Ein Impersonationsangriff ist ein Versuch, sich unbefugten Zugang zu Informationssystemen zu verschaffen, indem man sich als autorisierter Benutzer ausgibt. Diese identitätsbasierten Angriffe zielen speziell auf die digitalen Identitäten von Einzelpersonen oder Organisationen ab und kompromittieren diese, indem sie Schwachstellen im Zusammenhang mit der Identitäts- und Zugriffsverwaltung ausnutzen, um Informationen wie Benutzernamen, Passwörter oder persönliche Daten zu stehlen, Betrug zu begehen oder andere bösartige Aktivitäten durchzuführen.
Nach Angaben des Sicherheitsmagazingab es zwischen dem ersten Quartal 2020 und dem ersten Quartal 2021 einen atemberaubenden Anstieg von 131 % bei Whaling und der Nachahmung von Führungskräften. 55 % der Cybersicherheitsexperten gaben an, dass eine Führungskraft in ihrem Unternehmen gefälscht wurde. Darüber hinaus hat der Bericht "Trends in Securing Digital Identities" 2023 Bericht der Identity Defined Security Alliance (IDSA), dass 90 % der Unternehmen im vergangenen Jahr mindestens einen Verstoß im Zusammenhang mit digitalen Identitäten zu verzeichnen hatten. Diese Angriffe kosteten die Unternehmen allein im letzten Jahr 1,8 Milliarden Dollar an Verlusten, und das Versäumnis, Kundendaten zu schützen, kann zu hohen Geldstrafen und kostspieligen Rechtsstreitigkeiten führen, wie Fälle wie der 575-Millionen-Dollar-Vergleich von Equifax nach einem Verstoß zeigen.
Das Problem ist so allgegenwärtig, dass 1 von 3.226 E-Mails, die eine Führungskraft erhält (einmal alle 24 Tage), ein Versuch ist, sich auszugeben.
In diesem Artikel erfahren Sie alles, was Sie über Imitationsangriffe, ihre Arten, ihre Erkennung und den Schutz Ihres Unternehmens vor ihnen wissen müssen.
Wichtigste Erkenntnisse
- Angriffe durch Nachahmung, eine der wichtigsten Formen identitätsbasierter Cyber-Bedrohungen, nutzen Social Engineering, um vertrauenswürdige Personen zu imitieren und so unbefugten Zugriff oder Betrug zu ermöglichen.
- Diese Angriffe, von denen in letzter Zeit 90 % der Unternehmen betroffen waren, stellen ein erhebliches finanzielles, rufschädigendes und rechtliches Risiko dar und erfordern dringend Aufmerksamkeit.
- Die Taktiken reichen von E-Mail-Spoofing und gefälschten Domänen (Phishing) über das Ausnutzen wiederverwendeter Passwörter (Credential Stuffing) bis hin zum Abfangen von Kommunikation (MitM).
- Wachsamkeit gegenüber verdächtigen Anzeichen (Dringlichkeit, seltsame Anfragen, fehlerhafte E-Mails) und eine solide Benutzerschulung sind wichtige erste Verteidigungslinien.
- Ein mehrschichtiger technischer Schutz, einschließlich starker Authentifizierung (MFA), E-Mail-Verifizierung (DMARC), regelmäßiger Patches und möglicherweise einem Zero-Trust-Modell, ist für den Schutz unerlässlich.
Was ist ein Nachahmungsangriff?
Eine Impersonation Attack ist eine Form des Social Engineering, bei der ein Angreifer vorgibt, eine andere Person zu sein, oder sich als ein legitimer Benutzer (oder eine Gruppe von Benutzern) ausgibt, um sich Zugang zu Informationen zu verschaffen, für die er keine Berechtigung hat, identitätsbezogene Daten zu stehlen, Betrug zu begehen oder andere bösartige Aktivitäten durchzuführen.
Bei dieser Art von Angriffen setzt der Angreifer häufig Social-Engineering-Techniken ein, indem er die menschliche Psychologie und das Vertrauen manipuliert, um Informationen über das System und/oder das Ziel zu erlangen, z. B. indem er sich als Mitglied der IT-Abteilung ausgibt und nach Anmeldedaten fragt. Diese Angriffe werden immer raffinierter und nutzen fortschrittliche Techniken und gezielte Informationsbeschaffung.
