Kaspersky-Analyse „Doxing in the corporate sector“: Gefahr von Doxing steigt
Im April erschien die Analyse „Doxing in the corporate sector“ vom Sicherheitsanbieter Kaspersky. Durch diese Analyse wird deutlich, dass es für Kriminelle noch nie so leicht war wie heute, Informationen über ihre Opfer auszuforschen und diese Informationen für Cyberattacken zu verwenden. Im heutigen Beitrag klären wir Sie über Doxing auf und zeigen Zusammenhänge zu BEC sowie CEO-Fraud. Weiter erklären wir Ihnen, wie Sie Ihre persönlichen Informationen vor Doxing schützen können.
Doxing: Wenn Persönliches öffentlich wird
Doxing – zuweilen auch Doxxing geschrieben – steht für „Dropping Dox“. Im Englischen wird der Begriff „Dox“ umgangssprachlich für Dokument verwendet. Beim Doxing übt ein Hacker eine böswillige Handlung gegen Personen aus, indem identifizierbare Informationen über die angegriffene Person im Internet offengelegt werden. Diese Informationen können neben dem Namen der Person auch deren Wohnanschrift sein, aber auch der Arbeitsplatz, die Telefonnummer, finanzielle Informationen oder andere personenbezogene Daten. Ohne die Einwilligung des Opfers gelangen diese sehr intimen Informationen also an die Öffentlichkeit. Auch Sozialversicherungsnummern, private Korrespondenzen, etwaige Vorstrafen oder persönliche Informationen, die peinlich sind, können durch Doxing unfreiwillig veröffentlicht werden.
Begriff „Doxing“ tauchte erstmals in den 1990er Jahren auf
In den 1990er Jahren galt die Anonymität gerade in der Welt der Hacker als heilig – und in dieser Zeit tauchte der Begriff „Doxing“ erstmals auf: Gab es Fehden zwischen rivalisierenden Hackern, entschied sich der Rivale, auf seinen Gegner „Docs abzuwerfen“. Der bislang nur unter seinem Alias bekannte Hacker stand sodann mit seinem Namen in der Öffentlichkeit. Mit der Zeit wurde aus „Docs“ „Dox“ – und schließlich verschwand das Wort „abwerfen“ komplett, sodass man heute auch vom „Doxxen“ spricht.
Ursprünglich verstand man in der Hackerszene das Doxing also als „Demaskierung“ anonymer Anwendenden. Heute wird der Begriff dann verwendet, wenn persönliche Informationen unfreiwillig preisgegeben werden.
Motivation hinter dem Doxing
Warum doxxen Hacker Dritte? Der Ursprung des Doxings zeigt, dass es einst um das Veröffentlichen von rivalisierenden Namen ging – eine Fehde von Hacker-Gruppierungen. Heute kann auch Cyber-Mobbing dahinterstecken, also der Wunsch, einer dritten Person aus Antipathie oder anderen Gründen zu schaden. Man möchte sein Opfer bestrafen, einschüchtern und demütigen.
Häufig geht es heutzutage beim Doxing jedoch um etwas ganz anderes, nämlich um den Missbrauch von Informationen. Informationen können wertvoll sein: Lösegelder lassen sich erpressen oder die Kriminellen nutzen die vorhandenen Informationen, um an weitere zu kommen. Informationen können jedoch auch verkauft werden, sodass sie zu Barem umgewandelt werden.
Wie privat sind persönliche Informationen wirklich?
Erinnern Sie sich noch an das Einrichten Ihrer privaten Facebook- oder Twitter-Accounts? Man sieht sich mit diversen Fragen konfrontiert – etwa die nach dem Lieblingsbuch, der besten Band oder die nach dem Familienstand – und gibt fleißig entsprechende Informationen preis. Da es sich um ein privates Profil handelt, landet das eine oder andere Urlaubsbild mit der Familie online, auf den Seiten verschiedener Medien wird das politische Tagesgeschehen mitdiskutiert. Alles ganz harmlos?
Leider nein, denn genau hier greifen Kriminelle Informationen ab. Zum Zeitpunkt der Eingabe dieser Informationen mögen sie harmlos wirken: Natürlich geben Sie ein, dass die Türkei Ihr Lieblingsreiseland ist, natürlich bewerten Sie Ihre Hausbank gut und genauso natürlich geben Sie Ihr Statement zu einer öffentlichen Diskussion in der Chronik eines Freundes.
