Mithilfe von Methoden, mit denen vertrauenswürdige Benutzer getäuscht, manipuliert oder völlig ausgenutzt werden, zielen Angreifer darauf ab, den Kernmechanismus der modernen Identitätsprüfung auszunutzen und sich Zugriff auf das Online-Konto eines Benutzers zu verschaffen. Sobald sie als Benutzerkonto getarnt sind, erhalten sie tieferen Zugriff auf ansonsten streng geschützte Netzwerke.
Die Verlockung einer solchen offenen Tür hat dazu geführt, dass Kontoübernahmeangriffe in den letzten zwei Jahren immer beliebter wurden. Beispielsweise stiegen im Jahr 2021 die Online-Transaktionen um insgesamt 65 %, während es gleichzeitig zu Kontoübernahmeangriffen kam im Jahresvergleich um 233 % gestiegen. Mittlerweile sind sie so weit verbreitet, dass rund um die Geldwäsche, die bei ATO-Angriffen gestohlen wurde, eine völlig neue Branche entstanden ist. Cyberkriminelle organisieren und treffen sich über Telegram und arbeiten zusammen, um gekaperte Bankkonten mit Krypto-Wallets zu verbinden. Der diebische Angreifer wird in einer solchen Gruppe über die Höhe der gestohlenen Gelder posten und einen anderen Betrüger suchen, der sich mit der Übernahme von Krypto-Konten auskennt und ein Krypto-Konto anbietet, auf das er die gestohlenen Gelder laden kann. Sobald das Geld über ein gestohlenes Kryptokonto gewaschen wurde, werden alle Gelder auf eine private Wallet abgebucht und zwischen den beiden Parteien aufgeteilt.
In einer Sicherheitslandschaft voller wiederverwendeter und durchgesickerter Anmeldeinformationen sowie schnell steigender Anforderungen an die Kontoverwaltung stellen ATO-Angreifer eine hochorganisierte und äußerst präzise Bedrohung dar.
Wie funktioniert eine Kontoübernahme?
Damit muss der durchschnittliche Benutzer umgehen über 100 Online-Konten, Passwörter geraten schnell außer Kontrolle. Von Bankgeschäften bis hin zu Friseurterminen werden Anmeldeinformationen mit rücksichtsloser Hingabe verbreitet. Angreifer nutzen dies mit zunehmender Schwere aus, in Angriffen, die von hyperpersonalisiert bis hin zu Spray-and-Pray-Angriffen reichen. Durch die Ausnutzung von Schwachstellen in Sicherheitssystemen und Benutzerverhalten können Angreifer die Kontrolle über diese Konten für schändliche Zwecke übernehmen.
Nachfolgend finden Sie eine ausführliche Erklärung zur Funktionsweise von Account-Takeover-Angriffen:
Aufklärung
Angreifer sammeln zunächst Informationen über potenzielle Ziele. Social-Media-Konten stellen riesige Goldgruben an leicht zugänglichen, persönlichen Informationen dar, die aufgebaut werden können in maßgeschneiderte Social-Engineering-Angriffe umzuwandeln. Darüber hinaus werden die Munition der Angreifer durch Daten aus früheren Datenschutzverletzungen verstärkt.
Ausfüllen von Anmeldeinformationen
Ausgestattet mit den erfassten Daten nutzen Angreifer automatisierte Tools, um gestohlene Anmeldeinformationen systematisch auf mehreren Websites und Anwendungen zu testen. Da Menschen oft Passwörter auf verschiedenen Plattformen wiederverwendenErfolgreiche Anmeldungen sind wahrscheinlich, wenn Passwörter bei früheren Verstößen kompromittiert wurden. Die RockYou21-Liste ist eine unglaublich häufige – und unglaublich große – Datenbank mit Klartext-Anmeldeinformationen, die zuvor durchgesickert sind. Zusammengestellt von über 8.4 Milliarden Einträgekönnen Angreifer völlig ohne Vorwarnung großen Schaden anrichten.
Brute-Force-Angriffe
Während Zeugnisfüllung Beim Versuch, ein durchgesickertes Passwort mit dem richtigen zu vergleichen, probieren Brute-Force-Angriffe einfach jede mögliche Kombination aus, um es zu erraten. Bei automatisierter Software, die systematisch verschiedene Kombinationen von Benutzernamen und Passwörtern generiert und ausprobiert, stellen Brute-Force-Angriffe ein besonderes Risiko für schwache und häufig verwendete Passwörter dar.