Angriffe durch Nachahmung können persönlich, per Telefon oder online erfolgen. Und sie können katastrophale Folgen haben, wenn sie nicht entdeckt werden.
Schützen Sie sich mit PowerDMARC vor Impersonation-Attacken!
Wie wird ein Impersonationsangriff durchgeführt?
Ein böswilliger Akteur gibt sich als rechtmäßiger Benutzer oder Dienst aus, um Zugang zu geschützten Informationen zu erhalten. Angriffe durch Nachahmung sind leicht durchzuführen und können je nach Art der Daten, die der Angreifer zu erlangen versucht, großen Schaden anrichten, was zu erheblichen finanziellen Verlusten oder Rufschädigung führen kann.
Ein Angreifer muss nur genügend Informationen über einen legitimen Benutzer oder Dienst sammeln, um anderen vorzugaukeln, dass sie die sind, für die sie sich ausgeben. Der Angreifer wird dann versuchen, sein Ziel (oder seine Ziele) dazu zu bringen, sensible Informationen preiszugeben, die ansonsten durch Sicherheitsmaßnahmen geschützt wären.
In vielen Fällen nutzen Angreifer E-Mails oder andere Kommunikationsformen, um Angriffe mit falscher Identität zu starten. Sie verschicken E-Mails, in denen sie sich als eine andere Person ausgeben (Spoofing). Dazu gehören auch Phishing-E-Mails mit Links, die Malware auf das System eines ahnungslosen Benutzers herunterladen.
Eine weitere von Angreifern angewandte Methode ist das so genannte Whaling. Dabei wird die Identität eines Managers oder Eigentümers gestohlen und E-Mails verschickt, in denen die Mitarbeiter aufgefordert werden, Geld zu überweisen oder andere sensible Informationen bereitzustellen. Da die E-Mail scheinbar von einer einflussreichen Person stammt, befolgen viele Mitarbeiter die Anweisungen ohne zu fragen.
Wie werden Nachahmungsangriffe geplant?
Um einen Plan für einen Imitationsangriff zu erstellen, müssen die Hacker zunächst Informationen über ihr Ziel sammeln. Dabei werden sie häufig öffentlich zugängliche Informationen wie Profile in sozialen Medien und die öffentlich zugänglichen Informationen auf der Website des Unternehmens verwenden. Die Hacker können diese Informationen nutzen, um eine realistische Persona zu erstellen und mit Mitarbeitern des Zielunternehmens zu interagieren.
Der Hacker kontaktiert die Mitarbeiter mit Methoden, die mit den Erwartungen an diese Persona übereinstimmen. Der Hacker kann E-Mails, SMS oder Anrufe an die Mitarbeiter mit einer gefälschten geschäftlichen E-Mail-Adresse oder Telefonnummer senden, die so weit wie möglich mit der tatsächlichen E-Mail-Adresse oder Telefonnummer des Unternehmens übereinstimmt - der Unterschied ist zwar vorhanden, aber für das bloße Auge fast unsichtbar.
Dies gibt dem Mitarbeiter das Gefühl, dass er mit einer bekannten Person in seinem Unternehmen zu tun hat.
Hier ist ein Beispiel für E-Mail-Imitation: Wie Sie oben sehen können, sind die Unterschiede zwischen den beiden E-Mails gering und leicht zu übersehen, vor allem, wenn Sie Hunderte von E-Mails pro Tag erhalten. |
Sobald der Hacker das Vertrauen des Mitarbeiters gewonnen hat, sendet er ihm eine E-Mail, die scheinbar von einer authentischen Unternehmensquelle stammt. Diese E-Mails enthalten oft Links zu Websites, die nach persönlichen Daten fragen oder vom Mitarbeiter eine Aktion verlangen (z. B. das Herunterladen von Dateien). Diese Websites und Dateien sind mit Malware infiziert, die es den Hackern ermöglicht, auf Daten zuzugreifen, persönliche Informationen zu stehlen oder andere Cyberangriffe auf das Unternehmensnetzwerk durchzuführen.
Gefälschte Absenderadressen wie diese werden durch eine strenge DMARC-Richtlinieabgewiesen, die Sie für Ihre E-Mails nutzen können, um vor Angriffen durch falsche Absender geschützt zu sein.
