Fraud Schutz

Durch die Betreuung verschiedener Kunden hinsichtlich Exchange und Messaging werde ich natürlich auch immer wieder einbezogen, wenn es eine schädliche Mail wieder mal bis zum Postfach eines unvorsichtigen Empfängers geschafft hat. An einem konstruierten Fall beschreibe ich die Optionen der Vorkehrungen und Abwehrstrategien. Leider ist aber der Mensch immer noch das größte Problem.

Der konstruierte Fall

Ich bin sicher, dass dies so oder ähnlich täglich bei Firmen stattfindet und je nach Schwere des Angriffs die Folgen dann öffentlich werden oder still behandelt werden.

  • Angreifer registriert eine Domäne
    Der Preis einer DNS-Domain ist minimal und wenn Sie pfiffig sind, dann suchen Sie gezielt nach einer ähnlich klingenden Domain. Beliebte sind ähnlich aussehende Buchstaben wie z.B. 8=B oder rn = m. Dem Angreifer hilft dabei die Anzeige mit einer Schrift, bei denen die Buchstaben nicht alle gleich briet sind. Mit der Schriftart "Courier" erkennen Sie sofort die falsche Adresse aber mit Arial oder vielleicht noch Times Roman fällt es fast nicht mehr auf
  • Angreifer qualifiziert die Domäne
    Natürlich addiert der Angreifer auch die entsprechenden IP-Adresse seiner zum Versand missbrauchten Server per SPF und signiert die Mails per DKIM korrekt, damit Spamfilter diese Prüfung erfolgreich auswerten.
  • Angreifer sendet Mail mit Phishing-URL an bekannte MailAdressen
    Es ist heute nicht wirklich schwer an die Mailadressen von Personen zu gelangen. Die meisten Firmen nutzen mittlerweile Vorname.nachname@firma.tld als Mail und über soziale Netzwerke, insbesondere LinkedIn etc. ist es nicht schwer die Zugehörigkeit zu Firmen zu erhalten. Wer sich etwas mehr mühe macht, findet sogar den Tätigkeitsbereich und die Stellung heraus.
  • Phising-URL mit Zertifikat
    Die vom Angreifer bereitgestellte Webseite hat für die Vertipper-Domain natürlich auch ein Zertifikat. Das geht mit Let's Encrypt sogar kostenfrei aber die meisten Anwender verwechseln die Sicherheit beim "Schloss" und HTTPS in der Adressleiste. Sicher bezieht sich nur auf die Übertragung der Daten auf dem Internet an den richtigen Server aber nicht, dass der Server da ist was er vorgibt zu sein.
  • Ein Anwender fällt drauf rein
    Und es kommt, wie es kommen muss, dass ein Anwender den Link anklickt und sich nicht an der Anmeldeaufforderung stört. In einer "guten Umgebung" sorge ich als Administrator dafür, dass der Anwender sich nur einmal an seinem PC anmelden muss und danach keine weitere Dialogbox mehr kommt. Leider ist "SingleSignOn" nicht überall Standard und Anwender passen auch nicht auf. Der Angreifer hat also plötzlich gültige Anmeldeinformationen eines Anwenders.
  • Ein andere Anwender alarmiert die IT
    Neben dem getäuschten Anwender gibt es natürlich auch sensibilisierte Anwender, die diese Phishing-Attacke erkennen und vielleicht sogar melden. Dann läuft eine zweite Handlungsebene ab.
  • IT Security leitet Gegenmaßnahmen ein. Das könnten sein:
    • Ermitteln der Empfänger anhand des Absenders
      Das ist mit Exchange Message Tracking möglich aber es kostet Zeit, in der ein Angreifer mit den Zugangsdaten arbeiten kann.
    • Information der Empfänger (oder aller)
      Sie können dann die Empfänger informieren aber denken Sie daran, dass ihre Mails immer "später" kommt als die "Bad-Mail" und warum sollten Anwender ihrer Mail dann mehr vertrauen?
    • Kennwort ändern/ Abmelden
      Auf jeden Fall sollte das Kennwort das Anwenders direkt geändert und bestehende Sitzungen terminiert werden. Das ist gar nicht so einfach, wenn es sich um Kerberos oder ADFS-Tickets handelt, die eine gewisse Gültigkeit haben. Insofern könnte es erforderlich sein das Konto für einige Zeit komplett zu zu sperren.
    • Blockade der Bad-URL
      Wenn die schlechte URL nicht schon von dem nächsten Pattern-Update ihrer Firewall erkannt wird, dann können Sie die URL natürlich auch selbst blockieren. Sei es per DNS-Sperre, Firewall-Sperre, Proxy-Sperre etc. Das funktioniert natürlich nur, wenn alle Angriffe die gleiche URL verwenden oder ein Muster erkennbar ist.
    • Ermitteln der URL-Nutzer
      Über den Proxy oder Firewall-Logs können Sie unabhängig vom Anwender natürlich auch noch einmal ermitteln, wer die Bad-URL geöffnet  hat. Aber auch diese Auswertung ist oft lückenhaft.

