, berichten Cyberexperten des Bundes. Bei gewissen E-Mails werde der Empfänger gebeten, sich zu identifizieren, um ein Problem mit seinem Konto zu lösen, oder aber aufgefordert, ein mit ihm geteiltes Dokument anzuschauen. In allen Fällen werde der Empfänger auf eine Phishing-Seite weitergeleitet, welche die Seite des Anbieters imitiert, heisst es. Dort soll dann der Benutzername und das Passwort eingegeben werden.

Weitreichende Folgen

Haben die Cyberkriminellen einmal Zugang zu einem Konto, können sie prinzipiell dieselben Einstellungen vornehmen wie der Konto-Inhaber. Konkret nennt Melani folgende Optionen:

  • Die Angreifer können eine E-Mail-Weiterleitung einrichten, sodass sie Zugang zur gesamten Korrespondenz der geschädigten Person haben. Die Weiterleitung erfolgt oft mittels Kopie, sodass dies für den Konto-Inhaber nicht erkennbar ist.
  • Wenn das E-Mail-Konto der Plattform als Rücksetz-E-Mail-Adresse für weitere Dienste verwendet wird, könnte ein Angreifer entsprechende Passwörter zurücksetzen lassen und so Zugang zu weiteren Diensten gewinnen.
  • Angreifer können sich Zugang zu weiteren Dokumenten verschaffen, soweit die Rechte des Benutzers dies zulassen. Sie können aber auch andere Benutzer im Namen ihres Opfers für die Freigabe von Dokumenten anfragen. Da diese annehmen, dass dies von einem Kollegen geschieht, werden sie diesem Wunsch oft nachkommen.

Goldmine für Phisher

Für Kriminelle seien solche Zugangsdaten somit eine Goldmine, die es ihnen erlaube, relevante Informationen für einen maßgeschneiderten Betrugsversuch zu sammeln, berichtet Melani weiter.

Sobald ein Konto kompromittiert ist, können gemäß Melani alle Kontakte der geschädigten Person betroffen sein. So würden dann oft E-Mails mit Malware oder Phishing-Schreiben verschickt. Da diese vom Konto des Kollegen oder Geschäftspartners zu kommen scheinen, sind die entsprechenden Mails sehr glaubhaft und ein Erfolg des Phishing-Versuch wird noch wahrscheinlicher. Die Folge: Mit dieser Methode können die Angreifer weitere Zugänge im Netzwerk gewinnen.

Wie soll man vorgehen?

Melani empfiehlt Firmen und Privatanwendern, folgende Maßnahmen zu ergreifen, die sowohl technischer als auch organisatorischer Art sind:
  • Nutzen Sie eine Zwei-Faktor-Authentifizierung, wo immer diese verfügbar ist.
  • Es wird empfohlen, einen Dienst zu wählen, der genügend Logging-Funktionalität bietet und die Logs in geeigneter Form für Kunden zur Verfügung stellt.
  • Es wird empfohlen, nach anormalen Aktionen bei den Konten der Mitarbeitenden zu suchen: Zugang von ungewöhnlichen Orten oder zu unüblichen Zeiten, Hinzufügen von E-Mail-Weiterleitungen etc.
  • Mails sollten (zumindest intern) immer digital signiert sein und Benutzer darauf trainiert werden, Mails ohne eine entsprechende Signatur besonders vorsichtig zu behandeln.
  • Beim Versand legitimer E-Mails mit hohem Missbrauchspotenzial für Phishing, wie z.B. der elektronische Versand von Rechnungen, sollte darauf geachtet werden, dass die Links nicht hinter HTML-Text versteckt sind und dass die Mails und/oder Dokumente digital signiert sind.
  • Damit die eigene Domain weniger einfach für Phishing-Versuche missbraucht werden kann, sollten SPF-, DKIM- und DMARC-Protokolle eingerichtet werden. Dies ist auch bei einigen der grossen Collaboration-Providern möglich wie z.B. bei Office 365.
  • Zudem sollten die Mitarbeitenden bezüglich des Phishing-Phänomens sensibilisiert werden: Es ist unerlässlich, dass die Mitarbeitenden in der Erkennung und dem Umgang mit suspekten und betrügerischen E-Mails geschult werden. Sensibilisierte Mitarbeitende wissen, dass sie bei suspekten oder betrügerischen E-Mails auf keine Links klicken oder Anhänge öffnen sollen, sondern umgehend die Vorgesetzten oder die IT-Verantwortlichen informieren sollten.

Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*