Social Engineering Angriff auf großen Domainregistrar!

Der viertgrößte Anbieter von SSL-Zertifikaten, GoDaddy, ist scheinbar Opfer eines Social Engineering Angriff geworden. Ein IT-Sicherheitsexperte berichtet darüber, dass DNS-Einträge geändert werden konnten und somit E-Mail Adressen und andere sensible Informationen abgefangen werden konnten. Die Angreifer attackierten durch das abändern der DNS-Einträge hauptsächlich Dienste, die mit Kryptowährungen in Verbindung stehen.

Social Engineering Angriff bei GoDaddy

Ein Blogbeitrag des bekannten IT-Sicherheitsexperten Brian Krebs, der diesen Samstag veröffentlicht wurde, beschreibt einen Social Engineering Angriff auf das Unternehmen GoDaddy. Bei diesem Angriff konnten die Kriminellen einige Mitarbeiter des Domainregistrar täuschen, sodass diese Passwörter und andere Zugangsdaten preisgegeben haben. Durch diesen Zugang auf interne Systeme von GoDaddy konnten die Angreifer DNS-Einträge zu abändern, dass im Anschluss Webtraffic der attackierten Firmen an die Kriminellen umgeleitet wurde.

Laut Brian Krebs ist die Handelsplattform Liquid und der Minigdienst Nicehash von diesem Angriff betroffen gewesen. Der Angriff auf das Unternehmen Liquid wurde laut Mike Kayamori bereits am 13.11.2020 registriert, da die Angreifer durch die Umleitung des Webtraffics E-Mail Adressen abgreifen konnten. Durch diese Daten erhielten die Angreifer einen Zugang zu dem internen Dokumentensystem.

Das Kryptogeldguthaben der verschiedenen Nutzer von Liquid sei nicht betroffen worden, jedoch ist zu dem aktuellen Zeitpunkt nicht sicher, welche Daten die Angreifer abfangen konnten. Daher empfiehlt Liquid, dass die Passwörter der Accounts geändert werden sollten.

Das Unternehmen Nicehash hat es nicht so hart getroffen, da diese den Angriff schnell bemerken konnten. Durch die Veränderung der DNS-Einträge auf den GoDaddy-Systemen konnten die Angreifer in dem umgeleiteten Webtraffic interne E-Mail Adressen abfangen. Diese wurden anschließend benutzt, um die „Passwort vergessen“-Funktion auf Diensten wie Slack oder GitHub auszuprobieren. Dieses Vorgehen der Kriminellen sorgte dafür, dass der Angriff schnell festgestellt wurde und die Angreifer vermutlich keine Daten abfangen konnten.

Schutzmöglichkeiten für den Menschlichen Faktor

Der Grund dafür, dass dieser Angriff funktioniert hat, ist keine technische Schwachstelle, sondern eine menschliche. Die Kriminellen haben einige Mitarbeiter von GoDaddy „gehackt“ und diese dazu gebracht, Passwörter und andere sensible Informationen preiszugeben. Der menschliche Faktor wird in der IT-Sicherheit immer wichtiger, dies kann man unter anderem daran sehen, dass Phishing oder Spear Phishing der häufigste Angriffsvektor sind.

Zu einer erfolgreichen Spear Phishing Mail gehören viele Informationen, die der Angreifer über das Opfer recherchieren muss. Solche Recherchen können mit Social Engineering durchgeführt werden, indem man sich bspw. als ein neuer Mitarbeiter ausgibt.

Ein sehr eindrucksvolles Video über Social Engineering wurde im Rahmen der DEFCON gezeigt. In diesem Video spielt eine Frau gegenüber dem Telekommunikationsanbieter eine Ehefrau, die sehr gestresst ist und möglichst schnell Zugang zu dem Account des „Ehemannes“ bekommen möchte. Mit Hilfe von kleinen Tricks gelingt es der Frau, die Mitarbeiterin zu „hacken“ und Zugang zu einem fremden Account zu erlangen.

Schutzmöglichkeiten bieten nur regelmäßige Schulungen der Mitarbeiter. Da wir den Menschen nicht „patchen“ oder „reparieren“ können, müssen wir dafür sorgen, dass die gängigen Betrugsmaschen bekannt sind. Wenn ein Mitarbeiter weiß, wie ein Social Engineering Angriff aussieht oder wie typische Vhishing (Voice-Phishing) Angriffe aussehen, kann der Mitarbeiter diese erkennen und sich davor schützen.

Eine gute Methode, diese Schulungen unterhaltsam und lehrreich durchzuführen, ist ein Live Hacking. Dort können die Teilnehmer live sehen, wie ein Social Engineering Angriff aussieht und wie der Referent innerhalb von ein paar Minuten sensible Informationen des Publikums „erhackt“.