Der Helpdesk des Unternehmens ist ebenfalls ein Bedrohungsvektor

Ihr Helpdesk soll Probleme lösen – nicht verursachen. Doch da Angreifer immer geschickter im Social Engineering geworden sind, haben sie den Helpdesk zunehmend in einen leistungsstarken Einstiegspunkt für Cyberangriffe verwandelt.

Es ist paradox zu denken, dass der Helpdesk ein Bedrohungsvektor ist, es sei denn, man spricht von böswilligen Insidern oder Mitarbeiterfehlern. Schließlich reden wir über das Technik-Support-Team. Diese Mitarbeiter sind IT-Fachleute, die in den Unternehmensrichtlinien geschult sind und mindestens grundlegende Kenntnisse über Cybersecurity haben. Nicht alle Mitarbeiter erhalten die angemessene Einarbeitung, aber Ihr IT-Team sollte es zumindest besser wissen, als einem Bedrohungsakteur ein Passwort oder erweiterte Berechtigungen zu gewähren.

Und wenn ein Bedrohungsakteur versucht, sich in ein Unternehmensnetzwerk einzuschleichen, würde er dann nicht vermeiden wollen, dem IT-Team zu begegnen? Sie sind die Personen, die ihn am wahrscheinlichsten erwischen würden. Ist das nicht der Sinn von Angriffsketten, die Tarnung, Ausweichen und „Living off the Land“-Techniken (LotL) nutzen?

Es scheint so, aber schauen wir uns das genauer an:

• Helpdesks haben Zugang zu wertvollen Ressourcen. Diese Techniker können Passwörter zurücksetzen, die Multifaktor-Authentifizierung (MFA) zurücksetzen oder deaktivieren, Nutzerberechtigungen ändern, Nutzer- und Systemdetails anzeigen und vieles mehr. Der Helpdesk ist eine wahre Schatztruhe für Bedrohungsakteure, daher werden sie weiterhin neue Exploits entwickeln und ausprobieren.
• Helpdesks sind oft der Einstiegspunkt für IT- und Cybersecurity-Experten. Es mag Experten im Team geben, aber hier werden viele Networking- und Security-Absolventen in die Branche einsteigen. Sie verfügen möglicherweise nicht über ausreichend Erfahrung, Unternehmens- und Netzwerkwissen oder Selbstvertrauen, um verdächtige Aktivitäten zu erkennen und angemessen darauf zu reagieren. Für einige von ihnen ist der Helpdesk ihre erste Erfahrung in einer dynamischen Umgebung mit einem unvollkommenen Netzwerk. 
• Die Helpdesks sind oft unterbesetzt und überlastet. Die Nachfrage nach Security-Experten wächst weiter, vor allem jetzt, wo Bedrohungsakteure künstliche Intelligenz (KI) bei ihren Angriffen einsetzen. Die Branche hat bereits einen Personalmangel, was bedeutet, dass eine Person die Arbeit von 1,5 bis 2 Vollzeitbeschäftigten leisten muss. Das kann anstrengend sein, vor allem, wenn der Helpdesk auch noch eine Menge falsch-positiver Alarme bearbeiten muss.

Vor diesem Hintergrund scheint der Helpdesk ein offensichtlicher Vektor zu sein. In den Händen eines erfahrenen Bedrohungsakteurs kann der Helpdesk die wertvollsten Assets des Unternehmens liefern.

Helpdesk-Angriffe

Um zu veranschaulichen, wie diese Angriffe funktionieren, werden wir uns vier Taktiken und Vorfälle ansehen und mit den SIM-Swap-Angriffen auf Twitter im Jahr 2019 beginnen. Bedrohungsakteure nutzten Social Engineering, um die Helpdesks von Mobilfunkanbietern dazu zu bringen, SIM-Swaps von den Opfern zu den Angreifern durchzuführen. „SIM-Swap“ bedeutet einfach, dass der Mobilfunkanbieter die Telefonnummer von den SIM-Karten der Opfer auf SIM-Karten in Telefonen übertragen hat, die den Angreifern gehören. Dadurch erhielten die Angreifer Zugriff auf Multifaktor-Authentifizierungscodes und andere Codes, die sie brauchten, um die Kontrolle über Twitter-Konten und Kryptowährungs-Wallets zu übernehmen.

