ATO-Angriffe und wie man sie verhindern kann

In dem Maße, in dem Unternehmen die Technologie einsetzen und ihre IT-Infrastruktur in die Cloud verlagern, wird Betrug durch Kontoübernahme zu einer wachsenden Bedrohung. SaaS-Anwendungen wie Salesforce, Office 365 oder Zoom können nicht durch feste Sicherheitsperimeter wie Firewalls geschützt werden. Leider sind sie öffentlichen Netzwerken ausgesetzt.

Unternehmen, die Cloud-Lösungen einsetzen, müssen überprüfen, wie die Benutzer validiert werden. Dadurch wird das Risiko von Account-Takeover-Angriffen (ATOs) verringert. Solche Bedrohungen gibt es schon seit Jahrzehnten und sie können der Geschäftskontinuität schweren Schaden zufügen.

Möchten Sie Ihre Benutzerkonten schützen? Dann lesen Sie diesen Leitfaden, um ATO-Angriffe zu verhindern und Ihre Konten sicher zu halten.

Was sind ATO-Angriffe?

Ein Kontoübernahmeangriff ist eine Form des Identitätsdiebstahls, bei dem sich ein Cyber-Akteur Zugang zum Konto eines Opfers verschafft. Das Hauptziel besteht darin, gestohlene Identitäten für eigennützige Zwecke zu nutzen. Cyberkriminelle haben es oft auf berufsbezogene Konten abgesehen. Außerdem kaufen sie Benutzeranmeldedaten aus dem Dark Web, um auf Websites für den elektronischen Handel, Reisen, Finanzen und soziale Medien zuzugreifen. Anschließend versuchen sie, sich anzumelden, indem sie Hunderte von Kombinationen aus Benutzernamen und Kennwort ausprobieren. Bei ATO-Angriffen kann sich ein Hacker auf verschiedene Weise als Benutzer ausgeben, zum Beispiel:

  • Begehen von Zahlungsbetrug
  • Erlangung von Zugang zu sensiblen Daten
  • Änderung oder Ausweitung der Berechtigung eines Benutzers für den Zugriff auf Unternehmensressourcen
  • Versenden von E-Mails oder anderen Kommunikationsformen, um weitere Angriffe wie Business Email Compromise (BEC) zu starten

Welche Organisationen sind Ziel von ATO-Angriffen?

Finanzinstitute sind ein Hauptziel von ATO-Angriffen. Allerdings kann jede Einrichtung, die Benutzeranmeldungen verwendet, ein Opfer werden. Das Hauptziel von Cyberangriffen sind in der Regel finanzielle Gewinne. Dazu gehören der Verkauf gestohlener Daten, der Diebstahl von Kryptowährungen oder die Verleitung der Opfer zur Installation von Ransomware.

Auch personenbezogene Daten sind ein Ziel von ATO-Angriffen. Cyber-Akteure können diese Informationen beispielsweise nutzen, um Identitätsdiebstahl zu begehen, z. B. um an Kredit- und Debitkarteninformationen zu gelangen und Versicherungsbetrug zu begehen.

Außerdem können sie persönliche Daten verwenden, um betrügerische Nachrichten echt aussehen zu lassen. Diese Art von Angriffen zielt auf akademische Einrichtungen, das Gesundheitswesen und den öffentlichen Sektor ab.

ATO-Angriffe sind auch eine häufige Bedrohung für E-Commerce- und Social-Media-Websites. Cyber-Angreifer können bestehende E-Commerce-Konten kapern und Artikel auf Kosten des Opfers kaufen. In der Regel übernimmt der Hacker ein E-Commerce-Konto, legt Artikel in den Warenkorb und bezahlt mit den gespeicherten Zahlungsdaten des Opfers.

Ein gutes Beispiel für einen ATO-Angriff ist die koordinierte Kampagne auf Twitter im Jahr 2020. Dabei wurden die Twitter-Konten reicher und berühmter Personen wie Jeff Bezos, Bill Gates, Elon Musk, Joe Biden, Kanye West und anderer kompromittiert. Der Angriff warb für einen Betrug mit Kryptowährung. Die Hacker gaben ihren Anhängern 30 Minuten Zeit, um sie dazu zu bringen, ihnen Bitcoins zu schicken. Natürlich kann das Geld aufgrund der Blockchain-Anonymität nicht zurückverfolgt oder zurückgegeben werden.

