Hacker und Cyberkriminelle haben ihre Aufmerksamkeit auf das sogenannte „Big Game Hunting“ (Deutsch: Großwildjagd) gerichtet. Sie konzentrieren sich dabei auf Angriffe auf große und sichere Unternehmen, von denen sie höhere Lösegelder verlangen können.
Angriffe auf große Unternehmen werden üblicherweise mittels „Spear Phishing“ durchgeführt. Spear Phising ist ein sehr ernstes Cybersicherheitsproblem. Es verursacht erhebliche Schäden wie Serviceunterbrechungen und kann den Aktienkurs riesiger Unternehmen zum Absturz bringen.
Spear-Phishing-Angriffe waren die Ursache einiger der schwerwiegendsten und meist sehr kostenintensiven Datenschutzverletzungen. Laut dem „Internet Crime Report 2018“ des FBI haben im Jahr 2018 Angriffe auf die geschäftliche E-Mail-Kommunikation von Unternehmen Kosten von 1,2 Milliarden US-Dollar verursacht.
Die Zahl der Widenet RDP-Brute-Force-Angriffe steigt ebenfalls, dies insbesondere seit März 2020 als weltweit COVID-19-Quarantänen verhängt wurden. Laut Kaspersky, dem russischen Cybersicherheitsunternehmen, ist die Zahl der RDP-Brute-Force-Angriffe auf der ganzen Welt sprunghaft angestiegen. Viele Menschen mussten zu Hause arbeiten und Unternehmen müssen mehr RDP-Systeme einsetzen.
Der erhöhte Einsatz von RDP hat Cyberkriminellen mehr Angriffsoptionen geschaffen.
Was ist ein Remote Desktop Protocol Angriff und wie schützt man sich davor?
Der Unterschied zwischen Spear-Phishing und RDP-Angriffen
Phishing ist ein „Massen-Verteilungs-Hacking-Prozess“, bei dem der Cyberkriminelle ein breites Netz auswirft, in der Hoffnung, dass ein paar Angriffsversuche erfolgreich sind und diese dann tatsächlich durchgeführt werden können. Bei einer Phishing-Kampagne zielt der Kriminelle nicht auf einzelne Opfer ab, sondern sendet Nachrichten an Hunderttausende von potentiellen Zielen.
Spear-Phishing hingegen ist spezifischer, dabei wird gezielt eine einzelne Person oder ein ausgesuchtes Unternehmen ins Visier genommen. Meist werden die Opfer online kontaktiert. Dabei wird vorgetäuscht, dass es sich um eine bekannte Person handelt, oder um eine, mit der das Opfer zuvor zu tun hatte. Spear Phishing verfolgt einen persönlicheren Ansatz, um sich in ein Netzwerk einzuschleusen und Ransomware zu verbreiten.
Was ist Spear Phishing?
Beim Spear-Phishing hat der Angreifer in der Regel ein ganz bestimmtes Angriffsziel (IT-System einer Person oder Institution). Bei einer solchen Ransomware Attacke kann ein Hacker Sie in einem E-Mail-Kompromittierungsprogramm als vermeintlich leitender Mitarbeiter kontaktieren, um Daten für Banküberweisungen, Änderungen bei direkten Einzahlungen oder W2-Daten anzufordern.
Der Angreifer wird Social-Engineering-Fähigkeiten einsetzen und sich als einen Absender ausgeben, den Sie kennen, um sich auf eine überzeugende Weise mit Ihnen in Verbindung zu setzen. Die nötigen Daten für eine solche Kontaktaufnahme werden durch die Recherche Ihrer Kontakte in sozialen Medien oder Verstöße gegen beliebte Peer-to-Peer-Protokolle wie BitTorrent gewonnen.
RDP-Angriffe hingegen betreffen das Remote Desktop Protocol, eine Microsoft-Technologie, mit der sich Mitarbeitende oder Personen, die gemeinsam an einem Projekt arbeiten, über das Internet bei Remote-Workstations anmelden. Jeder RDP-Endpunkt ist mit einem Benutzernamen und einem Kennwort gesichert. Diese Endpunkte sind anfällig für Brute-Force-Angriffe oder Social-Engineering-Phishing-Versuche.
Wie bemerken Sie einen Spear-Phishing-Versuch?
Obwohl die Spear Phishing Methode sehr ausgeklügelt ist, kann sie von jeder Person, welche die Grundlagen der E-Mail-Kommunikation kennt, erkannt werden. Der folgende Screenshot ist von einer E-Mail Nachricht, die von der Rechnungsabteilung der Firma Netflix zu stammen scheint.
Aber bei genauem Hinsehen werden Sie eine Reihe von klaren Hinweisen auf Betrug bemerken:
- Es gibt grammatikalische Fehler im Text.
- In den vermeintlichen Nachrichten von Netflix wird eine sofortige Zahlung verlangt und es wird damit gedroht, dass andernfalls das Netflix Kundenkonto sofort geschlossen würde.
- Die E-Mails sind alle generisch, ohne jegliche Personalisierung.
- Der Link verweist auf eine Nicht-HTTPS-URL. Diese gehört in keiner Weise zu Netflix.
In einer E-Mail-Nachricht von einem legitimen Unternehmen werden Sie immer mit Ihrem vollständigen Namen und nicht allgemein mit „Kunde“ angesprochen.
Es könnte selbstverständlich auch sein, dass ein Hacker über die Fähigkeiten verfügt, einen Empfänger mit den folgenden Taktiken zu täuschen:
- Angriff auf den Netflix-Server, um den vollständigen Namen des Kunden herauszufinden.
- Senden von E-Mails vom Netflix-Server aus, mit einem echten Link, der auf Netflix verweist.
- Einrichten einer HTTPs-Adresse
Aktuell perfektioniert kein Hacker seine Vorgehensweise auf die beschriebene Art, da unglücklicherweise viele potentielle Opfer bereits beim ersten Schritt auf den gewöhnlichen Trick hereinfallen. Wenn es Cyberkriminelle gelingen sollte, ihre Strategien wie erwähnt zu perfektionierten und die Identität von Netflix erfolgreich zu stehlen, ist das Risiko selbst für besonders vorsichtige Personen äusserst hoch, einen versuchten Angriff nicht identifizieren zu können.
Das ist der Unterschied zwischen dem „Nigerianischen Prinz – Phishing“ und „Netflix – Spear Phishing“.
Schützen Sie sich vor Spear-Phishing und vor RDP-Angriffen
Ein guter Schutz vor Spear-Phishing-Angriffen kann durch eine Sensibilisierung und eine Schulung der Mitarbeitenden erreicht werden. Sie können beispielsweise alle Endbenutzer in Ihrem Netzwerk darin schulen, mögliche Spear-Phishing-E-Mails zu erkennen.
Es besteht auch die Möglichkeit in Machine Learning-Lösungen zu investieren. Diese künstliche Intelligenz kann potenziell gefährliche E-Mails, Anhänge und bösartige URLs identifizieren. Systemadministratoren sollten außerdem über alle erforderlichen Sicherheitsmaßnahmen gegen Malware auf RDP-Endpunkten verfügen.
Es wird dringlich empfohlen, den RDP-Dienst zu deaktivieren und Port 3389 zu schließen, wenn er nicht mehr verwendet wird. Auch die Verwendung von starken Benutzernamen und Kennwörtern, die Aktivierung von Zwei-Faktor-Authentifizierungen, die Verwendung einer sicheren Authentifizierung auf Netzwerkebene und die Verfügbarkeit von robustesten Sicherheitssoftware-, oder Lösungen sind unumgänglich, um bestmöglich vor Angriffen geschützt zu sein.