Dies ist ein häufiger Angriff auf hochkarätige Personen wie Prominente und Influencer, insbesondere solche, die Kryptowährungen verwenden. Brian Krebs hat mehr zu diesen Angriffen und den Folgen.

Die LAPSUS$-Gruppe sorgte 2021-2022 für Schlagzeilen mit ihren erfolgreichen Angriffsversuchen zum Identitätsmissbrauch interner Helpdesks gegen große Organisationen wie Microsoft, Nvidia, Samsung und Okta. Die Gruppe bereitete sich auf die Angriffe vor, indem sie öffentliche Quellen, soziale Medien und durch das Dark Web verfügbar gemachte Datenschutzverletzungen durchforstete. .Die Mitglieder von LAPSUS$ kontaktierten dann die Helpdesks der Unternehmen und gaben sich als Mitarbeiter aus, die dringend Unterstützung bei Zugangsdaten oder Geräten benötigten. Diese Betrugsmaschen nutzten häufig Vishing (Voice Phishing) oder direkte Nachrichten, um ihre Glaubwürdigkeit zu erhöhen.

LAPSUS$ nutzte auch Helpdesk-Identitätsmissbrauch, um andere Betrugsmaschen zu unterstützen. Eine gängige Technik besteht darin, Mitarbeiter mit wiederholten Anforderungen an die Mehrfaktor-Authentifizierung (MFA) zu bombardieren und anschließend mit einem Anruf nachzufassen, um den Mitarbeiter zu ermutigen, die Authentifizierung zu genehmigen. LAPSUS$ betreibt auch Smishing (SMS-Phishing), Spear-Phishing und SIM-Swapping, um Kommunikation und Authentifizierungscodes abzufangen. Die Gruppe warb auch Insider an und bot eine Entschädigung für privilegierten Zugang oder Privilegieneskalation an. Diese kombinierten Taktiken ermöglichten es ihnen, in sensible Bereiche einzudringen und Ransomware- sowie andere Angriffe zu starten. Oft war der Erfolg der Gruppe darauf zurückzuführen, dass sie das Ziel studierten und die Mitarbeitenden schikanierten, bis diese schließlich einen Fehler machten.  

Im Jahr 2022 nutzte die 0ktapus -Bedrohungsgruppe sowohl Smishing als auch Vishing, um Twilio, einen Anbieter für Cloud-Kommunikation, zu kompromittieren. Dies war ein komplexer und mehrstufiger Social-Engineering-Angriff. Hier ist die Zeitleiste:

• 29. Juni 2022: 0ktapus-Bedrohungsakteure geben sich als IT-Team aus, um Vishing-Angriffe auf Twilio-Mitarbeiter durchzuführen. Ein Anrufer überredet einen Mitarbeiter, seine Zugangsdaten preiszugeben, was zu etwa 12 Stunden unbefugtem Zugriff auf Kundenkontaktdaten führt.
• Mitte Juli 2022: Die Angreifer starten eine Smishing-Kampagne, die aktuelle und ehemalige Mitarbeiter von Twilio mit gefälschten Warnungen und bösartigen Links zum Zurücksetzen von Passwörtern bombardiert. Einige dieser Angriffe sind erfolgreich, und Bedrohungsakteure erhalten Zugang zum Twilio-Netzwerk und zu Kundendaten.
• 4.-9. August 2022: Twilio wird auf den Netzwerkeingriff und die Datenpanne aufmerksam und leitete eine Reaktion ein, obwohl die Bedrohungsakteure von 0ktapus weitere zwei Tage nach der Entdeckung Zugang aufrechterhalten. Twilio arbeitet mit Netzbetreibern und Hosting-Anbietern zusammen, um die Infrastruktur für Smishing und den Diebstahl von Zugangsdaten abzuschalten.
• August – Oktober 2022: Twilio ermittelt zusammen mit forensischen Partnern und aktualisiert seinen früheren Vorfallbericht.

