{"id":45068,"date":"2019-06-27T07:30:28","date_gmt":"2019-06-27T05:30:28","guid":{"rendered":"https:\/\/blog.wiwo.de\/look-at-it\/?p=45068"},"modified":"2019-06-19T15:14:32","modified_gmt":"2019-06-19T13:14:32","slug":"cybersecurity-die-anatonomie-einer-phishing-attacke-auf-eine-bank","status":"publish","type":"post","link":"https:\/\/blog.wiwo.de\/look-at-it\/2019\/06\/27\/cybersecurity-die-anatonomie-einer-phishing-attacke-auf-eine-bank\/","title":{"rendered":"Cybersecurity: Die Anatonomie einer Phishing-Attacke auf eine Bank"},"content":{"rendered":"

Experten eines IT-Sicherheitsanbieters haben eine realen Phishing-Attacke auf eine Bank analysiert und so den zeitlichen Verlauf des Angriffs rekonstruiert.<\/strong><\/p>\n

Erst Anfang dieser Woche habe ich im Blog eine aktuelle Studie pr\u00e4sentiert, nach der insbesondere Unternehmen in Europa beim Thema IT-Sicherheit unter dem globalen Durchschnitt rangieren<\/a>.\u00a0So ist ein Gro\u00dfteil der Firmen nicht in der Lage, seine IT-Systeme effektiv zu sch\u00fctzen, obwohl die Bedrohungslage durch Hacker immer weiter zunimmt – und inzwischen auch zahlreiche F\u00e4lle riesiger Cyberattacken mit teils drastischen Auswirkungen allseits bekannt sind<\/a>.<\/p>\n

Die Anatomie eines solcher Angriffs hat jetzt der rum\u00e4nische IT-Sicherheitshersteller Bitdefender rekonstruiert. So ist es den Security-Experten gelungen, den zeitlichen Verlauf eines Angriffs der sogenannten Carbanak-Gruppe zu rekonstruieren. Opfer der Hacker war eine osteurop\u00e4ische Bank, die im Mai 2018 attackiert wurde.<\/p>\n

\"\"<\/p>\n

Die Carbanak-Bande<\/a> blickt auf eine lange Erfolgsgeschichte bei Angriffen auf Finanzinstitutionen zur\u00fcck. Ihre Strategie zielt darauf ab, illegale Transaktionen durchzuf\u00fchren oder Geldautomaten\u00adinfrastrukturen zu \u00fcbernehmen, die mit Hilfe von \u201eMoney Mules\u201c – das sind Kleinkriminelle, die illegales Geld pers\u00f6nlich oder elektronisch wie ein „Geldesel“ transportieren<\/a> – gepl\u00fcndert werden. In einem der bekanntesten F\u00e4lle Anfang 2015 sollen die Kriminellen angeblich hunderte Millionen US-Dollar von \u00fcber 100 Banken in 30 L\u00e4ndern erbeutet haben<\/a>.<\/p>\n

Der hier analysierte Fall fand zwischen M\u00e4rz und Mai 2018 mittels mehrerer sogenannter Spear-Phishing-Kampagnen<\/a> statt, das sind sehr gezielte Angriffe auf ein bestimmtes Ziel. Hier gaben sich die Angreifer als E-Mails von hochkar\u00e4tigen Organisationen wie IBM, der Europ\u00e4ischen Zentralbank oder auch von Cybersicherheitsunternehmen aus.\u00a0Im folgenden der zeitliche Verlauf des Angriffs:<\/p>\n

Tag 0 – Infiltration:<\/strong> An einem regul\u00e4ren Arbeitstag um 16:48 Uhr erhalten zwei Mitarbeiter einer Bank eine E-Mail, dessen schadhaften Anhang beide unabh\u00e4ngig voneinander binnen einer Minute \u00f6ffnen. Das angeh\u00e4ngte Dokument nutzt eine L\u00fccke von Microsoft Word. Dar\u00fcber wird unbemerkt eine Verbindung \u00fcber eine Backdoor hergestellt, die wiederum die Schadsoftware Cobalt Strike Beacon<\/a> herunterl\u00e4dt.<\/p>\n

Im Anschluss daran werden Zugangsdaten zum Domain-Server entwendet, getestet und schlie\u00dflich der Domain-Controller \u00fcbernommen. Mit Ende dieser ersten Angriffswelle um 18:20 Uhr sind die Angreifer bereits in der Lage, weitere Nutzerdaten herunterzuladen und auszuf\u00fchren, sich unbemerkt durch das System zu bewegen, Dateien zu l\u00f6schen und Registrierungsschl\u00fcssel zu beseitigen, um ihre Spuren zu verwischen.<\/p>\n

Tag 1-28 – Aussp\u00e4hung:\u00a0<\/strong>In den f\u00fcnf darauffolgenden Wochen konzentrieren die Angreifer ihre Aktivit\u00e4ten darauf, systematisch zahlreiche Arbeitspl\u00e4tze zu kompromittieren, um an Informationen zu gelangen, die von Nutzen sein k\u00f6nnten. An Tag 10 erfasst der Angriff den dreizehnten Endpunkt, welcher im sp\u00e4teren Verlauf f\u00fcr die Informationssammlung und -speicherung genutzt wird.<\/p>\n