Phishing
Anstatt Zeit mit Raten zu verschwenden, Phishing-Angriffe verleiten Benutzer dazu, einfach ihre Passwörter preiszugeben. Mit betrügerischen E-Mails, Nachrichten und Websites imitieren Angreifer bekannte Marken oder Dienste. Ahnungslose Benutzer werden dazu verleitet, auf diesen gefälschten Websites ihre Anmeldedaten anzugeben und dabei unwissentlich ihre Kontodaten an die Angreifer weiterzugeben.
Diebstahl von Anmeldeinformationen
Phishing ist nicht die einzige Form der Täuschung – Cyberkriminelle versuchen oft, Malware und Keylogger auf anfälligen Geräten zu installieren. Dadurch können Anmeldeinformationen direkt von den Geräten der Benutzer gestohlen werden.
Arten von Kontoübernahmeangriffen
Die große Zahl an Angriffsarten konzentriert sich auf zwei Hauptschwächen: Benutzer und Software.
Soziale Technik
Social Engineering beschreibt betrügerische Taktiken, die Einzelpersonen ausnutzen, indem sie sie dazu verleiten, vertrauliche Informationen preiszugeben – oder Aktionen auszuführen, die ihre Sicherheit gefährden. Phishing ist eine der häufigsten Formen von Social-Engineering-Angriffen und beinhaltet den häufigen Einsatz betrügerischer E-Mails, Nachrichten oder Websites, die ihre legitimen Gegenstücke imitieren. Indem Angreifer sich als vertrauenswürdige Person oder Autoritätsperson ausgeben, geben sie sich als Kollege, Bankvertreter oder Strafverfolgungsbeamter aus, um Vertrauen zu gewinnen und vertrauliche Informationen abzugreifen.
Es gibt jedoch weitere Unterschiede zwischen den Arten von Phishing-Angriffen. Bei Kampagnen, die einen breiten Ansatz verfolgen, ist Hetze eine äußerst verbreitete Taktik. Opfer werden mit dem Versprechen von Belohnungen als Gegenleistung für die Durchführung bestimmter Handlungen gelockt. Angreifer können infizierte USB-Laufwerke zurücklassen oder als verlockende Angebote getarnte bösartige Links versenden, die Einzelpersonen dazu verleiten, ihre Sicherheit zu gefährden. Spear-Phishing-Angriffe hingegen konzentrieren sich auf ganz bestimmte Personen oder Organisationen. Angreifer verbringen Stunden damit, Informationen über das Ziel zu recherchieren und zu sammeln, um hochgradig personalisierte und überzeugende Nachrichten zu erstellen. Spear-Phishing-Angriffe werden häufig gegen „Wale“ eingesetzt – hochrangige Personen wie CEOs oder hochrangige Führungskräfte.
Sicherheitslücken in der Software
Während Benutzer nur einen Weg hineingehen, nutzen viele Angreifer die Software aus, mit der sie täglich interagieren. Der zunehmende Trend, dass Benutzer Dienste von Drittanbietern nutzen, um bequem auf mehrere Konten zuzugreifen, hat drastische Auswirkungen auf die Kontoübernahmelandschaft. Denn wenn diese Drittanbieterdienste kompromittiert werden, können Angreifer Zugriff auf verknüpfte Benutzerkonten erhalten. Im Jahr 2021 wurde bekannt, dass Facebook einen schwerwiegenden Verstoß gegen die Daten erlitten hatte 533 Millionen Benutzerkonten. Diese Daten, darunter E-Mails und Passwörter, haben zu einer Flut laufender ATO-Kampagnen geführt.
So erkennen Sie Kontoübernahmeangriffe
Das Erkennen von Anzeichen von Kontoübernahmeangriffen ist entscheidend, um kompromittierte Konten zu verhindern. Von eingehenden Nachrichten bis hin zur Leistung Ihres Systems finden Sie hier einige Hinweise auf eine mögliche Beeinträchtigung.