„Unsere Ermittlungen führten uns auch zu dem Schluss, dass dieselben bösartigen Akteure wahrscheinlich für einen kurzen Sicherheitsvorfall verantwortlich waren, der am 29. Juni 2022 stattfand. Bei dem Vorfall im Juni wurde ein Mitarbeiter von Twilio durch Social Engineering mittels Voice-Phishing (oder ‚Vishing‘) dazu gebracht, seine Zugangsdaten preiszugeben, und der böswillige Akteur konnte auf die Kontaktdaten einer begrenzten Anzahl von Kunden zugreifen.“ ~Twilio Vorfallsbericht, 7. August 2022

Die Scattered Spider-Bedrohungsgruppe nutzte Vishing-Angriffe, um im September 2023 MGM Resorts zu infiltrieren. Hier nutzten die Anrufer LinkedIn, um einen Mitarbeiter von MGM zu identifizieren, und gaben sich dann bei einem Anruf beim Helpdesk des Unternehmens als diese Person aus. Der Anrufer gab an, aus dem System ausgesperrt zu sein und bat um Hilfe bei der Wiederherstellung des Zugriffs. Leider hat dies funktioniert und die Angreifer erhielten privilegierten Zugriff auf die Okta- und Azure AD-Umgebungen des Unternehmens. Dadurch erhielt Scattered Spider uneingeschränkten Zugriff auf die Identitäts- und Zugriffsmanagementsysteme von MGM. Sie konnten Nutzerkonten verwalten, Sicherheitskontrollen deaktivieren und sich selbst Zugriff auf alles gewähren, was mit den kompromittierten Plattformen integriert ist.

Nachdem Scattered Spider den ersten Zugriff erlangt hatte, startete die ALPHV-Ransomware-Gruppe ihren Angriff auf das Unternehmen. Ende 2023 belief sich der Schaden durch den Angriff für MGM auf schätzungsweise 100 Millionen USD an entgangenem Umsatz, Beratungs- und Anwaltskosten sowie anderen Ausgaben im Zusammenhang mit der Wiederherstellung, Security-Upgrades und Compliance-Problemen.

Warum diese Angriffe funktionieren

Wir haben gesehen, dass Bedrohungsakteure bereit sind, zum Telefon zu greifen und sich entweder als Helpdesk-Mitarbeiter oder als Mitarbeiter auszugeben, der Helpdesk-Hilfe benötigt. Diese Bedrohungsakteure sind „Anrufer“, die sich auf Vishing und andere Social-Engineering-Techniken spezialisiert haben. Sie sind geübt im Identitätsmissbrauch und in improvisierten Gesprächen und haben sich oft auf einen Anruf vorbereitet, indem sie ein Skript geschrieben oder Details über die Zielperson gesammelt haben. Es handelt sich oft um junge englischsprachige Personen aus England und den Vereinigten Staaten, und viele von ihnen gehören einer Gruppe an, die als „The Com“ bekannt ist. Dabei handelt es sich um eine lose organisierte Gemeinschaft von Teenagern und jungen Erwachsenen, die mit diesen Aktivitäten aus Ruhmsucht beginnen und dann wegen des Geldes eine „Karriere“ in der Cyberkriminalität einschlagen. Gruppen wie Scattered Spider (UNC3944), LAPSUS$, 0ktapus, Star Fraud, Octo Tempest und Scatter Swine sind alle aus The Com hervorgegangen. Um ganz transparent zu sein, einige dieser Namen sind Pseudonyme für eine einzige Gruppe, und einige dieser Gruppen haben gemeinsame Mitglieder. Da diese Bedrohungsakteure durch The Com aufgestiegen sind, haben sie gelernt, in lose organisierten Gruppen zu arbeiten, die viele der gleichen Techniken anwenden. Dies kann die Zuordnung von Angriffen erschweren, aber die Strafverfolgungsbehörden haben beachtliche Erfolge gegen diese westlich basierten Bedrohungsakteure erzielt.

• Bundesbehörden klagen fünf Männer im Zusammenhang mit der Razzia gegen „Scattered Spider“ an
• Großbritannien verhaftet vier Mitglieder der Ransomware-Gruppe „Scattered Spider“
• FBI deckt kriminelle Aktivitäten von The COM und die Beteiligung von Minderjährigen auf

Der Helpdesk ist nicht nur deshalb anfällig, weil diese Bedrohungsakteure gut in dem sind, was sie tun. Es gibt einfach nicht genügend Unternehmen, die Kontrollen eingerichtet haben, um ihre Mitarbeiter vor diesen Angriffen zu schützen. Ob sich der Angreifer sich als Helpdesk ausgibt oder sich als Mitarbeiter ohne Helpdesk-Verbindung ausgibt, der Angriff kann mit angemessenen Sicherheitskontrollen gestoppt werden.

