Cyberkriminelle nehmen Menschen immer geschickter ins Visier. Für ihre Kampagnen nutzen sie häufig Websites, die völlig legitim wirken, aber äußerst gefährlich sind.
Menschen sind bei alltäglichen Online-Aufgaben wie Recherchen, Einkaufen, Online-Banking und in sozialen Netzwerken häufig unaufmerksam. Der State of the Phish-Bericht 2023 zur Bedrohungslandschaft 2022 zeigte Folgendes:
- Ein Drittel der erwerbstätigen Erwachsenen haben mindestens einmal eine riskante Aktion ausgeführt, z. B. auf einen schädlichen Link geklickt, Malware heruntergeladen oder ihre persönlichen bzw. Anmeldedaten kompromittiert.
- Mehr als 60 % der erwerbstätigen Erwachsenen wissen nicht, dass Links in einer E-Mail zu einer Website führen können, die mit dem angezeigten Text in der E-Mail nicht übereinstimmt.
Diese Statistiken zu Wissenslücken sind alarmierend. Laut unseren Untersuchungen wurden im Jahr 2022 84 % der Unternehmen erfolgreich per Phishing angegriffen, d. h. mit Angriffen, bei denen Menschen auf schädliche Inhalte klicken mussten.
Ihre Mitarbeiter sind die erste Verteidigungslinie in Ihrem Unternehmen. Im Folgenden stellen wir aktuelle Bedrohungstrends vor, auf die sie beim Surfen im Web achten müssen.
- KI-gestützte Chatbots wie ChatGPT
- MFA-Phishing (Mehrfaktor-Authentifizierung)
- BitB-Angriffe (Browser-in-the-Browser)
Charmante, aber gefährliche KI-Chatbots
KI-gestützte Chatbots haben schnell Verbreitung gefunden, da sie durch natürliche Sprachinteraktionen sofort Hilfe bieten können. Der bekannteste KI-Chatbot ist ChatGPT, es gibt jedoch noch weitere wie Microsoft Bing und Google Bard.
Diese Chatbots werden häufig über einen Webbrowser genutzt. Der sofortige Informationsaustausch öffnet Sicherheitsrisiken durch Fehl- und Desinformationen Tür und Tor.
Möglicherweise geben Anwender als Reaktion auf Fragen eines KI-Chatbots persönliche Details im Browser ein. Kürzliche Banking-Injektionen haben gezeigt, dass alle über den Browser übertragenen persönlichen Informationen für Angreifer interessant sein können.
Chatbots erfassen Anwenderdaten, um ihre eigene Leistung zu verbessern und ihre Interaktionen zu personalisieren. Das wirft Fragen in Bezug auf den Schutz personenbezogener Informationen auf, denn wenn diese Daten nicht sicher gespeichert oder angemessen verschlüsselt werden, kann das zu unbefugten Zugriffen und zu Identitätsdiebstahl oder Datenschutzverletzungen führen.
Gefährliches MFA-Phishing (Mehrfaktor-Authentifizierung)
Nachdem MFA als standardmäßige Sicherheitsmaßnahme eingeführt wurde, entwickelten findige Cyberkriminelle so genannte „Man-in-the-Middle“-MFA-Phishing-Techniken zum Stehlen von MFA-Token.
Bei einem MFA-Phishing-Angriff besucht das Opfer eine gefälschte Webseite, die über einen Reverse Proxy die Anmeldeschnittstelle eines legitimen Dienstes anzeigt. Die Anmeldung scheint wie gewohnt zu verlaufen, doch wenn der Anwender den MFA-Code und andere Anmeldedaten eingibt, fängt der Reverse Proxy diese Daten ab und stiehlt den MFA-Token.
Anschließend kann der Angreifer die MFA-Sicherheitsebene umgehen, in das Konto des Anwenders gelangen und dabei auf vertrauliche, personenbezogene und Finanzdaten zugreifen. Diese Informationen können anschließend für Identitätsdiebstahl missbraucht werden. Die Angreifer haben aber auch die Möglichkeit, das Konto als Ausgangspunkt für Zugriffe auf weitere Systeme und private Daten zu nutzen.
Vorsicht vor BitB-Angriffen (Browser-in-the-Browser)
Diese raffinierte Form von Anmeldedaten-Phishing ist nur schwer zu erkennen. Die Angreifer erstellen in diesen Fällen nicht nur eine überzeugende Phishing-Seite, sondern auch ein gefälschtes Popup-Fenster für SSO-Anmeldungen (Single Sign-On), über das sich Anwender mit ihren Anmeldedaten für vertrauenswürdige Websites wie Google, Apple oder Twitter anmelden sollen.
