Reibungsloser Login dank CIAM und Multi-Faktor Authentisierung
Daten sind heutzutage von unschätzbarem Wert, und Kriminelle werden immer raffinierter in ihren Bemühungen, Zugang zu sensiblen Informationen zu erlangen. Doch damit nicht genug. Die zunehmend professionellen Hacker bieten ihre betrügerischen Dienste auch auf dem Markt an - als „Crime-as-a-Service" (CaaS): In Anlehnung an legale Dienstleistungen in der Cloud wird kriminellen Akteuren Zugang zu spezialisierten Fähigkeiten und Tools verschafft. Man braucht also keine speziellen Kompetenzen, um betrügerische Aktionen zu starten. Dadurch sind die Effizienz und das Ausmass der Cyberkriminalität erheblich gestiegen, wie der Europol-Bericht „Cyber-attacks: the apex of crime-as-a-service" zeigt. Besonders beliebte Methoden, um in fremde Systeme einzudringen, sind Phishing-E-Mails mit Malware, das Ausnutzen von Schwachstellen sowie Remote Desktop Protocol (RDP). Hinzu kommt ein Netzwerk von Serviceleistungen, von dem hochrangige Cyberkriminelle stark profitieren. Ausgangspunkt sind in der Regel gestohlene Daten, die auf Marktplätzen im Dark Web angeboten werden. Erfahren Sie in diesem Blogbeitrag, welche Akteure dahinterstecken, welche Methoden sie anwenden und wie ein gestohlenes Passwort zur Kill-Chain wird.
Hinter den Kulissen: Initial Access Brokers, Dropper-as-a-Service und Crypter-Developer
Es gibt diverse kriminelle Dienstleistungen, die im Netz als Service angeboten werden:
- Initial Access Brokers
Das Geschäftsmodell von Initial Access Brokern (IAB) spiet bei Cyberangriffen eine wichtige Rolle. Es besteht darin, anderen Cyberkriminellen den Zugang zu bereits kompromittierten Systemen zu verkaufen, die als Ausgangspunkt für weitere Angriffe dienen können. Als Zwischenhändler der illegalen Zugänge sind IABs auf die Identifizierung, Infiltration und Kompromittierung von Computersystemen spezialisiert. Sie suchen in Netzwerken nach Schwachstellen, sei es durch ungepatchte Programme oder Server, durch Software-Bugs oder indem sie Sicherheitsmechanismen umgehen, zum Beispiel durch Social Engineering. Anschliessend verkaufen sie die gestohlenen Daten, meist im Dark Web.
- Dropper-as-a-Service
Ein „Dropper“ ist ein Programm. das als Schadsoftware auf einem bestimmten Zielcomputer installiert wird. Dabei fungiert er als Bindeglied zwischen dem Angriffsvektor, über den die Malware verbreitet wird, und der eigentlichen Schadsoftware. Mit Dropper-as-a-Service können auch Cyberkriminelle Malware verbreiten, die kein tieferes technisches Verständnis besitzen. Sie abonnieren einfach den Service und können die Software dann an ihre spezifischen Anforderungen anpassen und konfigurieren.
- Crypter-Developer
Crypter sind Instrumente, die von Cyberkriminellen benutzt werden, um Malware zu verstecken und ihre Erkennung durch Sicherheitssoftware zu erschweren. Die Entwickler programmieren die Software so flexibel, dass sie zur Verschleierung verschiedener Schadsoftware eingesetzt werden kann. Dadurch können die Kriminellen die Effektivität ihrer schädlichen Software in verschiedenen Umgebungen und gegen verschiedene Sicherheitslösungen maximieren. Oft enthalten diese Tools auch Mechanismen, um die Ausführung von Malware in umgebungsisolierten Testumgebungen (Sandboxes) zu verzögern oder sogar zu verhindern.
Die Kill-Chain gestohlener Daten am Beispiel eines IABs
Der Verkauf gestohlener Daten markiert den Anfang einer gefährlichen Kette von Ereignissen. Hacker verwenden diese Daten, um nicht nur Transaktionen auszulösen, sondern auch eine umfassende Kill-Chain zu implementieren.
Anfänglich erlangen Cyberkriminelle sensible Daten auf unterschiedliche Weise, sei es durch Phishing, Brute-Force-Angriffe oder das Ausnutzen von diversen Schwachstellen. Oft machen es Nutzerinnen und Nutzer Angreifern einfach, indem sie dasselbe Passwort für verschiedene Konten verwenden. Wenn es einmal in falsche Hände gerät, kann der Angreifer nicht nur auf ein Konto, sondern im schlimmsten Fall auf alle zugreifen.
In einem zweiten Schritt verkaufen Internetkriminelle die gestohlenen Informationen auf Darknet-Marktplätzen, was zu einem lukrativen Handel führt. Die gestohlenen Daten dienen als Ausgangspunkt für weitere Angriffe. Eine der beliebtesten Methoden ist Ransomware, bei der die Daten nicht nur verschlüsselt werden, sondern vermehrt auch zur sogenannten "doppelten Erpressung" führen. Dadurch drohen die Hacker nicht nur damit, die verschlüsselten Daten nicht mehr zu entschlüsseln, sondern auch mit der Veröffentlichung. Die Konsequenz ist, dass weitere gestohlene Daten ins Darknet gelangen und das „Spiel“ beginnt von vorne. Dies bedeutet für Unternehmen nicht nur einen grossen Verlust des guten Rufes, sondern im schlimmsten Fall auch das finanzielle Aus.
Wehret den Anfängen: Datenschutz beginnt mit CIAM
Um sich vor bedrohlichen Entwicklungen zu schützen, ist es von grosser Bedeutung, den Datenschutz zu priorisieren. Wenn sensible Informationen in die Hände von Cyberkriminellen geraten, kann dies das Ende bedeuten. Durch Customer Identity and Access Management (CIAM) lassen sich sensible Daten umfassend schützen. Starke Authentifizierungsmethoden wie beispielsweise die Zwei-Faktor-Authentifizierung können den Zugang zu Konten erschweren und somit böswilligen Akteuren entgegenwirken. Das trägt zudem dazu bei, dass Datenschutz- und Sicherheitsstandards eingehalten werden. Auf diese Weise kann die Kill-Chain durchbrochen werden, indem CIAM-Systeme proaktiv den Schutz von Identitäten und den sicheren Zugriff auf Ressourcen gewährleisten.
