Diebe haben es auf Ihre Gehaltsabrechnung abgesehen. Aber anstatt eine Maske und eine Waffe zu benutzen, sitzen sie hinter einer Tastatur und einem Telefon.
Okta Threat Intelligence hat kürzlich eine Bedrohungswarnung herausgegeben, die eine weitere Methode hervorhebt, mit der Angreifer unbefugten Zugriff auf Gehaltsabrechnungsanwendungen erhalten.
In einer von Okta als O-UNC-034 verfolgten Häufung von Bedrohungsaktivitäten setzten Cyberdiebe Social Engineering ein, indem sie Helpdesk-Mitarbeiter telefonisch kontaktierten und versuchten, sie dazu zu bringen, das Passwort für ein Benutzerkonto zurückzusetzen. Diese Angriffe haben sich auf mehrere Branchen ausgewirkt, darunter das Bildungs-, das Fertigungs- und der Einzelhandel, und ähneln früheren Angriffen auf Gehaltsabrechnungssysteme in diesem Jahr, bei denen Malvertising und Credential-Phishing für den Erstzugriff eingesetzt wurden.
„Es ist interessant zu sehen, dass Akteure, die auf Lohnbetrug aus sind, sich der wachsenden Zahl von Angreifergruppen anschließen, die Helpdesk-Mitarbeiter ins Visier nehmen, um Zugriff auf User Accounts zu erhalten“, sagt Brett Winterford, Vice President of Threat Intelligence bei Okta. „Diese Situation unterstreicht, wie wichtig es ist, IT-Support-Mitarbeitern die Tools zu geben, die sie benötigen, um die Identity eingehender Anrufer zu überprüfen und ihnen Optionen zur Account Recovery zu geben, die die Möglichkeit eines betrügerischen Anrufers zur Übernahme eines Accounts einschränken.“
Klein angelegte Angriffe fliegen unter dem Radar
Warum zielen sie auf einzelne Gehaltsabrechnungen ab, anstatt beispielsweise Ransomware einzusetzen oder Datenerpressung zu betreiben, um potenziell deutlich höhere finanzielle Gewinne zu erzielen?
„Auf den ersten Blick erscheint eine mehrstufige Kampagne wie diese als ein großer Aufwand für das einmalige Abzweigen eines Gehaltsschecks“, sagt Winterford. „Erst in größerem Maßstab rechnet sich das.“ Es wäre auch nicht schwer, mit ein wenig Aufklärung den Angriff für Besserverdiener oder für Personen zu optimieren, die kurz vor dem Erhalt eines Abfindungspakets stehen.“
Eine andere Theorie besagt, dass das gezielte Vorgehen gegen Einzelpersonen Angreifern hilft, unter dem Radar zu bleiben und unerwünschte Aufmerksamkeit von Strafverfolgungsbehörden zu vermeiden.
O-UNC-034 ist nur ein Beispiel für Bedrohungsaktivitäten, die auf HR- und Gehaltsabrechnungsanwendungen abzielen. Anfang des Jahres verfolgte Okta Threat Intelligence eine Malvertising-Kampagne (O-TA-54), die dasselbe Thema verwendete.
Diese Angriffe im „Payroll-Pirate“-Stil nutzten in erster Linie Malvertising-Kampagnen (bösartige oder kompromittierte Suchmaschinenwerbung), um bösartige Werbung zu verbreiten, die legitime Unternehmens- und Regierungsdienst-Websites imitierte und oft als „gesponserte“ Ergebnisse an der Spitze der Suchergebnisse erschien. Wenn ein ahnungsloser Mitarbeiter, der nach einem HR-Portal sucht, auf diese Anzeigen klickt, wird er auf Phishing-Seiten weitergeleitet, die gefälschte Anmeldeseiten verwenden, um Opfer dazu zu bringen, ihre Anmeldedaten und andere sensible Finanzinformationen einzugeben. Diese Daten werden dann vom Angreifer abgefangen, wodurch dieser den Account des Opfers übernehmen kann.
Der Unterschied hier bei O-UNC-034 besteht darin, dass Helpdesk-Mitarbeiter über das Telefon angegriffen werden, eine Taktik, die auch von Bedrohungsgruppen wie UNC3944 („Scattered Spider“, „Muddled Libra“) angewendet wird.
Bei den Angriffen von O-UNC-034 beginnt das Schema mit einem Anruf beim Helpdesk, bei dem im Namen eines bekannten Benutzers eine Passwortzurücksetzung angefordert wird. Wenn die Anfrage genehmigt wird, versuchen die Angreifer, ihren eigenen MFA-Authentifizierungsfaktor für das kompromittierte Account zu registrieren. Wenn dies erfolgreich ist, versucht der Angreifer, auf Gehaltsabrechnungsanwendungen wie Workday, Dayforce HCM und ADP-Software zuzugreifen, und nutzt diesen Zugriff, um die Bankverbindungsdaten für den kompromittierten Accounts zu manipulieren.
Wie sich Sicherheitsverantwortliche vorbereiten sollten
Angesichts dieser Arten von Angriffen ist es für die Unternehmensführung von entscheidender Bedeutung, einen standardisierten Prozess zur Überprüfung der Identität von Remote-Benutzern einzurichten, die sich an das Support-Personal wenden, so Winterford. Okta empfiehlt Unternehmen außerdem, Benutzer für starke Authentifizierungsfaktoren wie Okta FastPass, FIDO2 WebAuthn und Smartcards zu registrieren und in ihren Richtlinien Phishing-Resistenz durchzusetzen.
„Wir empfehlen, Ihren Servicedesk-Mitarbeitern der ersten Ebene nicht die Berechtigung zu erteilen, Authentifizierungsfaktoren für Benutzer zu ändern“, sagt er. „Stattdessen sollten sie die Möglichkeit haben, temporäre Zugangscodesauszustellen – und zwar erst, nachdem die Person ihre Identität erfolgreich verifiziert hat.“
„Wir empfehlen Administratoren, den Zugriff auf sensible Anwendungen auf Geräte zu beschränken, die von Endpoint-Management-Tools überwacht und geschützt werden“, fährt er fort. „Bei Zugriffsanfragen aus selten genutzten Netzwerken sollten Sie in Erwägung ziehen, eine höhere Stufe der Identitätssicherheit zu fordern oder die Anfrage direkt abzulehnen.“
Kunden können Okta Network Zones verwenden, um den Zugriff nach Standort, Autonomous System Number, IP und IP-Typ zu steuern, fährt er fort und fügt hinzu, dass Okta Behavior- und Risk-Bewertungen Zugriffsanfragen identifizieren, die von zuvor festgelegten Mustern der Benutzeraktivität abweichen.
„Social Engineering wird immer ausgefeilter, da Angreifer Deepfake-Technologie und KI einsetzen, um Opfer zu imitieren“, sagt Winterford. „Die Aufklärung über die Arten von Ködern, die es gibt, wird ein wichtiger Bestandteil der Abwehr jeder Organisation sein. Sicherheitsbewusstsein Trainings müssen mit den Bedrohungen Schritt halten, und Mitarbeiter sollten in die Lage versetzt werden, verdächtige Aktivitäten so einfach wie möglich zu melden.“
Okta-Kunden können mehr über die Angriffe in einer detaillierten Bedrohungsmitteilung zu O-UNC-034 lesen. Weitere Informationen zum Schutz Ihrer Umgebung vor Phishing-Angriffen und Social Engineering finden Sie unter dem Aufbau einer menschlichen Firewall gegen ausgeklügelte Angriffe.