An Tag 28 wird eine Reihe von als potenziell wertvoll erachteten Dokumenten zu internen Anwendungen und Verfahren f\u00fcr die Daten-Exfiltration<\/a>, also den heimlichen Daten-Transfer aus der Bank heraus vorbereitet.<\/p>\n

Tag 30-63 – Informationssammlung und Vorbereitung des Diebstahls: <\/strong>Im weiteren Verlauf wird die Informationssammlung systematisiert. In einem Zeitraum von 17 Tagen legen die Angreifer verschiedene Ordner mit Handb\u00fcchern, Anleitungen und Schulungsunterlagen f\u00fcr verschiedene Anwendungen an. Dabei ist davon auszugehen, dass diese Informationen nicht nur dazu dienen, den finalen Diebstahl ausf\u00fchren zu k\u00f6nnen, sondern auch dazu verwendet werden, Angriffstaktiken f\u00fcr k\u00fcnftige Ziele mit vergleichbaren Systemen zu verfeinern.<\/p>\n

Ab Tag 33 beginnen die Angreifer damit, interne Hosts und Server zu kompromittieren, die f\u00fcr den eigentlichen Raub\u00fcberfall ben\u00f6tigt werden. Die\u00a0 „Cobalt-Strike-Beacon“-Malware erzeugt einen VPN-Tunnel zu einem externen Arbeitsplatz der Hacker, von dem aus ausgew\u00e4hlte Workstations der legitimen Banken-Infrastruktur angemeldet werden. Diese Verbindungen dauerten zwischen 20 Minuten und einer Stunde und wurden stets au\u00dferhalb der Gesch\u00e4ftszeiten und an Wochenenden durchgef\u00fchrt.<\/p>\n

An Tag 63 schlie\u00dflich verwischen die Angreifer ihre Spuren, indem sie s\u00e4mtliche Beweise f\u00fcr ihre Informationssammlung vernichten.<\/p>\n

W\u00e4re der Angriff unentdeckt geblieben, h\u00e4tten die Hacker die Kontrolle \u00fcber das Geldautomaten-Netzwerk der Bank erlangt. Damit w\u00e4ren sie in der Lage gewesen, das Auszahlungslimit an Geldautomaten mit einer vorab autorisierten Karte zur\u00fcckzusetzen. Auf diese Weise h\u00e4tten die vor Ort abgestellten Money Mules beliebig oft den festgesetzten H\u00f6chstbetrag abheben k\u00f6nnen, ohne dass von dem betreffenden Automaten die Transaktion als verd\u00e4chtig an die Bank gemeldet w\u00fcrde.<\/p>\n

Die Anatomie eines Banenangriffs im folgenden noch einmal visuell zusammengefasst – zum Vergr\u00f6\u00dfern zwei Mal anklicken:<\/p>\n

\"\"<\/a><\/p>\n

Quelle: Bitdefender<\/p>\n

Verwandte Artikel:<\/strong><\/p>\n

Europ\u00e4ische Unternehmen beim Thema IT-Sicherheit unter globalem Durchschnitt<\/a><\/p>\n

German Angst schwindet \u2013 aber Sicherheitsbedenken bei Drohnen & Smart Cities<\/a><\/p>\n

Die wichtigsten Zahlen & Fakten rund um Datenschutzverletzungen 2019<\/a><\/p>\n

Ein Jahr DSGVO: Nutzung von WhatsApp auf Job-Smartphones gestiegen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Experten eines IT-Sicherheitsanbieters haben eine realen Phishing-Attacke auf eine Bank analysiert und so den zeitlichen Verlauf des Angriffs rekonstruiert. Erst Anfang dieser Woche habe ich im Blog eine aktuelle Studie pr\u00e4sentiert, nach der insbesondere Unternehmen in Europa beim Thema IT-Sicherheit … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":16,"featured_media":45097,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[142,343],"class_list":["post-45068","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-allgemein","tag-cybersecurity","tag-phishing"],"_links":{"self":[{"href":"https:\/\/blog.wiwo.de\/look-at-it\/wp-json\/wp\/v2\/posts\/45068","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.wiwo.de\/look-at-it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.wiwo.de\/look-at-it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/look-at-it\/wp-json\/wp\/v2\/users\/16"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/look-at-it\/wp-json\/wp\/v2\/comments?post=45068"}],"version-history":[{"count":11,"href":"https:\/\/blog.wiwo.de\/look-at-it\/wp-json\/wp\/v2\/posts\/45068\/revisions"}],"predecessor-version":[{"id":45149,"href":"https:\/\/blog.wiwo.de\/look-at-it\/wp-json\/wp\/v2\/posts\/45068\/revisions\/45149"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.wiwo.de\/look-at-it\/wp-json\/wp\/v2\/media\/45097"}],"wp:attachment":[{"href":"https:\/\/blog.wiwo.de\/look-at-it\/wp-json\/wp\/v2\/media?parent=45068"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.wiwo.de\/look-at-it\/wp-json\/wp\/v2\/categories?post=45068"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.wiwo.de\/look-at-it\/wp-json\/wp\/v2\/tags?post=45068"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}