Cyberattacken: die gefährlichen 99 Prozent

Cyberkriminelle greifen laut einer Studie in 99 Prozent aller Fälle direkt die Benutzer an – mit Microsoft-Tools als Köder.
 
Cyberkriminelle entwickeln weiterhin Techniken, die mehr auf Menschen als auf Infrastrukturen abzielen und die auf menschlicher Interaktion und weniger auf automatisierten Exploits beruhen. Zu diesem Schluss kommt die Studie "The Human Factor Report" des Security-Unternehmens Proofpoint.
 
Das Vorgehen mit infizierten E-Mails ist seit Jahren bekannt, trotzdem überrascht die Zahl: 99 Prozent der von Proofpoint beobachteten Angriffe erforderten eine menschliche Interaktion, die dann zur Installation von Malware, Offenlegung von Daten und mehr führten. Nur ein Bruchteil der Angriffe setzte auf Exploits und bekannte Software-Schwachstellen, um Systeme zu gefährden.
 
Zu den Kernaussagen des Reports gehören:
 
Erstens: Bei 99 Prozent der beobachteten Bedrohungen war das Aktivieren eines Makros, das Öffnen einer Datei oder das Klicken auf einen Link der Auslöser, was die Bedeutung von Social Engineering für erfolgreiche Angriffe unterstreicht.

Zweitens: Microsoft-Köder bleiben das Hauptangriffsmittel. Fast jede vierte Phishing-E-Mail, die 2018 verschickt wurde, war mit Microsoft-Produkten verknüpft. 2019 waren besonders Phishing-Angriffe wirkungsvoll, die Cloud Storage, DocuSign und Microsoft Cloud Services ausnutzten. Die effizientesten Phishing-Köder konzentrierten sich auf den Diebstahl von Zugangsdaten und das Erzeugen von Feedbackschleifen, die dazu geeignet sind, zukünftige Angriffe, eine Ausbreitung in der kompromittierten Unternehmens-IT und internes Phishing zu ermöglichen.
 
Drittens: Angreifer verfeinern ihre Werkzeuge und Techniken auf der Suche nach finanziellem Gewinn und Informationsdiebstahl. Während "One-to-one-attacks" häufiger auftraten als "One-to-many-attacks", sind vor allem Angriffe mit mehr als fünf Identitäten gegen mehr als fünf Personen in Zielorganisationen erfolgreich.

Viertens: Zu den Top-Malware-Familien der letzten 18 Monate gehörten in der Regel Banktrojaner, Info-Stealers, Remote-Access-Trojaner (RATs) und andere Bedrohungen, die die befallenen Systeme intakt lassen. Vielmehr ist diese Art der Malware darauf ausgelegt, auf infizierten Geräten zu verbleiben und kontinuierlich Daten abzuschöpfen, die den Cyberkriminellen zukünftig potenziell von Nutzen sein können.
 
Angriffsziele sind einfach identifizierbar
Cyberkriminelle haben auch begonnen, sich primär gegen gezielt ausgesuchte Personen in Unternehmen zu wenden, anstatt jeden Benutzer anzugreifen und zu sehen, welche Angriffe erfolgreich sind. Die Studie nennt sie "Very Attacked People" (VAP). Diese VAPs sind Benutzer mit leicht zu durchsuchenden Adressen und Zugang zu sensiblen Daten. Proofpoint fand heraus, dass die Identität und E-Mail-Adressen von 36 Prozent der identifizierten VAPs einfach online über Corporate Websites, Social Media, Publikationen oder eine Google-Suche gefunden werden konnten.
 
Die Top 5 der Phishing-Köder sind laut Studie das generische Sammeln von E-Mail-Anmeldeinformationen, das rund einen Viertel der beobachteten Angriffe ausmachte. Dahinter folgen Phishing bei Office-365-Accounts, das sogenannte "Chalbhai Phishing" bei Banken oder Telekommunikations-Unternehmen sowie Phishing bei Microsoft OWA und OneDrive-Accounts.
 
Entwicklung von Exploits ist wenig profitabel
"Cyberkriminelle zielen hauptsächlich auf Menschen ab, weil das Versenden betrügerischer E-Mails, das Stehlen von Anmeldeinformationen und das Präparieren von Cloud-Anwendungen mit gefährlichen Payloads einfacher und weitaus profitabler ist, als die Entwicklung eines teuren, zeitaufwendigen Exploits, der zudem nur eine geringere Trefferwahrscheinlichkeit aufweist", sagt Kevin Epstein, Vice President of Threat Operations bei Proofpoint.
 
Der menschliche Faktor definiere die Handlungen und Motivationen der meisten Bedrohungsakteure, schreibt Proofpoint im Fazit. Selbst automatisierte Exploits würden häufig so eingesetzt, dass sie immer noch von Benutzern und nicht von Geräten ausgeführt werden müssen. Mit der weit verbreiteten Einführung von SaaS-Plattformen und der zunehmenden Häufigkeit und Komplexität von Betrugsangriffen seien die Herausforderungen für Unternehmen höher denn je: "Menschen bleiben das primäre Ziel von Angreifern und gleichzeitig die letzte Verteidigungslinie für Unternehmen."
 
Die Studie basiert auf den Daten der globalen Kundenbasis von Proofpoint und der Analyse von mehr als einer Milliarde Mail-Nachrichten pro Tag. Proofpoint mit Hauptsitz in Sunnyvale, Kalifornien, bietet unter anderem selber SaaS-Lösungen für E-Mail-Sicherheit an. (paz)