warnhinweissocialengineeringkampagne
Dieses Dokument ist Teil der Anfrage „Warnung vor Social-Engineering-Kampagnen an die Fraktionen des Deutschen Bundestages“
ze EEE __ u = BEER ur 7. Es ui = nf en De 2) 0 Wr 5 Br er ” u a | Be [2 % = ne ” F+ “4 Fa u nn " — mem a . e D un . ii 2 u r “ De > en re y - Ba < BE © u . n . Pau - - ; N - ” ‚ . ü Som z . s ei Pr Pa \ = k w Ki Fe | - ” nu. . ” > - 4 ä x x f u \ . _ n ” m £ N \ my Ey _ kr = I u - ” . 7 ” R PB u “- 1 . ® Y — e E v ) u © Evorona - Stock.adobe.com R| Bundesamt für Sicherheit in der Informationstechnik ER TwLrr TLP:GREEN Social-Engineering Kampagne BSI & BfV R| Bundesamt für Verfassungsschutz © Evorona - stock.adobe.com
Verfassungsschutz für Sicherheit in der Informationstechnik AR Bundesamt für uwcHeT33aN AR | Bundesamt Übernahme von Benutzerkonten von hochrangigen politischen Personen bei Messengerdiensten 1. Sachverhalt BSI und BfV haben Kenntnis über eine aktuelle Social-Engineering-Kampagne, die sich insbesondere gegen hochrangige politische Personen richtet. Nach dem bisherigen Er- kenntnisstand verfolgen die Angreifenden folgende Ziele: e Übernahme eines bestehenden Messengeraccounts e Anlegen eines Messengeraccounts unter dem Namen der hochrangigen politi- schen Person, der mit der tatsächlichen Mobilfunknummer der Person verknüpft ist. Um diese Ziele zu erreichen, benötigen die Angreifenden den Authentifizierungscode des jeweiligen Messengerdienstes. Der Authentifizierungscode dient dazu, die Verknüpfung zwischen Messengerdienst und Mobilfunknummer zu verifizieren und wird i.d.R. vom Messengerdienst per SMS oder mittels eines kurzen Anrufs mitgeteilt. Durch Social En- gineering bringen die Angreifenden die Betroffenen dann dazu, ihnen diesen Code wei- terzuleiten. Konkret nutzen die Angreifenden das bestehende Vertrauensverhältnis zweier hochran- giger politischer Personen aus: sie täuschen auf dieser Grundlage und unter Verwendung der tatsächlichen Mobilfunknummer einen Gesprächsbedarf vor und bitten um Nutzung eines bereits bestehenden oder Einrichtung eines neuen Messenger-Accounts und um Übermittlung des Authentifizierungscodes. Mit diesem Code können sie dann selbst das neuangelegte bzw. bestehende Messengerkonto, das mit der Mobilfunknummer der be- troffenen Person verknüpft ist, übernehmen.
R Bundesamt für uwcHeT33aN AR Bundesamt Verfassungsschutz für Sicherheit in der Informationstechnik SEITE 3 VON 5 2. Vorgehensweise 1. Es wird i.d.R. zunächst eine initiale Kontaktnachricht gesendet. In dem daran an- schließenden Gespräch wird die betroffene Person davon überzeugt, dass für ein vermeintlich sichereres Gespräch auf einen (anderen) Messenger gewechselt werden soll, z.B. von SMS auf Signal, WhatsApp oder Telegram. Der Akteur ver- sucht so eine Vertrauensbasis für das weitere Vorgehen zu schaffen. 2. Die Betroffenen des Angriffs werden dazu gebracht sich auf diesen Diensten ein neues Benutzerkonto anzulegen. 3. Unter einem Vorwand erfragt der Akteur den Authentifizierungscode der jeweiligen betroffenen Person, der zum Anlegen eines neuen Benutzerkontos benötigt wird. 4. Die betroffene Person vertraut darauf, mit dem tatsächlichen Nutzer der Mobilfunk- nummer in Kontakt zu stehen und übermittelt den Authentifizierungscode. 5. Dies führt zur Übernahme des neu angelegten Benutzerkontos durch den Akteur. 3. Bewertung Prinzipiell handelt es sich hierbei um ein bereits seit langem bekanntes Vorgehen, vor dem das BSI auch in der Vergangenheit bereits entsprechend gewarnt hat (siehe auch [BSI2020)). Herausgehoben ist in diesem Fall jedoch der Weg der initialen Kontaktaufnahme. Die Angreifenden geben sich als hochrangige Vertreter aus der Politik aus. Betroffene, die Authentifizierungsdaten an die Angreifenden übersenden, verlieren die Hoheit über den jeweiligen Messengeraccount. Diesen Account können die Angreifenden dann zum Bei- spiel für Angriffe auf weitere Personen nutzen. Da die Angreifenden dann von einem au-
AR Bundesamt für uwcHeT33aN AR Bundesamt Verfassungsschutz für Sicherheit in der Informationstechnik SEITE 4 VON5 thentifizierten Account aus kommunizieren, können sie sich leichter das Vertrauen weite- rer potentieller Betroffener erschleichen. Sind die Accounts, aufgrund der durchgeführten Authentifizierung, mit der originalen Telefonnummer des ursprünglichen Betroffenen ver- knüpft, werden die neuen Accounts einem weiteren Betroffenen ggf. automatisch ange- zeigt. Es erscheint zum Beispiel automatisch die Meldung "Max Mustermann nutzt jetzt Telegram" bei dem neuen Betroffenen im Telegram-Messenger, falls ein Telegramkonto für die Nummer von Max Mustermann angelegt wurde und die Nummer im Adressbuch des weiteren Betroffenen vorhanden ist. 4. Handlungsempfehlung e Übermitteln Sie niemals Authentifizierungscodes von Messengerdiensten an andere Personen. Nur Sie benötigen diesen Code. e Seien Sie gegenüber neuen Anfragen — auch von vorgeblich hochrangigen politi- schen Persönlichkeiten — sensibel. Dies gilt insbesondere, wenn auf einen anderen Messengerdienst gewechselt werden soll. e Sollten Sie einem Angreifenden die Authentifizierungsdaten übersendet haben, set- zen Sie umgehend Ihr Konto beim jeweiligen Messengerdienst zurück. « Falls Sie vermuten, Opfer eines solchen Angriffs geworden zu sein, stehen Ihnen BSI und BfV unter folgenden Kontaktdaten als Ansprechpartner jederzeit zur Verfü- gung. Selbstverständlich werden entsprechende Vorfälle vertraulich behandelt. lagezentrum@bsi.bund.de und cyberabwehr@bfv.bund.de
AR Bundesamt für uwcHeT33aN AR Bundesamt Verfassungsschutz für Sicherheit in der Informationstechnik SEITE 5 VON 5 Weitere Informationen zur sicheren Nutzung von Messenger-Diensten finden Sie unter [BS12022]. 5. Links [BSI2020] TLP:GREEN Cyber-Sicherheitswarnung BSI-2020-235221, Version 1.0: Phishing-Angriffe auf Politiker und Bank-Vorstände [BSI2022] TLP:WHITE IT-Sicherheit für Kandidierende und Mandatstragendeht- tps://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen- und-Empfehlungen/Infos-fuer-Kandidierende/lnfo-fuer-Kandidierende/kandidie- rende_node.html