Die US-amerikanische Cybersecurity- und Infrastruktursicherheitsbehörde (CISA) hat festgestellt, dass die Kompromittierung gültiger Konten und Spear Phishing-Angriffe im Jahr 2022 die beiden häufigsten Vektoren für den Erstzugriff waren, berichtet Decipher. Gültige Konten wurden bei 54% der erfolgreichen Angriffe kompromittiert.

„Gültige Konten können ehemalige Mitarbeiterkonten sein, die nicht aus dem Active Directory entfernt wurden, oder Standardadministratorkonten“, sagt CISA. „Wenn Organisationen die Standardkennwörter nicht ändern, können Angreifer ein gültiges Administrator-Konto kompromittieren. In vielen Fällen ist diese Angriffstechnik möglich, weil das gültige Konto nicht autorisierten Benutzern erlaubt, unsichere Software (wie nicht gepatchte oder veraltete Software) auf einem System oder Netzwerk zu installieren oder auszuführen.“

Der Bericht ergab, dass Spear Phishing-Links in 33% der Angriffe erfolgreich waren.

„Erfolgreiches Spear Phishing erfordert, dass die bösartige E-Mail eines Angreifers die Netzwerkgrenzschutzmaßnahmen passiert und Schadsoftware auf dem lokalen Host ausführt“, erklärt CISA. „Der Schutz auf Host-Ebene stoppt Spear Phishing-Versuche, wenn sie die Netzwerkperimeter-Schutzmaßnahmen passieren. Auf Netzwerkgrenzebene wurden 13% der Spear Phishing-Versuche von CISA blockiert. Auf Host- oder Endpunkt-Ebene wurden 78% der Links oder Anhänge blockiert, was die Ausführung einer bösartigen Aktivität verhinderte. Die Erfolgsrate eines Cyberbedrohungsakteurs bei dieser Art von Angriff hängt von Faktoren wie der wahrgenommenen Echtheit des E-Mail-Inhalts und der Präsentation, den Host-Schutzmaßnahmen (z. B. Antiviren- und Malware-Erkennungssoftware) und den Netzwerkgrenzschutzmechanismen ab.“

CISA gibt folgende Empfehlungen, wie Organisationen sich gegen diese Angriffe verteidigen können:

„Implementieren Sie eine sichere Kennwortrichtlinie, die phishingresistente Multi-Faktor-Authentifizierung (MFA) für den Remote-Zugriff, starke Passwörter, eindeutige Zugangsdaten und die Trennung von Benutzer- und privilegierten Konten erfordert, indem unnötige oder inaktive Konten deaktiviert werden. „Konfigurieren Sie E-Mail-Server, um E-Mails mit bösartigen Indikatoren auszufiltern und zu blockieren, und implementieren Sie Authentifizierungsprotokolle wie Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM), um gefälschte oder manipulierte E-Mails zu verhindern. „Implementieren Sie ein Schulungsprogramm zur Sensibilisierung für Phishing, das Anleitungen zur Identifizierung von Phishing-Angriffen und zur Meldung von vermuteten Phishing-Versuchen und bestätigten Vorfällen enthält.“ Durch Schulungen zur Sicherheitsbewusstheit nach neuesten Standards können Ihre Mitarbeiter lernen, bewährte Sicherheitspraktiken zu befolgen und so Social Engineering-Angriffen aus dem Weg zu gehen.