Cyber-Kriminalität
Die Zukunft des Social Engineering
Obwohl der Angriffsvektor E-Mail sich als sehr erfolgreich erwiesen hat, ist er noch weit von dem entfernt, was raffinierte Angreifer erreichen könnten. Daher ist es sehr wahrscheinlich, dass sich diese Angriffe in naher Zukunft weiterentwickeln.
Die meisten Mitarbeiter beginnen ihren Arbeitstag mit einem Blick in den Posteingang der Mail. Die meisten Nachrichten dort sind von Kollegen und Kunden, eine vielleicht von einem lieben Freund und eine, die über eine Amazon-Lieferung informiert, die nie angefordert wurde. Als geschulter Mitarbeiter wird er letztere an das Notfallteam weiterleiten und alle anderen weiter bearbeiten. Auch wenn derzeit das Botnet Emotet infolge des Takedowns keine Aktivitäten zeigt, müssen Angriffsszenarien wie die mithilfe des Schädlings in Betracht gezogen werden.
Unternehmen sollten ihre Mitarbeiter auch darin geschult haben, auf E-Mails zu achten, die irgendwie ihre Tonalität ändern – etwa Antworten auf einen E-Mail-Konversationsverlauf oder Weiterleitungen, die auffordern, auf einen Link zu klicken oder einen Anhang zu öffnen, ohne das übliche „Hallo“ oder „Wie geht es Ihnen“. Über diese Art von Angriff stahlen böswillige Akteure im großen Stil E-Mails (bis zu 180 Tage an Inhalten eines einzigen Opfers) und nutzten sie für Angriffe vor allem gegen mittelständische Unternehmen und Institutionen. Sie missbrauchten bestehende Konversationen und fügten generische Inhalte hinzu. Die Tatsache, dass sie auf Original-Mails antworteten, machte sie 2019 und 2020 sehr erfolgreich. Die Frage ist: Werden sie da aufhören?
Jede E-Mail ist potenziell bösartig
Obwohl der Angriffsvektor E-Mail sich als sehr erfolgreich erwiesen hat, ist er noch weit von dem entfernt, was raffinierte Angreifer erreichen könnten. Daher ist es sehr wahrscheinlich, dass sich diese Art von Angriffen in naher Zukunft weiterentwickeln. Da es mittlerweile möglich ist, bestehende Konversationen für böswillige Aktivitäten zu missbrauchen, ist es jetzt schon eine Überlegung wert: Was könnte einen Bedrohungsakteur davon abhalten, eine Konversation mit einem potenziellen Opfer tatsächlich fortzusetzen, anstatt es einfach sofort anzugreifen?
Nun, offensichtlich ist es nützlich, eine Beziehung aufzubauen, denn eine so zustande gekommene Verbindung schafft mehr Vertrauen, so dass ein potenzielles Opfer dann eher Anhänge öffnet und Links anklickt – vielleicht sogar Passwörter eingibt, und Warnmeldungen ignoriert, sollten sie auftauchen. Auf diese Weise können Angreifer die meisten E-Mail-Sicherheitsmechanismen leichter umgehen. Es eröffnen sich auch andere Möglichkeiten, wie etwa im Fall von Business Email Compromise (BEC), finanzielle Forderungen abzusetzen oder Anfragen nach geistigem Eigentum und Geschäftsgeheimnissen wie Handelsabsprachen (etwa Preisvereinbarungen) zu stellen. So kann ein Mitbewerber z.B. einen Preis sehr leicht unterbieten, wenn er vorher weiß, was der andere offeriert. So etwas kann, selbst bei verhältnismäßig kleinen Unternehmen, Millionen einbringen.
Automatisiertes Spearphishing
Es gibt zwei bereits bekannte Angriffsmuster, die letztlich gut zusammengefügt werden können. Spearphishing – also Informationen über ein Opfer zu sammeln und mit deren Hilfe einen speziellen Angriff auf diese Person zu erstellen – wird bei hochkarätigen, gezielten Angriffen eingesetzt, z.B. von staatlich unterstützten Akteuren. BEC und mit Angriffsmitteln ausgestattete Mails sind schon weit verbreitet und werden in Massenangriffen verwendet. Beide Methoden haben jedoch auch ihre Nachteile für den Angreifer. Spearphishing erfordert unter Umständen manuelles Eingreifen, während automatisierte Angriffsmethoden weiterhin generische Phrasen verwenden, die es automatisierten Abwehrmechanismen und geschulten Mitarbeitern ermöglichen, sie zu erkennen. Die offensichtliche Weiterentwicklung von E-Mail-basierten Angriffen besteht also darin, die Vorteile der zwei existierenden Angriffsmuster zu kombinieren und die Nachteile der einen Methode durch die Vorteile der anderen zu ersetzen. Der Weg dazu kann über den Einsatz künstlicher Intelligenz führen.
Machbarkeit
Einer der aktuellen Trends in der IT-Sicherheit ist sicherlich der Einsatz künstlicher Intelligenz (KI) und von maschinellem Lernen (ML), die es ermöglichen, Prozesse zu automatisieren und damit die Verteidigungsmöglichkeiten zu verbessern. Leider wird Technologie immer sowohl für gute als auch für schlechte Zwecke eingesetzt, daher könnten sich dieselben Techniken auch gegen den IT-Anwender wenden. Datenwissenschaftler gehen jedenfalls davon aus. Noch beunruhigender ist die Tatsache, dass die notwendigen Tools dafür bereits existieren und als Open-Source-Code verfügbar sind. Sie müssen nur mit einer ausreichend großen Anzahl von E-Mails trainiert werden. Es handelt sich um genau die gleiche Technologie, die auch für Chatbots verwendet wird, die (neben anderen Anwendungen) auch in einigen Dating-Apps funktionieren.
