Die Kommunikation innerhalb von Unternehmen erfolgt heutzutage vermehrt über Business-Chats. Auch Externe Partner werden immer mehr zu eigentlich internen Business Chats hinzugefügt, wodurch die Angriffsfläche vergrößert wird. Nun haben wir herausgefunden, dass es bei einer Vielzahl an Chattools möglich ist, ein Profil so zu bearbeiten, dass eine Spoofing-Attacke möglich ist. Hierzu haben wir einen Artikel veröffentlicht, der die Problematik erklärt und aufzeigt, welche Angriffe auf welche Tools möglich sind. Der Angriff heißt Chishing, eine Wortkreation aus Chat und Fishing, welche angelehnt ist an das klassische Phishing.
Was ist Spoofing und Chishing?
Man redet von Spoofing, wenn ein Angreifer, vorzugsweise ein Hacker vorgibt, jemand anderes zu sein und somit auf vertrauliche Informationen zugreifen kann. Häufig wird Spoofing eingesetzt, um finanziellen Gewinn zu erzielen. Ein Spoofer verschleiert also seine Kommunikation so, dass er scheinbar eine Person oder eine Organisation ist, die dem Opfer bekannt ist und somit Vertrauen gewinnt. Diese Kommunikation kann zum Beispiel der E-Mail-Verkehr, das Telefonieren oder aber, wie in unserem Fall, ein Business-Chat sein.
Bei Spoofing hört man auch des Öfteren den Begriff DNS-Spoofing. Hierzu gibt es einen passenden Blogbeitrag von uns, der diesen Angriff erklärt. Chishing ist eine Wortkreation, welche bei dem Erstellen des Artikels entstand und enthält die Worte Chat und Phishing. Den Artikel finden Sie hier.
Welche Business-Chats sind betroffen?
In unserem Artikel zu Spoofing in Business-Chats haben wir uns sechs Chattools angeschaut. Hierbei sind allseits bekannte Tools wie Microsoft Teams, Google Chat und Slack vertreten, aber auch weniger bekannte Alternativen wie Element.io, Mattermost und WebEx Teams haben wir untersucht. Wir haben bei jedem dieser Tools versucht, das eigene Profil so zu ändern, dass es wie das Profil eines anderen Mitarbeiters aussieht. Das beinhaltete das Ändern des Profilbildes und das Anpassen des Namens. Danach haben wir exemplarische Chats erstellt, um zu überprüfen, ob der Gesprächspartner erkennen kann, um wen es sich hinter dem Profil handelt.
Hierbei haben wir zwei Bedrohungsmodelle berücksichtigt: ein interner Angreifer und ein externer Angreifer. Interne Angreifer sind zum Beispiel Mitarbeiter, die in ihrem eigenen Unternehmen Schaden anrichten wollen. Externe Angreifer sind Personen, die als Gast zu einem Business-Chat eines Unternehmens eingeladen wurden aber offiziell nicht zu der Organisation gehören.
Unser Ergebnis ist wie folgt: Bei zwei von den sechs Tools war es nicht möglich, Chishing durchzuführen. Das war bei MS Teams und bei Element.io der Fall. In MS Teams wird das Bearbeiten des Profils durch den IT-Admin verwaltet und somit hat nicht jeder die Möglichkeit, sein Profil beliebig zu ändern. Bei Element.io gibt es einen eindeutigen Tag, der hinter jedem Benutzer steht, über den man ihn exakt identifizieren kann.
Die anderen vier Business-Chats, ließen eine Veränderung der Profile problemlos zu und ermöglichen somit Chishing. Bei Google Chat, Slack, Mattermost und WebEx Teams war es möglich, sein Profilbild und seinen Namen so zu ändern, dass es innerhalb eines Chats nicht aufgefallen ist, ob es sich hierbei um die echte Person handelt oder nicht. Dabei ist es egal, ob es ein interner oder externer Angreifer ist. Dies öffnet Tür und Tor für leicht durchzuführende Social Engineering Angriffe durch interne und externe Angreifer, da die Kommunikationsgeschwindigkeit bei Chats und das Vertrauensniveau deutlich höher sind.
Mit diesem Artikel wollen wir auf das weiter wachsende Problem des Chishings aufmerksam machen. Gegenmaßnahmen gibt es aktuell kaum, da bei vielen der Werkzeuge eine essentielle Architekturänderung beziehungsweise eine Änderung des Verteilens von Vertrauen stattfinden müsste.