Beim Doxing können nun all diese Informationen gegen Sie verwendet werden. Im Zeitalter von Social Media bleiben Informationen nicht privat. Zu oft werden Informationen dieser Art, aus denen sich beachtliche Profile erstellen lassen, freiwillig öffentlich geteilt – so harmlos erschienen diese Informationen zum Zeitpunkt der Veröffentlichung. Aber – haben Sie wirklich die Kontrolle über all die Daten, die Sie online über sich bereits eingegeben haben? Werfen wir einen Blick darauf, wie sich Kriminelle die von ihnen gewünschten Informationen beschaffen, um Ihre Sensibilität diesbezüglich weiter zu erhöhen:
Nutzernamen werden rückverfolgt
Nutzernamen entsprechen in den seltensten Fällen dem Klarnamen von Nutzenden. Allerdings verwenden zahlreiche Nutzende ein- und denselben Nutzernamen in sämtlichen Internetportalen, in denen sie angemeldet sind. So gelingt es Kriminellen, sich ein genaues Bild über Nutzende zu machen: Sie können die Interessen sowie Internetgewohnheiten ihrer Opfer kinderleicht herausfinden.
Social Media-Stalking
Wie oben bereits dargelegt, kann jeder Mensch sämtliche Informationen über Sie herausfinden, die Sie öffentlich ins Internet bzw. auf soziale Plattformen stellen. Neben Wohnort und Arbeitsplatz lassen sich bei öffentlichen Profilen auch Freunde, die Fotos sowie „Likes“ und Bewertungen abrufen. Besuchte Orte, Namen von Familienangehörigen und langjährigen Freunden – all diese Informationen lassen sich einfach abgreifen und fürs Doxing missbrauchen. Informationen wie diese erlauben es zuweilen sogar, die Antworten auf Sicherheitsfragen wie sie Zahlungsdienstleister verwenden, herauszufinden, sodass in weitere Online-Konten eingebrochen werden kann.
E-Mail-Missbrauch: Phishing und Spoofing
Nutzen die Opfer unsichere E-Mail-Accounts oder klicken diese auf Phishing-Links in E-Mails, können Kriminelle nicht nur sensible E-Mails abrufen, sondern diese Inhalte auch online veröffentlichen. Beim Spoofing verschleiern Angreifende zudem ihre eigentliche E-Mail-Adresse, sodass sie es so aussehen lassen können, als sei die E-Mail von einem Bekannten. Mit der Kenntnisnahme der E-Mail-Adresse aus sozialen Netzwerken ist dies ein Leichtes. So kann es gelingen, an weitere Informationen zu kommen oder den Empfangenden der E-Mail falsche Tatsachen vorzutäuschen.
Informationsbeschaffung bei Datenbrokern
Datenbroker sind Verkäufer von Informationen über Personen. Bezogen werden diese Informationen auf verschiedene Art: Öffentlich zugängliche Unterlagen werden genauso genutzt wie Informationen, die durch Treuekarten auftauchen. Auch über den Online-Suchverlauf lassen sich Informationen abgreifen und selbstredend können auch andere Datenbroker Quelle der Informationen sein. Denn gerade Werbeagenturen sind beliebte Kunden von Datenbrokern. Personensuchseiten bieten zudem umfassende Informationen über Einzelpersonen gegen kleines Geld. Zahlt ein Doxer diese eher geringen Gebühren, hat er alles, was er benötigt, um zu doxxen.
Über all diese Kanäle kann der Doxer Informationen beschaffen. Diese Informationen fügen sich zu einem Ganzen – zu einem Bild, mit dem sich die wahren Identitäten hinter Pseudonymen ermitteln lassen, einschließlich aller dazugehörigen Daten wie Anschrift, Telefonnummern, E-Mail-Adressen, etc.
Kaspersky warnt vor Corporate Doxing
In der eingangs erwähnten Kaspersky-Analyse „Doxing in the corporate sector“ zeigen die Sicherheitsexperten von Kaspersky auf, dass sie derzeit viele Attacken über gefälschte E-Mails (Business Email Compromise, BEC oder Corporate Doxing) beobachten. Auffällig seien dabei vor allem die ausgefeilten Tricks, die zum Vortäuschen falscher Identitäten verwendet werden: So werden Stimmen täuschend echt mit Künstlicher Intelligenz (KI) imitiert. So könnte ein Krimineller die Stimme hochrangiger Führungskräfte vortäuschen, um Mitarbeitende dazu zu verleiten, vertrauliche Informationen herauszugeben. Nur im Februar dieses Jahres zählten die Kaspersky-Experten weltweit 1.646 BEC-Angriffe.
Die Täuschungen beim Doxing werden nahezu perfekt durch neue Technologien wie Deepfakes. So könnte es Angreifenden gelingen, ein Deepfake-Video zu erstellen, welches von Mitarbeitenden zu stammen scheint und dem Image des Unternehmens schaden könnte. Alles, was dafür notwendig wäre, wäre ein öffentlich zugängliches Video mit den Zielmitarbeitenden sowie grundlegende Informationen, die sich auf oben genannten Wegen beschaffen lassen.