Dieses SSO-Anmeldefenster wird generiert, indem im Code der Phishing-Website eine weitere, eingebettete Webseite hinzugefügt wird. Wenn der Anwender die Anmeldedaten der vertrauenswürdigen Website eingibt, erfasst der Angreifer diese Daten und erhält damit möglicherweise Zugriff auf eine wichtige Komponente der digitalen Identität des Opfers.
Erkenntnis: Sichere Verhaltensweisen sind der beste Schutz
Webbrowser verfügen über Sicherheitsfunktionen, die auf unsichere Situationen hinweisen. Sie hindern Anwender jedoch nicht daran, unsichere Aktionen durchzuführen. Es liegt an jedem selbst, bei einer Warnung innezuhalten, zu überlegen und anschließend zu handeln oder zu reagieren. Deshalb sollten Sie Security-Awareness-Schulungen durchführen, damit Ihre User Bedrohungen zuverlässig erkennen und ihr Wissen in realen Situationen anwenden können.
Es ist wichtig, bei Websites auf Details zu Sicherheitsfunktionen und auf sichere Verhaltensweisen zu achten. In diesen Fällen ist Vorsicht ist geboten:
- Popup-Fenster, die sich wie Browser-Meldungen verhalten und zur Installation oder Aktualisierung von Software auffordern
- Kostenlose Downloads von Filmen, Musik oder Videos, die Schadsoftware enthalten
- Kostenlose Angebote, bei den als Gegenleistung für ein Geschenk nach personenbezogenen Daten gefragt wird
- Verwendung einer bekannten Marke, um ein falsches Gefühl der Sicherheit zu vermitteln (Sie kennen die Marke, aber sehen die Grafiken auch echt aus?)
- Verwendung des korrekten Domain-Namens der Website (z. B. „microsoft.com“), aber mit ungewöhnlichen Wörtern und Schreibweisen im Rest der URL
- Website-URLs, die in Suchergebnissen angezeigt werden, aber keine legitimen Links sind
- Gekürzte URLs von Services wie Bitly und TinyURL, die die wahre Identität eines Links verbergen
- Browser-Warnungen, die darauf hinweisen, dass eine Website nicht sicher ist oder nicht authentifiziert werden kann
- Verdächtige Browser-Funktionen, einschließlich fehlender Sicherheitszertifikate
- Eine Website, die zur Eingabe vertraulicher oder finanzieller Informationen auffordert (Befolgen Sie die Aufforderung nur, wenn Sie der Quelle vertrauen)
- Halten Sie Ihrer Browser-Software auf dem neuesten Stand, um bekannte Sicherheitsprobleme zu vermeiden. Achten Sie dabei auch auf Erweiterungen und automatische Updates für Plugins.
Das Thema des Cybersecurity-Awareness-Kits 2023 von Proofpoint lautet „Road Trip: Surfen im Web“.
Nächster Schritt: Kit zum Cybersecurity-Awareness-Monat 2023 herunterladen
Der Oktober ist wieder Cybersecurity-Awareness-Monat – eine Zeit, in der wir Anwender ganz besonders dabei unterstützen, sich selbst und ihre Unternehmen vor aktuellen Bedrohungen zu schützen.
Für den diesjährigen Oktober hat Proofpoint ein kostenloses Cybersecurity-Awareness-Kit 2023 veröffentlicht, dass sich auf sicheres Surfen im Web konzentriert. Das Kit mit dem Thema Road Trip: Surfen im Web enthält auf vier Wochen ausgelegte kuratierte Materialien und Kommunikation zum Thema Online-Sicherheit sowie Vorbereitungsmaterial und Empfehlungen zum Abschließen der Kampagne.
Laden Sie unser Kit zum Cybersecurity-Awareness-Monat herunter und nutzen Sie es im Oktober – oder wann immer Sie Ihr Programm fördern möchten.
Ein ganzjähriges Security-Awareness-Programm ist wahrscheinlich noch besser geeignet, die Risiken durch den Faktor Mensch zu reduzieren. Auf unserem Informationsportal: Cybersicherheitsschulungen erfahren Sie mehr darüber, wie Sie Ihre Anwender zu Cybersicherheitsexperten machen – sowohl auf Arbeit als auch zu Hause.