Einige gängige Angriffstaktiken für Nachahmung
Es gibt verschiedene Möglichkeiten, wie Angreifer versuchen können, sich als Sie oder eine Ihnen bekannte Person auszugeben. Hier sind einige gängige Taktiken:
1. Angriff auf das kostenlose E-Mail-Konto
Der Angreifer nutzt einen kostenlosen E-Mail-Dienst, um Nachrichten von einer E-Mail-Adresse zu versenden, die der des Ziels ähnelt. Diese Taktik kann genutzt werden, um Personen dazu zu bewegen, eine bösartige Website zu besuchen, Malware herunterzuladen oder Informationen wie Passwörter oder Kreditkartennummern zu übermitteln.
2. Angriff auf die Cousin-Domäne
Beim Cousin-Domain-Angriff erstellt der Angreifer eine Website, die nahezu identisch mit der Website Ihrer Bank aussieht, aber beispielsweise auf .com statt auf .org oder .net endet. Von dieser gefälschten Website aus werden dann E-Mails versendet. Wenn Personen auf Links in diesen E-Mails klicken, werden sie auf die gefälschte Website statt auf die Website ihrer echten Bank weitergeleitet.
3. Angriff mit gefälschten Umschlägen
Der Angreifer erstellt eine E-Mail mit einer Absenderadresse, die von einem bekannten Unternehmen zu stammen scheint, z. B. "[email protected]". Da diese Adresse legitim aussieht, umgeht sie die Filter der meisten Mailserver. Der Angreifer zielt dann mit seiner Nachricht auf die Opfer ab und verleitet sie dazu, auf Links zu klicken oder Anhänge zu öffnen, über die Malware ihren Computer infizieren kann.
4. Fälschungsangriff auf den Absender des Headers
Ein Header-Absender-Angriff ist eine Art von E-Mail-Spoofing, bei dem Personen vorgetäuscht wird, dass eine Nachricht von einer anderen Person als der tatsächlichen Quelle gesendet wurde. Bei dieser Art von Angriff wird das Feld "Absender" in der Kopfzeile einer E-Mail so verändert, dass es eine andere Adresse enthält als die, von der die Nachricht tatsächlich stammt. Dies kann entweder durch Änderung der Felder "Von:" oder "Rücksendepfad:" oder beider geschehen. Das Ziel dieser Angriffe ist es, den Anschein zu erwecken, dass eine E-Mail von einer anderen Person - z. B. einem Geschäftspartner oder Freund - gesendet wurde, um die Empfänger dazu zu bringen, Nachrichten von einer ihnen bekannten Person zu öffnen.
5. Angriff auf ein kompromittiertes E-Mail-Konto
Bei diesem Angriff verschafft sich ein Angreifer Zugang zu einem legitimen E-Mail-Konto und verwendet dieses Konto dann, um E-Mails und Nachrichten an andere Personen im Unternehmen zu senden. Der Angreifer kann vorgeben, ein Mitarbeiter mit besonderen Kenntnissen oder Befugnissen zu sein, oder er kann sich als eine andere Person ausgeben, die über besondere Kenntnisse oder Befugnisse verfügt.
6. CEO-Betrugsangriff
Bei diesem Angriff geben sich die Angreifer als Geschäftsführer eines Unternehmens aus und versuchen, Mitarbeiter oder Kunden davon zu überzeugen, dass sie Zugang zu vertraulichen Informationen benötigen. Die Angreifer verwenden häufig Social-Engineering-Techniken wie Phishing-E-Mails oder Telefonanrufe, die den Anschein erwecken, als ob sie von der IT-Abteilung Ihres Unternehmens anrufen würden. Sie verwenden oft eine branchen- oder unternehmensspezifische Sprache, um legitim und vertrauenswürdig zu wirken, während sie nach vertraulichen Informationen wie Passwörtern oder Kreditkartennummern fragen.
7. Man-in-the-Middle-Angriff (MITM)
Bei dieser Art von Angriff fängt der Angreifer Ihre Kommunikation mit einem legitimen Dienst ab und leitet sie dann an den legitimen Dienst weiter, als ob sie von Ihnen stammen würde. Auf diese Weise kann der Angreifer Ihre Kommunikation abhören, sie verändern oder ganz verhindern.
