Social Engineering: Schwachstelle Mensch
Laut dem US-Sicherheitsunternehmen Palo Alto Networks stellt das Social Engineering (frei übersetzt: Ausnutzen menschlicher Schwachstellen) aktuell eine der größten Gefahren für die IT-Sicherheit von Unternehmen dar. Hier spielt das sogenannte Phishing eine wichtige Rolle. Die meisten erfolgreichen Datendiebstähle und Spionageangriffe laufen heute nach dem Muster von Phishing-Angriffen ab. Im Folgenden lesen Sie, wie diese Attacken funktionieren:
Phishing: Bei einem Phishing-Angriff kommen E-Mails zum Einsatz, die nur auf den ersten Blick einen vertrauenswürdigen Absender haben. Mit solchen E-Mails wollen Cyberkriminelle persönliche Informationen abgreifen oder die Empfänger:innen zu einer bestimmten Handlung verleiten.
Nutzer:innen werden in einer Phishing-E-Mail zum Beispiel aufgefordert, Passwörter, Kreditkartennummern oder andere vertrauliche Daten in eine Maske einzugeben. Diese Daten landen dann direkt bei den Kriminellen, die die Daten etwa im Darknet verkaufen oder für eigene Zwecke nutzen.
Phishing-Angriffe erfolgen teilweise auch über E-Mail-Anhänge, mit denen Schadsoftware auf einen Rechner gelangt. Manchmal enthalten Phishing-Mails auch Links zu einer Website, auf der auf den ersten Blick seriöse Apps heruntergeladen werden können. Kriminelle haben diese Apps jedoch mit Schadsoftware "bestückt".
Spear-Phishing: Sogenannte Spear-Phishing-Angriffe sind gezielte Phishing-Attacken. Die Cyberkriminellen erkunden im Vorfeld die Identität ihrer Opfer und senden ihnen dann individuell angepasste Nachrichten. Diese Nachrichten enthalten meist im Betreff einen für das Opfer relevanten Begriff, beispielsweise die Dienstanweisung eines Vorgesetzten. Für die Adressat:innen ist es fast unmöglich zu erkennen, dass die Mails in Wirklichkeit von Kriminellen stammen. Häufig verschaffen sich Angreifer:innen durch solche E-Mails Zugriff auf Firmennetzwerke.
SQL-Injektion
Besonders datenbankgestützte Webseiten können Opfer von SQL-Einschleusungs-Attacken werden. SQL steht für Structured Query Language (deutsch: Strukturierte Abfragesprache). Cyberkriminelle durchsuchen Datenbanken gezielt nach Schwachstellen, lesen Daten aus der Ferne aus und verändern sie. Gelingt den Angreifenden eine SQL-Einschleusung, übernehmen sie effektiv die administrative Ebene der Datenbank und können beispielsweise bereits gelöschte Daten wiederherstellen, das Betriebssystem steuern oder die gesamte Datenbank zerstören beziehungsweise verschlüsseln.
Cross-Site-Scripting (XXS)
Cross-Site-Scripting gehört zu den häufigsten Angriffsmethoden. Durch eine Sicherheitslücke beim Client oder auf dem Server können Angreifende Schadcode in eine eigentlich vertrauenswürdige Umgebung einbauen.
Sicherheitsexpert:innen unterscheiden zwischen drei Formen des Cross-Site-Scriptings:
Reflektiertes Cross-Site-Scripting: Kriminelle kompromittieren den Code einer Webseite und senden das Skript an einen Webserver. Dieser schickt das Skript an den Client zurück, ohne es zu kontrollieren. Nun können Angreifende beispielsweise Passwörter auf einer von ihnen manipulierten Webseite abfangen. Die Nutzer:innen merken nicht, dass die von ihnen als seriös wahrgenommene Webseite temporär unter der Kontrolle von Cyberkriminellen stand, beziehungsweise eine gefälschte Eingabemaske enthielt.
Persistentes Cross-Site-Scripting: Bei dieser XXS-Variante speichern Webserver schädliche Skripte und liefern diese bei Aufruf an einen Client. Besonders Blogs und Internetforen sind Ziel dieser Angriffe. Teilweise werden dabei Benutzerdaten gespeichert und ohne Überprüfung ausgegeben. Klicken nun Nutzer:innen beispielsweise einen Foreneintrag an, lösen sie das manipulierte Skript unbemerkt aus.
DOM-basiertes Cross-Site-Scripting: Die sogenannte DOM-basierte XSS-Schwachstelle erlaubt das Einbinden von beispielsweise JavaScript-Code in eine Internetseite. Im Gegensatz zum reflektierten und zum persistenten Cross-Site-Scripting geschieht dies allerdings nicht mithilfe der Webanwendung auf dem Server.
Für das DOM-basierte Cross-Site-Scripting machen sich Hacker:innen Fehler im JavaScript-Code der Anwendung zunutze. Die Schwachstelle heißt DOM-basiert, weil ein clientseitiges JavaScript Zugriff auf das sogenannte Document-Object-Model (DOM) einer Webseite hat. Dadurch hat es auch Zugriff auf die aufgerufene URL.
Zero-Day-Exploits
Ein Zero-Day-Exploit ist so invasiv, dass die IT des betroffenen Unternehmens im Prinzip "null Tage" Zeit hat, um die entstandene Sicherheitslücke zu schließen. Allerdings kann es sein, dass es Tage, Wochen oder gar Monate dauert, bis diese Sicherheitslücke bemerkt wird. In dieser Zeit können Cyberkriminelle das unentdeckte Einfallstor nutzen, um die Unternehmens-IT etwa mit selbst geschriebenem Code zu korrumpieren. In der Vergangenheit erfolgten Zero-Day-Angriffe beispielsweise wiederholt über Sicherheitslücken in gängigen Betriebssystemen.
DNS Tunneling
Um einen DNS-Tunneling-Angriff durchzuführen, benötigen Hacker:innen eine externe Netzwerkverbindung zu Ihrem System. Durch erhalten sie Zugriff auf den vernetzten DNS-Server. Das sogenannte DNS (Domain Name System) ist ein gängiges Protokoll und gilt als zuverlässig und sicher. Viele Unternehmen vernachlässigen es daher, ihren DNS-Verkehr auf ungewöhnliche Aktivitäten zu untersuchen.
Um bestehende Sicherheitssysteme zu umgehen, zerlegen die Angreifer Schadcodes in kleine Bruchstücke und betten sie in DNS-Anfragen ein. Dadurch werden Datendiebstähle und C2-Kommunikation im normalen DNS-Datenverkehr getarnt. Wird ein Gerät in Ihrem Unternehmen infiziert, veranlasst die Schadsoftware eine DNS-Anfrage. Der DNS-Server erhält die Anweisung, eine Verbindung zum Server der Cyberkriminellen herzustellen.
Durch diesen "Tunnel" stehlen die Angreifer Ihnen Daten und können weitere Befehle an Ihr IT-System senden. Den meisten Firewalls erkennen die in den DNS-Anfragen versteckten Schadcode-Bestandteile nicht.