Über einen Marktplatz im Darknet kann ein Bedrohungsakteur unbeabsichtigt offengelegte Anmeldedaten für das E-Mail-Konto einer Führungskraft in einem Unternehmen erwerben. Die Anmeldedaten sind gültig und nachdem er sich Zugang verschafft hat, sendet der Bedrohungsakteur, der sich als Besitzer des Kontos ausgibt, E-Mails an verschiedene Geschäftspartner und bittet um Geldmittel, durchsucht alte E-Mails nach Anhängen, die wertvolle Daten enthalten, und nutzt dann seinen Zugang, um im größeren Netzwerk Fuß zu fassen und einen ausgefeilteren Angriff auf das Unternehmen zu starten.
Dies ist ein Account-Übernahme-Angriff (Account Takeover, ATO) in Aktion. Account-Takeover-Angriffe sind bei Bedrohungsakteuren weit verbreitet und können schwerwiegende Folgen für die Opferorganisationen und Einzelpersonen haben.
Was ist eine Account-Übernahme?
Eine Account-Übernahme (ATO), auch als „Kontoübernahmebetrug“ bezeichnet, liegt vor, wenn ein Bedrohungsakteur oder eine Gruppe von Kriminellen die Kontrolle über ein Online-Konto übernehmen kann, nachdem er/sie sich die erforderlichen Anmeldeinformationen und den Zugang verschafft hat.
Sobald der Zugriff erfolgt ist, können Bedrohungsakteure die neu gewonnene Kontrolle nutzen, um Phishing-Angriffe durchzuführen, wertvolle Daten zu stehlen, sich Zugang zu anderen Teilen eines Netzwerks zu verschaffen oder einen nachfolgenden Malware- oder Ransomware-Angriff zu starten. Während ATO-Angriffe traditionell auf E-Mails beschränkt waren, haben immer häufiger genutzte Software-as-a-Service (SaaS)-Anwendungen, die Cloud-Infrastruktur und Remote-Konnektivitäts-Tools die Angriffsfläche für Identitätsbetrug erheblich vergrößert und zu einer wachsenden Anzahl und Art von Konten geführt, auf die ein Bedrohungsakteur potenziell zugreifen kann.
ATO-Angriffe gehören schon seit längerer Zeit zum Arsenal von Bedrohungsakteuren, deren Häufigkeit hat in den letzten Jahren aber besonders stark zugenommen. Laut einer jährlichen Umfrage von Security.org haben 29 % der Personen 2024 eine Account-Übernahme erlebt, gegenüber 2 % 2021.
Wie ein Kontoübernahme-Angriff funktioniert
Der Kern eines jeden ATO-Angriffs besteht in der Beschaffung von Zugangsdaten durch Angreifer und leider ist der Diebstahl von Zugangsdaten weit verbreitet. Laut dem Verizon Data Breach Investigations Report 2024 wurden in diesem Jahr für 24 % der Vorfälle gestohlene Zugangsdaten als eine der wichtigsten Angriffsmethoden genannt. Der Diebstahl von Anmeldedaten ist zwar alltäglich und tritt häufig bei Cyberangriffen auf, bei denen Anmeldedaten exfiltriert und dann weitergegeben oder im Dark Web verkauft werden, doch ist dies nicht die einzige Möglichkeit für Bedrohungsakteure, an Anmeldedaten zu gelangen.
Bedrohungsakteure können Zugang zu Konten erlangen durch:
- Die Ausnutzung einer Sicherheitslücke im Zusammenhang mit Online-Anwendungen oder der Identitätsinfrastruktur
- Die Kompromittierung einer Drittanbieter-Anwendung für Zugangsdaten, wie etwa LastPass
- Einen Credential-Stuffing-Angriff
- Ein Brute-Force-Angriff
- Einen Man-in-the-Middle-Angriff, bei dem Bedrohungsakteure Anmeldedaten abfangen, während sie in eine Anwendung eingegeben werden
- Einen Keylogging-Angriff, bei dem Malware die Tastatureingaben auf einem Endgerät aufzeichnet, so dass Bedrohungsakteure Anmeldeinformationen aufzeichnen können
- Andere Malware-Angriffe, wie etwa einen Trojaner-Angriff oder die Verwendung eines Infostealers
Informieren Sie sich über das Thema Diebstahl von Anmeldeinformationen und die möglichen Auswirkungen auf das Cyberrisiko eines Unternehmens.
Sobald Zugangsdaten erbeutet wurden – oder ein Bedrohungsakteur durch technischere Mittel wie die Ausnutzung einer Schwachstelle in der Anwendung selbst Zugang zu einem Konto erhält –, kann der Angreifer die Kontrolle über das Konto übernehmen und weitere Aktionen durchführen oder weitere Angriffe starten.