Was kann der Angreifer machen?

Der "Böse" hat ja zumindest die Zugangsdaten eines oder mehrerer Anwender und die IT weiß genaugenommen nicht, welche Anwender seine Anmeldedaten denn schon verraten hat oder verraten wird.

  • EWS-Zugriff
    Die meisten Exchange Server sind per EWS aus dem Internet erreichbar, weil Outlook darüber seine Frei/Belegt-Zeiten und Mailtipps abruft aber auch Outlook/Mac mit EWS arbeiten, Kalender-Federation und Exchange Hybrid-Funktionen genutzt werden. EWS eignet sich damit für einen Angreifer ideal dazu um das Postfach des Benutzers zu lesen, Kontakte und frühere Kommunikationen ausfindig zu machen und Mails als Anwender an diese Personen im richtigen Kontext zu senden. Diese Empfänger vertrauen der Mail natürlich und sind deutlich unvorsichtiger, was Anlagen betrifft. Der Zugriff auf die GAL über EWS ist ein weiteres Geschenk für den Angreifer, um letztlich ein komplettes Organigramm der Firma zu ermitteln.
    Pfiffige Angreifer lesen aber auch neue eingehende Mails um z.B. genau die Info-Mail der IT-Security zu erkennen und diese nicht einfach zu löschen sondern sogar darauf zu antworten. Authentischer kann eine Mail ja schon nicht mehr sein. Hoffentlich hat die IT-Security nicht eine Mail an alle Personen sondern viele kleine Mails gesendet. Ansonsten kann der Angreifer sogar noch gezielt die gleiche Personengruppe mit einem "Update" versehen.
  • VPN-Zugang
    EWS ist aber nicht der einzige Zugang. Viele Firmen bieten auch VPN-Zugänge und wenn dieser Zugang nur mit Benutzername/Kennwort verbunden ist, dann steht dem Angreifer das Netzwerk offen. Als Vorbereitung könnte er vorab schon mal die üblichen Namen und Subnetze auf Ports geprobt haben. Wohl dem, der hier auch den Client über Zertifikate einbindet oder einen zweiten Faktor hinterlegt hat.
  • Terminal Server Gateway/Citrix ICA
    Auch dieser Weg ist für einen Angreifer lohnenswert, indem er nun indirekt eine Session in ihrem Netzwerk starten kann. Wenn er dann noch einen Browser hat, kann er sich die Malware nachladen und Emotet und Co lassen grüßen.
  • Skype for Business
    Mit den Zugangsdaten könnte er sich per Skype verbinden. Die DNS-Einträge der meisten Firmen verraten schon vorab, ob es einen entsprechenden externen Zugang über einen Edge-Server gibt. Die Direktansprache eines anderen Mitarbeiters per Chat um weitere Informationen zu erlangen oder die Übertragung von Malware an einen Mitarbeiter zum Ausführen sind denkbare Vektoren. Mit der Funktion "Telefonie" könnte ein Angreifer auch auf ihre Kosten andere Rufnummern anrufen, z.B. Premium-Nummern im Ausland etc.
  • Cloud
    Allein die Verlagerung von Daten in die Cloud macht diese nicht sicherer, wenn ein Anwender sein Kennwort verrät. Einige Daten sind natürlich durch Versionierung und Retention-Policies besser gegen Verlust oder Veränderung gesichert, wenn Sie eine frühere Version wieder herstellen können. Auch hat die Cloud oft umfangreichere Protokollierungsmöglichkeiten und über Conditional Access können Sie den Zugriff weiter einschränken. Aber auch solche Dinge müssen eingerichtet und genutzt werden.
    Dazu zählt aber nicht nur Office 365 sondern natürlich jeder anderen Cloud Dienst (Amazon AWS, Google, DropBox u.a.) die entweder per ADFS Federation verbunden sind oder bei denen der Anwender aus Bequemlichkeit das gleiche Kennwort verwendet.
  • Privater Missbrauch/Schatten-IT
    Es ist leider gar nicht mal so unwahrscheinlich, dass das gleiche Kennwort vom Anwender auch bei privaten Diensten nutzt. Das weiß letztlich nur der Anwender und kann von der Firma nicht einfach erkannt werden. Der Zugriff eines Angreifers auf diese Daten läuft ja nicht durch ihr Netzwerk. Unter dem Begriff "Schatten-IT" wird der Fall zusammengefasst, bei der Mitarbeiter einer Firma einen Cloud-Dienst wie Dropbox, Slac etc. nutzen, dort auch sensible Daten ablegen und die Firma quasi nichts davon weiß.

