Ausnutzung von Schwachstellen
Risiken für die Telekommunikations-IT
Ein neuer Report von Trend Micro zeigt Sicherheitsrisiken an der Schnittstelle von IT und Telekommunikation auf.
Originalartikel von Craig Gibson, Vladimir Kropotov, Philippe Lin, Rainer Vosseler
In unserem Report „Islands of Telecom: Risks in IT“ vergleichen wir den Themenbereich mit separaten Inseln, und ähnlich wie kleine Inseln, die aneinander gereiht sind und deren verbindende Landmasse nur von der Unterwasserwelt aus zu sehen ist, hat die Telekommunikation als Industrie und als Studie gemeinsame Merkmale im Bereich der IT. Diese Gemeinsamkeiten ermöglichen die kontinuierliche Bereitstellung von Diensten und Funktionen für die Nutzer. Gleichzeitig setzen sie das Ökosystem Bedrohungen und Problemen aus. Wir fassen die Charakteristika, potenziellen Bedrohungen und Empfehlungen zur Verbesserung der Sicherheitslage von Unternehmen und Telekommunikationsunternehmen zusammen. Nachfolgend sind einige Problembereiche aufgeführt, die wir in unserer Analyse berücksichtigen.
Sprachanrufe abfangen
Sprachanrufe sind nach wie vor eine der vertrauenswürdigsten Kommunikationsarten. Dennoch können Angreifer die vertrauenswürdige Umgebung, Infrastruktur und Verbindungen zwischen den Betreibern ausnutzen, um Remote-Angriffsszenarien zu implementieren. Der Zugang zur Telekommunikationsinfrastruktur in einem anderen Land reicht ebenfalls aus, um Sprachanrufe umzuleiten und abzufangen. Zu den möglichen Angriffsszenarien gehören der Missbrauch einer rechtmäßig in privaten Räumen wie Bars installierten Indoor-Kleinzelle, die Verwendung einer so genannten „War Box“ oder das Abfangen von Daten- und Sprachanrufen mit einer manipulierten Basisstation, um nur einige Beispiele zu nennen.
Angesichts des vorausgesetzten Vertrauens bei Anrufen zielen Angriffe auf das Abhören von Telefongesprächen (Wiretapping) oft auf hochrangige Ziele wie Führungskräfte, politische Schlüsselfiguren, Anwälte, Journalisten oder Aktivisten. Angriffe dieser Art umgehen nicht nur die Informationssicherheit, sondern verschaffen sich auch Zugang zu hochwertigen Informationen, die beispielsweise zur Beeinflussung des Ergebnisses von Verhandlungen und Handelsgeschäften genutzt werden können. Unsere Untersuchung zeigt einige prominente Beispiele für diese Art von Angriffen, wie die in Italien und Uganda.
Empfehlung: Falls verfügbar, können Algorithmen, die im Finanzsektor verwendet werden, mit Telekommunikations-Logs wie dem Benfordschen Gesetz als Auslöser für die Betrugserkennung verbunden werden. Incident Response (IR)-Teams können das Auftreten von Missbrauch und Betrug überwachen und nachverfolgen, so dass Warnhinweise und vorhersehbare Muster krimineller Verhaltensweisen möglich werden. Nutzern wird außerdem empfohlen, bei ihren Sprachanwendungen eine Punkt-zu-Punkt-Verschlüsselung zu verwenden und GSM auf ihren Telefonen nach Möglichkeit zu deaktivieren.
SMS abfangen
Immer häufiger beziehen Entwickler die SMS-Authentifizierung in ihre Projekte ein, da sie eine zuverlässige Option für die Protokollierung und Verarbeitung von Transaktionen wie Einmalkennwörtern darstellt. Da SMS jedoch im Klartext innerhalb des Telekommunikationsnetzes ausgetauscht werden, sind sie immer noch anfällig für Abhör- und Downgrade-Angriffe.
Ein Telekom-Kernnetz kann als „geschützt“ angesehen werden, je nachdem wie ein Telekommunikationsunternehmen den Begriff „Sicherheitsdomäne“ wahrnimmt. Da ein Telekom-Kernnetz jedoch in der Regel nur eine Domäne darstellt, sind die Daten darin nur von außen und nicht innen geschützt. Daher kann ein Hacker oder Insider die SMS abfangen oder einen 4G/5G-Dienstbereich auf ein weniger sicheres Netz wie GSM herunterstufen (Downgrade).
