Wenn Sie sich jemals für Cybersicherheit interessiert haben, haben Sie wahrscheinlich schon einmal von Consent-Phishing gehört. Der Begriff beschreibt genau das, worum es geht. Diese spezielle Art von Cyberangriff erfordert eine Art von Zustimmung (engl. „consent“) des Opfers. Sie hat in letzter Zeit weltweit zugenommen und sendet eine unsichtbare Botschaft an zahlreiche Unternehmen: Überarbeiten Sie Ihre Benutzerrichtlinien und Ihr Digital Asset Management.
In diesem Artikel wird erläutert, was unter Consent-Phishing zu verstehen ist, damit sowohl Unternehmen als auch Privatpersonen ihre Daten besser vor diesem gezielten Angriff schützen können.
Was ist Consent-Phishing?
Consent-Phishing ist ein anwendungsbasierter Angriff, bei dem das Opfer mit einer legitim registrierten Anwendung getäuscht wird, um Zugang zu seinen sensiblen Daten zu erhalten. Diese Angriffsart unterscheidet sich jedoch vom Credential-Phishing, da sie den Benutzer nicht auf eine gefälschte Anwendung umleitet.
Es kann zwar auf verschiedene Arten durchgeführt werden, doch die häufigste ist per E-Mail. Wie also funktioniert das Consent-Phishing? Der Angreifer sendet eine scheinbar zuverlässige Nachricht an die E-Mail der Zielperson. Sobald die Zielperson auf den Link klickt, wird eine Anwendung auf ihrem Computer installiert. Von dort aus sammelt der Angreifer Informationen über das Opfer.
Beispiel für Consent-Phishing
Es gab viele anschauliche Fälle von Consent-Phishing-Angriffen prominenter Organisationen, die später zu einem Warnsignal für andere wurden.
Eines der bekanntesten Beispiele ist die Sicherheitslücke, die das SANS Institute im Jahr 2020 aufdeckte. Wie berichtet wurde, erhielten einige Mitarbeiter eine E-Mail mit dem Namen „Copy of sans July Bonus 24JUL2020.xls“.
Sie enthielt ein „Bonus“-Dokument im Format Enabler4Excel 365, und die Mitarbeiter fühlten sich angeregt, auf die Schaltfläche „Öffnen“ zu klicken. Das reichte einem Mitarbeiter, um auf den Link zu klicken und versehentlich ein bösartiges Microsoft 365-Add-on zu installieren. Dieses Programm erstellte eine Weiterleitungsregel für 513 E-Mails an den anonymen Angreifer.
Wie funktionieren Consent-Phishing-Angriffe?
Um vertrauenswürdig genug zu sein, kommen Consent-Phishing-Angriffe scheinbar von seriösen Anbietern. Dies erleichtert es den von Angreifern kontrollierten Anwendungen, Zugang zu Benutzerdaten zu erhalten. Der Plan ist in der Regel minutiös orchestriert, um erfolgreich zu sein. Nachfolgend erläutern wir die üblichen Schritte bei Consent-Phishing-Angriffen.
Die Consent-Phishing-Methode
Jeder Consent-Phishing-Angriff ist anders, aber die wichtigsten Schritte sind die folgenden:
- Ein Angreifer registriert eine App bei einem OAuth 2.0-Anbieter (z. B. Azure Active Directory).
- Die App trägt einen zuverlässigen Namen und eine zuverlässige Struktur, um keinen Verdacht zu erregen (z. B. durch Verwendung eines beliebten, mit einem Geschäftsbereich verbundenen Namens).
- Der Angreifer generiert einen Link, der später an die Benutzer gesendet wird, damit diese darauf klicken und der bösartigen App Zugriff auf Daten gewähren.
- Sobald der Nutzer das Angebot des Links annimmt, werden seine sensiblen Daten abgefangen.
- Das Zugriffstoken wird mit dem Autorisierungscode implementiert, der an die App gesendet wird. Es wird auch verwendet, um API-Aufrufe im Namen des Benutzers durchzuführen.
Sobald der Benutzer die Nachricht annimmt, werden seine Daten für den Angreifer zugänglich. Dazu können E-Mails, Kontakte, Weiterleitungsregeln, Dateien, Notizen, Profile usw. gehören.
Zustellungsmechanismen
Consent-Phishing kann über verschiedene digitale Kanäle erfolgen. E-Mails sind jedoch eine der zuverlässigsten Quellen, da der Angreifer den Eindruck erwecken muss, dass ein legitimes Unternehmen die Zielpersonen kontaktiert. Ein Benutzer kann auch in einer App, einem Softwareprogramm oder in Anmeldeformularen auf einen Consent-Phishing-Angriff stoßen. Wenn Sie von einer App aufgefordert werden, eine andere App zu installieren, sollten Sie in jedem Fall prüfen, ob die Aufforderung mit den Datenschutzrichtlinien des Programms und den Richtlinien Ihres Unternehmens übereinstimmt.
