Datenschutzverletzungen bei Twilio und Cisco verdeutlichen die Gefahren von Social-Engineering-Angriffen

Konnten Sie an der Transform 2022 nicht teilnehmen? Sehen Sie sich jetzt alle Summit-Sessions in unserer On-Demand-Bibliothek an! Schau hier.


Keine Schwachstelle ist so schwer zu beheben wie menschliches Versagen. Ein kleiner Fehler wie das Anklicken eines schädlichen E-Mail-Anhangs oder eines Links zu einer Phishing-Website kann einen Angriff auslösen, der den Ruf eines Unternehmens gefährdet. Dies ist etwas, dessen sich Social-Engineering-Betrüger bewusst sind.

Nirgendwo wurde dies deutlicher veranschaulicht als bei der jüngsten Twilio-Verletzung. Am Donnerstag, dem 4. August, erlitt der API-Kommunikationsanbieter Twilio eine Datenpanne, nachdem Mitarbeiter einem „ausgeklügelten Social-Engineering-Angriff zum Stehlen von Mitarbeiteranmeldeinformationen“ zum Opfer gefallen waren.

Während des Angriffs erstellten Hacker einen SMS-Phishing-Betrug (oder Smishing-Versuch), der sich als die IT-Abteilung von Twilio ausgab und die Mitarbeiter warnte, dass ihre Passwörter abgelaufen seien oder geändert werden müssten.

Mitarbeiter, die auf den Link klickten, wurden zu einer gefälschten Version der Twilio-Anmeldeseite weitergeleitet, wo der Hacker ihre Anmeldeinformationen sammelte, mit denen sie später auf die internen Systeme des Unternehmens zugegriffen und die Daten von 125 Kunden eingesehen haben.

Die Realität des Social Engineering

Der Angriff unterstreicht die Effektivität von Social-Engineering-Angriffen, bei denen Hacker versuchen, Mitarbeiter per E-Mail, SMS oder Telefon dazu zu bringen, persönliche Informationen preiszugeben, indem sie sich als vertrauenswürdige Person oder Organisation ausgeben.

Eines der jüngsten Beispiele dafür ereignete sich gestern, als Cisco Talos öffentlich eine Datenpanne bekannt gab, die am 24. Mai 2022 stattfand und von der die Yanluowang-Ransomware-Bande behauptet, dass sie zur Exfiltration von 2,8 GB Daten geführt habe.

Bei diesem Angriff erlangte Yanluowang die Kontrolle über das persönliche Google-Konto eines Mitarbeiters, das die Anmeldeinformationen im Browser des Benutzers synchronisierte.

Sie führten auch eine Reihe von Voice-Phishing-Angriffen durch, bei denen sie sich als verschiedene vertrauenswürdige Organisationen ausgaben, um Mitarbeiter dazu zu verleiten, Push-Benachrichtigungen mit Multifaktor-Authentifizierung (MFA) zu akzeptieren, die ihnen den Zugriff auf ein VPN und kritische interne Systeme ermöglichten.

Sowohl die Datenschutzverletzungen bei Twilo als auch bei Cisco zeigen, dass Unternehmen es sich nicht leisten können, sich auf Mitarbeiter zu verlassen, um immer komplexer werdende Social-Engineering-Betrügereien zu identifizieren.

„Dieser Angriff zeigt, dass Social Engineering nach wie vor eine der effektivsten Methoden ist, um Zugang zu einer Organisation zu erhalten, und dass jede Organisation ins Visier genommen werden kann“, sagte Allie Mellen, Senior Analyst, Security and Risk bei Forrester.

„Letztendlich wird der Mensch immer Ziel von Angriffen sein. Wenn Sie eine E-Mail oder eine Textnachricht von einer Ihrer Meinung nach vertrauenswürdigen Quelle mit einer dringenden Nachricht erhalten, können Sie ganz einfach auf den Link klicken, ohne eine Pause einzulegen [to check] wenn es ein Betrug ist“, sagte Mellen.