Account-Übernahme-Angriffe können unterschiedliches Ausmaß haben und unzählige Folgen nach sich ziehen. Im Folgenden werden wir anhand von zwei Beispielen zeigen, wie der Angriff funktioniert.
Account-Übernahme im E-Commerce
Ein Bedrohungsakteur erlangt bei einem Cyberangriff auf eine E-Commerce-Website die Benutzernamen und Kennwörter von Kunden. Der Bedrohungsakteur versucht wiederholt, sich mittels Brute-Force-Verfahren auf der Verbraucherseite der E-Commerce-Website anzumelden, was ihm mit einer Reihe von Anmeldedaten gelingt. Wenn der Bedrohungsakteur nun die Kontrolle über das Konto hat, kann er die gespeicherte Kreditkarte einsehen (und stehlen) oder betrügerische Einkäufe über dieses Konto tätigen. Wenn mehrere Anmeldedaten gültig sind, kann dies für den Bedrohungsakteur eine wiederholte Aktivität sein, wodurch er Zugang zu einer großen Anzahl von Kreditkarten- und Benutzerdaten erhält, die alle mit einer einzigen E-Commerce-Plattform verbunden sind.
Account-Übernahme bei Finanzdienstleistungen
Finanzdienstleistungsunternehmen sind aufgrund der großen Menge an Finanzdaten und anderer persönlich identifizierbarer Informationen, die bei ihnen oft vorhanden sind, einem hohen Risiko von Account-Übernahme-Angriffen ausgesetzt. In diesem Szenario verschafft sich ein Bedrohungsakteur auf einem der oben beschriebenen Wege Zugang zum E-Mail-Konto des Finanzvorstands des Unternehmens. Der Bedrohungsakteur ist in der Lage, die E-Mails zu durchsuchen und E-Mail-Anhänge herunterzuladen, die Bankdaten von Kunden (z. B. Buchhaltungs- und Routing-Nummern), wertvolle Finanzdaten der Organisation selbst, die zur Erpressung von Lösegeld verwendet werden können, oder sogar die Anmeldedaten für Finanzanwendungen – z. B. Bankkonten – enthalten können, die die Organisation nutzt. Mit einem einzigen Satz von Anmeldeinformationen hat der Bedrohungsakteur metaphorisch gesehen eine Reihe von Tresoren geöffnet.
Account-Übernahme und BEC-Angriffe
Account-Übernahme-Angriffe und Business Email Compromise (BEC)-Angriffe sind untrennbar miteinander verbunden. ATO-Angriffe sind oft eine Vorstufe zu BEC-Angriffen, die eine häufige und kostspielige Cyberattacke darstellen. Damit ein BEC-Angriff erfolgreich sein kann, muss sich ein Bedrohungsakteur zunächst Zugang zu einem Konto verschaffen oder einen ATO-Angriff durchführen. BEC-Angriffe können auch als „Übernahme von E-Mail-Konten (EATs)“ bezeichnet werden, was eine Variante eines Account-Übernahme-Angriffs darstellt.
Ursprünglich bezog sich der Begriff BEC ausschließlich auf Vorfälle der Account-Übernahme (Account Take-Over, ATO), bei denen sich ein Angreifer Zugang zu einem legitimen E-Mail-Konto innerhalb einer Organisation verschaffte. Danach konnte dieser, getarnt als der Kontoinhaber, eine oder mehrere Personen innerhalb dieser Organisation davon überzeugen, eine Handlung zugunsten des Angreifers durchzuführen. In der Regel handelte es sich dabei um die Überweisung von Geldmitteln auf ein vom Angreifer kontrolliertes Konto. BEC-Angriffe haben sich jedoch ausgeweitet, und ATO dient nun oft als Vorläufer oder erste Aktion bei einem BEC-Angriff, wenn beide zusammen auftreten.
BEC-Angriffe nehmen weiterhin in alarmierendem Ausmaß zu und machen etwa 30 % aller Fälle aus, die von Arctic Wolf® Incident Response in den letzten Jahren untersucht wurden. Darüber hinaus waren 70 % der Unternehmen im letzten Jahr Ziel von versuchten BEC-Angriffen, so The State of Cybersecurity: 2024 Trends Report.
Mögliche Folgen von ATO-Betrug
Sobald ein Konto von einem Angreifer übernommen wurde, können die Folgen von finanziellem Betrug über Datenexfiltration bis hin zum Start eines äußerst schädlichen Ransomware-Angriffs reichen. Bei einem Account-Übernahme-Angriff hat der Bedrohungsakteur die Kontrolle und könnte unter anderem eine laterale Bewegung durchführen, Privilegien eskalieren oder sich Zugang zu Finanzkonten verschaffen und diese leeren.
