Plattform-Missbrauch durch Phishing ist auf dem Vormarsch
Das Thema Phishing stellt nach wie vor ein grosses Problem für viele Organisationen dar. Die von Angreifern eingesetzten Techniken sind dabei in stetigem Wandel. Um Sicherheitssysteme zu umgehen, greifen diese auf immer kreativere Methoden zurück. Eine davon ist das Spear-Phishing via SaaS (Software-as-a-Service). Aber nochmal einen Schritt zurück:
Was ist Phishing eigentlich?
Phishing (Neologismus von fishing, engl. für ‚Angeln‘) ist der Versuch, mit betrügerischen Mitteln an sensible Daten zu gelangen oder Zugriff zu Systemen der Opfer zu erhalten. Alle Formen des Phishings sind dabei elektronisch übermittelte Social-Engineering-Methoden.
Das Swiss Cyber Institue (SCI) hat dazu einige interessante Fakten veröffentlicht [1]. Dort wird unter anderem erwähnt, dass ca. 80 % aller Security Incidents auf Phishing zurückzuführen sind. Dieser Angriffsvektor wird keineswegs nur von Betrügern bzw. Scammern benutzt.
Wenn Phishing ein konkretes Ziel verfolgt, wie etwa eine Branche, ein Unternehmen oder eine bestimmte Person zu kompromittieren, spricht man von Spear-Phishing. Im Jahr 2019 gingen insgesamt 65 % alle Kompromittierungen auf einen Phishing-Angriff zurück [1].
Laut MITRE ATT&CK [2] gibt es dabei 3 Techniken, die verwendet werden:
- Spear-Phishing Attachment
- Spear-Phishing Link
- Spear-Phishing over SaaS
- Spear-Phishing-Attachment ist die Methode, einen Anhang zu verwenden, der Schadcode enthält, um das System des Benutzers beim Öffnen bzw. Ausführen des Anhangs zu infizieren und weitere Malware nachzuladen. Es gibt viele Möglichkeiten, wie die Anhänge aussehen könnten. Das reicht von Microsoft-Office-Dokumenten über PDF-Dateien bis hin zu ZIP-Archiven, die Malware enthalten. In der Regel werden diese Anhänge aber nicht kommentarlos gesendet, sondern es wird dem Benutzer ein valider Grund vermittelt, warum er diesen Anhang jetzt öffnen bzw. ausführen sollte.
- Die Technik Spear-Phishing-Link verhält sich ähnlich zu der Technik Spear-Phishing-Attachment. Statt den Schadcode in Form von Dateien direkt via Mail oder Messenger zu übermitteln, wird hier dem Opfer nur ein Link geschickt. Klickt der Benutzer auf diesen, wird automatisch ein Download ausgeführt, um die entsprechende Datei bzw. Schadsoftware herunterzuladen. Teilweise werden hier auch gezielte Exploits eingesetzt, um können verschiedene Sicherheitslösungen zu umgehen. Mittels einer Spear-Phishing-Link-Attacke können auch Authentifizierungstoken des Benutzers gestohlen werden. Diese Zugriffstoken ermöglichen es dem Angreifer, verschiedene Aktionen im Namen des Benutzers über API-Aufrufe durchzuführen[3].