Unerwartete Kontoaktivität
ATO-Angriffe können sich auf verschiedene Weise äußern. Wenn ein Benutzer beispielsweise Benachrichtigungen zum Zurücksetzen des Passworts oder E-Mails für Konten erhält, die er nicht eingerichtet hat, könnte dies ein Hinweis darauf sein, dass ein Angreifer versucht, die Kontrolle über sein Konto zu erlangen. In solchen Fällen sollten Benutzer unabhängig vom Link der verdächtigen E-Mail nachforschen. Dieselbe Taktik wird verwendet, um ahnungslose Benutzer dazu zu verleiten, ihre Daten auf einer gefälschten Anmeldeseite einzugeben. Gehen Sie daher immer über die verifizierten Kanäle. Wenn Benutzer plötzlich nicht mehr auf ihre Konten zugreifen können, obwohl sie korrekte Anmeldeinformationen verwenden, könnte dies ein Zeichen für einen ATO-Angriff sein. Angreifer haben möglicherweise Passwörter geändert oder Benutzer aus ihren eigenen Konten ausgeschlossen.
Das Zurücksetzen von Passwörtern ist nicht die einzige ungewöhnliche Aktivität, die von ATOs generiert wird – unerkannte Anmeldeversuche, Änderungen persönlicher Daten oder unbekannte Transaktionen können auf unbefugten Zugriff hinweisen. Wenn ein erheblicher Anstieg an Spam- oder Phishing-E-Mails einen Posteingang überschwemmt, kann dies ein Hinweis darauf sein, dass die zugehörige E-Mail-Adresse geleakt oder kompromittiert wurde.
Schlechte PC-Leistung
In manchen Fällen kann es bei kompromittierten Konten zu ungewöhnlichem Systemverhalten kommen, wie z. B. langsamer Leistung, häufigen Abstürzen oder unerwarteten Popups. Diese Anzeichen könnten auf das Vorhandensein von Malware wie Keyloggern hinweisen.
Wie erkennt man ATO in Finanzorganisationen?
Finanzorganisationen können wichtige Ansätze nutzen, um ihren Schutz vor Kontoübernahmeangriffen zu verbessern. Die Analyse des Benutzerverhaltens bietet wichtige Tools zur Überwachung und Erkennung abnormaler Muster. Abweichungen bei Anmeldezeiten, Geolokalisierung, Gerätenutzung und Transaktionsverlauf können einen zusammenhängenden Überblick über potenzielle Gefährdungen bilden. Darüber hinaus ermöglicht die IP-Reputationsanalyse Unternehmen, die verschiedenen IP-Adressen zu bewerten, die auf ihre Systeme zugreifen, und so verdächtigen Datenverkehr zu identifizieren und zu blockieren. Geräte-Fingerprinting-Techniken helfen dabei, Geräte zu erkennen und zu verfolgen, die für den Kontozugriff verwendet werden, und so Kontoübernahmeversuche zu erkennen. Echtzeit-Transaktionsüberwachungssysteme, die Verhaltensanalysen und Anomalieerkennung nutzen, ermöglichen es Finanzinstituten, verdächtige oder betrügerische Transaktionen umgehend zu identifizieren und zu blockieren und so die Auswirkungen von ATO-Angriffen abzuschwächen.
Diese Ansätze stärken gemeinsam die Sicherheitslage von Finanzorganisationen und bilden eine Barriere gegen eine vollständige Kontokompromittierung.
Schützen Sie Ihr Unternehmen vor Kontoübernahmeangriffen
Um sich vor Angriffen zur Kontoübernahme zu schützen, sollten alle Organisationen mehrere Ebenen von Best Practices sowohl auf individueller als auch auf organisatorischer Ebene implementieren.
Individual
Es ist von entscheidender Bedeutung, Endbenutzern das Wissen und die Tools zur Verfügung zu stellen, mit denen sie ihre Konten schützen können. Als Benutzer jedes Kontos vor Ort spielt jeder Einzelne eine Schlüsselrolle für die Sicherheitslage einer Organisation. Eindeutige, robuste Passwörter sind nur der Anfang – Tools zur Passwortverwaltung ermöglichen es Benutzern, nicht nur sichere Passwortpraktiken anzuwenden, sondern diese auch zu befolgen, ohne Gefahr zu laufen, hochsichere und einzigartige Passwörter zu vergessen.
