ºÚÁÏÉç

?ber einen Marktplatz im Darknet kann ein Bedrohungsakteur unbeabsichtigt offengelegte Anmeldedaten f¨¹r das E-Mail-Konto einer F¨¹hrungskraft in einem Unternehmen erwerben. Die Anmeldedaten sind g¨¹ltig und nachdem er sich Zugang verschafft hat, sendet der Bedrohungsakteur, der sich als Besitzer des Kontos ausgibt, E-Mails an verschiedene Gesch?ftspartner und bittet um Geldmittel, durchsucht alte E-Mails nach Anh?ngen, die wertvolle Daten enthalten, und nutzt dann seinen Zugang, um im gr??eren Netzwerk Fu? zu fassen und einen ausgefeilteren Angriff auf das Unternehmen zu starten.?

Dies ist ein Account-?bernahme-Angriff (Account Takeover, ATO) in Aktion. Account-Takeover-Angriffe sind bei Bedrohungsakteuren weit verbreitet und k?nnen schwerwiegende Folgen f¨¹r die Opferorganisationen und Einzelpersonen haben. ?

Was ist eine Account-?bernahme?

Eine Account-?bernahme (ATO), auch als ?Konto¨¹bernahmebetrug¡° bezeichnet, liegt vor, wenn ein Bedrohungsakteur oder eine Gruppe von Kriminellen die Kontrolle ¨¹ber ein Online-Konto ¨¹bernehmen kann, nachdem er/sie sich die erforderlichen Anmeldeinformationen und den Zugang verschafft hat.??

Sobald der Zugriff erfolgt ist, k?nnen Bedrohungsakteure die neu gewonnene Kontrolle nutzen, um Phishing-Angriffe durchzuf¨¹hren, wertvolle Daten zu stehlen, sich Zugang zu anderen Teilen eines Netzwerks zu verschaffen oder einen nachfolgenden Malware- oder Ransomware-Angriff zu starten. W?hrend ATO-Angriffe traditionell auf E-Mails beschr?nkt waren, haben immer h?ufiger genutzte Software-as-a-Service (SaaS)-Anwendungen, die Cloud-Infrastruktur und Remote-Konnektivit?ts-Tools die Angriffsfl?che f¨¹r Identit?tsbetrug erheblich vergr??ert und zu einer wachsenden Anzahl und Art von Konten gef¨¹hrt, auf die ein Bedrohungsakteur potenziell zugreifen kann. ?

ATO-Angriffe geh?ren schon seit l?ngerer Zeit zum Arsenal von Bedrohungsakteuren, deren H?ufigkeit hat in den letzten Jahren aber besonders stark zugenommen. Laut einer j?hrlichen Umfrage von haben 29 % der Personen 2024 eine Account-?bernahme erlebt, gegen¨¹ber 2 % 2021.??

Wie ein Konto¨¹bernahme-Angriff funktioniert

Der Kern eines jeden ATO-Angriffs besteht in der Beschaffung von Zugangsdaten durch Angreifer und leider ist der Diebstahl von Zugangsdaten weit verbreitet. Laut dem wurden in diesem Jahr f¨¹r 24 % der Vorf?lle gestohlene Zugangsdaten als eine der wichtigsten Angriffsmethoden genannt. Der Diebstahl von Anmeldedaten ist zwar allt?glich und tritt h?ufig bei Cyberangriffen auf, bei denen Anmeldedaten exfiltriert und dann weitergegeben oder im Dark Web verkauft werden, doch ist dies nicht die einzige M?glichkeit f¨¹r Bedrohungsakteure, an Anmeldedaten zu gelangen.?

Bedrohungsakteure k?nnen Zugang zu Konten erlangen durch: ?

