Ein neuer, ausgeklügelter Angriff nutzt Telefonanrufe, Social-Engineering, ähnlich aussehende Domains und gefälschte VPN-Websites von Unternehmen, um sich einen ersten Zugang zu einem Opfernetzwerk zu verschaffen.
Dies ist einer der ausgefeiltesten Initial-Access-Attacks, die wir je gesehen haben. Die Sicherheitsanalysten von Guidepoint Security haben Details zu einem neuen Angriff veröffentlicht, bei dem Benutzer dazu verleitet werden, dem Angreifer Zugangsdaten zu geben.
Doch wie laufen diese Angriffe überhaupt ab? Der Angreifer kontaktiert das Opfer telefonisch und gibt sich als Mitarbeiter des Helpdesk aus. Er täuscht dann ein Problem mit der VPN-Verbindung vor und fordert das Opfer auf, sich über eine gefälschte VPN-Anmeldeseite zu authentifizieren. Gutgläubig gibt das Opfer seine Zugangsdaten ein, die vom Angreifer abgefangen werden. Gleichzeitig loggt sich der Angreifer mit diesen Anmeldedaten auf der echten VPN-Plattform ein und veranlasst das Opfer, den auf das Mobiltelefon gesendeten MFA-Code einzugeben. Sobald der Zugang gewährt ist, beginnt der Angreifer, das Netzwerk des Opfers zu scannen, um mögliche Ziele für laterale Bewegungen, die Aufrechterhaltung des Zugangs (Persistenz) und eine weitere Eskalation der Berechtigungen zu identifizieren.
Dieser komplexe Angriff erfordert eine genaue Abstimmung der einzelnen Schritte, um erfolgreich zu sein.
Um dies zu erreichen, muss der Angreifer eine Reihe von Angriffselementen bereithalten:
- Die Firma, den Namen und die Handynummer des Opfers.
- Einen glaubwürdig aussehenden Domain-Namen der VPN-Site.
- Eine gefälschte VPN-Website mit dem Logo der Organisation des Opfers.
- VPN-Gruppen von der VPN-Anmeldeseite der tatsächlichen Organisation des Opfers.
- Ein Social-Engineering-Skript, das die Erfahrung für den Benutzer glaubwürdig erscheinen lässt (damit er sie nicht der IT-Abteilung meldet).
Es liegt auf der Hand, dass sich diese Angreifer auf Unternehmen konzentrieren, die bestimmte VPN-Technologien verwenden, die den Benutzern eine manipulierte Erfahrung bieten. Es ist auch offensichtlich, dass jeder Benutzer, der eine Sicherheitsschulung absolviert hat, in der Lage sein sollte, all diese Social-Engineering-Merkmale zu erkennen
Dieser Angriff zeigt, wie weit die ersten Angreifer gehen, um Ihr Netzwerk zu kompromittieren. Stellen Sie also sicher, dass Ihre Benutzer wachsam sind und dazu beitragen, die Sicherheit Ihres Unternehmens zu gewährleisten.
#KnowBe4