Christian Funk erklärt als Leiter des Forschungs- und Analyseteams in der DACH-Region bei Kaspersky: „Die neue Möglichkeit, mithilfe von Künstlicher Intelligenz täuschend echte Deepfakes zu generieren, sei es als Audio oder Video, macht Corporate Doxing für Cyberkriminelle noch vielversprechender. Erfolgreiche Attacken dieser Art gab es bereits. Unternehmen und andere Institutionen müssen sich rasch auf diese neuartigen Betrugsversuche einstellen und ihre Mitarbeiter sensibilisieren.“
Roman Dedenok, Kaspersky-Sicherheitsforscher, ergänzt: „War Doxing bislang eher ein Thema für private Nutzer und Celebrities […] stellt dieses Phänomen als Corporate Doxing inzwischen auch für vertrauliche Unternehmensdaten eine reale Gefahr dar, die nicht unterschätzt werden darf. Wie bei Privatpersonen kann das Doxing von Unternehmen finanzielle und Reputationsverluste nach sich ziehen. Je sensibler das erbeutete vertrauliche Informationsmaterial, desto größer der Schaden. Gleichzeitig können aber strenge Sicherheitsvorkehrungen der Unternehmen Doxing verhindern oder zumindest massiv eindämmen.“
Der Schutz persönlicher Informationen schützt auch vor Doxing
Wie Sie sehen, kann jede Person Opfer einer Doxing-Attacke werden. Achten Sie jedoch darauf, welche Informationen Sie wo im Internet preisgeben, erschweren Sie es Angreifenden immerhin, an für sie nützliche Informationen zu gelangen. Seien Sie zudem skeptisch, wenn Sie irritierende Nachrichten von Bekannten, Kolleg:innen oder Vorgesetzten erhalten – vor allem, wenn es um Geld- oder Informationsanweisungen geht. Folgende Tipps schützen darüber hinaus vor Doxing:
- Awareness: Mit Mitarbeitenden steht und fällt die Sicherheit Ihrer Organisation. Kennen Ihre Mitarbeitenden das Thema Doxing oder andere Angriffsmethoden nicht, können sie sich auch nicht davor schützen. Deshalb ist die Mitarbeitersensibilisierung essenziell in jeder Sicherheitsstrategie.
- Compliance: Unternehmen benötigen eine Sicherheitsleitlinie, die verbindlich für sämtliche Mitarbeitende in allen Abteilungen gilt. Werden Richtlinien im Unternehmen eingehalten, spricht man von Compliance. In eine solche Sicherheitsleitlinie gehören auch Informationen darüber, wie intern Informationen geteilt werden. Schreiben Sie hier fest, dass dies nie auf „kurzem Dienstweg“ zu erfolgen hat, sondern auf sicherem Wege.
- Datensparsamkeit: Der Gesetzgeber hält mit der DSGVO zur Datenminimierung an – und dieses Datenverarbeitungsprinzip können auch Sie privat wie beruflich anwenden. Datensparsamkeit meint, dass Sie nicht mehr Daten angeben als notwendig. Bestellen Sie sich beispielsweise einen Newsletter, so wäre es unsinnig, dafür auch Ihre Telefonnummer mitzuteilen. Datensparsam würden Sie agieren, wenn Sie neben Ihrer E-Mail-Adresse keine weiteren Angaben machen.
- Sichere Logins: Möchten Sie es Kriminellen schwermachen, Ihre Accounts zu hacken, so verwenden Sie sichere Passwörter. In unserem Beitrag „Sichere Passwörter: Starke Passwörter erhöhen die Sicherheit“ zeigen wir Ihnen, worauf es beim Passwort ankommt. Richtig schwer machen Sie es möglichen Hackern, wenn Sie einen zweiten Faktor für Ihre Logins nutzen: Zwei-Faktor-Authentifizierung (2FA) sollte zum Standard werden. Zum sicheren Login gehört es jedoch auch, für jedes Profil andere Login-Daten zu verwenden. Das betrifft sowohl Ihren Nutzernamen als auch Ihr Passwort und den zweiten Faktor.
- AV-Lösungen: Moderne Sicherheitslösungen können mehr als nur Malware zu erkennen. Sie erkennen auch Anomalien, sperren Ransomware aus oder warnen Sie vor unsicheren Passwörtern. Setzen Sie auf eine Sicherheitssoftware, der Sie vertrauen können.
Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.
Schreibe einen Kommentar