Neue Attacke auf VPN-Zugangsdaten geht extreme Längen, um Zugang zu erlangen

Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

TAMPA BAY, FL - 13. November 2024 - Ein neuer, ausgeklügelter Angriff nutzt Telefonanrufe, Social Engineering, ähnlich aussehende Domains und gefälschte VPN-Websites von Unternehmen, um sich einen ersten Zugang zu einem Opfernetzwerk zu verschaffen.

Dies ist einer der ausgefeiltesten initial access attacks, die wir je gesehen haben.  Die Sicherheitsanalysten von GuidePoint Security haben Details zu einem neuen Angriff veröffentlicht, bei dem Benutzer dazu verleitet werden, dem Angreifer Zugangsdaten zu geben.

Doch wie laufen diese Angriffe überhaupt ab?

Der Angreifer kontaktiert das Opfer telefonisch und gibt sich als Mitarbeiter des Helpdesk aus. Er täuscht dann ein Problem mit der VPN-Verbindung vor und fordert das Opfer auf, sich über eine gefälschte VPN-Anmeldeseite zu authentifizieren. Gutgläubig gibt das Opfer seine Zugangsdaten ein, die vom Angreifer abgefangen werden. Gleichzeitig loggt sich der Angreifer mit diesen Anmeldedaten auf der echten VPN-Plattform ein und veranlasst das Opfer, den auf das Mobiltelefon gesendeten MFA-Code einzugeben. Sobald der Zugang gewährt ist, beginnt der Angreifer, das Netzwerk des Opfers zu scannen, um mögliche Ziele für laterale Bewegungen, die Aufrechterhaltung des Zugangs (Persistenz) und eine weitere Eskalation der Berechtigungen zu identifizieren.

Dieser komplexe Angriff erfordert eine genaue Abstimmung der einzelnen Schritte, um erfolgreich zu sein.

Um dies zu erreichen, muss der Angreifer eine Reihe von Angriffselementen bereithalten:

  • Die Firma, den Namen und die Handynummer des Opfers.
  • einen glaubwürdig aussehenden Domain-Namen der VPN-Site
  • eine gefälschte VPN-Website mit dem Logo der Organisation des Opfers
  • VPN-Gruppen von der VPN-Anmeldeseite der tatsächlichen Organisation des Opfers
  • Ein Social-Engineering-Skript, das die Erfahrung für den Benutzer glaubwürdig erscheinen lässt (damit er sie nicht der IT-Abteilung meldet).

Es liegt auf der Hand, dass sich diese Angreifer auf Unternehmen konzentrieren, die bestimmte VPN-Technologien verwenden, die den Benutzern eine manipulierte Erfahrung bieten. Es ist auch offensichtlich, dass jeder Benutzer, der eine Sicherheitsschulung absolviert hat, in der Lage sein sollte, all diese Social-Engineering-Merkmale zu erkennen.

Dieser Angriff zeigt, wie weit die ersten Angreifer gehen, um Ihr Netzwerk zu kompromittieren.  Stellen Sie also sicher, dass Ihre Benutzer wachsam sind und dazu beitragen, die Sicherheit Ihres Unternehmens zu gewährleisten.

Über KnowBe4

KnowBe4, der Anbieter der weltweit größten Plattform für Sicherheitsschulungen und Phishing-Simulationen, wird von mehr als 70.000 Unternehmen auf der ganzen Welt genutzt. KnowBe4 wurde von dem IT- und Datensicherheitsspezialisten Stu Sjouwerman gegründet und hilft Unternehmen dabei, das menschliche Element der Sicherheit zu berücksichtigen, indem es das Bewusstsein für Ransomware, CEO-Betrug und andere Social-Engineering-Taktiken durch einen neuen Ansatz für Sicherheitsschulungen schärft. Der verstorbene Kevin Mitnick, ein international anerkannter Cybersicherheitsspezialist und Chief Hacking Officer von KnowBe4, half bei der Entwicklung der KnowBe4-Schulung auf der Grundlage seiner gut dokumentierten Social-Engineering-Taktiken. Unternehmen verlassen sich auf KnowBe4, um ihre Endbenutzer als letzte Verteidigungslinie zu mobilisieren, und vertrauen auf die KnowBe4-Plattform, um ihre Sicherheitskultur zu stärken und menschliche Risiken zu verringern.

Pressekontakt

Kafka Kommunikation GmbH & Co. KG

Telefon: 089 747470580
E-Mail: info@kafka-kommunikation.de

Zurück