Sophos hat wieder einmal einen besonders dreisten Hack aufgedeckt, passend zur Vorweihnachtszeit. In diesem Fall hatten die Cybergauner nicht unmittelbar das Unternehmen im Visier, sondern vielmehr die einzelnen Mitarbeiter. Sie drangen in das Netzwerk ein, um möglichst viele Accounts in ihre Gewalt zu bekommen und über diese Geschenkkarten zu kaufen, die sie an sich selbst schicken ließen. Wieder einmal ein gutes Beispiel dafür, dass viele Übergriffe überhaupt keine Schadsoftware benötigen, um Nutzern oder auch Unternehmen Geld abzuknöpfen. Lasche Sicherheitsregeln und gekaperte Email-Zugänge reichen schon völlig aus.
In diesem Fall geht es um Gutscheine im überschaubaren Wert. Kein Problem denken Sie? Ein einzelner Gutschein im Wert von 200 US-Dollar wäre zwar ärgerlich, aber aus Sicht des Unternehmens zu verkraften. Die Gangster waren allerdings darauf aus, Gutscheine von rund 200 Mitarbeitern mit einem VPN-Zugang zu bekommen – multipliziert ergibt sich daraus eine beachtliche Summe, mit denen die Diebe mal schnell davonkommen wollten. Nebenbei spähten sie auch noch das Netzwerk aus, vermutlich um interessante Daten zu finden, die sie zusätzlich auf dem Schwarzmarkt zu Geld machen könnten.
Die Rechnung hatten die Hacker aber ohne das Sophos Rapid Response Team gemacht, das als schnelle Eingreiftruppe dem Spuk rasch ein Ende machte. Ein Sys-Admin hatte Unregelmäßigkeiten bemerkt, umgehend reagiert und das Team alarmiert. Innerhalb kurzer Zeit waren die recht unbedarften Hacker nicht nur aus dem Netz entfernt, man hatte zudem ein klares Bild von ihrer Taktik und damit die Möglichkeit, das Einfallstor entsprechend zu schützen. Schlussendlich erbeuteten die Hacker gerade mal 800 US-Dollar in Form von Gutscheinen und soweit bekannt, wurden auch die daraus folgenden betrügerischen Einkäufe aufgedeckt und rückgängig gemacht. Im einzelnen gingen die Cybergangster wie folgt vor:
- Der VPN-Server des Unternehmens hat seit einigen Monaten kein Update erhalten. Alleine dieser Fakt ist eigentlich schon genug, um die Kriminellen einfach ins Netzwerk einzulassen – in diesem Fall existierte sogar noch ein Exploit, der den Zugang ermöglichte.
- Der VPN-Server wurde ohne Zweifaktorauthentifizierung betrieben. Aufgrund dieser Tatsache reichte schon das Passwort eines einzigen Nutzers, um ins Netzwerk einzudringen. Die Analyse legt nahe, dass die Gauner in diesem Fall genau über diesen Weg eingedrungen sind und nicht direkt über den Exploit.
- Einmal “innerhalb” des VPNs konnten die Gauner via Remote Desktop Protocol vom Rechner zu Rechner springen. Gesagt getan wurden die Web-Browser auf den PCs geöffnet und geschaut, welche Online-Accounts nicht geschlossen wurden. Dazu gehörten auch persönliche Email-Zugänge wie Gmail oder Outllook.com.
- Mit Hilfe der Email-Zugänge nahmen die Hacker Passwortänderungen bei verschiedenen Shopping-Plattformen vor. Auch wenn die für diese Kriminellen interessanten Zugänge wie in diesem Fall z.B. Best Buy, Facebook. Google Pay, Venmo und Walmart, aufgrund eines aktiven Ausloggens nicht direkt zugängig waren, konnten sie durch die Passwortrücksetzung Zugang erlangen und die Shopping-Tour starten…. wenn nicht das Sophos Rapid Response Team eingegriffen hätte..
Wer noch mehr Infos zu dieser Geschichte nachlesen will, wird bei den Kollegen von Naked Security fündig:
https://nakedsecurity.sophos.com/2020/11/24/gift-card-hack-exposed-you-pay-they-play/