• Die Ausnutzung einer Sicherheitsl¨¹cke im Zusammenhang mit Online-Anwendungen oder der Identit?tsinfrastruktur?
• Die Kompromittierung einer Drittanbieter-Anwendung f¨¹r Zugangsdaten, wie etwa LastPass?
• Einen Credential-Stuffing-Angriff
• Ein Brute-Force-Angriff?
• Einen Man-in-the-Middle-Angriff, bei dem Bedrohungsakteure Anmeldedaten abfangen, w?hrend sie in eine Anwendung eingegeben werden?
• Einen Keylogging-Angriff, bei dem Malware die Tastatureingaben auf einem Endger?t aufzeichnet, so dass Bedrohungsakteure Anmeldeinformationen aufzeichnen k?nnen?
• Andere Malware-Angriffe, wie etwa einen Trojaner-Angriff oder die Verwendung eines Infostealers?

Informieren Sie sich ¨¹ber das Thema Diebstahl von Anmeldeinformationen und die m?glichen Auswirkungen auf das Cyberrisiko eines Unternehmens.??

Sobald Zugangsdaten erbeutet wurden ¨C oder ein Bedrohungsakteur durch technischere Mittel wie die Ausnutzung einer Schwachstelle in der Anwendung selbst Zugang zu einem Konto erh?lt ¨C, kann der Angreifer die Kontrolle ¨¹ber das Konto ¨¹bernehmen und weitere Aktionen durchf¨¹hren oder weitere Angriffe starten.?

Account-?bernahme-Angriffe k?nnen unterschiedliches Ausma? haben und unz?hlige Folgen nach sich ziehen. Im Folgenden werden wir anhand von zwei Beispielen zeigen, wie der Angriff funktioniert.?

Account-?bernahme im E-Commerce

Ein Bedrohungsakteur erlangt bei einem Cyberangriff auf eine E-Commerce-Website die Benutzernamen und Kennw?rter von Kunden. Der Bedrohungsakteur versucht wiederholt, sich mittels Brute-Force-Verfahren auf der Verbraucherseite der E-Commerce-Website anzumelden, was ihm mit einer Reihe von Anmeldedaten gelingt. Wenn der Bedrohungsakteur nun die Kontrolle ¨¹ber das Konto hat, kann er die gespeicherte Kreditkarte einsehen (und stehlen) oder betr¨¹gerische Eink?ufe ¨¹ber dieses Konto t?tigen. Wenn mehrere Anmeldedaten g¨¹ltig sind, kann dies f¨¹r den Bedrohungsakteur eine wiederholte Aktivit?t sein, wodurch er Zugang zu einer gro?en Anzahl von Kreditkarten- und Benutzerdaten erh?lt, die alle mit einer einzigen E-Commerce-Plattform verbunden sind.?

Account-?bernahme bei Finanzdienstleistungen

Finanzdienstleistungsunternehmen sind aufgrund der gro?en Menge an Finanzdaten und anderer pers?nlich identifizierbarer Informationen, die bei ihnen oft vorhanden sind, einem hohen Risiko von Account-?bernahme-Angriffen ausgesetzt. In diesem Szenario verschafft sich ein Bedrohungsakteur auf einem der oben beschriebenen Wege Zugang zum E-Mail-Konto des Finanzvorstands des Unternehmens. Der Bedrohungsakteur ist in der Lage, die E-Mails zu durchsuchen und E-Mail-Anh?nge herunterzuladen, die Bankdaten von Kunden (z. B. Buchhaltungs- und Routing-Nummern), wertvolle Finanzdaten der Organisation selbst, die zur Erpressung von L?segeld verwendet werden k?nnen, oder sogar die Anmeldedaten f¨¹r Finanzanwendungen ¨C z. B. Bankkonten ¨C enthalten k?nnen, die die Organisation nutzt. Mit einem einzigen Satz von Anmeldeinformationen hat der Bedrohungsakteur metaphorisch gesehen eine Reihe von Tresoren ge?ffnet.?

