:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
So schützen Sie sich vor der neuen Masche der Datendiebe Spear-Phishing mit Google Drive-Freigaben
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Phishing ist fast so alt wie das Internet – doch nach wie vor lukrativ und erfolgreich. Dabei verfeinern Angreifer ihre Techniken zunehmend, umgehen die Abwehrmaßnahmen von E-Mail-Anbietern und erschließen neue Angriffsflächen. Wir zeigen, welche Rolle Cloudspeicher dabei spielen und wie Unternehmen arglistige Angriffe auf Google Drive abwehren können.
Zwar fallen auch heute noch Nutzer auf gefälschte E-Mails herein und geben so wichtige Informationen über sich und ihre Konten preis. Allerdings sind diese Angriffe so verbreitet, dass alle großen E-Mail-Anbieter über eingebaute Anti-Phishing-Funktionen verfügen. Diese verbesserte E-Mail-Sicherheit hat Hacker dazu gezwungen, kreativ zu werden, wenn es darum geht, ihre bösartigen Links in den Posteingang zu bekommen. Derzeit nutzen gewiefte Betrüger häufig die Freigabefunktionen von Google Drive für Spear-Phishing, um die Konten ihrer Opfer zu kompromittieren. Wie sie dabei vorgehen, zeigen wir hier.
In diesem Spear-Phishing-„Tutorial“ geben wir uns als (falsche) Varonis-Führungskraft Mike T. Kettle aus und bitten einen ahnungslosen Varonis-Mitarbeiter, sich in seinem Mitarbeiterkonto anzumelden, um dem Manager bei einem wichtigen Projekt zu helfen. Beim Teilen dieser gefälschten Dokumente besteht der erste Schritt des Betrügers normalerweise darin, das Kontrollkästchen zu deaktivieren, das eine E-Mail-Benachrichtigung sendet. Der Grund hierfür ist ganz einfach: Wenn die potenziellen Ziele per Mail benachrichtigt würden, könnte die Absender-Adresse sie auf den Betrug hinweisen. Einige Angreifer erstellen womöglich ein einigermaßen „authentisches“ Konto, also etwa MikeTKettle@gmail.com. Weniger versierte Nutzer könnten so dazu verleitet werden, das Dokument zu öffnen, da der Name ja vertraut erscheint – ohne besonders zu beachten, dass die Nachricht nicht von einer offiziellen Unternehmensdomain gesendet wurde.
In aller Regel wird jedoch die E-Mail-Benachrichtigung deaktiviert, was zur Folge hat, dass Angreifer ihren Angelhaken für eine Weile im Wasser lassen müssen. Sie warten und setzen darauf, dass das Opfer bei der nächsten Nutzung seines Google Drive auf das Dokument stößt. Und das ist nicht unwahrscheinlich: Das betrügerische Dokument erscheint in „Meine Ablage“ und enthält nur den Namen des Absenders, jedoch keine verdächtige Mail-Adresse.
Wenn der Benutzer das Dokument öffnet, findet er in ihm einen Link, der ihn beispielsweise angeblich zu einem wichtigen Dokument von Mike weiterleitet oder es wird suggeriert, dass sich der Nutzer aufgrund der Sensibilität des Inhaltes speziell anmelden muss. Auf jeden Fall wird das Opfer beim Klicken auf den Link auf eine externe Website weitergeleitet, die (aus Angreifer-Sicht idealerweise) der Login-Seite des entsprechenden Unternehmens nachempfunden ist. Hierzu stehen den Angreifern Tools wie Evilginx zur Verfügung, die ihnen bei der Erstellung von authentisch aussehenden Phishing-Seiten helfen. Sobald der Nutzer seine Kontoinformationen eingegeben hat und auf „Login“ klickt, haben die Angreifer seine Anmeldedaten gespeichert und sein Konto ist kompromittiert. Neben dem Abgreifen von Kontoinformationen kann diese Angriffsart auch dazu verwendet werden, Nutzer auf Umfragen zu leiten, bei denen (subtil) versucht wird, sensible Details wie Antworten auf allgemeine Sicherheitsfragen in Erfahrung zu bringen.