Consent-Phishing-Taktiken
Wie wir bereits erwähnt haben, ist Consent-Phishing in der Regel geplant und folgt einer bestimmten Abfolge von Schritten. Angefangen bei der Erstellung einer bösartigen App bis hin zu den Bemühungen, echt zu erscheinen, kann dieser Prozess entmutigend sein.
Als eine Art von Phishing weist dieser Angriff starke Social-Engineering-Merkmale auf. Zunächst einmal setzt der Hacker auf die Dringlichkeitskomponente. Zweitens hofft er, dass ein „tolles Angebot“ für das Opfer verlockend genug ist, um auf den Link zu klicken. Ein Merkmal des Consent-Phishings ist jedoch die „Übertragung der Schuld“ auf die empfangende Partei.
Warum ist Consent Phishing so effizient?
Consent-Phishing ist effizient, weil es eine scheinbar legitime Anwendung nutzt, die das Opfer gerne installieren möchte. Eine weitere Komponente, die es sehr effektiv macht, ist die Umsetzung auf der Grundlage der Zustimmung des Opfers.
Als hochwirksame Angriffsart in Verbindung mit der Zunahme des E-Mail-Marketings gewinnt das Consent-Phishing in der Cyberwelt immer mehr an Bedeutung. Diese Angriffsart ist auf dem Vormarsch, hat aber ihren Höhepunkt noch nicht erreicht. Wir haben das Wachstum des Consent-Phishings bereits für das Jahr 2022 prognostiziert, da die allgemeinen Phishing-Fälle nicht abnehmen werden.
Wie lassen sich Consent-Phishing-Angriffe verhindern?
Die Gefahren des Consent-Phishings können jedes Unternehmen bedrohen. Daher muss jedes Unternehmen entsprechende Maßnahmen ergreifen, um den Verlust wichtiger Daten zu vermeiden. Es lohnt sich, in die Cybersicherheit zu investieren, denn sie ist für ein Unternehmen von größter Bedeutung. Wir haben auch einige praktische Taktiken zur Verhinderung von Consent-Phishing aufgezeigt.
Schulen Sie Ihr Personal
Ihre Teammitglieder müssen sich des Consent-Phishings bewusst sein, um sowohl sich selbst als auch das Unternehmen, für das sie arbeiten, zu schützen. Schulen Sie Ihre Mitarbeiter darin, die Links, Dateien, E-Mails und anderen Inhalte, die sie erhalten, zu überprüfen und verdächtige Funktionen auszuschließen.
Erlauben Sie Benutzern nur den Zugriff auf eine Liste genehmigter Apps
Setzen Sie herstellergeprüfte Anwendungen durch oder erstellen Sie eine separate Liste von Anwendungen, denen Sie vertrauen. Wenn Ihr Unternehmen selbst Anwendungen herstellt, ist es besser, proprietäre Produkte zu verwenden.
Stellen Sie sicher, dass die Administratoren die Richtlinien für die Zustimmungsbewertung kennen
Natürlich sind Apps von Drittanbietern wichtig für Ihr Unternehmen, trotz der Gefahren des Consent-Phishings. Daher müssen Ihre Administratoren das Berechtigungs- und Zustimmungsrahmenwerk verstehen, um zu verhindern, dass bösartige Apps in Ihre Umgebung gelangen. Wir empfehlen eine feste Richtlinie für Fremdanwendungen und den Umgang mit Installationsangeboten.
Verwenden Sie E-Mail-Authentifizierungsprotokolle
Wie wir bereits erwähnt haben, ist die E-Mail ein Hauptübermittlungsweg für Consent-Phishing. Schulungen und Richtlinien sind zwar wichtig, doch manchmal reicht es nicht aus, sich auf das gesunde Urteilsvermögen Ihrer Mitarbeiter zu verlassen.
Wie bei jeder Art von Phishing ist es am besten, genügend Filter einzurichten, um so wenig wie möglich dem Einzelnen zu überlassen.
Es stimmt, dass SPF, DKIM und DMARC Ihre Infrastruktur nicht vor eingehenden Bedrohungen schützen können. (Wir arbeiten aber an einem neuen Produkt, das auch dieses Problem lösen wird.) Aber wir können und werden Ihre Partner und Kunden davor schützen, in Ihrem Namen manipuliert zu werden. Ihr Ruf steht auf dem Spiel, also melden Sie sich bei EasyDMARC an, um Ihre Authentifizierungsreise zu beginnen.
Fazit
Mit der technologischen Entwicklung wird es immer einfacher, alles zu entschlüsseln, was digitalisiert ist. Daher wird die Wahrscheinlichkeit von Cyberangriffen immer größer und damit auch die Notwendigkeit, Ihre Daten zu schützen.
Nachdem Sie nun erfahren haben, was Consent-Phishing ist und wie Sie es verhindern können, sollten Sie unsere bewährten Verfahren in die Tat umsetzen.
Haben Sie schon einmal einen Fall von Consent-Phishing erlebt? Setzen Sie sich mit uns auf LinkedIn in Verbindung und lassen Sie uns eine nützliche Diskussion beginnen!