Es ist also alles anderes als "unkritisch" wenn ein Benutzer sein Kennwort auf einer Phishing-Seite eingibt und damit einem Angreifer quasi ein "Impersonate" ermöglicht.

Lösungsüberlegungen

Ich bin sicher, dass bei der Beschreibung der Angriffsvektoren in ihrem Kopf schon die ein oder anderen Überlegungen angestellt wurden, wie sie die Spuren und Aktivitäten sichern können. Ich hab hierzu ein paar Anmerkungen:

Maßnahme

Eignung

Beschreibung

MFA

Hoch

Durch den Einsatz einer "Multi Faktor" Authentifizierung ist der Besitz eines Benutzernamens samt Kennworts nicht ausreichend. Der weitere Faktor kann z.B. auch der Client oder das Subnetz sein. Das sperrt externe Angreifer schon einmal zuverlässig aus, aber macht es für Anwender etwas aufwändiger von Zuhause mit einem unbekannten Gerät ohne ohne einen weiteren Authenticator zuzugreifen.

Ein Angreifer verrät sich sogar durch den Abbruch der Anmeldung nach dem Kennwort.

Conditional Access

Möglich

Mit Office 365 können Sie über diese Funktion die MFA-Anmeldung weiter qualifizieren. So könnten Sie von Extern z.B. nur bestimmte Applikationen einen Zugriff erlauben. Selbst wenn es keinen weiteren Faktor gibt, kann ein Angreifer dann eben nicht jeden Zugang, Angefangen bei OWA, VPN, Terminal Dienst o.ä. mit seinen eigenen Skripten nutzen sondern nur mit zugelassenen Apps.

User Awareness

Wichtig

Schwachstelle ist der Anwender, der eine Anmeldedaten auf einer nicht vertrauenswürdigen Webseite eingibt. Der Angreifer kann mit Vertipper-Domains auch TLS nutzen, so dass das „Schloss“ im Browser keine Aussage zur Vertrauenswürdigkeit ist. Dazu gehört natürlich, dass auch die IT dafür sorge, dass Anmeldefenster idealerweise nie erscheinen und Benutzer schon daher „hellhörig“ werden sollten

Login Monitoring

Möglich

Per Software wird versucht den „Standort“ oder das Gerät des Benutzers zu qualifizieren und damit Anmeldungen von „ungewöhnlichen“ Standorten zu erkennen und dann per MFA zu sichern. Das kann funktionieren und AzureATP meldet dies auch. Für OnPremises ist den meisten Firmen der Aufwand zu hoch. Dennoch ist dies eine wichtige Quelle um Anmeldeversuch zu erkennen und über die erfolgreichen Anmeldungen die Zeitpunkte zu ermitteln und weitere Nachforschungen anzustellen. Irgendwo muss ein Administrator ja mal anfangen.

Proxy

Möglich

Der Zugriff auf die Phishing-URL ist für einen Proxy-Server erst einmal unverdächtig, da die Eingabe von Formulardaten erst nicht als Risiko erkannt wird. Selbst die Kontrolle der Strings würde viele Fehlalarme liefern, wenn hierbei die Mailadresse und ein Kennwort-Feld erkannt würde. Eine Anmeldung per Mailadresse und Kennwort ist auch im Internet nicht unüblich. Es könnte aber funktionieren, wenn der Proxy die Formulardaten, die ja auch das lesbare Kennwort enthalten, gegen eine Anmeldedatenbank prüft. (z.B. Hashwerte) oder eine Whitelist der URLs kennt, an die Kennworte übertragen werden dürfen.

