[datensicherheit.de, 07.05.2025] In der heutigen digitalen Welt verlassen sich viele Nutzer offenbar auf große Web-Plattformen wie z.B. „Google“, wenn es um Sicherheit und Vertrauenswürdigkeit geht. „Doch genau dieses Vertrauen machen sich Cyber-Kriminelle zunehmend zunutze!“, warnt Melissa Bischoping, „Head of Security Research“ bei Tanium, in ihrer aktuellen Stellungnahme. Eine neue Methode mache nämlich aktuell dem Weltkonzern Google zu schaffen: „Täuschend echte E-Mails, die angeblich von ,no-reply@google.com’ stammen und eine offizielle Vorladung oder dringende Benachrichtigung vortäuschen.“

Foto: Tanium

Melissa Bischoping rät zu robuster Multi-Faktor-Authentifizierung (MFA)

Cyber-kriminelle Nutzung legitim wirkender „Google“-Funktionen

Was auf den ersten Blick legitim wirkt, entpuppt sich bei genauerem Hinsehen demnach „als raffinierte Phishing-Falle“ – mit gravierenden Folgen für die Nutzer. Bischoping führt hierzu aus: „Bei diesen Angriffen werden legitim wirkende ,Google’-Funktionen genutzt, um manipulierte E-Mails zu versenden, die einige herkömmliche Überprüfungen umgehen. Außerdem werden Google-Sites verwendet, um gefälschte Seiten zu hosten und Anmeldedaten zu sammeln.“

Solche E-Mails nutzten eine „OAuth“-Anwendung in Kombination mit einer kreativen „DKIM“-Umgehungslösung, um genau die Sicherheitsvorkehrungen auszuschalten, die vor dieser Art von Phishing-Versuchen schützen sollten. Was diese Taktik laut Bischoping besonders gefährlich macht, ist nicht nur die technische Raffinesse, sondern auch die gezielte Nutzung vertrauenswürdiger Dienste, um sowohl Nutzer als auch Erkennungswerkzeuge zu umgehen.

Einige Komponenten solcher Angriffe mittlerweile von Google behoben

Einige Komponenten dieses Angriffs seien zwar neu – und mittlerweile von Google behoben worden – doch Angriffe, die vertrauenswürdige Unternehmensdienste ausnutzen, sind keine Einzelfälle. Immer mehr Angreifer entschieden sich bewusst dafür, Web-Dienste mit legitimen Anwendungsfälle in Unternehmen zu missbrauchen. „Dies unterstreicht den Trend, dass Angreifer mit zunehmender Leistungsfähigkeit der Erkennungstools nach Möglichkeiten suchen, diese vollständig zu umgehen, anstatt sie mit teuren ,Exploits’ zu überlisten.“

Sie konzentrierten sich auf die „Tools“, Websites und Funktionen, welche Unternehmen in ihrer täglichen Arbeit verwenden. Indem sie sich in den normalen Datenverkehr einfügten und davon ausgingen, dass ein typischer Empfänger eine vertrauenswürdige Domain wie etwa „google.com“ nicht genauer unter die Lupe nehme, erzielten Angreifer eine hohe Erfolgsquote, ohne nennenswerte Investitionen in neue TTPs (Trusted Third Parties) tätigen zu müssen.

„Google“-Beispiel sollte Unternehmen zu mehrschichtigen Abwehrmaßnahmen inkl. Schulung der Benutzer motivieren

„Wie können Unternehmen also in Zukunft damit umgehen? Mehrschichtige Abwehrmaßnahmen und die Schulung der Benutzer sollten immer priorisiert werden!“ Schulungen zur Sensibilisierung sollten mit der Bedrohungslage Schritt halten und sowohl neue als auch weiterhin wirksame Techniken behandeln.

Bischoping rät abschließend: „Gleichzeitig sind technische Schutzmaßnahmen wie ,Link-Sandboxing’ und die Erkennung von Anomalien in heruntergeladenen Inhalten zur Suche nach Ausreißern und potenziellen Indikatoren für die frühzeitige Erkennung und Vertiefung der Verteidigungsebenen von entscheidender Bedeutung.“ Wie immer sei eine robuste Multi-Faktor-Authentifizierung (MFA) unerlässlich, da der Diebstahl und Missbrauch von Anmeldedaten auch weiterhin ein attraktives Ziel bleiben werde.