Wie führen Cyber-Akteure Kontoübernahme-Angriffe aus?

Es gibt verschiedene Methoden zur Durchführung von Kontoübernahme-Angriffen. Im Folgenden sind die gängigsten aufgeführt.

Phishing-Angriffe

Ein Phishing-Angriff ist eine der am weitesten verbreiteten Angriffsformen im Internet. Hacker senden einen Link per E-Mail, in Chats, auf betrügerischen Websites, per SMS, über soziale Medien und sogar per Telefonanruf. Das Opfer klickt auf die URL und wird entweder auf eine betrügerische Website umgeleitet oder es wird im Hintergrund eine Malware installiert. Das Ergebnis ist, dass sie Cyberkriminellen Zugriff auf ihre Geräte gewähren oder persönliche Daten weitergeben.

Malware

Malware ist ein bösartiges Programm, das darauf abzielt, unbefugten Zugriff auf das Gerät eines Opfers zu erlangen. Wenn Sie Software von unbekannten Websites herunterladen, können Sie unwissentlich Malware auf Ihrem Gerät installieren. Dieses Programm kann alles überwachen, was Sie auf Ihrem Gerät tun. Der Angreifer wartet nur darauf, dass Sie Ihre Anmeldedaten eingeben.

Credential Stuffing

Credential Stuffing ist ein Brute-Force-Angriff, der zur Übernahme von Konten führen kann. Dabei verwenden Cyberkriminelle gestohlene Benutzernamen und Passwörter auf verschiedenen Websites. Credential Stuffing ist möglich, weil die meisten Kontoinhaber ihre Kennwörter und Benutzernamen wiederverwenden.

Cyberkriminelle verwenden Bots, um mehrere kontobasierte Websites zu scannen. Sie identifizieren Benutzer und kompromittieren deren Konten. Viele Kontoinhaber werden Opfer dieses Angriffs, weil sie ihre Passwörter schlecht verwalten und die Multi-Faktor-Authentifizierung (MFA) vernachlässigen.

Man-in-the-Middle-Angriff

Bei einem Man-in-the-Middle-Angriff wird die Kommunikationsverbindung zwischen zwei Parteien abgefangen. Sobald ein Angreifer Zugang zu Ihrem Kommunikationssystem erhält, kann er:

  • Ihr Gespräch belauschen
  • Nachrichten bearbeiten
  • Sie ausspionieren
  • Anmeldedaten und personenbezogene Daten stehlen
  • Den Zugang zu Ihrem Konto sperren

Die Folgen eines solchen Angriffs können schwerwiegend sein.

Maßnahmen zur Verhinderung von Kontoübernahmen

Wie Sie gesehen haben, können Kontoübernahmen Ihrem Unternehmen schaden, wenn es keine angemessenen Präventivmaßnahmen gibt. Hier sind einige Möglichkeiten, wie Sie Ihr Unternehmen vor ATO-Angriffen schützen können.

Verwenden Sie Zwei- oder Multi-Faktor-Authentifizierung

Fordern Sie Ihre Benutzer und Mitarbeiter auf, die Multi-Faktor-Authentifizierung (MFA) zu aktivieren. MFA beinhaltet die Verwendung zusätzlicher Faktoren zur Authentifizierung der Identität eines Benutzers. Diese Faktoren können einen oder mehrere der folgenden umfassen:

  • Fakten: Stellen Sie bei der Einrichtung ihres Kontos Sicherheitsfragen, wie z. B. den ersten Namen ihres Haustiers oder einen Spitznamen.
  • Identität: Sie können Ihre Nutzer auch dazu ermutigen, ihr Konto durch persönliche Merkmale wie Fingerabdruck, Gesichtserkennung, Iris-Scan usw. zu schützen.
  • Besitz: Sie können auch einen Token oder ein OTP einbauen.

Sie müssen nicht jedes Mal MFA von Ihren Benutzern anfordern. Ein anderer Standort oder ein anderes Gerät kann der Auslöser sein, um den Authentifizierungsprozess zu starten.