8. Credential Stuffing
Bei diesem Angriff wird die gängige Praxis der Wiederverwendung von Kennwörtern für mehrere Online-Dienste ausgenutzt. Die Angreifer beschaffen sich Listen mit gestohlenen Benutzernamen und Kennwörtern aus früheren Datenschutzverletzungen (die häufig im Dark Web zu finden sind) und probieren diese Anmeldedaten systematisch auf anderen Websites oder Systemen aus. Wenn ein Benutzer sein Passwort wiederverwendet hat, verschafft sich der Angreifer unbefugten Zugang. Die Datenpanne bei Target im Jahr 2013, bei der Daten von über 41 Millionen Verbrauchern abgegriffen wurden und die zu einer Entschädigung in Höhe von 18,5 Millionen Dollar führte, wurde von Angreifern ermöglicht, die gestohlene Zugangsdaten für den Zugriff auf ein angeschlossenes Anbietersystem verwendeten.
Wie erkenne ich einen Angriff durch Nachahmung?
Ein Gefühl der Dringlichkeit: Der Angreifer kann den Empfänger durch einen dringenden Ton in seinen E-Mails dazu drängen, sofort zu handeln (z. B. eine sofortige Überweisung zu veranlassen, da sonst sein Konto dauerhaft gesperrt wird). Dadurch werden die Opfer unter Druck gesetzt, ohne nachzudenken zu handeln.
Vertraulichkeit: Der Angreifer kann darauf hinweisen, dass die Informationen, um die er bittet, vertraulich behandelt werden sollten, und damit andeuten, dass ihre Offenlegung ernsthafte Folgen haben könnte.
Aufforderung zur Weitergabe vertraulicher Informationen: Der Angreifer kann Sie nach Informationen fragen, die nur Ihre Bank kennt, z. B. Ihre Kontonummer oder Ihr Passwort. Er kann Sie auch auffordern, Ihre Unternehmensdaten mitzuteilen, zu denen nur Sie Zugang haben. Dies würde es ihnen wiederum ermöglichen, auf die Datenbanken Ihres Unternehmens zuzugreifen und sensible Informationen weiterzugeben.
Geänderte E-Mail-Adressen: Wenn Sie beispielsweise eine E-Mail von jemandem erhalten, der vorgibt, von "Amazon" zu sein, und Sie auffordert, sich anzumelden und Ihre Kontodaten zu aktualisieren, die E-Mail-Adresse aber in Wirklichkeit "[email protected]" lautet, könnte es sich um einen Identitätsdiebstahl handeln.
Schlecht geschriebene E-Mails: Phishing-E-Mails sind schlecht geschrieben und enthalten häufig Rechtschreib- und Grammatikfehler, da sie in der Regel massenhaft erstellt werden.
Vorhandensein von bösartigen Links oder Anhängen: Bösartige Links und Anhänge sind eine gängige Methode, um einen Imitationsangriff durchzuführen. Diese Art von Angriffen lässt sich durch das Vorhandensein von:
- Links, die in einer neuen Registerkarte statt in der aktuellen Registerkarte geöffnet werden.
- Anhänge mit seltsamen Titeln oder Dateierweiterungen (wie "attachment" oder ".zip").
- Anhänge, die eine ausführbare Datei (wie .exe) enthalten.
Schutz vor Nachahmung
Die Verhinderung von identitätsbasierten Angriffen wie Impersonation erfordert einen mehrschichtigen Ansatz, der das Bewusstsein der Benutzer und technische Kontrollen kombiniert.
1. Cybersicherheitsschulung: Die Unternehmen müssen sich bewusst sein, dass Schulungen zur Cybersicherheit unerlässlich sind. Die Schulung sollte Folgendes umfassen:
- Wie Angreifer sich als Benutzer ausgeben und Zugang zu Systemen erhalten können
- Wie Sie Anzeichen dafür erkennen, dass jemand versucht, sich als Sie auszugeben, damit Sie Maßnahmen ergreifen können, bevor ein Schaden entsteht
- Verständnis für die Bedeutung von Präventivkontrollen
2. Starke Authentifizierung: Implementierung robuster Authentifizierungsmethoden.
- Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie MFA wo immer möglich. Dies erfordert, dass Benutzer zwei oder mehr Verifizierungsfaktoren angeben (z. B. Passwort plus OTP, biometrische Daten oder die Antwort auf eine Sicherheitsfrage), was den unbefugten Zugriff erheblich erschwert, selbst wenn die Zugangsdaten gestohlen werden.