Weitere Informationen zum Thema:

datensicherheit.de, 26.04.2025
Phishing-Angriffe: Cyber-Kriminelle missbrauchen zunehmend Google Drive / KnowBe4-Forscher „Threat Labs“ haben einen deutlichen Anstieg der über „Google Drive“ verübten Phishing-Angriffe für den Januar 2025 festgestellt

datensicherheit.de, 03.04.2025
Google Play Store: Hunderte bösartige Apps aufgespürt / Bedrohliche Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen

datensicherheit.de, 22.01.2021
Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020 / Berichte der Sicherheitsforscher des Unternehmens zeigen, dass Cyber-Kriminelle aktuell für Phishing am häufigsten den Tech-Riesen Microsoft und die Spedition DHL imitieren / Geschuldet ist dies der Zunahme von Fernzugriffen im Homeoffice und Online-Shopping.

datensicherheit.de, 20.10.2020
Brand Phishing Report: Microsoft Top-Köder für Phishing / Im dritten Quartal 2020 gelangte Microsoft auf Platz 1 der Top-10

[datensicherheit.de, 24.07.2024] „Dieser Vorfall bei CrowdStrike hat uns daran erinnert, dass es auch in einer zunehmend technologieabhängigen Welt manchmal Probleme gibt“, so Melissa Bischoping, „Director, Endpoint Security Research“ bei Tanium, in ihrer aktuellen Stellungnahme. In diesem Fall seien diese zwar theoretisch einfach zu lösen – die Behebung habe das Entfernen einer einzigen Datei erfordert –, bedeuteten in der Praxis aber einen „astronomischen Aufwand“.

Foto: Tanium

Melissa Bischoping: Anbieter müssten zu Änderungen an Endpunkten aktuelle Informationen bereitstellen und mit individueller Sicherheitsstrategie in Einklang bringen!

1. Erkenntnis aus „CrowdStrike“-Problem: Stärker auf Widerstandsfähigkeit und Redundanz konzentrieren!

In den ersten Tagen sei auf fast jedem betroffenen Endpunkt menschliches Eingreifen erforderlich gewesen. „Uns wurde erneut vor Augen geführt, dass die Vorteile der Geschwindigkeit der Echtzeit-Konnektivität und -Information mit Vorsicht zu genießen sind.“

Es gelte, stets die damit verbundenen Risiken im Auge zu behalten und auf Gefahren zu achten, die sich mit der gleichen Geschwindigkeit ausbreiten könnten. In Zukunft müssten wir uns bei der Entwicklung und Verbreitung neuer Technologien noch stärker auf die Widerstandsfähigkeit und Redundanz konzentrieren.

2. Erkenntnis aus „CrowdStrike“-Problem: Mehrschichtige Ausfallsicherheit, Echtzeittransparenz und Geschäftskontinuitätspläne grundlegend für Risikomanagement!

Bischoping betont: „Technologische Ausfälle werden unvermeidlich immer wieder vorkommen. Mehrschichtige Ausfallsicherheit, Echtzeittransparenz und Geschäftskontinuitätspläne, die auch die komplexesten Abhilfemaßnahmen berücksichtigen, müssen im Mittelpunkt eines jeden Risikomanagementplans stehen!“

Die IT-Ausfälle vom 19. Juli 2024 seien „nicht die Regel und sollten es auch nicht sein“. Dies sei ein seltener Extremfall gewesen, aus dem die gesamte Branche lernen werde. „Es braucht wieder erhöhte Detailgenauigkeit bei der Bereitstellung von Software in Verbindung mit Echtzeit-Transparenz von Änderungen auf Endgeräten“, erläutert Bischoping. Außerdem sollten Unternehmen auf autonome Funktionen zur Warnung vor problematischen Updates setzen. „Die Welt muss mit Lösungen arbeiten, die Hand in Hand arbeiten und Unterstützung bieten, wenn eine andere ausfällt.“