Schützen Sie Ihr Unternehmen vor Helpdesk-Angriffen

Wie bei jeder anderen Art der Cybersecurity können mehrere Verteidigungsebenen eingesetzt werden. Hier sind einige der zugänglichsten Best Practices:

Strenge Verfahren zur Nutzerverifizierung: Verlangen Sie Multi-Faktor-Authentifizierung und detaillierte Verifizierung vor der Bearbeitung sensibler Anfragen (wie Passwortzurücksetzungen oder Zugangsänderungen). Setzen Sie Richtlinien durch, die die Offenlegung oder Zurücksetzung von Zugangsdaten ohne mehrstufige Identitätsprüfung verbieten. Sie können Rückrufprotokolle, interne Telefonbücher, interne Ticketlinks und Fragen zur Identitätsprüfung verwenden.

Zugriffskontrollen und Segmentierung: Beschränken Sie den Helpdesk-Zugriff auf sensible Systeme und Daten nach dem Prinzip der geringsten Berechtigung. Trennen Sie die Aufgaben, damit kein einzelner Mitarbeiter eigenmächtig risikoreiche Aktionen genehmigen und einleiten kann. Verwenden Sie eine Out-of-Band-Bestätigung, z. B. einen zweiten Anruf bei einer verifizierten Nummer, bevor Sie eine Kontowiederherstellung oder Berechtigungsausweitung durchführen.

Prüfprotokolle und Überwachung: Protokollieren Sie alle Helpdesk-Aktivitäten, insbesondere solche, die sensible Änderungen oder den Zugriff auf Zugangsdaten beinhalten, und überwachen Sie proaktiv Muster, die auf Missbrauch hindeuten könnten, wie z. B. wiederholte Passwortrücksetzungen oder schnell ablaufende Zugriffseskalationen.

Regelmäßige Überprüfung und Aktualisierung der Security-Richtlinien: Führen Sie regelmäßig programmierte Bewertungen der Verfahren des Helpdesks im Hinblick auf die neuesten Bedrohungen der Branche durch und aktualisieren Sie die Protokolle nach Bedarf. Nutzen Sie Bedrohungsinformationen zu neuen Taktiken zusammen mit Daten aus Helpdesk-Protokollen und anderen internen Quellen, um neue Richtlinien zu entwickeln.  

Kontinuierliche Sicherheitsschulungen: Schulen Sie Ihre Mitarbeiter regelmäßig darin, Phishing- und Vishing- sowie Social-Engineering-Taktiken zu erkennen und sensibilisieren Sie für Deepfake-Angriffe. Verwenden Sie simulierte Angriffsszenarien, um Vertrautheit und Widerstandsfähigkeit aufzubauen. Geben Sie Ihren Mitarbeitern die Möglichkeit, vermutete Social-Engineering-Versuche oder ungewöhnliche Anfragen sofort zu melden, mit klaren Eskalations- und Reaktionsprotokollen für ungewöhnliche Aktivitäten.

Sie sollten auch erwägen, phishing-resistente MFA zu verwenden, wie FIDO2-Schlüssel oder App-basierte Authentifizierung. Dadurch wird die Wirksamkeit von SIM-Swaps und Social-Engineering-Angriffen eingeschränkt.

Selbst die kleinsten IT-Teams können einige dieser Kontrollen einrichten. Wenn Sie nur einen IT-Mitarbeiter haben, können Sie trotzdem Überprüfungsprotokolle verwenden und eine zusätzliche Genehmigungsebene für risikobehaftete Anfragen verlangen. Ein einfaches Ticketsystem kann Prüfprotokolle erstellen, und eine regelmäßige Überprüfung der Security-Richtlinien und -verfahren sollte bereits umgesetzt sein. Es ist nicht einfach, gute Helpdesk-Security zu etablieren und durchzusetzen, aber sie wird immer wichtiger.