- Starke Passwort-Praktiken: Ermutigen Sie die Benutzer, komplexe, eindeutige Passwörter für verschiedene Konten zu erstellen. Fördern Sie die Verwendung von seriösen Passwort-Managern, um sichere Passwörter zu erstellen und zu speichern. Vermeiden Sie leicht zu erratende Muster.
3. E-Mail-Sicherheit: Schützen Sie Ihren wichtigsten Kommunikationskanal.
- Schutz der Domäne: Die E-Mail-Domäne des Unternehmens sollte vor Nachahmung geschützt werden. Verwenden Sie eine unternehmensspezifische Domäne (z. B. "@IhrUnternehmensnamehier.com") und keine generischen Anbieter wie "@gmail.com".
- DMARC-Implementierung: Implementieren Sie E-Mail-Authentifizierungsprotokolle wie DMARC (Domain-based Message Authentication, Reporting & Conformance). DMARC ermöglicht es Domänenbesitzern festzulegen, wie empfangende Mailserver E-Mails behandeln sollen, die SPF- (Sender Policy Framework) oder DKIM- (DomainKeys Identified Mail) Prüfungen nicht bestehen, und hilft so, gefälschte E-Mails zu blockieren. Die Durchsetzung einer strengen DMARC-Richtlinie (p=reject oder p=quarantine) verhindert die unbefugte Nutzung Ihrer Domäne für Phishing- und Imitationsangriffe.
- E-Mail-Filterung: Nutzen Sie fortschrittliche E-Mail-Sicherheitslösungen, die verdächtige Links, Anhänge und Absenderanomalien erkennen können.
4. System- und Softwaresicherheit: Aufrechterhaltung einer sicheren IT-Umgebung.
- Regelmäßige Updates und Patch-Management: Halten Sie Betriebssysteme, Anwendungen und Sicherheitssoftware mit den neuesten Sicherheits-Patches auf dem neuesten Stand, um bekannte, von Angreifern ausgenutzte Schwachstellen zu beheben.
- Sicherheitslösungen: Installieren und warten Sie seriöse Antiviren-/Antimalware-Software und erwägen Sie den Einsatz von Intrusion Detection Systems (IDS), um verdächtige Netzwerkaktivitäten zu überwachen.
- Veraltete Systeme ausmustern: Ersetzen Sie veraltete Systeme, die möglicherweise ungepatchte Schwachstellen oder schwache Sicherheitskontrollen aufweisen, da diese häufig das Ziel von Angreifern sind.
5. Schutz der Daten: Schutz sensibler Informationen.
- Datenverschlüsselung: Verschlüsseln Sie sensible Daten sowohl bei der Speicherung (im Ruhezustand) als auch bei der Übertragung (während der Übermittlung), um sie zu schützen, selbst wenn sie abgefangen werden.
6. Verabschiedung eines Null-Vertrauensmodells: Implementierung eines Zero-Trust-Sicherheit Ansatz, der davon ausgeht, dass kein Benutzer oder Gerät von Natur aus vertrauenswürdig ist. Der Zugriff wird auf der Grundlage einer kontinuierlichen Überprüfung und des Prinzips der geringsten Privilegien gewährt, wodurch die potenziellen Auswirkungen einer kompromittierten Identität minimiert werden.
Durch die Umsetzung dieser Präventivmaßnahmen und die Förderung einer Kultur des Cybersecurity-Bewusstseins können Unternehmen ihre Anfälligkeit für Imitationen und andere identitätsbasierte Angriffe deutlich verringern. Wachsam zu bleiben, sich an neue Bedrohungen anzupassen und die Mitarbeiter kontinuierlich zu schulen, sind entscheidende Komponenten einer soliden Verteidigungsstrategie.
Möchten Sie rund um die Uhr Schutz vor Nachahmung? PowerDMARC ist ein Anbieter von E-Mail-Authentifizierungslösungen und bietet Dienstleistungen an, die es Unternehmen ermöglichen, ihre E-Mail-Kommunikation zu sichern. Wir helfen Ihnen, den Ruf Ihrer Domain zu verwalten, indem wir sicherstellen, dass nur E-Mails von autorisierten Absendern über gesicherte Gateways zugestellt werden, und schützen sie gleichzeitig vor Spoofing durch Cyberkriminelle und Phisher.