3. Erkenntnis aus „CrowdStrike“-Problem: Kunde sollte Kontrolle über Änderungen an den Endpunkten behalten!

Wir setzten großes Vertrauen in die Anbieter, die unsere Unternehmen mit Software versorgen. Bischoping rät hierzu: „Es ist dringend nötig, dass der Kunde die Kontrolle über Änderungen an den Endpunkten behält. Außerdem müssen die Anbieter die aktuellen Informationen bereitstellen und mit der individuellen Sicherheitsstrategie der jeweiligen Umgebung in Einklang bringen.“

Den Unternehmen sollte ein gewisses Maß an Kontrolle über die Geschwindigkeit, mit der Änderungen an den Endgeräten vorgenommen werden, überlassen werden. „Dies ist eine wichtige Komponente der Risikominderung und trägt dazu bei, das Vertrauen zwischen einem Softwareanbieter und seinen Kunden aufzubauen“, so Bischoping abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 23.07.2024
Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit / Ereignisse vom 9. Juli 2024 haben deutlich gemacht, wie abhängig wir in der digitalen Welt geworden sind

datensicherheit.de, 20.07.2024
Software-Problem vom 19. Juli 2024 als Warnung: Großflächiger Cyber-Angriff könnte Welt ins Chaos stürzen / Im Falle eines böswilligen Cyber-Angriffs wäre laut Dennis Weyel die Situation für die Menschheit noch weitaus ernster

datensicherheit.de, 19.07.2024
CrowdStrike: Ein IT-Update und es wackelt die ganze Welt / Alain Blaes kommentiert globale IT-Ausfälle vom 19. Juli 2024

datensicherheit.de, 19.07.2024
IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024 / Grund dafür soll ein Update einer IT-Sicherheitssoftware sein, welches offenbar zahlreiche Rechner lahmgelegt hat

datensicherheit.de, 19.07.2024
Digitale Pandemie: Chris Dimitriadis kommentiert IT-Sicherheitsvorfälle vom 19. Juli 2024 / Unter anderem Fluggesellschaften, Banken, Behörden und Medienorganisationen sind von IT-Ausfällen betroffen

[datensicherheit.de, 20.02.2024] Cyber-Kriminelle versuchten immer wieder, Methoden zur Betrugsprävention und Identitätsüberprüfung mit kreativen Methoden zu umgehen. „Dafür müssen oftmals Validierungsschritte außer Kraft gesetzt werden, die garantieren sollen, dass ,Bots’ keinen Zugriff erhalten“, kommentiert Melissa Bischoping, „Director Endpoint Security Research“ bei Tanium, die aktuelle Zuspitzung der Deepfake-Bedrohungen. Beispielhaft hierfür seien sogenannte Captchas, „die zunächst nur die Eingabe von Zahlen und Buchstaben verlangten und schließlich zu komplexeren Aufgaben weiterentwickelt wurden“. Ein getipptes Captcha allein reiche oft nicht aus, um sensible Arbeitsabläufe wie Finanztransaktionen und Marktplätze für „Krypto-Währungen“ zu schützen.

Foto: Tanium

Melissa Bischoping: Aufklärungs- und Sensibilisierungskampagnen müssten erweitert werden, um ein grundlegendes Bewusstsein für Deepfakes zu schaffen!

Cyber-Sicherheit vs. Deepfakes: Ein Katz-und-Maus-Spiel…

Bischoping führt aus: „Deepfake-Apps sind mittlerweile in der Lage, Bilder von realen Menschen in beliebigen Situationen zu produzieren oder sogar legitim aussehende Videos von Personen zu erstellen, die nicht existieren. Plattformen, die auf Identitätsüberprüfung angewiesen sind, werden deshalb gezwungen, komplexere Nachweise zu verlangen, um zu überprüfen, ob Zugriffsanfragen von echten Personen ausgehen.“

Bei der Nutzung von Finanzplattformen müssten Nutzer oftmals eine Video-Aufnahme machen, „in der sie ihren Kopf in einem bestimmten Muster drehen, während sie ihren Ausweis in der Hand halten“. Dies möge albern wirken, erschwere jedoch die Täuschung durch einen Deepfake erheblich. Es bestehe jedoch das Risiko, dass diese Methoden und Daten dazu verwendet werden könnten, bessere Modelle zu trainieren, um Menschen zu erkennen oder nachzuahmen.