Account-?bernahme und BEC-Angriffe

Account-?bernahme-Angriffe und Business Email Compromise (BEC)-Angriffe sind untrennbar miteinander verbunden. ATO-Angriffe sind oft eine Vorstufe zu BEC-Angriffen, die eine h?ufige und kostspielige Cyberattacke darstellen. Damit ein BEC-Angriff erfolgreich sein kann, muss sich ein Bedrohungsakteur zun?chst Zugang zu einem Konto verschaffen oder einen ATO-Angriff durchf¨¹hren. BEC-Angriffe k?nnen auch als ??bernahme von E-Mail-Konten (EATs)¡° bezeichnet werden, was eine Variante eines Account-?bernahme-Angriffs darstellt.?

Urspr¨¹nglich bezog sich der Begriff BEC ausschlie?lich auf Vorf?lle der Account-?bernahme (Account Take-Over, ATO), bei denen sich ein Angreifer Zugang zu einem legitimen E-Mail-Konto innerhalb einer Organisation verschaffte. Danach konnte dieser, getarnt als der Kontoinhaber, eine oder mehrere Personen innerhalb dieser Organisation davon ¨¹berzeugen, eine Handlung zugunsten des Angreifers durchzuf¨¹hren. In der Regel handelte es sich dabei um die ?berweisung von Geldmitteln auf ein vom Angreifer kontrolliertes Konto. BEC-Angriffe haben sich jedoch ausgeweitet, und ATO dient nun oft als Vorl?ufer oder erste Aktion bei einem BEC-Angriff, wenn beide zusammen auftreten.??

BEC-Angriffe nehmen weiterhin in alarmierendem Ausma? zu und machen etwa 30 % aller F?lle aus, die von Arctic Wolf? Incident Response in den letzten Jahren untersucht wurden. Dar¨¹ber hinaus waren 70 % der Unternehmen im letzten Jahr Ziel von versuchten BEC-Angriffen, so The State of Cybersecurity: 2024 Trends Report. ?

M?gliche Folgen von ATO-Betrug

Sobald ein Konto von einem Angreifer ¨¹bernommen wurde, k?nnen die Folgen von finanziellem Betrug ¨¹ber Datenexfiltration bis hin zum Start eines ?u?erst sch?dlichen Ransomware-Angriffs reichen. Bei einem Account-?bernahme-Angriff hat der Bedrohungsakteur die Kontrolle und k?nnte unter anderem eine laterale Bewegung durchf¨¹hren, Privilegien eskalieren oder sich Zugang zu Finanzkonten verschaffen und diese leeren.?

Zu den Folgen des ATO-Betrugs geh?ren:?

1. Der Start eines BEC-Angriffs
2. Exfiltration von Daten, die an das kompromittierte Konto angeh?ngt sind oder auf die von dort aus zugegriffen werden kann
3. Laterale Bewegung innerhalb der Anwendung oder des Netzes sowie Eskalalation von Privilegien innerhalb des Netzes
4. Nachfolgende interne Phishing-Angriffe sowie Phishing in der Lieferkette gegen Partner, Gesch?ftspartner und Kunden
5. Finanzieller Betrug oder Diebstahl
6. Rufsch?digung bei Kunden und Partnern
7. M?gliche Ausfallzeiten f¨¹r die Behebung des Account-?bernahme-Angriffs oder jedes nachfolgenden Angriffs, der mit der Account-?bernahme begann
8. M?gliche Geldbu?en und Konsequenzen bei Verst??en gegen Konformit?tsvorschriften

Schutz vor ATO-Angriffen

Wie bei vielen Taktiken, die von Cyberkriminellen heutzutage eingesetzt werden, gibt es keine einzige Abwehrma?nahme, die verhindern kann, dass ein Account-?bernahme-Angriff Ihr Unternehmen erreicht. Stattdessen ist es am besten, an mehreren Punkten anzusetzen und verschiedene Strategien einzusetzen, die sowohl das Risiko eines Angriffs senken, als auch dessen Eskalation verhindern.??