Wie man das Google Drive-Phishing-Risiko reduziert
Derzeit gestaltet sich die Abwehr dieses Angriffs noch schwierig. Google tut sein Bestes, um diese Technik zu bekämpfen, aber anders als bei Google Mail ist es noch nicht gelungen, einen SPAM-Filter direkt in Google Drive zu implementieren, um diese Dokumente abzufangen. Deshalb ist es an den Unternehmen und Nutzern, sich vor dieser Masche zu schützen.
Wie bei allen Arten von Phishing liegt auch hier der Schlüssel in der Aufklärung und Sensibilisierung der Mitarbeiter. Sicherheitsverantwortliche müssen also stets auf dem Laufenden über neue Techniken und Taktiken sein und diese Erkenntnisse entsprechend kommunizieren. Nur so lassen sich die Mitarbeiter als erste (und wesentliche) Verteidigungslinie stärken. Die Nutzer müssen wissen, dass sie auch in geteilten Google-Dokumenten nicht auf verdächtige Links klicken oder persönliche Informationen eingeben sollten.
Darüber hinaus können Unternehmen auch proaktiv gegen diese Angriffsart vorgehen, indem sie eine strengere Kontrolle darüber einrichten, wer Dokumente per E-Mail an Mitarbeiter senden und freigeben kann. Wenn man also die Liste der externen Parteien auf vertrauenswürdige Partner beschränkt, kann man verhindern, dass diese gefährlichen Dokumente in den Google Drive-Ordnern der Benutzer auftauchen. Dieser „Whitelisting“-Ansatz bringt aber bekannte Nachteile: Die Listen müssen aufwändig gepflegt und stets auf dem aktuellen Stand gehalten werden. Es besteht so immer die Möglichkeit, dass legitime externe Partner herausgefiltert werden, was möglicherweise geschäftsschädigende Folgen haben könnte.
Um sich effektiv zu schützen, sollten Unternehmen auf Bedrohungserkennungs- und -reaktionslösungen setzen, die bei verdächtigen Aktivitäten sowohl lokal als auch in der Cloud Alarm schlagen, verdächtige Dokumente und E-Mail-Adressen markieren und Sicherheitsteams benachrichtigen, wenn ein Konto möglicherweise kompromittiert wurde. In Zeiten, in denen sich der Perimeter immer mehr auflöst, kommt es nicht mehr (nur) darauf an, Angreifer „draußen“ zu halten. Moderne Lösungen müssen auch Attacken abwehren können, wenn sich die Angreifer schon in den Systemen befinden – ganz unabhängig vom Angriffsvektor. Entsprechend kommt der intelligenten Analyse des Nutzerverhaltens eine Schlüsselrolle zu: Ungewöhnliches Verhalten muss erkannt und (automatisch) gestoppt werden können. Auf diese Weise ist man auch sicher vor den nächsten Phishing-Trends.
Über den Autor: Michael Scheffler, Country Manager DACH von Varonis Systems.
(ID:47469547)
:quality(80)/images.vogel.de/vogelonline/bdb/1945800/1945861/original.jpg "Microsoft 365 ist für Unternehmen auf der ganzen Welt ein wichtiges Tool bei der Zusammenarbeit von entfernten, vermehrt die Cloud nutzenden Mitarbeitern. Aber wer sich auf die Zugänglichkeit von Microsoft 365 verlässt, muss auch darauf vorbereitet sein, dass Angreifer das Gleiche tun. (peshkov - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923668/original.jpg "Bei rein digitalem Kontakt, auch zu bekannten Personen und Kollegen, ist erhöhte Vorsicht geboten, weshalb Nutzer alle Links – auch solche von legitimen Absendern – immer mit Vorsicht behandeln sollten. (gemeinfrei)")