Stellen Sie Angreifern eine Falle

Credential Honeypots

Identifizieren Sie den Missbrauch von Zugangsdaten Ihres Unternehmens, bevor es zu spät ist. Sperren Sie erbeutete Zugangsdaten und verhindern Sie Zugriff auf Ihre Daten.

Angebot einholen

Warum Credential Honeypots?

Der Perimeterschutz schwindet

Der Betrieb moderner IT-Infrastruktur verlagert sich immer weiter in die Cloud. Wo bisher Firewalls eine Hürde für Angreifer darstellten, sind sensible Daten nun direkt aus dem Internet erreichbar. Für den Schutz von E-Mails, Mitarbeiterportalen oder der Buchhaltung werden sichere Passwörter immer wichtiger.

Längst verschaffen sich Angreifer Zugangsdaten aus verschiedensten Quellen und umgehen zwei Faktor Authentifizierung mit immer besseren Phishingmethoden.

Passwörter geraten in fremde Hände

Immer öfter geraten Angreifer in den Besitz sensibler Zugangsdaten. Dabei kommen Passwortdatenbanken aus früheren Angriffen auf große Webdienste zum Einsatz. Erbeutete Zugangsdaten können für wenig Geld auf entsprechenden Plattformen gekauft werden. Häufig verwenden Benutzer das selbe Passwort für viele verschiedene Accounts. Dies machen sich Angreifer zu Nutze und führen mithilfe von Bots automatische Loginversuche durch.

Zudem spielt Phishing eine immer größere Rolle. Per E-Mail, SMS oder Telefon versuchen Angreifer die Zugangsdaten einzelner Mitarbeiter Ihrer Firma gezielt abzugreifen. Nutzen Sie daher auch Phishing Simulationen, um Ihre Mitarbeiter für die Gefahren zu sensibilisieren.

Haben Angreifer einmal gültige Zugangsdaten entdeckt, probieren sie diese bei verschiedenen Diensten Ihrer Firma.

Zwei-Faktor-Authentisierung wird ausgehebelt

Durch aufwendig designte Phishingwebseiten greifen Angreifer nicht nur Benutzerdaten ab, sondern umgehen auch die häufig implementierte Zwei-Faktor-Authentisierung.

Dazu melden sich die Angreifer in Echtzeit an einem Dienst an, sobald ein Benutzer seine Zugangsdaten und den zweiten Faktor auf der Phishingseite eingegeben hat. Mit der so erzeugten Session werden im Anschluss die verfügbaren Daten gesichtet.

Wie schützen Credential Honeypots?

In Absprache mit Ihnen, werden fiktive Dienste (Honeypots) unter Ihrer Domain betrieben. Diese stellen simulierte Logins zu begehrten Zielen, wie E-Mail, VPN Self-Service oder Single sign-on bereit. Im Geschäftsalltag kommen diese Dienste nicht zum Einsatz. Angreifer versuchen jedoch, gewonnene Zugangsdaten möglichst breit einzusetzen. Sobald ein Anmeldeversuch an einem der Honeypots stattfindet, deutet dies auf einen Angriff hin.

Honeypots können entweder direkt in Ihrem Netzwerk oder in der Cloud betrieben werden. Bei der Auswahl wird darauf geachtet, dass die Außenwirkung möglichst realistisch ist. Jeder Honeypot wird zentral über ein Cloudportal verwaltet und meldet alle Ereignisse automatisch an vorderfinierte Benutzer. Zusätzlich ist ein Abgleich des Passworts mit dem Active Directory und eine automatische Sperrung des Benutzers möglich. Als vollständige Cloudlösung sind die Honeypots innerhalb weniger Minuten einsatzbereit.

Beispiel einer erfolgreichen Erkennung

Phase 1: Reconnaissance

Angreifer haben Ihr Unternehmen für einen gezielten Angriff in den Fokus genommen. In einer ersten Betrachtung haben sie Ihre öffentlichen Systeme kartiert und lohnenswerte Zugangspunkte identifiziert.

Phase 2: Phishing

Die Angreifer haben aus verschiedene Quellen Informationen über die Namen, E-Mail-Adressen und Aufgabengebiete von einigen Ihrer Mitarbeiter erhalten. Sie kennen bereits vertraute Kontakte im Geschäftsumfeld und konnten sehr realisitische E-Mails an Ihre Mitarbeiter verschicken. Durch einen Phishingangriff haben einzelne Ihrer Mitarbeiter ihre Zugangsdaten preisgegeben. Die Kampagne ist bisher unbemerkt geblieben.

Phase 3: Anmeldung

Die Angreifer testen die erbeuteten Zugangsdaten und haben Erfolg bei einem ersten System.

Phase 4: Credential Stuffing

Die Angreifer testen die erbeuteten Zugangsdaten an anderen identifizierten Systemen Ihres Unternehmens. Dabei versuchen sie sich auch an einem der Credential Honeypots anzumelden. Der Anmeldeversuch wird erkannt und die Zugangsdaten werden gesperrt.

Phase 5: Weiteres Vorgehen

Die Angreifer hatten Zugriff auf einen Teil Ihrer Daten. Sie wurden jedoch gestoppt, bevor die Zugangsdaten für weitere Informationsgewinnung oder Angriffe auf Ihre Firma, Kunden und Lieferanten genutzt werden konnten.

Sie überprüfen die Accounts der betroffenen Benutzer und ändern anschließend die Passwörter.

Teure Folgeangriffe wie ein Ransomwarebefall oder CEO Fraud konnten verhindert werden.

Holen Sie jetzt ein Angebot ein!