Zu den Folgen des ATO-Betrugs gehören:
- Der Start eines BEC-Angriffs
- Exfiltration von Daten, die an das kompromittierte Konto angehängt sind oder auf die von dort aus zugegriffen werden kann
- Laterale Bewegung innerhalb der Anwendung oder des Netzes sowie Eskalalation von Privilegien innerhalb des Netzes
- Nachfolgende interne Phishing-Angriffe sowie Phishing in der Lieferkette gegen Partner, Geschäftspartner und Kunden
- Finanzieller Betrug oder Diebstahl
- Rufschädigung bei Kunden und Partnern
- Mögliche Ausfallzeiten für die Behebung des Account-Übernahme-Angriffs oder jedes nachfolgenden Angriffs, der mit der Account-Übernahme begann
- Mögliche Geldbußen und Konsequenzen bei Verstößen gegen Konformitätsvorschriften
Schutz vor ATO-Angriffen
Wie bei vielen Taktiken, die von Cyberkriminellen heutzutage eingesetzt werden, gibt es keine einzige Abwehrmaßnahme, die verhindern kann, dass ein Account-Übernahme-Angriff Ihr Unternehmen erreicht. Stattdessen ist es am besten, an mehreren Punkten anzusetzen und verschiedene Strategien einzusetzen, die sowohl das Risiko eines Angriffs senken, als auch dessen Eskalation verhindern.
Zu den Abwehrmaßnahmen gegen Account-Übernahmen gehören:
- Einsatz von E-Mail-Sicherheitsmaßnahmen, einschließlich des Einsatzes von Technologien, die schädliche E-Mails aus dem Posteingang entfernen, verdächtige E-Mails und potenzielle Imitationen kennzeichnen und potenziell schädliche Links blockieren können. Dadurch wird verhindert, dass ein Account-Übernahme-Angriff eskaliert, wenn das E-Mail-Konto kompromittiert wird.
- Verwendung von bewährtenIdentitäts- und Zugriffsmanagement (IAM)-Verfahren sowie einer Zero-Trust-Strategie zur Kontrolle und Überprüfung des Benutzerzugriffs. Dies wird die Erfolgsquote von ATO-Angriffen verringern.
- Einsatz der Multi-Faktor-Authentifizierung (MFA) in allen Anwendungen. MFA ist ein wichtiges Teil des IAM-Puzzles und verhindert nicht nur, dass Bedrohungsakteure Zugang zu Konten erhalten; die automatische Erfordernis einer Verifizierung kann darüber hinaus auch Benutzer und Sicherheitsteams auf verdächtige Kontoaktivitäten aufmerksam machen.
- Implementierung von Security Awareness Training , das ansprechende Inhalte zu ATO-Angriffen und nachfolgenden BEC-Angriffen bietet. Dies kann das Gesamtrisiko für den Menschen verringern und den Nutzern helfen, verdächtige Aktivitäten zu erkennen, die auf einen ATO-Angriff hindeuten könnten.
- Umfassende 24×7-Überwachung , die Telemetriedaten aus verschiedenen Quellen, einschließlich Identität, Cloud, Endpunkten und Anwendungen, aufnimmt. Ein Account-Übernahme-Angriff beginnt und endet nicht immer mit einem E-Mail-Konto. Ein umfassender Einblick, der es Ihren Sicherheitsteams ermöglicht, mehrere Teile der Angriffsfläche zu überwachen und darauf zu reagieren, kann Ihrem Unternehmen helfen, schnell auf einen solchen Angriff zu reagieren, bevor er eskaliert.
Arctic Wolf kennt sowohl die Bedrohungen, denen Unternehmen ausgesetzt sind, als auch die Technologien, Mitarbeiter und Prozesse, die erforderlich sind, um bewährte Angriffe wie ATO zu stoppen. Arctic Wolf bietet nicht nur mehrere Lösungen, die Unternehmen dabei helfen, Bedrohungen über ihre gesamte Angriffsfläche hinweg zu verhindern und darauf zu reagieren, sondern die Arctic Wolf Aurora Platform™ basiert auf der Open-XDR-Technologie, die es Arctic Wolf ermöglicht, mit der bereits in Ihrem Unternehmen vorhandenen Sicherheit zu arbeiten und sich an Ihre bestehende Technologie-Infrastruktur anzupassen.
Arctic Wolf arbeitet mit Mimecast zusammen, um Unternehmen dabei zu helfen, ihre E-Mails besser zu schützen und das Risiko von ATO- und BEC-Angriffen zu reduzieren. Dies ist eine Ergänzung zu Arctic Wolfs Partnerschaft mit Okta, einer Technologie, die es Unternehmen ermöglicht, den Zugang besser zu kontrollieren und Identitätsrisiken zu reduzieren.
Erfahren Sie mehr über die aktuelle Cybersicherheit und Bedrohungslage aus dem Arctic Wolf 2024 Security Operations Report.
Erfahren Sie, wie ein starkes Sicherheitsbewusstseinstraining das Risiko von ATO-Angriffen in Ihrem Unternehmen verringern kann.