SMS ist auch der Backup-Kanal, der für entfernte OT-Systeme (Operational Technology) wie Industrierouter und Mobilfunk-OT-Geräte verwendet wird, die Befehle über Funk unterstützen. Diese Systeme sind aufgrund der Reichweite von GSM, die im Vergleich zu neueren Generationen der Telekommunikationstechnologie größer ist, anfälliger für das Abhören.
Durch Social Engineering wurde der SIM-Austausch (Swapping) auch von böswilligen Akteuren genutzt, die sich als Benutzer in Bedrängnist ausgaben. In der Regel ruft ein solcher Täter bei einem Telekommunikations-Servicecenter an und gibt vor, ein Nutzer zu sein, der sein Gerät oder seine SIM-Karte verloren hat. Daraufhin überträgt das Servicecenter das Konto und die Telefonnummer des Teilnehmers an den Angreifer, woraufhin alle Textnachrichten an den Angreifer und nicht an den ahnungslosen rechtmäßigen Teilnehmer gesendet werden. Zu den bereits dokumentierten Fällen gehört Malware, die sich als Android-Tools ausgab, um Authentifizierungscodes zu stehlen, oder die „MessageTap“-Malware, die zum Hacken von SMS-Zentren in der Telekommunikation verwendet wurde.
Empfehlung: Anstelle von SMS sollten Nutzer andere Mittel zur Authentifizierung in Erwägung ziehen, z. B. mobile App-Authentifikatoren oder eine Push-Benachrichtigung auf dem Handy.
Calling Line ID Spoofing Calling Line ID Spoofing (CLID) ist eine legitime standardbasierte Aktivität mit legalen Zielen, wie etwa „Verstecken“ von Callcentern hinter 1-800-Hotline-Nummern. Dies kann auch von Kriminellen für Angriffe auf Einzelpersonen missbraucht werden, z. B. wenn sie sich als Organisationen wie Banken und Regierungsbehörden ausgeben. Angriffsszenarien wie diese missbrauchen das Vertrauen, das mit wohlbekannten Nummern von Organisationen aufgebaut wurde.
Ein Szenario könnte beinhalten, dass ein Kunde einen Anruf oder eine Textnachricht von seiner Bank erhält mit der Aufforderung. aus irgendeinem „Grund“ aktiv zu werden. Es ist ein Versuch, den Kunden dazu zu verleiten, unbeabsichtigt seine Anmeldedaten oder andere sensible Informationen über eine Phishing-Website an einen Angreifer weiterzugeben. Weitere Angriffsszenarien wären folgende:
- Angreifer geben sich als Polizei oder Behörde aus
- Hochrangige Beamte erhalten Anrufe von Nummern, die sie als die anderer Beamter identifizieren, die aber in Wirklichkeit von Betrügern kommen.
- Böswillige Akteure verwenden die Nummer eines Kunden, um sich bei Anrufen bei Organisationen zu authentifizieren.
Diese Art von Angriffen wurden 2020 in Australien und Singapur entdeckt. In beiden Fällen wurden die jeweiligen Communities vor Betrügern gewarnt, die sich als Behörden oder Beamte ausgeben, um bestimmte Gegenstände zu kaufen oder abzuholen.
Empfehlung: Benutzer und Unternehmen sollten die Quelle eingehender Anrufe und Textnachrichten als Teil einer mehrschichtigen Verteidigungsstrategie überprüfen. Es wird auch empfohlen, bestehende Prozesse zu stärken, indem Daten wie Telekommunikations-Logs verwendet werden, die die Quellen von Textnachrichten oder Anrufen enthalten.
TDoS-Erpressung
Im Gegensatz zum quantitativen Modell des Denial of Service (DoS), bei dem ein System durch hohes Verkehrsaufkommen überlastet wird, handelt es sich bei Telephony Denial of Service (TDoS) um ein qualitatives Modell des DoS, bei dem der Dienst für den anvisierten legitimen Nutzer „abgeschaltet“ wird. Die Angreifer missbrauchen die bestehenden Geschäftsprozesse von Telekommunikationsunternehmen zur Betrugsbekämpfung, um ein Szenario zu schaffen, bei dem die Telefonnummer und die SIM-Karte des Opfers als Eigentum eines Betrügers dargestellt werden. Das Telekommunikationsunternehmen sperrt daraufhin diese Nummer und die SIM-Karte, die nun als Ursprung für nachweisbaren Betrug verfolgt werden. Infolgedessen ist es wahrscheinlich, dass das Opfer persönlich bei der Telefongesellschaft vorstellig werden muss, um seine Dienste wiederherzustellen.