Deepfake-Funktionen können der Unterhaltungsindustrie auf legale Weise nützlich sein

Der Begriff „Deepfake“ werde in der Regel mit kriminellen Machenschaften assoziiert. „Es gibt aber einen legitimen Markt für die zugrunde liegende Technologie“, erläutert Bischoping: Einige Software-Unternehmen böten Möglichkeiten zur Nutzung der Deepfake-Funktionen in der Unterhaltungsindustrie an – in der Regel mit dem Einverständnis der verkörperten Person.

„Sie können sogar Ihren Stimmabdruck archivieren, um diesen zu verwenden, wenn sie aufgrund einer Erkrankung nicht selbst sprechen können. Die gleichen Technologien, die für die Erstellung von Deepfakes verwendet werden, sind auch für die Erkennung von deren Missbrauch unerlässlich“, betont Bischoping. Wie bei jeder leistungsstarken Technologie hänge die Rechtmäßigkeit von Absicht, Zustimmung und Offenlegung ab.

Deepfake-Bedrohungen indes unbedingt ernstzunehmen

Die von Deepfakes ausgehenden Bedrohungen seien indes unbedingt ernstzunehmen. „Neben einer gefälschten ID für eine betrügerische Transaktion können diese Fälschungen zu psychologischen Traumata und zur Schädigung des persönlichen Rufs führen.“ Allein im letzten Monat hätten eine Wahlkampfkampagne mithilfe von Deepfakes und die Ausbeutung KI-generierter Bilder von Taylor Swift das öffentliche Interesse geweckt.

Diese Deepfake-Missbräuche seien zwar nicht neu, die Zahl der Opfer dieser Straftaten nehme jedoch in alarmierendem Maße zu. Deepfakes ermöglichten es Kriminellen, Geld zu erbeuten, Psychoterror auszuüben, Karrieren zu ruinieren oder sogar politische Entscheidungen zu beeinflussen. „Es ist offensichtlich, dass Aufklärung, Regulierung und ausgefeilte Präventionsmaßnahmen eine Rolle beim Schutz der Gesellschaft spielen werden“, so Bischoping.

Unternehmen sollten zusätzliche Überprüfungsebenen einsetzen, um Deepfakes zu erkennen

Einige Unternehmen schulten ihre Mitarbeiter bereits darin, Betrugsversuche zu erkennen, die im Arbeitsalltag eine Rolle spielten. Diese Aufklärungs- und Sensibilisierungskampagnen müssten erweitert werden, um ein grundlegendes Bewusstsein für Deepfakes zu schaffen. Gleichzeitig sollten Unternehmen zusätzliche Überprüfungsebenen für sensible Arbeitsabläufe und Transaktionen einsetzen – es reiche nicht mehr aus, einer Textnachricht, einem Telefon- oder sogar einem Video-Anruf als Form der Identitätsüberprüfung zu vertrauen.

Bischoping rät abschließend: „Wenn sich jemand mit Ihnen in Verbindung setzt, um eine private oder berufliche Transaktion durchzuführen, ist es immer besser, eine zusätzliche Verifizierung vorzunehmen, wenn Sie nicht in der Lage sind, die Person am Telefon eindeutig zu erkennen. Oft reicht es schon aus, aufzulegen und eine bekannte, vertrauenswürdige Nummer der Person zurückzurufen, die sich an Sie gewandt hat, um den Betrug zu entlarven.“ Ferner sollten im eigenen Unternehmen Arbeitsabläufe eingerichtet werden, welche sich auf robustere Formen der Authentifizierung stützten, „die von einer KI nicht gefälscht werden können – ,FIDO2‘-Sicherheitstoken, Genehmigungen durch mehrere Personen und Verifizierungen sind ein guter Anfang“.

