Microsoft warnt vor einer neuen Art von Blockchain-zentrierten Angriffen, die auf web3 (die dezentrale Umgebung, die auf der Blockchain geschaffen wird) abzielen. In diesem Zusammenhang hat das Microsoft 365 Defender Research Team den jüngsten Badger DAO-Angriff analysiert, bei dem im November und Dezember 2021 mehr als 120 Millionen Dollar von Blockchain-Nutzern gestohlen wurden. Die Sicherheitsexperten warnen, dass diese Angriffe auf dem Vormarsch sind: „Es gibt mehrere Arten von Phishing-Angriffen in der web3-Welt", schreibt Christian Seifert, Mitglied des Microsoft 365 Defender Research Teams. „Die Technologie ist noch aufkeimend und es können neue Arten von Angriffen entstehen."
Beim Eisfischen wird ein Loch in ein gefrorenes Gewässer geschnitten, um Fische zu fangen. Beim Ice-Phishing, wie es das Defender-Team nennt, wird ein Benutzer durch Social Engineering dazu verleitet, eine Transaktion zu unterzeichnen, die die Genehmigung der Token des Benutzers an den Angreifer delegiert, ohne dass dabei die privaten Schlüssel gestohlen werden. Der Angriff korrumpiert eine gängige Transaktionsart, die Interaktionen mit DeFi-Smart Contracts ermöglicht, da diese verwendet werden, um mit den Token des Nutzers zu interagieren (z.B. Swaps). Bei einem „Ice-Phishing"-Angriff muss der Angreifer lediglich die Adresse des Spenders in die Adresse des Angreifers ändern.
Dies kann sehr effektiv sein, da auf der Benutzeroberfläche nicht alle relevanten Informationen angezeigt werden, die darauf hinweisen, dass die Transaktion manipuliert wurde. Sobald die Genehmigungstransaktion unterzeichnet, eingereicht und abgebaut wurde, kann der Spender auf das Geld zugreifen. Im Falle eines ‚Ice-Phishing‘-Angriffs kann der Angreifer über einen gewissen Zeitraum Genehmigungen sammeln und dann alle Geldbörsen der Opfer schnell leeren.
Weitere Phishingmethoden der Bedrohungsakteure
1. Speer-Phishing
Der Cyberkriminelle hat sich entweder über die Gruppe informiert oder Daten von Social-Media-Plattformen gesammelt, um Nutzer zu täuschen. Eine Spear-Phishing-E-Mail geht in der Regel an eine Person oder eine kleine Gruppe von Personen, die diesen Dienst nutzen. Sie enthält eine Form der Personalisierung – vielleicht den Namen der Person oder den Namen eines Kunden.
2. Executive Whaling
Diese Art zielt vor allem auf leitende Angestellte und Verwaltungsangestellte ab, um Geld von Konten abzuschöpfen oder vertrauliche Daten zu stehlen. Diese Art von Betrug zeichnet sich durch Personalisierung und detaillierte Kenntnis der Führungskraft und des Unternehmens aus.
3. Social Engineering
Der Einsatz psychologischer Manipulation, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben oder Zugang zu Geldern zu gewähren. Die Kunst des Social Engineering kann auch darin bestehen, Informationen von Social-Media-Plattformen zu sammeln. LinkedIn, Facebook und andere Plattformen bieten eine Fülle von Informationen über die Mitarbeiter eines Unternehmens.
Effektive Schutzmaßnahmen
Eine Schulung zum Thema Sicherheit kann die Nutzer und Mitarbeiter in den Unternehmen in die Lage versetzen, diese vielfältigen Arten von Betrug besser zu erkennen. Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes Security Awareness Training für die Mitarbeiter anzubieten und umzusetzen. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.
KnowBe4 Germany GmbH
Rheinstraße 45/46
12161 Berlin
Telefon: +49 (30) 34646460
http://www.knowbe4.de
Kafka Kommunikation GmbH & Co. KG
Telefon: +49 (89) 747470580
E-Mail: lreck@kafka-kommunikation.de