KI kann lernen, wie ein bestimmtes menschliches Wesen zu kommunizieren, wenn sie mit genügend Beispielen trainiert wird. Nun, wenn Angriffe im Stil von Emotet bis zu 180 Tage der E-Mail-Kommunikation ihrer Opfer herunterladen, so ist davon auszugehen, dass sie zweifellos ausreichende Informationen enthalten, damit eine KI lernt, eine bestimmte Person zu imitieren. Und das beschränkt sich nicht nur auf das Opfer, von dem die E-Mails gestohlen wurden, sondern schließt auch jeden ein, der regelmäßigen Kontakt zum Opfer hatte. Dies würde es ermöglichen, eine Konversation „künstlich“ fortzusetzen, ohne dass es jemand merkt.
Zukunft
Es gibt zwei Arten von Angreifern, die diesen nächsten Evolutionsschritt tatsächlich vollziehen könnten. Die erste Gruppe sind staatlich gesponserte Akteure. Mit ziemlicher Sicherheit verwenden sie diese Methoden bereits. Allerdings sind sie in der Regel nicht daran interessiert, Aufmerksamkeit zu erregen. Daher vermeiden sie Massenangriffe und konzentrieren sich auf sehr spezifische Ziele.
Zur zweiten Gruppe gehören technisch versierte Bedrohungsakteure, wie die Cyberkriminellen hinter Emotet. Sie haben die notwendigen Mail-Daten und sicherlich auch das dafür erforderliche Know-how. Warum sie diese Art des Angriffs nicht einsetzen, lässt sich nur erraten! Wahrscheinlich haben sie es nicht nötig, weil sie mit ihren derzeitigen Angriffsmethoden einfach noch zu erfolgreich sind. Doch ein Blick in den digitalen Untergrund zeigt, dass das Angebot von „Hacking as a Service“ oder für „Backdoor-Zugänge“ zu Unternehmen boomt. Daher liegt es nahe, dass der nächste Schritt nach der „Unternehmensgründung“ und „Kundenfindung“ die „Automatisierung von Prozessen zur Umsatzsteigerung“ sein wird, um selbst in misstrauische Unternehmen einzubrechen.
Angriff und Schutz
Heute werden rund 90 % aller bösartigen Aktivitäten durch E-Mail-Sicherheitslösungen gestoppt. Auch ohne Statistikwerte dazu kann man davon ausgehen, dass ein großer Teil der Angriffe, die es durch diese erste Verteidigungslinie schaffen, von sensibilisierten Mitarbeitern erkannt wird. Bei groß angelegten KI-Angriffen werden diese beiden vordersten Verteidigungsmechanismen in ihrer Effizienz reduziert werden. Content-Filter sind dann nicht mehr in der Lage, gängige Indikatoren zu finden, und unter Quarantäne gestellte Nachrichten können von ihren Empfängern sogar aktiv angefordert werden. Mitarbeiter lassen sich auch nicht darauf trainieren, hinter jedem Anhang oder Link einen Angriff zu vermuten. Außerdem werden Unternehmen nicht jede Kommunikation oder jeden Link blockieren können. Kurz gesagt: Menschliche Fehler werden die Regel sein, nicht die Ausnahme.
Als Folge werden mehr Angriffe den Endpunkt erreichen, sodass sich die Wahrscheinlichkeit erfolgreicher Infektionen erhöht. Das bedeutet mehr Warnungen sowie größere allgemeine Arbeitsbelastung der Sicherheitsteams. Um ihr IT-Sicherheitsteam zu entlasten, müssen Kunden in Automatisierungstechnologie investieren, um Anomalien zu identifizieren, ihren Schweregrad zu bewerten und Wege zu finden, sie zu bewältigen.
Bei diesen Angriffen mit KI-generierter E-Mail-Kommunikation könnten auch Dritte zusätzliche Opfer sein. Es ist daher ein Muss, die erste Angriffs-Mail und alle dazugehörigen Konversationen zu identifizieren. Schließlich besteht die Möglichkeit, dass der Angriff für dieses zweite Opfer noch andauert und das Unternehmen sich dem Vorwurf ausgesetzt sieht, nicht alles getan zu haben, um ihn zu stoppen. Die Automatisierung dieser Prozesse hat einen großen Einfluss auf die Widerstandsfähigkeit des Unternehmens und die Möglichkeit schneller Reaktionen.
Eine solche Technologie stellt XDR dar. Sie ist die Weiterentwicklung der EDR-Technologie (Endpoint Detection & Response). Das „X“ in XDR steht für „schichtenübergreifend“. Trend Micro war unter den ersten, die eine XDR-Strategie eingeführt haben, und entwickelt die Lösungen kontinuierlich weiter. Das XDR-Portfolio umfasst derzeit Lösungen für Endpunkte, E-Mail-, Netzwerk- und Cloud-Technologien, und Trend Micro wird bald Optionen für Smart Factory Shop Floor und IoT hinzufügen. In seiner aktuellen Evolutionsstufe gibt es mit Trend Micro Vision One Detecton & Response eine übergreifende Übersicht mit einfach zu nutzenden Analysefunktionen, die über herkömmliche XDR-Lösungen hinausgeht.