Weitere Informationen zum Thema:

datensicherheit.de, 07.02.2024
Deep-Fake-Video: Die nächste Eskalationsstufe des Chef-Betrugs / Fast 24 Millionen Euro mittels vorgetäuschtem Chef in Hongkong ergaunert

datensicherheit.de, 19.09.2023
Gefahren für Politik und Demokratie: Optimierung von Deepfakes mittels KI / Deepfake-Wahlwerbespots könnten mit computergenerierten Bildern von Kandidaten erstellt werden

datensicherheit.de, 22.06.2022
Deepfakes bald Standardrepertoire Cyber-Krimineller / Vor allem Soziale Plattformen als neue Spielwiese zur Verbreitung von Deepfake-Material genutzt

[datensicherheit.de, 26.07.2023] „Das ,Voyager18‘-Forschungsteam von Vulcan Cyber hat eine neue Angriffstechnik entdeckt, die auf ,ChatGPT’ basiert“, berichtet Melissa Bischoping, „Director Endpoint Security Research“ bei Tanium, in ihrer aktuellen Stellungnahme und warnt: Diese ermögliche es Angreifern, mit geringem Aufwand Zugriff auf Entwicklerumgebungen zu erlangen.

Foto: Tanium
Melissa Bischoping: ChatGPT und andere generative KI-Plattformen neigen dazu, Fragen mit künstlich kreierten Quellen, Links, Blogs und Statistiken zu beantworten

Voyager18 hat neue Angriffstechnik via ChatGPT AI-Paket-Halluzination genannt

„Voyager18“ hat demnach diese neue Technik „AI-Paket-Halluzination“ genannt. Diese beruht laut Bischoping auf der Tatsache, „dass ,ChatGPT’ und andere generative KI-Plattformen dazu neigen, Fragen mit künstlich kreierten Quellen, Links, Blogs und Statistiken zu beantworten“.

Es würden auch fragwürdige Korrekturen für „Common Vulnerabilities and Exposures“ (CVEs) generiert und Links zu Code-Bibliotheken angeboten, die nicht existierten. Bischoping erläutert: „Wenn ein Angreifer eine Empfehlung für ein unveröffentlichtes Paket findet, kann er sein eigenes Paket an dessen Stelle veröffentlichen.“ Anschließend könne er Supply-Chain-Angriffe ausführen, indem er bösartige Bibliotheken in bekannten Repositories bereitstellt.

Empfehlungen auch von ChatGPT bergen einige Gefahren

Unternehmen sollten deshalb niemals Codes herunterladen und ausführen, „den sie nicht gründlich überprüft oder getestet haben“, rät Bischoping. Gerade der Download aus einer nicht überprüften Quelle – wie Open-Source-Github-Repos oder jetzt Empfehlungen von „ChatGPT“ – berge einige Gefahren. „Jeder Code, der ausgeführt werden soll, muss auf Sicherheit geprüft werden.“ Außerdem empfehle es sich, private Kopien anzulegen.

Bischoping unterstreicht: „Importieren Sie Codes nicht direkt aus öffentlichen Repositories, wie sie in dem Beispielangriff von ,Voyager18‘ verwendet wurden.“ In diesem Fall hätten die Angreifer „ChatGPT“ als Übermittlungsmechanismus verwendet. Es sei jedoch nicht neu, dass die Lieferkette durch die Verwendung gemeinsam genutzter oder von Drittanbietern importierter Bibliotheken kompromittiert werde. „Diese Strategie wird auch weiterhin verwendet werden, und die beste Verteidigung besteht darin, sichere Kodierungspraktiken anzuwenden.“ Außerdem sollte insbesondere von Dritten entwickelter Code, der für die Verwendung in Produktionsumgebungen vorgesehen ist, gründlich getestet und überprüft werden. Abschließend legt Bischoping nahe: „Vertrauen Sie nicht blind jeder Bibliothek oder jedem Paket, das Sie im Internet (oder in einem Chat mit einer KI) finden!“