22.09.2022 – Kategorie: IT-Sicherheit

Cyberangriffe: Warum feindliche Kontoübernahmen so gefährlich bleiben

Quelle: Skórzewiak - stock.adobe.com

Datenlecks nach Sicherheitsvorfällen gehören nach wie vor zum Standardrepertoire von Cyberkriminellen. Durch solche Cyberangriffe können sie personenbezogene Daten erbeuten.

Zu den Ransomware-Wellen gehört insbesondere die Veröffentlichung von personenbezogenen Daten auf Leak-Seiten. Zuletzt fanden sich personenbezogene Daten von Kunden der Mainzer Stadtwerke auf einem Marktplatz im Darknet wieder. Das Hasso-Plattner-Institut (HPI) erfasst Monat für Monat Millionen von Datenlecks kompromittierter Konten. Für das abgelaufene Jahr zählte die Organisation 184,65 Millionen durch Cyberangriffe kompromittierte Nutzerkonten, also feindliche Kontoübernahmen (Account Takeover).

Doch nicht nur am Ende des Kreislaufs stehen Nutzerkonten, sondern auch am Anfang des Cyberangriffs. Weitere Untersuchungen wie der Verizon Data Breach Report 2022 belegen, dass 61 Prozent der Datenschutzverletzungen das Ergebnis kompromittierter Anmeldedaten sind. Cyberkriminelle haben sich inzwischen weltweit professionalisiert und arbeiten länderübergreifend zusammen. Mit gestohlenen oder im Darknet von anderen Gruppierungen gekauften Zugangsdaten verschaffen sich Cyberkriminelle Zugriff auf weitere Informationen und stehlen weitere Daten, ein Kreislauf, der nie endet. Das Ziel besteht darin nicht autorisierte Transaktionen durchzuführen und sich an den Opfern zu bereichern.

Cyberangriffe: Schutz durch PSD2

In den letzten Jahren haben staatliche Institutionen sowohl national als auch international versucht, die Hürden durch Regelungen wie die PSD2 für Cyberkriminelle zu erhöhen. Für viele kleinere und mittlere Unternehmen, besonders im Handel und Einzelhandel, reichen diese Regularien jedoch nicht, denn sie haben schlicht nicht die Fachleute und IT-Budgets, um die Schutzmauern so hoch zu ziehen, dass sie Online-Betrug und verdächtiges Verhalten bei Nutzerkonten unmittelbar erkennen und die Accounts sperren können. Das Problem ist nach wie vor, dass mit vielen bestehenden Mechanismen wie der Passwortzurücksetzung und Registrierungen es professionellen Betrügern leicht gemacht wird, Konten zu kompromittieren oder aber im Namen von Unschuldigen Konten zu eröffnen und ihren Betrug dann im Namen der Opfer durchzuführen.

Ransomware-Gruppen wie LockBit, Avaddon, DarkSide, Conti und BlackByte setzen eigene Malware wie den Initial Access Broker (IABs) ein, um in Dark-Web-Foren Zugang zu Daten von gefährdeten Organisationen zu erwerben. Weitere oft genutzte Tools sind Botnetze, um kontinuierliche Cyberangriffe wie Credential Stuffing und Brute-Force-Angriffe durchzuführen. Weitere gängige Betrugstaktiken sind Phishing, Call-Center-Betrug, Man-in-the-Middle-Angriffe (MITM) und Klick-Farmen im Ausland. All diese Methoden ermöglichen Betrügern in großem Umfang zu operieren und erhöhen damit die Wahrscheinlichkeit, an kompromittierte personenbezogene Daten zu gelangen die für den illegalen Zugriff auf Benutzerkonten verwendet werden können.

Cyberangriffe zielen auch auf Account Takeover

Selbst die Anwendung einer Multi-Faktor-Authentifizierung ermöglicht nicht unbedingt mehr Sicherheit. Cyberangriffe wie Supply-Chain-Angriffe, die leistungsstarke Tools wie Okta Verify oder Microsoft Authentication kompromittieren, können massive Auswirkungen auf Millionen Konten haben. Studien wie die von Imperva zeigen, dass die Angriffe in den letzten Jahren um 148 Prozent angestiegen sind.

Gegen solche Cyberangriffe haben Unternehmen in der Vergangenheit vor allem auf Authentifizierungs- und Autorisierungsdienste gesetzt. Sie überprüften die digitale Identität des Nutzers und ließen ihn gewähren, wenn er ihre Anforderungen erfüllte. Inzwischen haben Hacker gelernt, wie sie diese Systeme umgehen und austricksen können. Die Antwort ist oftmals die Einführung eines zweiten Faktors bei der Authentifizierung. Wie bereits ausgeführt, ist auf diese Systeme jedoch auch nicht unbedingt Verlass. Darüber hinaus bringen immer mehr technische Sicherheitsebenen die Benutzerfreundlichkeit ins Hintertreffen. Methoden wie 3DSecure führen zwar zu mehr Sicherheit, sind jedoch nicht besonders benutzerfreundlich. Folglich steigt die Anzahl der Transaktionsabbrüche je mehr Sicherheitsebenen eingezogen wurden.

Unternehmen benötigen zweite Sicherheitsebene

Nichtsdestoweniger benötigen Unternehmen heute eine zweite Sicherheitsebene. Diese automatisierte Erkennungs- und Schutzlösung wird eingesetzt, um den professionellen Cyberkriminellen ihr Gewerk zu erschweren. Identitätsbasierte Tools, die Milliarden von digitalen Identitäten und Verhaltensmustern kennen, erlauben Unternehmen ungewöhnliches Nutzerverhalten frühzeitig zu erkennen, darunter auch Bots.

Mit Machine-Learning-Algorithmen können sie das Nutzerverhalten unterscheiden lernen. Die Taktiken der Betrüger können dann über den gesamten Identitätslebenszyklus hinweg erkannt werden. Hierzu zählen auch die Bereitstellung und Pflege von Konten, bevor sie kompromittiert und über einschlägige Darknet-Foren oder Marktplätze verkauft werden. (sg)

Über den Autor: Gunnar Peterson ist CISO bei Forter.


Teilen Sie die Meldung „Cyberangriffe: Warum feindliche Kontoübernahmen so gefährlich bleiben“ mit Ihren Kontakten:


Scroll to Top