Warum stürzen Millionen-Dollar-Burgen mit einem einzigen Link ein? (Teil 1)
Wie Google und Facebook 120 Millionen Dollar durch eine einzige Phishing-Kampagne verloren — und was herkömmliche Sicherheitstools übersahen.
In der Cybersicherheitsbranche leben wir alle in einer großen Illusion.
Unternehmen geben Millionen von Dollar aus, setzen die fortschrittlichsten Firewalls ein, segmentieren ihre Netzwerke und bauen riesige Security Operations Centers (SOCs). Von außen sieht man eine uneinnehmbare, makellose Unternehmensburg. Doch während die meisten Cybersicherheitsbudgets für technische Infrastruktur ausgegeben werden, geschehen viele erfolgreiche Angriffe immer noch über den menschlichen Faktor. Dies ist ein massiver Widerspruch, dem sich die Branche oft nicht stellen will.
Die meisten dieser Millionen-Dollar-Burgen stürzen mit einem einzigen gefälschten Link, einer einzigen E-Mail, einem einzigen QR-Code oder einer einzigen PDF-Datei ein, die vor einem erschöpften Mitarbeiter am Ende eines langen und hektischen Tages landet.
Aus diesem Grund müssen Angreifer nicht mehr ihre gesamte Energie darauf verwenden, Systeme direkt zu hacken. Anstatt Monate damit zu verbringen, in einen gehärteten Server einzubrechen, ist es viel einfacher, günstiger und zerstörerischer, das Vertrauen, die Müdigkeit und die momentane Dringlichkeit von Menschen auszunutzen. Leider sind herkömmliche Cybersicherheitstools an dieser neuen Frontlinie naturgemäß blind.
Gehen wir hinunter an die echte Frontlinie der Cybersicherheit. Im ersten Teil dieser dreiteiligen Serie werfen wir einen Blick darauf, wie einige der größten Unternehmen der Welt offen gejagt wurden.
Der blinde Fleck hinter perfekten Firewalls: Der Fall Google und Facebook
Wir sprechen von zwei globalen Giganten, die einige der besten Cybersicherheitsingenieure der Welt beschäftigen und einige der fortschrittlichsten KI-basierten Filtersysteme einsetzen: Google und Facebook.
Ein Cyberkrimineller hatte es auf Quanta Computer abgesehen, einen großen taiwanesischen Hardwarehersteller, der milliardenschwere Geschäftsbeziehungen mit beiden Unternehmen unterhielt. Dies war keine gewöhnliche „Setzen Sie Ihr Passwort zurück"-E-Mail. Der Angreifer verbrachte Tage damit, die Unternehmens-E-Mail-Strukturen, echte Rechnungsvorlagen, Zahlungsbedingungen und den Schreibstil der Unternehmen zu analysieren und kopierte diese dann fast perfekt. Danach kaufte er gefälschte Domainnamen, die den Originalen so ähnlich sahen, dass der Unterschied von einem Buchstaben mit bloßem Auge fast unmöglich zu erkennen war. Über diese gefälschten Domains begann er, betrügerische Rechnungen an Mitarbeiter in den Buchhaltungsabteilungen zu senden.
Was ist hier aus cybersicherheitstechnischer Sicht passiert? Warum konnte dies nicht verhindert werden?
Herkömmliche Secure Email Gateways (SEGs) scannten diese eingehenden E-Mails. Unternehmenssicherheitstools arbeiten meist mit signaturbasierten und reputationsbasierten Logiken. In der E-Mail befand sich keine bekannte Malware. Die Links in den Nachrichten waren ebenfalls brandneue, saubere Domains, die noch nie auf einer Blacklist für Cyberbedrohungen aufgetaucht waren. Die Filter betrachteten historische Daten, entschieden, dass alles „sauber" war, und die E-Mails landeten vor den beschäftigten Mitarbeitern.
Als die Mitarbeiter das vertraute Rechnungsformat eines Lieferanten sahen, mit dem sie seit Jahren zusammenarbeiteten, schöpften sie keinen Verdacht. Das Ergebnis? Google und Facebook überwiesen insgesamt 120 Millionen Dollar auf die Bankkonten des Angreifers, nachdem sie diesen gefälschten Rechnungs-E-Mails vertraut hatten.
Was hätte sich geändert, wenn PhiShark dabei gewesen wäre?
Wenn diese Mitarbeiter die PhiShark Browser Extension in ihre Browser oder ihr Unternehmens-E-Mail-Netzwerk integriert gehabt hätten, hätte das System nicht wie herkömmliche Tools nur gefragt: „Ist diese URL bereits auf einer Blacklist bekannt?"
PhiSharks Mail Protection und das Echtzeit-URL-Modul hätten innerhalb von Millisekunden nach Auslösung des Rechnungslinks begonnen, wie ein Cybersicherheitsanalyst im Hintergrund zu denken. Unser agentischer KI-Analyst (AIPA) hätte kritische Fragen gestellt, wie zum Beispiel:
- Diese Domain wurde erst vor 3 Tagen registriert. Warum gibt sie sich als der Name eines Billionen-Dollar-Hardwareherstellers aus?
- Warum stimmen die Absenderserver-Datensätze nicht mit den echten Infrastrukturdiensten der imitierten Marke überein?
- Warum gibt es strukturelle Anomalien in der Umleitungskette?
Selbst wenn die Domain keine Reputationshistorie gehabt hätte, hätte PhiShark den Angriff anhand seines Live-Verhaltens und der Markenimitationsstruktur erkannt. Wenn der Mitarbeiter auf den Link geklickt hätte, um die Rechnung zu bezahlen, noch bevor sein Finger von der Maus abgehoben wäre, hätte unsere Erweiterung eingegriffen, den Bildschirm rot gefärbt und die Transaktion gestoppt. Diese 120 Millionen Dollar wären im Unternehmen geblieben.
Denn die beste Firewall ist die, die die Bedrohung in der allerersten Millisekunde zerstört, in der sie auf dem Bildschirm des Mitarbeiters erscheint.
Im zweiten Teil untersuchen wir, wie bösartige PDF-Dateien, die herkömmliche E-Mail-Filter umgehen, große Unternehmen zu Fall bringen können.
Bleiben Sie sicher. PhiShark herunterladen.
Übrigens, wenn Sie technisches Feedback zur Erweiterung teilen oder über irgendetwas im Bereich Cybersicherheit sprechen möchten, können Sie mich jederzeit auf LinkedIn erreichen.
Ach ja, und die anderen Teile kommen bald — wir haben ein paar ziemlich wilde Geschichten in petto. Bleibt dran. :D
Beste Grüße, Ozan.