Erfolgreiche Social-Engineering-Angriffe über Cloud-Software

Erfolgreiche Social-Engineering-Angriffe über Cloud-Software

Heute möchten wir einige Social Attacken erklären, die über Cloud Software erfolgreiche durchliefen.

Shark Tank

Shark Tank ist eine beliebte NBC-Fernsehshow, in der mehrere bekannte Mega-Mogule Unternehmern eine Chance geben, ihr Geschäft zu erweitern. Eine dieser mittlerweile prominenten Unternehmerinnen ist Barbara Corcoran. Während eines Social-Engineering-Betrugs Anfang 2020 haben Hacker ihr Team erfolgreich dazu verleitet, eine Zahlung von 400.000 US-Dollar an Hacker zu senden.

Die Hacker gaben sich in einer E-Mail als ihre Assistentin an ihre Buchhalter aus. Sie gaben an, dass das Geld für die Erneuerung einer Investition im Zusammenhang mit einer Immobilie benötigt wurde. Das Verbrechen wurde aufgedeckt, als die Buchhalterin eine Folge-E-Mail an die tatsächliche Assistentin schickte, die sagte, dass sie eine solche Zahlung nicht angefordert habe.

Sony Pictures

Im Jahr 2014 war das Filmstudio Sony Pictures das Ziel eines Social-Engineering-Angriffs, der von Hackern aus Nordkorea durchgeführt wurde. Damals war Nordkorea verärgert über Sonys kommenden Film „The Interview“, der sich über Nordkoreas Führer Kim Jung Un lustig machte. Aus Rache starteten die Hacker eine Spear-Phishing-Kampagne, die Sony-Führungskräfte dazu verleitete, ihre Zugangsdaten für verschiedene Konten preiszugeben. Experten gehen davon aus, dass der Angriff zunächst damit begann, dass die Benutzer ihre Apple-ID-Anmeldedaten eingaben, die dann für den Zugriff auf andere Benutzerkonten verwendet wurden.

Im Idealfall wollte Nordkorea, dass Sony die Veröffentlichung des Films stoppt. Das geschah jedoch nicht, obwohl die Hacker in der Lage waren, eine Menge persönlicher Informationen über das Unternehmen und seine Mitarbeiter zu erhalten, was dem Studio finanzielle Verluste in Millionenhöhe einbrachte. Im Jahr 2018 wurde ein nordkoreanischer Programmierer namens Park Jin Hyok für die Angriffe angeklagt.

Target

Eines der größten „Big Box“-Geschäfte der Welt hatte 2013 eine große Datenpanne. Hacker waren in der Lage, die Zahlungsinformationen von mindestens 40 Millionen Kunden von Target in die Hände zu bekommen. Es war eine der größten Verletzungen von persönlichen Finanzdaten in der Geschichte.

Während der Einbruch damals für große Schlagzeilen sorgte, wird oft vergessen, dass er auf eine Phishing-Masche zurückzuführen ist.

Cyber-Kriminelle verschafften sich über einen der Lieferanten in Pennsylvania Zugang zu den Systemen von Target. Eine bösartige E-Mail wurde von einem Mitarbeiter von Fazio Mechanical geöffnet, einem HLK-Unternehmen, das Zugang zum Netzwerk von Target hatte. Auf diese Weise konnten die Hacker Malware einsetzen, die in kürzester Zeit alle Kredit- und Debitkartendaten der Kunden kopierte. Der Angriff betraf Kunden in fast allen Filialen in den USA (und zwang das Unternehmen später zur Zahlung von 18,5 Millionen US-Dollar in Form von Rechtsvergleichen).

RSA SecurID Cyber-Angriff

RSA ist ein Sicherheitsunternehmen, das 2011 das Ziel eines Social-Engineering-Angriffs war. Der Angriff funktionierte so, dass eine Reihe von Mitarbeitern eine Phishing-E-Mail mit mit Malware verseuchten Dateianhängen erhielt. Als die Mitarbeiter die Anhänge einfach öffneten, weil sie dachten, sie seien legitim, setzten sie sich den Hackern aus, die sich durch eine Hintertür Zugang verschafften.

Das Unternehmen, das Tools für die Zwei-Faktor-Authentifizierung und andere Sicherheitslösungen anbietet, musste aufgrund dieses Verstoßes letztlich Millionen von Dollar an Rechtsstreitigkeiten zahlen.

Yahoo

Im Jahr 2014 war Yahoo Gegenstand eines riesigen Cyber-Angriffs, der Millionen von Nutzern betraf – obwohl das volle Ausmaß des Angriffs erst 2016 bekannt wurde.

Zum Zeitpunkt der Attacke galt sie als eine der größten Social-Engineering-Attacken aller Zeiten, von der 500 Millionen Yahoo-Konten betroffen waren. (Später wurde jedoch bekannt, dass es einen zweiten, viel größeren Angriff gab, der 3 Milliarden Yahoo-Konten betraf).

Laut CSO war „ein einziger Klick alles, was es brauchte, um eine der größten Datenpannen aller Zeiten auszulösen.“ Hacker schickten eine Spear-Phishing-E-Mail an einen Yahoo-Mitarbeiter und erbeuteten erfolgreich dessen Netzwerk-Anmeldedaten. Dadurch erhielten die Hacker Zugriff auf die Benutzerdatenbank von Yahoo und das Account Management Tool, mit dem die Datenbank bearbeitet werden kann. Die Hacker erbeuteten Benutzernamen, Passwörter, Geburtsdaten, Wiederherstellungs-E-Mails und Sicherheitsfragen. Mit diesen Informationen konnten sie sich Zugang zu den sensiblen Daten vieler Kunden verschaffen, um sich finanziell zu bereichern.

Wie bei vielen Phishing-Betrügereien ist das übliche Ziel der Hacker nicht, die gestohlenen Daten jedes einzelnen Benutzers zu verwerten, sondern diese Informationen im Dark Web zu verkaufen, wo andere Cyberkriminelle sie für ihre eigenen Angriffe nutzen können.

Die CIA und Kane Gamble

Die CIA sowie Geheimdienste auf der ganzen Welt waren das Hacking-Ziel einer sehr klugen Person, Kane Gamble. Als Teenager war Gamble in der Lage, nicht nur auf die CIA, sondern auch auf das FBI und das Justizministerium zuzugreifen. Im Jahr 2018 enthüllten die Behörden, dass er sich Zugang zu Geheimdienstoperationen in Afghanistan und im Iran verschafft hatte, indem er vorgab, der Leiter der CIA zu sein. Er tat dies aus dem Komfort seines eigenen Schlafzimmers im Vereinigten Königreich, im Alter von 15 Jahren.

Das Ziel des Angriffs war es, die Telefonnummern und E-Mails von hochrangigen Beamten in den USA und in Übersee zu erhalten. Seine Social-Engineering-Attacken brachten zahlreiche Bundesbehörden in Verlegenheit, doch letztlich erhielt Gamble lediglich eine zweijährige Haftstrafe in einer Jugendstrafanstalt.

Geschäftsführer eines IT-Dienstleisters aus Hamburg. Jens Hagel hat seit 2004 Erfahrung in der Betreuung von komplexen IT-Strukturen. Sei es nun Cloud Computing, VoIP oder andere moderne Techniken - durch das Tagesgeschäft im IT-Systemhaus gelangen laufend die modernsten Techniken in die Erprobung.