Sie sind hier: Home » Markt » Hinweise & Tipps

Aus Whale-Phishing-Aktivitäten lernen


Diebstahl geistigen Eigentums, Teil 3: Behalten Sie Ihren CEO im Auge
CEOs und andere C-Level-Führungskräfte überprüfen

Von Varonis

(27.10.15) - Hacker setzen bei breit angelegten Angriffen häufig auf Phishing-Methoden, um den ganz normalen Angestellten eines Unternehmens dazu zu bringen, seine Zugangsdaten preis zu geben. Die potenzielle Folge: Kundendaten werden in großem Stil abgezogen. Man kann sich die Urheber solcher Kampagnen ein bisschen vorstellen wie die Walmarts der Cyber-Welt. Sie verkaufen Kreditkartendaten (natürlich auf dem Schwarzmarkt) für ein paar Euro das Stück. Daneben gibt es aber auch Cyber-Gangs (und Regierungen), die ein anderes Ziel ins Visier nehmen. Für sie ist speziell das gehobene Management interessant, denn hier gibt es die Möglichkeit direkt auf das geistige Kapital eines Unternehmens zuzugreifen.

Lesen Sie zum Thema Phishing auch: IT SecCity.de (www.itseccity.de)

DarkHotel ist eine dieser Elite-Gangs. Sie entwickelte eine Malware, um Spitzenmanager in Luxushotels anzugreifen: Die maßgeschneiderten APTs installierten einen einfachen Keylogger auf den Laptops ihrer Opfer und schickten die Ergebnisse anschließend an ein Netzwerk aus Command-and-Control-Servern.

Warum sollte man seine Zeit mit Kreditkartendaten vergeuden, wenn man kritische Insider-Informationen abgreifen und zweistellige Millionenbeträge mit schnellen Transaktionen an der Börse verdienen kann? Ein ziemlich lukrativer Job...

Whaling
Diese Attacken laufen gemeinhin unter dem Oberbegriff "Whale-Phishing". Aber dahinter steckt mehr als die üblichen Insider- und Outsider-Kategorien.

Der Initiator des Angriffs ist zwar ein Outsider. Doch was er erreichen kann, hängt in hohem Maß von den Gewohnheiten und Verhaltensweisen einer speziellen Gruppe von Insidern ab. Insider, die wahrscheinlich keine Internet-Experten im engeren Sinne sind.

Die DarkHotel-Gang hat es geschafft, die WLAN-Netzwerke von Hotels zu hacken – hauptsächlich in Japan, Korea, Taiwan und China – und Gäste zu überwachen, sobald diese sich angemeldet haben. Diese Spitzen-Führungskräfte erhielten dann eine Meldung mit der Aufforderung, ein Update für eine legitime Software wie Adobe Flash zu installieren. Der Patch enthielt ein äußerst raffiniertes und gut getarntes APT-Paket, das sich selbst auf Kernel-Ebene der betreffenden Laptops installierte.

Laut Experten von Kaspersky Labs, die die Attacke entdeckt haben, zielte die Gang auf "Top-Manager aus den USA und Asien ab, die im Asien-Pazifik-Raum investierten und Geschäfte machten, CEOs, Senior Vice Presidents, Vertriebs- und Marketingleiter und Top-Mitarbeiter aus dem F&E-Bereich."

Die Hacker befolgten einfach die Best Practices des Social Engineering: Man muss die Gewohnheiten und Vorlieben seiner potenziellen Opfer genau kennen und dann den perfekten Ansatzpunkt finden.

Neben Luxushotels nutzen hohe Führungskräfte zusätzlich gerne Fahrdienste. Eine Phishing-E-Mail mit dem Betreff "Rechnung für Limousine" würde sicher das Interesse von Vice Presidents und anderen Mitarbeitern der Chefetage wecken.

Und genau diesen Ansatz hat die Gang für ihre Attacken verwendet. Die angehängte Rechnung im PDF-Format enthielt die entsprechende Malware. Wie bei ganz gewöhnlichen Phishing-E-Mails, die auch "Otto Normalverbraucher" bekommt, wird die Payload durch das Öffnen der Datei geladen.