- Spear-Phishing via SaaS: Hierbei verschicken Angreifer Links über Dienste von Drittanbietern, um Zugang zu den Systemen der Opfer zu erhalten. Der Unterschied zu den anderen beiden Phishing-Methoden ist, dass der Angreifer keine eigenen Kommunikationswege für seine schadhaften Aktionen nutzt, sondern sich hinter vermeintlich seriösen Serviceangeboten verbirgt. Dazu zählen unter anderem Social-Media-Angebote, Webmailer und andere nicht vom Unternehmen kontrollierte Dienste. Aber auch kommerzielle SaaS-Lösungen wie Microsoft 365, Google Docs, Adobe Cloud Service oder Atlassian Cloud können von Angreifern im Rahmen von Spear-Phishing-Attacken genutzt werden [4]. Hierzu hat das renommierte Research Team Unit-42 vom IT-Security-Unternehmen Palo Alto Networks vor Kurzem einen interessanten Artikel veröffentlicht [5]. Seit April 2020 sind die Phishing-Angriffe via SaaS Lösungen um 1100 % gestiegen, im Zeitraum Februar 2022 bis Juli 2022 war der stärkste Anstieg zu verzeichnen. In der folgenden Grafik lässt sich die Anzahl an Phishing URLs pro Woche erkennen, die auf SaaS-Plattformen gehostet wurden:
Anzahl Phishing URLs auf Saas-Plattformen pro Woche
(Quelle: unit42.paloaltonetworks)
In der zum Artikel gehörenden Fallstudie haben die Forscher einige SaaS-Angebote genauer untersucht. Wie zu erwarten, enthalten die Landingpages (Einstiegsseiten in das betreffende SaaS-Angebot) zunächst keine schadhaften Inhalte. Über die typischen Phishing-Methoden wird dem Anwender nun aber ein Phishing-Link innerhalb des genutzten SaaS Systems zugänglich gemacht, die maliziöse Aktivitäten triggert unter dem "Deckmantel des vertrauenswürdigen Anbieters“. Diese Praxis bietet einen weiteren Vorteil für die Angreifer. Wird die finale Seite, auf der sich der Credential Stealer befindet, offline genommen, können die Angreifer den Link auf den gehosteten SaaS-Plattformen einfach austauschen, ohne dass die Kampagne zum Erliegen kommt.
Die Sicherheitsforscher der Unit42 weisen darauf hin, dass aktuell noch weniger populäre Anbieter für diese Art von Phishing ausgenutzt werden, da sie weniger effektiv im Beseitigen von Bedrohungen sind als die Big Player der Cloud-Branche.
Ein Beispiel hierfür ist die Universität Hamburg. In einem Statement warnte sie zuletzt am 03.03.2022 vor Emotet-Phishing-Angriffen via Microsofts OneDrive [6]. Im Rahmen unserer SOC-Services (Security Operation Center) begegnen auch uns diese Art von Vorfällen immer wieder. Zuletzt konnten wir gemeinsam mit einem betroffenen Kunden einen Vorfall dieser Art mit Spear-Phishing über Microsoft-OneNote-Dokumente aufdecken. Hier hatten Angreifer dem Anwender ein OneNote-Dokument in einem von Microsoft gehosteten Speicherbereich zugänglich gemacht, dieses aber enthielt einen direkten Link zu einer Phishing-Seite.
Fazit
Durch die Anpassung des Angriffsvektors sind legitime URLs von schadhaften URLs zunehmend schwieriger zu unterscheiden. Des Weiteren werden gängige Sicherheitsmechanismen wie Mail-Security-Lösungen damit umgangen. Hierbei bedarf es einer erhöhten Aufmerksamkeit der Anwender, diese Art von Angriffen zu erkennen, Security Awareness ist hier das Stichwort. Zum Erkennen von Phishing auch im privaten Umfeld hat der Deutsche Verbraucherschutz nützliche Tipps zusammengestellt [7].
Präventive Massnahmen wie Mail-Security-Lösungen oder URL-Filter sind dennoch absolut notwendig, aber in Gänze nicht ausreichend.
Für Fragen oder Diskussionen zu Ihrer Sicherheitsstrategie stehen wir Ihnen gern zur Verfügung. Sie erreichen uns direkt über das Kontaktformular.
Hier finden Sie nochmals alle Links mit den weiterführenden Informationen:
[1]: Phishing-Angriffsstatistiken
[2]: Phishing-Techniken
[3]: Artikel Trend Micro
[4]: SaaS-Lösungen
[5]: Statistiken Phishing auf SaaS-Plattformen
[6]: Statement Uni Hamburg
[7]: Nützliche Tipps