Dies ist einer der ausgefeiltesten initial access attacks, die je beeobachtet wurde: Die Sicherheitsanalysten von GuidePoint Security haben Details zu einem neuen Angriff veröffentlicht, bei dem Benutzer dazu verleitet werden, dem Angreifer Zugangsdaten zu geben.
Wie laufen diese Angriffe ab?
Der Angreifer kontaktiert das Opfer telefonisch und gibt sich als Mitarbeiter des Helpdesk aus. Er täuscht dann ein Problem mit der VPN-Verbindung vor und fordert das Opfer auf, sich über eine gefälschte VPN-Anmeldeseite zu authentifizieren. Gutgläubig gibt das Opfer seine Zugangsdaten ein, die vom Angreifer abgefangen werden. Gleichzeitig loggt sich der Angreifer mit diesen Anmeldedaten auf der echten VPN-Plattform ein und veranlasst das Opfer, den auf das Mobiltelefon gesendeten MFA-Code einzugeben.
Sobald der Zugang gewährt ist, beginnt der Angreifer, das Netzwerk des Opfers zu scannen, um mögliche Ziele für laterale Bewegungen, die Aufrechterhaltung des Zugangs (Persistenz) und eine weitere Eskalation der Berechtigungen zu identifizieren.
Dieser komplexe Angriff erfordert eine genaue Abstimmung der einzelnen Schritte, um erfolgreich zu sein.
Der Angreifer hält eine Reihe von Angriffselementen bereit:
die Firma, den Namen und die Handynummer des Opfers
einen glaubwürdig aussehenden Domain-Namen der VPN-Site
eine gefälschte VPN-Website mit dem Logo der Organisation des Opfers
VPN-Gruppen von der VPN-Anmeldeseite der tatsächlichen Organisation des Opfers
Ein Social-Engineering-Skript, das die Erfahrung für den Benutzer glaubwürdig erscheinen lässt (damit er sie nicht der IT-Abteilung meldet).
Es liegt auf der Hand, dass sich diese Angreifer auf Unternehmen konzentrieren, die bestimmte VPN-Technologien verwenden, die den Benutzern eine manipulierte Erfahrung bieten. Es ist auch offensichtlich, dass jeder Benutzer, der eine Sicherheitsschulung absolviert hat, in der Lage sein sollte, all diese Social-Engineering-Merkmale zu erkennen.
Dieser Angriff zeigt, wie weit die ersten Angreifer gehen, um Ihr Netzwerk zu kompromittieren. Stellen Sie also sicher, dass Ihre Benutzer wachsam sind und dazu beitragen, die Sicherheit Ihres Unternehmens zu gewährleisten.