Wie weit soll die Überwachung gehen?
Natürlich müssen IT-Sicherheitsmaßnahmen alle Mitarbeiter überwachen. Nur so lässt sich der Diebstahl geistigen Eigentums durch Insider oder durch Hacker aufdecken, die den Perimeter-Schutz mithilfe gestohlener oder erratener Zugangsdaten umgehen konnten.
Was wir aus Whale-Phishing-Aktivitäten lernen, ist aber, dass Cyber-Gangs keine Kosten und Mühen scheuen, um proprietäre Inhalte zu stehlen. Die IT sollte also unbedingt die Chefetage ebenfalls überprüfen.

Ein Hinweis für die IT-Sicherheitsabteilung: Für C-Level-Führungskräfte sollten Sie sich über Regeln zu verschiedenen Typen aus der Analyse des Benutzerverhaltens schlau machen und alle Meldungen ernst nehmen. Gehen Sie nicht per se davon aus, dass es sich vermutlich um falsch-positive Ergebnisse handelt.

Wenn Sie eine Warnmeldung erhalten, weil ein Manager eine wichtige Präsentation in einen weniger gut geschützten Bereich des Dateisystems verschoben hat, dann rufen Sie ihn sofort an!

Es ist unserer Ansicht nach nicht notwendig, eine Spezialeinheit von "IT-Bodyguards" einzurichten, die ausschließlich die Chefetage schützen. Doch es ist durchaus sinnvoll, ein bis zwei Mitarbeiter des IT-Sicherheits-Teams zu bitten, ein Auge auf die Aktivitäten der C-Level-Führungskräfte zu haben.

Wenn ein Unternehmen nicht selbst Zeit und Geld investiert, um die Verhaltensweisen und Gewohnheiten seiner Top-Manager kennenzulernen, werden die Hacker das für Sie tun... und der Preis wird sehr viel höher sein. (Varonis: ra)

Varonis Systems: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Stresstest der Europäischen Zentralbank

    Am 2. Januar 2024 hat der Stresstest der Europäischen Zentralbank für große Institute im Euroraum begonnen. Insgesamt sind mehr als 100 Banken betroffen, ein tiefer gehender Test steht im Nachgang für über 20 dieser Banken an. Mit der "Trockenübung" eines Cyberangriffs möchte die EZB Melde- und Wiederherstellungsprozesse der Banken prüfen. Welche größeren Schwachstellen wird die EZB dabei identifizieren?

  • Compliance, Regulierung und betriebliche Risiken

    Betriebsleiter jonglieren täglich mit unterschiedlichen Risiken. Es ist ihre Aufgabe, bestehende Risiken zu bewerten und abzuschwächen sowie Strategien zur Vermeidung künftiger Risiken zu entwickeln. Dabei steht viel auf dem Spiel: Risikofolgen reichen von Produktivitätsverlusten - während die Mitarbeiter mit der Behebung von Fehlern beschäftigt sind - bis hin zu Geldverschwendung, wenn Fristen und Fortschritte nicht eingehalten werden.

  • An der Quelle der Informationen beginnen

    Im Kontext steigender Cyberbedrohungen gewinnt die strikte Einhaltung bzw. Umsetzung entsprechender Compliance-Vorschriften stetig an Bedeutung. Als Bereitsteller kritischer Infrastruktur gilt insbesondere für Finanzunternehmen, IT-Ausfälle und sicherheitsrelevante Vorfälle zu verhindern, um für die Aufrechterhaltung des Betriebs zu sorgen.

  • DORA-Compliance komplex

    Bereits im Januar 2023 ist der Digital Operational Resilience Act (DORA), eine Verordnung der europäischen Union, in Kraft getreten. Umzusetzen ist das EU-Gesetz bis zum 17.01.2025. Obwohl es sich vorrangig an den Finanzsektor richtet, können auch andere Unternehmen, wie beispielsweise IT-Dienstleister davon betroffen sein.

  • Umsetzung der ESG-Verordnung

    Im Sommer 2021 wurde von der EU das "Europäische Klimagesetz" verabschiedet. Es soll helfen, den Klimaschutz spürbar voranzutreiben. Eine der beschlossenen Maßnahmen ist das sogenannte ESG-Reporting, das viele Unternehmen erst einmal vor Herausforderungen stellt.

Das umstrittene "Recht auf Vergessenwerden" EGVP-Bürger-Client komplett abgeschaltet

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen