[datensicherheit.de, 02.06.2022] Die Proofpoint Inc. hat nach eigenen Angaben am 2. Juni 2022 den „Der Faktor Mensch 2022“-Report veröffentlicht. Diese Studie untersucht demnach die drei wesentlichen Aspekte, anhand derer das Cyber-Risiko für IT-Nutzer quantifiziert werden kann: Verwundbarkeit, gezielte Angriffsarten und Zugriffsprivilegien. Im Bericht finden sich laut Proofpoint auch zahlreiche Beispiele dafür, welche Kreativität Cyber-Kriminelle an den Tag legen, um Menschen in die Falle zu locken.

Report 2022 befasst sich eingehend mit Risiken für Anwender

„Der Faktor Mensch 2022“-Bericht befasse sich eingehend mit den Risiken für Anwender und stütze sich dabei auf Daten und Erkenntnisse aus einem Jahr Cybersecurity-Forschung. Dabei handele es sich um Informationen zu erkannten, entschärften und behobenen Cyber-Bedrohungen, welche in ihrer Gesamtheit einen der größten Datensätze zur Cyber-Sicherheit bildeten.

„Auch nach einem turbulenten Jahr mit einer langsamen Rückkehr zur Normalität nehmen Cyber-Kriminelle weiterhin Menschen ins Visier und nutzen deren Schwächen aus“, berichtet Ryan Kalember, „EVP of Cybersecurity Strategy“ bei Proofpoint:

„Letztes Jahr haben die Angreifer gezeigt, wie skrupellos sie tatsächlich sind. Das macht den Schutz der Mitarbeiter vor Cyber-Bedrohungen zu einer ständigen Herausforderung für Unternehmen und hat so manchen die Augen für die Gefahren im ,Cyberspace‘ geöffnet.“

Report stützt sich auf mehrere Trillionen Datenpunkte

Der Report stütze sich auf mehrere Trillionen Datenpunkte, folglich einen der größten Datensätze im Bereich Cyber-Sicherheit.

Jeden Tag analysiere Proofpoint mehr als 2,6 Milliarden E-Mail-Nachrichten, 49 Milliarden URLs, 1,9 Milliarden Dateianhänge, 28,2 Millionen „Cloud“-Konten, 1,7 Milliarden Nachrichten auf Mobilgeräten und vieles mehr.

Der vorliegende Bericht analysiere die im Jahr 2021 gesammelten Daten und untersuche die Art der heutigen Cyber-Bedrohungen. Sicherheitsverantwortlichen biete er praktisch relevante Einblicke, um Mitarbeiter vor Angreifern schützen zu können.

Wichtigste Erkenntnisse des Reports „Der Faktor Mensch 2022“:

Cyber-krimineller Fokus auf das Smartphone
Cyber-Kriminelle fokussierten sich auf das Smartphone als Schlüssel zum privaten und beruflichen Leben der Menschen. In den USA hätten sich die sogenannten Smishing-Versuche (Angriffe über SMS) im Laufe des Jahres mehr als verdoppelt. In Großbritannien hätten Cyber-Kriminellen dabei in mehr als 50 Prozent der Fälle Lieferbenachrichtigungen als Köder eingesetzt. Darüber hinaus hätten Cyber-Kriminelle mehr als 100.000 Angriffe per Telefon pro Tag verübt.

Nutzer vieler Privilegien überproportional stark betroffen
Nutzer mit vielen Privilegien seien überproportional stark betroffen. Manager und Führungskräfte machten im Durchschnitt nur zehn Prozent der Gesamtnutzer in Unternehmen aus, auf sie entfielen aber fast 50 Prozent aller Angriffe.

Gut 80% der Unternehmen jeden Monat von kompromittiertem Lieferanten-Konto aus angegriffen
Über 80 Prozent aller Unternehmen würden jeden Monat von einem kompromittierten Konto eines Lieferanten aus angegriffen. Schulungen zum Sicherheitsbewusstsein, welche sich auf Bedrohungen in der Lieferkette konzentrieren, seien für Unternehmen daher von entscheidender Bedeutung.

Microsoft OneDrive und Google Drive am häufigsten missbraucht
„Microsoft OneDrive“ und „Google Drive“ würden von allen legitimen „Cloud“-Plattformen am häufigsten von Cyber-Kriminellen missbraucht. Letztes Jahr, 2021, sei es bei 35 Prozent der „Cloud“-Accounts mit festgestellter verdächtiger Anmeldung in der Folge zu dubiosen Dateiaktivitäten gekommen. Dies zeige, dass auf Privilegien basierende Risiken in dem Maße wüchsen, wie Unternehmen die „Cloud“ nutzen. Im Durchschnitt sei bei etwa zehn Prozent der Unternehmen mindestens eine aktive bösartige Anwendung in ihrer Umgebung festgestellt worden, welche zuvor autorisiert worden sei.

Enge Verbindung zwischen Malware-Gruppen und Ransomware-Betreibern
Die enge Verbindung zwischen Malware-Gruppen und Ransomware-Betreibern bestehe nach wie vor. Zwischen dem 1. Januar und dem 31. Dezember 2021 seien mehr als 20 Millionen Nachrichten versendet worden, deren Ziel es gewesen sei, Malware in Verbindung mit einem möglichen Ransomware-Angriff zu verbreiten.

Cyber-Kriminelle missbrauchen Popkultur
Cyber-Kriminelle machten sich die Popkultur zunutze. So hätten Angreifer im Jahr 2021 bekannte Persönlichkeiten wie Justin Bieber und „The Weeknd“ sowie die Netflix-Serie „Squid Game“ für ihre Köder ausgenutzt. Im Oktober 2021 hätten Cyber-Kriminelle E-Mails mit dem Thema „Squid Game“ an Opfer in den USA verschickt und einen frühzeitigen Zugang zur nächsten Staffel oder sogar die Möglichkeit, in künftigen Folgen mitzuspielen, versprochen.

Weltweite Konflikte als Aufhänger
Angreifer nutzten weiterhin weltweite Konflikte aus. Anfang dieses Jahres, 2022, hätten Cyber-Kriminelle und APT-Gruppen, welche mit staatlichen Stellen in Verbindung gebracht würden, auf den Einmarsch Russlands in die Ukraine reagiert. Im Rahmen dieser Aktivitäten habe Proofpoint die zerstörerische „Wiper“-Malware beobachten können, welche gegen ukrainische Organisationen und wichtige Kommunikationsinfrastrukturen eingesetzt worden sei. Zudem habe Proofpoint Aktivitäten von mit Belarus und China verbündeten Akteuren festgestellt, welche speziell auf europäische, für Asylprozesse und andere Hilfsmaßnahmen zuständige Regierungsorganisationen abzielten.

Der vollständige „Der Faktor Mensch 2022“-Bericht von Proofpoint steht zum Download bereit. Die Ergebnisse des diesjährigen Reports sollen auch von zwei Proofpoint-Experten am 15. Juni 2022 um 11 Uhr (MEZ) in einem Web-Seminar erörtert werden.

Weitere Informationen zum Thema:

proofpoint
Threat Report / Der Faktor Mensch 2022

proofpoint
15. Juni | 11:00 CEST / Der Faktor Mensch 2022: Personenzentrierte Cybersicherheit vor dem Hintergrund zunehmender Anwenderrisiken

[datensicherheit.de, 03.05.2019] Laut Medienberichten haben Hacker die Stuttgarter IT-Firma Citycomp mit gestohlenen Großkunden-Daten erpresst – demnach sollen mehr als 516 Gigabyte durch den digitalen Einbruch in das schwäbische IT-Dienstleistungsunternehmen in die Fänge der Angreifer geraten sein. Ryan Kalember, „Executive Vice President, Cybersecurity Strategy“ bei Proofpoint geht in seinem Kommentar darauf ein, wie die Entwicklung von Cyber-Erpressungen verläuft, welche Auswirkungen zu befürchten sind und wie sich Unternehmen am besten dagegen schützen können.

Zahl gezielter Cyber-Erpressungen nimmt zu

Kalember: „Die Zahl gezielter Cyber-Erpressungen, wie im vorliegenden Fall bei Citycomp, hat im letzten Jahr stark zugenommen, denn automatisierte Ransomware erweist sich für Cyber-Kriminelle als zunehmend unrentabel. Beispielhaft für automatisierte Ransomware sind alle Arten von Erpressungen durch Webcam- beziehungsweise ,Sextortions‘-Spam bis hin zu sogenannten ‚Big Game Hunting‘-Ransomware-Attacken, wie sie bei Angriffen auf Norsk Hydro, die US-Stadt Atlanta und andere zum Einsatz kamen.“
Im historischen Kontext betrachtet, hätten derartige Cyber-Bedrohung ihren Ursprung in den ersten DDoS-Erpressungsversuchen, die bereits vor mehr als 15 Jahren zu beobachten gewesen seien.

Zunehmend werden gezielt Managed Service Provider (MSP) attackiert

„Ein weiterer wichtiger Trend, der mit dem Vorfall bei Citycomp in Zusammenhang steht, ist, dass in letzter Zeit zunehmend gezielt ,Managed Service Provider‘ (MSP) attackiert werden“, berichtet Kalember.
Die Angreifer zielten darauf ab, diese Unternehmen sowohl als Ausgangspunkt für weitere Angriffe zu nutzen als auch durch ihr Eindringen mit nur einem Angriff möglichst viele Zugangs- und sonstige Daten in die Hände zu bekommen. Laut Kalember ließ sich dieses Vorgehen auch bei den „Cloudhopper“-Kampagnen der „APT10“-Gruppe verfolgen.

Menschen – größtes Vermögen und zugleich Risiko für Unternehmen

Jeder dieser Angriffe verdeutliche einmal mehr die vorrangige Bedeutung, die dem Schutz der Menschen in einem Unternehmen zuteilwerden sollte, da Cyber-Kriminelle vor allem Einzelpersonen aber auch Schwachstellen in der Infrastruktur von Firmen anvisierten.
Im Falle von „Managed Service“-Providern genüge ein falscher Klick in einer Phishing-E-Mail, und Angreifer könnten mit nur einer Aktion Informationen über möglicherweise viele Unternehmen gleichzeitig stehlen. „Organisationen müssen daher ihr größtes Kapital schützen, das zugleich ihr größtes Risiko darstellt: ihre Mitarbeiter“, fordert Kalember.

Weitere Informationen zum Thema:

datensicherheit.de, 02.05.2019
Citycomp-Erpressung: Gefahr durch Dienstleister-Zugänge unterschätzt

datensicherheit.de, 19.09.2018
Risikomanagement senkt Gefahren durch Drittanbieter-Software

datensicherheit.de, 29.06.2018
Wenn über Drittanbieter-Tools die eigene Datensicherheit ausgehebelt wird

[datensicherheit.de, 17.04.2019] Laut Medienberichten wurden in letzter Zeit etliche Anwendungen im Umfeld von Office 365 kompromittiert. Daraus werde deutlich, dass auch Cloud-Anwendungen durch intelligente Angriffe stark gefährdet seien, meint Ryan Kalember, „Senior Vice President of Cybersecurity Strategy“ bei Proofpoint, in seinem aktuellen Kommentar.

Neue Wege bei Umgehung der Multi-Faktor-Authentifizierung

Kalember führt hierzu aus: „Die jüngste Bestätigung durch Microsoft, dass ,Office 365‘-Konten kompromittiert wurden, unterstreicht einmal mehr das wachsende Risiko von Cloud-Account-Attacken. Insbesondere, da Angreifer kreative Phishing-Köder sowie zielgerichtete und hochentwickelte Brute-Force-Verfahren einsetzen und zudem immer neuere Wege bei der Umgehung der Multi-Faktor-Authentifizierung beschreiten.“
Im Rahmen einer sechsmonatigen Studie mit einer Vielzahl von „Office 365“-Nutzern sei festgestellt worden, dass 72 Prozent der untersuchten „Tenants“ durch Cyber-Kriminelle attackiert worden seien und dass 40 Prozent aller „Tenants“ mindestens ein kompromittiertes Konto in ihrer Unternehmens-Umgebung gehabt hätten.

Bevorzugt im Visier: Mitarbeiter aus dem mittleren Management

„Aufgrund der Zugriffsmöglichkeiten, die ein Angreifer bereits mit Hilfe eines einzigen kompromittierten Kontos erlangen kann, zielen Cyber-Kriminelle oftmals auf Mitarbeiter aus dem mittleren Management ab“, erläutert Kalember.
Da diese von den Sicherheitsteams nicht besonders geschützt würden, sei diese Vorgehensweise oft einfacher als ein Angriff auf technische Infrastruktur eines Unternehmens.

Konten des Kundenservices als Einfallstore

Im Fadenkreuz der Angreifer befänden sich besonders oft Konten des Kundenservices, „sowohl aufgrund der vielversprechenden Zugriffsrechte, als auch weil Mitarbeiter dieser Abteilungen im Rahmen ihres Arbeitsalltags häufig mit fragwürdigen Links und Anhängen konfrontiert werden“.
Raffinierte Angreifer nähmen oft auch gemeinsam genutzte Konten (wie z.B. „customerservice [at] company [dot] com“ oder „support [at] company [dot] com“) ins Visier, „da derartige Postfächer viele Mitarbeiter gleichzeitig erreichen und mit einer Multifaktor-Authentifizierung nur schwer zu schützen sind“, warnt Kalember.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2019
Hackerangriff auf Outlook.com: Schwachstelle Privileged Account

datensicherheit.de, 15.04.2019
Malware – Das Böse kommt immer öfter per Dokumentenanhang

datensicherheit.de, 03.02.2019
Microsoft 365-Nutzer konnten keine Links mehr öffnen

datensicherheit.de, 03.07.2018
Cyberangriffe durch Office-Dokumente werden häufiger und komplexer