Barracuda full logo

Threat Spotlight: Kontoübernahme

Themen:
2. Mai. 2019
|
Asaf Cidon
Schützen Sie Ihre Office 365-Konten vor allgegenwärtigen Angriffen.

Das Forschungsteam von Barracuda hat einen erstaunlichen Anstieg von Account Takeovers festgestellt, eine der am schnellsten wachsenden Bedrohungen für die E-Mail-Sicherheit. Aus einer neuen Analyse von Account-Takeover-Angriffen auf Barracuda-Kunden geht hervor, dass im März 2019 die Office 365-Konten von 29 Prozent aller Unternehmen durch Hacker gefährdet wurden. Mehr als 1,5 Millionen bösartige und Spam-E-Mails wurden in diesem einen Monat von den gehackten Office 365-Konten aus gesendet!

KontoübernahmeHacker führten die Angriffe zur Kontoübernahme mithilfe unterschiedlicher Methoden aus. In einigen Fällen nutzten die Hacker Benutzernamen und Passwörter, die sie bei früheren Datenschutzverletzungen erlangt hatten. Da Benutzer für verschiedene Konten häufig dasselbe Passwort verwenden, konnten Hacker die gestohlenen Zugangsdaten erfolgreich wiederverwenden und sich so Zugriff auf weitere Konten verschaffen. Hacker verwenden auch gestohlene Passwörter für persönliche E-Mails und nutzen den Zugang zu diesem Konto, um sich Zugang zu geschäftlichen E-Mails zu verschaffen. Es werden auch Brute-Force-Angriffe eingesetzt, um erfolgreich Konten zu übernehmen, weil Menschen sehr einfache Passwörter verwenden, die leicht zu erraten sind und nicht oft genug geändert werden. Die Angriffe erfolgen auch über das Internet und Geschäftsanwendungen, einschließlich SMS.

Da mehr als die Hälfte aller Unternehmen weltweit bereits Office 365 nutzt und die Akzeptanz weiterhin schnell wächst, haben es Hacker auf die Übernahme von Konten abgesehen, da diese als Tor zu einem Unternehmen und dessen Daten dienen – ein lukrativer Gewinn für die Kriminellen.

Hier finden Sie eine nähere Betrachtung der Kontoübernahme sowie Lösungen zur Erkennung und Blockierung dieser Angriffe.

Recent analysis of #AccountTakeover attacks found that 29 percent of organizations had their Office 365 accounts compromised. More than 1.5 million malicious and spam emails were sent from the compromised accounts in one month!
Click To Tweet


Bedrohung im Fokus


Account Takeover – Cyberkriminelle nutzen Brand Impersonation, Social Engineering und Phishing, um Zugangsdaten zu stehlen und sich auf Office 365-Konten Zugriff zu verschaffen. Sobald das Konto kompromittiert ist, überwachen und verfolgen die Hacker die Aktivitäten, um zu erfahren, wie das Unternehmen arbeitet, welche E-Mail-Signaturen verwendet und wie finanzielle Transaktionen abgewickelt werden.

Die Details


Account Takeover von Office 365-Konten beginnen mit Infiltration. Cyberkriminelle geben sich als Microsoft aus – die weltweit am häufigsten imitierte Marke, denn 1 von 3 Angriffen geht auf das bekannte Unternehmen zurück – und versuchen mit Social-Engineering-Methoden, E-Mail-Empfänger dazu zu bringen, eine Phishing-Website aufzurufen und ihre Zugangsdaten preiszugeben.

Sobald das Konto kompromittiert wurde, starten Hacker selten sofort einen Angriff. Stattdessen überwachen sie E-Mails und verfolgen die Aktivitäten im Unternehmen, um die Chancen auf einen erfolgreichen Angriff zu maximieren. Im Rahmen ihrer Aufklärungsarbeit richten Betrüger oft Postfachregeln ein, um alle E-Mails, die sie von dem kompromittierten Konto senden, zu verbergen oder zu löschen. In der Analyse von Barracuda-Forschern vom März 2019 richteten Hacker bösartige Regeln ein, um ihre Aktivitäten in 34 Prozent der fast 4.000 kompromittierten Konten zu verbergen.

Nach der Aufklärung nutzen Cyberkriminelle die gesammelten Zugangsdaten, um andere hochwertige Konten, insbesondere Führungskräfte und Mitarbeiter der Finanzabteilung, ins Visier zu nehmen und zu versuchen, deren Zugangsdaten durch Spear Phishing und Brand Impersonation zu erbeuten. Betrüger verwenden beispielsweise E-Mails, um sich als vertrauenswürdig auszugeben, z. B. als ein bekanntes Unternehmen oder eine häufig genutzte Geschäftsanwendung. In der Regel versuchen Angreifer, Empfänger zur Preisgabe von Zugangsdaten oder zum Anklicken eines bösartigen Links zu verleiten. Angreifer verwenden oft Domain-Spoofing-Methoden oder Doppelgänger-Domains, um ihre Versuche des Identitätsmissbrauchs überzeugend zu gestalten.