Dieser DoS-Ansatz kann als Betrug gesehen werden, der speziell zu dem Zweck durchgeführt wird, das Opfer (entweder eine Person oder ein Unternehmen) zu blockieren. Bei solchen Szenarien muss sich der Angreifer in Reichweite der SIM-Karte und der Telefonnummer des Opfers befinden, damit die Telefongesellschaft diese als Quelle des Betrugs ausfindig machen kann und das Opfer in Zukunft als höchst verdächtig eingestuft wird. Die Angreifer können auch den Ausfall der Datenverbindung und der Telefongespräche hinauszögern, indem sie die Telefongesellschaft mehrfach anrufen, um die Wiederherstellung der Dienste zu beantragen, wodurch es für die Telefongesellschaft schwierig wird, zwischen echten und falschen Opfern zu unterscheiden.
Dabei geht es auch darum, dass das Opfer möglicherweise weder die Verbindungsmöglichkeit noch die Voraussetzung für einen Telefonanruf hat und bei solchen Ausfällen weite Strecken zurücklegen muss, nur um persönlich im Büro des Telekommunikationsanbieters vorstellig zu werden. Angreifer können diese Situation weiter für Erpressungen missbrauchen, indem sie sich mit dem Opfer in Verbindung setzen und vorgeben in der Lage zu sein, die Dienste wiederherzustellen. So geschehen auf einer Reihe von Inseln im Pazifik, und zwar über International Revenue Sharing Fraud (IRSF).
Empfehlung: Kunden, Unternehmen wie auch Nutzer, können eine enge Beziehung zu ihrem jeweiligen Kundenbetreuer oder Geschäftsführer aufbauen, um die Lücken in den Prozessen zur Wiederherstellung der Konnektivität und der Telefondienste zu überbrücken. In diesem Sinne wäre es auch ratsam, eine alternative Möglichkeit der Kommunikation mit einem solchen Ansprechpartner zu haben.
Whaling über SIMjacking
Whaling kommt von „Phishing“, doch bezieht sich der Begriff auf „dicke Fische“ wie VIPs, zu denen Journalisten, Politiker, CEOs, Berühmtheiten oder auch Athleten zählen können. SIMjacking ist auch als SIM Swapping bekannt und bezeichnet einen Angriff, der den Verkehr vom Handy eines anvisierten „Wals“ zu einem Cyberkriminellen umleitet. Auf diese Weise kann der Angreifer Sprachanrufe oder Nachrichten an andere Mitarbeiter absetzen zum Zweck des Business Email Compromise (BEC), z. B. zum Abfangen von SMS-basierten Multifaktor-Authentifizierungscodes oder zur Autorisierung von Banküberweisungen des Unternehmens.
Eine der einfachsten Möglichkeiten, dies zu tun, ist Social Engineering mit mehreren Angriffspunkten und Personen, insbesondere durch das Anvisieren von Punkten oder Personen innerhalb des Telekommunikationsunternehmens. Noch wichtiger ist, dass ein einziger gültiger Punkt es den Angreifern ermöglichen kann, nicht nur die Kontrolle über ein VIP-Konto, sondern über einen ganzen Kundenstamm zu erlangen.
Empfehlung: Es ist ratsam, nicht SMS-basierte Mittel für die Authentifizierung zu nutzen, so etwa Authentikator Apps. VIPs können ein Federated Identity and Asset Management (IAM)-System nutzen.
Fazit
Die Integration der Telekommunikationsinfrastruktur für fast alle kritischen Branchen ist ein anhaltender Trend, der sich mit den Möglichkeiten, die 5G und 6G im Hinblick auf Technologien, Fähigkeiten, Kosten und Angriffsflächen mit sich bringen, wahrscheinlich fortsetzen wird. Infolgedessen müssen sich IT- und Sicherheitsteams der sich entwickelnden Risiken für IT-Ressourcen sowie der Unterschiede bei den erforderlichen Konzepten, Geräten, Fähigkeiten und Schulungen zur Bewältigung solcher Risiken bewusst werden. Letztendlich müssen bei der Auswahl von Tools zur Verbesserung der Transparenz und des grundlegenden Sicherheitskonzepts die neuen Abhängigkeiten, Netzwerkbeziehungen und Schwachstellen, die sich aus diesen neuen Technologien und Entwicklungen ergeben, berücksichtigt werden.