Zu den Abwehrma?nahmen gegen Account-?bernahmen geh?ren:?

• Einsatz von E-Mail-Sicherheitsma?nahmen, einschlie?lich des Einsatzes von Technologien, die sch?dliche E-Mails aus dem Posteingang entfernen, verd?chtige E-Mails und potenzielle Imitationen kennzeichnen und potenziell sch?dliche Links blockieren k?nnen. Dadurch wird verhindert, dass ein Account-?bernahme-Angriff eskaliert, wenn das E-Mail-Konto kompromittiert wird.?

• Verwendung von bew?hrtenIdentit?ts- und Zugriffsmanagement (IAM)-Verfahren sowie einer Zero-Trust-Strategie zur Kontrolle und ?berpr¨¹fung des Benutzerzugriffs. Dies wird die Erfolgsquote von ATO-Angriffen verringern.

• Einsatz der Multi-Faktor-Authentifizierung (MFA) in allen Anwendungen. MFA ist ein wichtiges Teil des IAM-Puzzles und verhindert nicht nur, dass Bedrohungsakteure Zugang zu Konten erhalten; die automatische Erfordernis einer Verifizierung kann dar¨¹ber hinaus auch Benutzer und Sicherheitsteams auf verd?chtige Kontoaktivit?ten aufmerksam machen.

• ?Implementierung von Security Awareness Training , das ansprechende Inhalte zu ATO-Angriffen und nachfolgenden BEC-Angriffen bietet. Dies kann das Gesamtrisiko f¨¹r den Menschen verringern und den Nutzern helfen, verd?chtige Aktivit?ten zu erkennen, die auf einen ATO-Angriff hindeuten k?nnten.

• Umfassende 24×7-?berwachung , die Telemetriedaten aus verschiedenen Quellen, einschlie?lich Identit?t, Cloud, Endpunkten und Anwendungen, aufnimmt. Ein Account-?bernahme-Angriff beginnt und endet nicht immer mit einem E-Mail-Konto. Ein umfassender Einblick, der es Ihren Sicherheitsteams erm?glicht, mehrere Teile der Angriffsfl?che zu ¨¹berwachen und darauf zu reagieren, kann Ihrem Unternehmen helfen, schnell auf einen solchen Angriff zu reagieren, bevor er eskaliert.??

Arctic Wolf kennt sowohl die Bedrohungen, denen Unternehmen ausgesetzt sind, als auch die Technologien, Mitarbeiter und Prozesse, die erforderlich sind, um bew?hrte Angriffe wie ATO zu stoppen. Arctic Wolf bietet nicht nur mehrere L?sungen, die Unternehmen dabei helfen, Bedrohungen ¨¹ber ihre gesamte Angriffsfl?che hinweg zu verhindern und darauf zu reagieren, sondern die Arctic Wolf Aurora ºÚÁÏÉç? basiert auf der Open-XDR-Technologie, die es Arctic Wolf erm?glicht, mit der bereits in Ihrem Unternehmen vorhandenen Sicherheit zu arbeiten und sich an Ihre bestehende Technologie-Infrastruktur anzupassen.??

Arctic Wolf arbeitet mit Mimecast zusammen, um Unternehmen dabei zu helfen, ihre E-Mails besser zu sch¨¹tzen und das Risiko von ATO- und BEC-Angriffen zu reduzieren. Dies ist eine Erg?nzung zu Arctic Wolfs Partnerschaft mit Okta, einer Technologie, die es Unternehmen erm?glicht, den Zugang besser zu kontrollieren und Identit?tsrisiken zu reduzieren.??

Erfahren Sie mehr ¨¹ber die aktuelle Cybersicherheit und Bedrohungslage aus dem Arctic Wolf 2024 Security Operations Report.??

Erfahren Sie, wie ein starkes Sicherheitsbewusstseinstraining das Risiko von ATO-Angriffen in Ihrem Unternehmen verringern kann.
?