Darüber hinaus bietet die Multi-Faktor-Authentifizierung (MFA) eine zusätzliche Sicherheitsebene, indem sie von den Benutzern die Bereitstellung mehrerer Authentifizierungsfaktoren wie Biometrie, Sicherheitstokens und natürlich Passwörter verlangt. Dies verringert das Risiko von ATO-Angriffen, da Angreifer ohne den zusätzlichen Authentifizierungsfaktor keinen Zugriff erhalten, selbst wenn Passwörter kompromittiert werden.
organisatorisch
Um die Bemühungen jedes Mitarbeiters zu unterstützen, sind organisatorische Abwehrmaßnahmen gegen ATO ebenso wichtig. Die Reaktion auf Sicherheitsvorfälle muss in die Routinen der Mitarbeiter integriert werden. Die Erstellung eines wirksamen Reaktionsplans für Sicherheitsvorfälle ist von entscheidender Bedeutung. Organisationen sollten über Protokolle für den Umgang mit ATO-Vorfällen verfügen, einschließlich der zeitnahen Kommunikation mit betroffenen Benutzern, der Untersuchung und Behebung kompromittierter Konten sowie einer Analyse nach dem Vorfall, um die Sicherheitsmaßnahmen zu verbessern. Darüber hinaus ermöglicht die Überwachung der Kontoaktivitäten Unternehmen, verdächtige Kontoaktivitäten zu erkennen und umgehend darauf zu reagieren. Durch die Analyse von Mustern, Anomalien und Verhaltensindikatoren können Unternehmen ATO-Versuche erkennen, unbefugten Zugriff kennzeichnen und entsprechende Maßnahmen ergreifen. Schließlich helfen regelmäßige Sicherheitsbewertungen und Penetrationstests dabei, Schwachstellen und Schwachstellen in Systemen und Anwendungen zu identifizieren. Durch den proaktiven Umgang mit diesen Problemen können Unternehmen ihre Abwehrkräfte gegen ATO-Angriffe stärken und die allgemeine Sicherheit verbessern.
Durch die Implementierung dieser Praktiken können Unternehmen das Risiko von ATO-Angriffen erheblich reduzieren, sensible Daten schützen und das Vertrauen ihrer Benutzer wahren. Ein umfassender Ansatz, der technologische Lösungen, Benutzerschulung und proaktive Überwachung kombiniert, ist für die wirksame Bekämpfung von ATO-Bedrohungen unerlässlich.
Verhinderung von Kontoübernahmeangriffen mit LayerX
Die Browsererweiterung von LayerX ist eine innovative Lösung zur Verhinderung von Kontoübernahmeangriffen. LayerX bietet umfassenden Schutz vor Phishing, Credential Stuffing und Session Hijacking. Das Tool nutzt fortschrittliche Algorithmen und Techniken des maschinellen Lernens, um das Benutzerverhalten zu analysieren, Anomalien zu erkennen und verdächtige Aktivitäten in Echtzeit zu blockieren. Darüber hinaus lässt es sich nahtlos in die bestehende Sicherheitsinfrastruktur integrieren und ist somit mit verschiedenen Browsern und Plattformen kompatibel. Mit dem ersten benutzerorientierten Ansatz zur ATO-Prävention hilft LayerX Unternehmen, die Sicherheit ihres Kontos zu verbessern, sensible Informationen zu schützen und die mit Kontoübernahmeangriffen verbundenen Risiken zu mindern.
LayerX-Funktionen zur Verhinderung von Kontoübernahmen:
- Gehärtete Zugriffsanforderungen basierend auf der Umwandlung des Browsers als zusätzlicher Authentifizierungsfaktor, wodurch praktisch jeder Zugriff verhindert wird, sofern er nicht durch den durch LayerX geschützten Browser initiiert wird.
- Konfigurierbare Richtlinien, die die Fähigkeit von LayerX nutzen, eine Schutzaktion auszulösen, wenn Anomalien im Benutzerverhalten erkannt werden, die auf eine mögliche Kontoübernahme hinweisen.
- Konfigurierbare Richtlinien, die den Zugriff alarmieren oder blockieren, wenn ein webbasiertes Risiko erkannt wird. basierend auf den Bedrohungserkennungsfunktionen der Risk Engine von LayerX.