Web Application Firewall

Eine Web Application Firewall (WAF) blockiert den HTTP-Verkehr, um Webanwendungen zu schützen. WAFs können böswillige Zugriffsversuche erkennen und blockieren. Diese Maßnahme kann helfen, ATO-Angriffe mit einer oder mehreren der folgenden Techniken zu verhindern:

  • Erkennen und Blockieren von Anfragen von bekannten Cyber-Akteuren
  • Erkennen von Credential Stuffing auf Anmeldeportalen
  • Identifizierung des für ATO-Angriffe verwendeten Bot des Angreifers
  • Durchsetzung von MFA durch Identitätsanbieter von Drittanbietern
  • Analyse des Datenverkehrs auf „Fingerabdrücke“, die auf Tools zum Ausfüllen von Anmeldeinformationen hinweisen

Verwalten Sie die Berechtigungen

Wenn es zu einer Kontoübernahme kommt, ist es von entscheidender Bedeutung, ihre Auswirkungen zu verringern. In den meisten Fällen ist die Übernahme eines Kontos nicht das Endziel. Ein Cyber-Akteur möchte möglicherweise auf andere sensible Unternehmensressourcen zugreifen. Wenn Sie bereits ein kompromittiertes Konto im System haben, entfernen Sie dessen Zugriff auf Ressourcen und vertrauliche Daten. Noch besser ist es, das Konto des Benutzers ganz zu löschen. Dennoch ist die Verwaltung von Berechtigungen als Präventivmaßnahme effizienter. Eine der besten Möglichkeiten ist die Durchsetzung des Prinzips der geringsten Berechtigung. Diese Regelung stellt sicher, dass Mitarbeiter nur auf die Ressourcen zugreifen können, die sie für die Erledigung ihrer Aufgaben benötigen. Stellen Sie sicher, dass es eine Aufgabentrennung gibt, um die Auswirkungen eines Angriffs zu verringern.

Blockieren Sie bösartigen Datenverkehr

Cyber-Akteure scannen das Netzwerk und den Port, um mehr über das Netzwerkverhalten und die Struktur einer Organisation zu erfahren. Die Erkennung von Netzwerkanomalien kann helfen, Aufklärungsangriffe zu erkennen. In der Regel nutzen Hacker das Port-Scanning, um sich über die Ressourcen zu informieren, die Sie in den Netzwerken Ihrer Organisation einsetzen.

Mit einer IP-Sperre können Sie Cyber-Akteure daran hindern, gestohlene Anmeldeinformationen zu verwenden. Infolgedessen können nur autorisierte Benutzer eine Verbindung zu Anwendungen herstellen und auf Unternehmensressourcen zugreifen.

Fazit

Wie Sie sehen, werden die ATO-Bedrohungen immer raffinierter, von Phishing und Malware bis hin zu Credential Stuffing und Man-in-the-Middle-Angriffen. Sie können die Geschäftskontinuität schwer beeinträchtigen.

Die Erkennung eines Kontoübernahme-Angriffs kann jedoch eine Herausforderung sein. Daher sollten Sie angemessene Präventivmaßnahmen wie Zwei- oder Multi-Faktor-Authentifizierung, Web Application Firewalls, Verwaltung von Berechtigungen und Erkennung von Anomalien implementieren. Dies wird dazu beitragen, solche Bedrohungen abzuschwächen und Ihr Unternehmen, Ihre Mitarbeiter und Ihre privaten Daten zu schützen.

Was ist der Unterschied zwischen SPF, DKIM und DMARC?

Was ist der Unterschied zwischen SPF, DKIM und DMARC?

SPF, DKIM und DMARC sind die drei wichtigsten E-Mail-Authentifizierungsprotokolle, die Mailservern und ESPs nachweisen,...

Read More
Verbessern Sie die Zustellbarkeit Ihrer E-Mails mit SPF

Verbessern Sie die Zustellbarkeit Ihrer E-Mails mit SPF

Der Austausch von E-Mails ist ein unverzichtbarer Bestandteil eines jeden modernen Unternehmens. Sie werden...

Read More
E-Mail-Authentifizierung: Was ist das und warum ist es wichtig?

E-Mail-Authentifizierung: Was ist das und warum ist es wichtig?

Obwohl die E-Mail einer der wichtigsten Kommunikationskanäle für Privatpersonen und Unternehmen ist, war die...

Read More