Minimale Rechte

Sinnvoll

Es wird auch zukünftig immer mal wieder passieren, dass Benutzer ihre Zugangsdaten über Phishing offenbaren. Der Schaden kann begrenzt werden, wenn der Anwender nicht mehr machen kann, als er benötigt, d.h. eingeschränkte Rechte auf Daten und Server, Client und Programme sind das Ziel. Die meisten AD-Konten sind allerdings „Domain Benutzer“ und viele Ressourcen haben eben ein „jeder“-Recht. Nur wenige Firmen beschränken z.B. die Anmeldung auf Clients auf den Fachbereich und Azubis haben nach ihren 3 Jahren meist mehr Rechte als altgediente Mitarbeiter.

Sie können aber auch hinterfragen, welcher Mitarbeiter mit einem festen Arbeitsplatz im Büro und ohne Heimarbeit überhaupt einen VPN-Zugang brauchen.

Besserer Spamfilter

Kaum Wirkung

Spamfilter machen einen guten Job und ohne diese Schutzfunktion wäre ein Arbeit mit Mail noch deutlich erschwert. Aber gegen individuelle Phishing-Mails sind sie nie zu 100% wirksam. Sie filtern schon viel weg und sind daher wichtig aber helfen meist nicht gegen einen zielgerichtet Angriff. Und das ist immer dann der Fall, wenn der Angreifer sich wirklich

Logging

Post Mortem

Wenn es passiert, dass jemand mit den Anmeldedaten eines Anwenders arbeiten kann, dann kommt sehr schnell die Frage, was er denn „angestellt“ hat. Das Potential reicht ja vom „kopieren“ über Löschen/verschlüsseln von Daten bis zur absichtlichen Veränderung. Letzteres ist insbesondere für Konstruktionsdaten, Kalkulationen etc. kritisch, wenn dies nicht bemerkt wird.

Leider haben auch hier die meisten Firmen kaum Werkzeuge um Aktionen von Benutzern auf Verdacht zu protokollieren. Da hat auch ein Betriebsrat ein Wort mitzureden. Das Logging kann ja nicht erst nachträglich eingeschaltet werden.

Alarmsystem

Bedingt

Wenn der Angriff per Mail erfolgt, dann ist eine Info per Mail nicht schnell genug und auch nicht vertrauenswürdig. Ein alternativer schneller Informationsweg, z.B. eine Hausdurchsage, eine Instant Message, eine Einblendung auf dem Intranet o.ä. kann weitere Anwender sensibilisieren. Das betrifft auch Anwender die in dem aktuellen Thread gar nicht betroffen sind.

Letztlich sind aber alle Gegenmaßnahmen nur ein zusätzlicher Schutz, um den Missbrauch von einmal erlangten Kennworten zu erschweren. Wenngleich sollten Sie zumindest von extern eine Multifaktor Authentifizierung als zusätzliche Absicherung für alle Mitarbeiter umsetzen, um Missbrauch von extern einzudämmen. Es ist leider nicht immer nur der Administrator mit seinen privilegierten Berechtigungen, der ein lohnendes Ziel ist. Auch normale Anwender die "nur" Domain-Benutzer sind, werden allzu gerne als Sprungbrett oder für erste Attacken genutzt. Denn auch niedrig privilegierte Konten haben gewisse Rechte und können einen Teil der Daten verändern aber häufig sehr viele Informationen zumindest lesen.

Der Kampf gegen Betrug, Einbruch und Datendiebstahl ist ein kontinuierlicher Prozess und es gibt keine fertige perfekte Lösung. MFA ist aber sicher das Schlüsselelement, um den Missbrauch fast unmöglich zu machen. Allerdings müssen Sie ihre Anwender mitnehmen, damit diese dies auch verstehen. Wenn Sie z.B. einen FIDO2-Schüssel in der Firma einsetzen, dann können Anwender damit auch ihre privaten Konten schützen.

Weitere Links