Hacker nutzen kompromittierte Konten auch, um Angriffe zu monetarisieren, indem sie personenbezogene, finanzielle und vertrauliche Daten stehlen und sie für Identitätsdiebstahl, Fraud und andere Straftaten verwenden. Kompromittierte Konten werden auch genutzt, um externe Angriffe auf Partner und Kunden zu starten. Beim Conversation Hijacking schalten sich Hacker in wichtige Gespräche oder Threads ein, z. B. während einer Überweisung oder einer anderen finanziellen Transaktion.

Cybercriminals set up malicious rules to hide their activity in 34 percent of compromised accounts
Click To Tweet

 

Schutz Ihres Unternehmens


Nutzen Sie die Vorteile der künstlichen Intelligenz
Betrüger passen ihre Taktiken laufend an, damit ihre E-Mails Gateways und Spam-Filter umgehen. Daher sollte unbedingt eine Lösung vorhanden sein, die Spear-Phishing-Angriffe wie Business Email Compromise und Brand Impersonation zuverlässig erkennt und davor schützt. Stellen Sie speziell entwickelte Technologien bereit, die sich nicht ausschließlich auf die Suche nach bösartigen Links oder Anhängen verlassen. Mithilfe von maschinellem Lernen zur Analyse normaler Kommunikationsmuster innerhalb Ihrer Organisation kann die Lösung Anomalien erkennen, die möglicherweise auf einen Angriff hindeuten.

Stellen Sie Schutz vor Account-Takeover bereit
Einige der verheerendsten und erfolgreichsten Spear-Phishing-Angriffe stammen von kompromittierten Konten. Stellen Sie sicher, dass Betrüger Ihre Organisation nicht als Basislager für diese Angriffe nutzen. Setzen Sie Technologie ein, die künstliche Intelligenz nutzt, um zu erkennen, wenn Konten kompromittiert wurden und die in Echtzeit Abhilfe schafft, indem sie Benutzer warnt und von kompromittierten Konten gesendete bösartige E-Mails entfernt.

Nutzen Sie die Multi-Faktor-Authentifizierung
Die Multi-Faktor-Authentifizierung, auch MFA, Zwei-Faktor-Authentifizierung oder Zwei-Schritt-Verifizierung genannt, bietet eine zusätzliche Sicherheitsebene über den Benutzernamen und das Passwort hinaus, wie z.B. einen Authentifizierungscode, einen Daumenabdruck oder einen Netzhaut-Scan.

Überwachen Sie Posteingangsregeln und verdächtige Anmeldungen
Verwenden Sie Technologie, um verdächtige Aktivitäten zu identifizieren, einschließlich Anmeldungen von ungewöhnlichen Standorten und IP-Adressen, was ein mögliches Anzeichen für ein kompromittiertes Konto sein könnte. Überwachen Sie E-Mail-Konten auch auf bösartige Posteingangsregeln, da diese häufig bei Account Takeover zum Einsatz kommen. Kriminelle loggen sich in das Konto ein, erstellen Weiterleitungsregeln und verstecken oder löschen alle E-Mails, die sie vom Konto senden, um ihre Spuren möglichst zu verwischen.


Schulen Sie Ihre Mitarbeiter darin, Angriffe zu erkennen und zu melden
Schulen Sie Benutzer über Spear-Phishing-Angriffe, indem Sie dies zu einem Teil der Schulung zur Stärkung des Risikobewusstseins machen. Stellen Sie sicher, dass die Mitarbeiter diese Angriffe erkennen können, ihre betrügerische Natur verstehen und wissen, wie sie sie melden können. Verwenden Sie Phishing-Simulationen für E-Mails, Voicemail und SMS, um Benutzer darin zu schulen, Cyberangriffe zu erkennen, die Wirksamkeit Ihrer Schulungen zu testen und die Benutzer zu identifizieren, die am anfälligsten für Angriffe sind. Helfen Sie Ihren Mitarbeitern, kostspielige Fehler zu vermeiden, indem Sie Richtlinien erstellen, die Verfahren zur Bestätigung von E-Mail-Anfragen, einschließlich Überweisungen und dem Kauf von Geschenkkarten, festlegen.

Kostenloser Bericht: Die neuesten Erkenntnisse über Spearphishing-Bedrohungen und Trends

Asaf Cidon

Asaf Cidon ist Professor für Elektrotechnik und Informatik an der Columbia University und Berater bei Barracuda. Davor war er als Vice President für Content Security Services bei Barracuda Networks tätig. In dieser Funktion war er einer der Leiter von Barracuda Sentinel, der KI-Lösung des Unternehmens für die Echtzeit-Abwehr von Spear-Phishing und Cyberbetrug. Asaf war zuvor CEO und Mitbegründer von Sookasa, einem Start-up-Unternehmen für Cloud-Speicher-Sicherheit, das von Barracuda übernommen wurde. Davor promovierte er in Stanford, wo sich seine Forschung auf die Zuverlässigkeit und Leistung von Cloud-Speichern konzentrierte. Er arbeitete auch im Web Search Engineering Team von Google. Asaf hat einen Doktortitel und einen MS in Elektrotechnik von der Stanford University und einen BSc in Technischer Informatik vom Technion.

Vernetzen Sie sich mit Asaf auf LinkedIn.

Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 BarracudaONE: Vorteile für einen frühen Anwender
BarracudaONE: Vorteile für einen frühen Anwender
 Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Threat Spotlight: Tycoon-Phishing-Kit enthüllt neue Techniken zum Verbergen bösartiger Links
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.