Untersuchung der Annahmen passwortbasierter Sicherheit

Einer der Hauptgründe, warum Angreifer zu Social-Engineering-Angriffen wie Phishing-Betrug tendieren, ist, dass diese Tools einfach zu verwenden und beim Sammeln von Anmeldedaten effektiv sind.

Untersuchungen zeigen, dass gestohlene oder kompromittierte Zugangsdaten für 19 % der Sicherheitsverletzungen verantwortlich sind, während Phishing für 16 % der Sicherheitsverletzungen verantwortlich ist, was hervorhebt, dass passwortbasierte Sicherheit weitgehend unwirksam ist, um Bedrohungsakteure in Schach zu halten.

Ebenso gibt es kein Antivirenprogramm oder Wundermittel, das Mitarbeiter daran hindern kann, einen Fehler zu machen und zur Weitergabe wertvoller Informationen manipuliert zu werden.

Obwohl Lösungen wie Schulungen zum Sicherheitsbewusstsein den Mitarbeitern beibringen können, wie sie die Anzeichen von Phishing-Betrug und Social Engineering erkennen, besteht für die Mitarbeiter ein wachsender Bedarf, die Datenzugriffskontrollen zu überdenken.

Da die durchschnittliche Organisation 700 Social-Engineering-Versuchen pro Jahr ausgesetzt ist, sind selbst Mitarbeiter, die sich streng an bewährte Sicherheitsverfahren halten, nicht sicher vor Fehlern. Schließlich muss ein Angreifer einen Mitarbeiter nur einmal in die Irre führen, um erfolgreich dessen Zugangsdaten zu erbeuten.

Gleichzeitig werden passwortlose Authentifizierungslösungen, die im Anschluss an die FIDO-Allianz entwickelt wurden, dazu beitragen, die Abhängigkeit von Anmeldeinformationen langfristig zu beseitigen, Unternehmen sollten sich jedoch nicht allein auf diese Maßnahmen und MFA verlassen, um ihre Umgebungen zu sichern.

Datenzugriff neu gedacht

Die Einführung strenger Datenzugriffskontrollen, die das Prinzip der geringsten Rechte durchsetzen, ist der Schlüssel zur Reduzierung des Risikos, das von Social-Engineering-Bedrohungen ausgeht. Wenn Mitarbeiter nur Zugriff auf die grundlegenden Informationen haben, die sie zur Erledigung ihrer täglichen Aufgaben benötigen, setzen sie nicht nur weniger Daten einem Risiko aus, sondern werden auch zu einem weniger attraktiven Ziel für Hacker.

Wie Gil Dabah, Mitbegründer und CEO des Datenschutzinfrastrukturanbieters Piiano erklärt, „nehmen Phishing-Angriffe zu. Eine angemessene Zugriffskontrolle kann die Menge an gestohlenen Daten, die im Falle eines Diebstahls von Zugangsdaten durchsickern, auf ein Minimum reduzieren.“

„Es gibt keine tatsächlichen Anwendungsfälle für jemanden in der Organisation, um große Teile von Rohdaten von Kunden zu durchsuchen: Daher kann eine erweiterte Datenzugriffskontrolle die Gefährdung begrenzen“, sagte Dabah.

In Bezug auf praktische Empfehlungen sagt Dabah, dass Unternehmen versuchen sollten, personenbezogene Daten nach Möglichkeit zu maskieren, Datenbankzugriffsratenbeschränkungen zu implementieren und Anomalieerkennungstechnologie einzusetzen, um den Benutzerzugriff auf Anzeichen von böswilligem Verhalten zu überwachen.

Die Konzentration auf Datenzugriffskontrollen ist nicht nur sehr effektiv, um die Menge an Informationen zu reduzieren, die Angreifern in einem Angriffsszenario zur Verfügung stehen, sondern entlastet auch die Mitarbeiter.

Die Mission von VentureBeat soll ein digitaler Marktplatz für technische Entscheidungsträger sein, um sich Wissen über transformative Unternehmenstechnologie anzueignen und Transaktionen durchzuführen. Erfahre mehr über die Mitgliedschaft.