Dark-Web-Einblicke: Wie Cyberkriminelle Innentäter rekrutieren

Foto: rck_953 – shutterstock.com

Der Weg zu einem erfolgreichen Cyberangriff führt oft über die Mitarbeiter eines Unternehmens. Aus Sicht von Cyberkriminellen ist das praktisch: Angestellte besitzen bereits authentifizierten Zugang – möglicherweise auch zu sensiblen Daten – und kennen ihren Arbeitgeber, ihre Kollegen, die Prozesse und die eingesetzten Technologien im Regelfall sehr gut.

Dabei können Mitarbeiter auch unwissentlich zu Innentäten werden, etwa wenn sie mit Hilfe von Social-Engineering-Taktiken dazu bewegt werden, Zugang zum Unternehmensnetzwerk zu gewähren oder Überweisungen zu tätigen. Es gibt jedoch auch viele Fälle, in denen Insider wissentlich und willentlich mit Cyberkriminellen zusammenarbeiten und sich mit (Zugangs-)Daten ihres Arbeitgebers einen Zusatzverdienst verschaffen.

Drei bemerkenswerte Insider-Threat-Beispiele der jüngeren Vergangenheit:

• Ein Mitarbeiter des britischen Gesundheitsdienstleisters Bupa entwendete Datensätze von mehr als einer halben Million Kunden aus dem CRM-System des Unternehmens. Anschließend versuchte er, diese im Dark Web zu Geld zu machen.

• Ein Vertriebsmitarbeiter eines großen Telekommunikationsanbieters musste sich 2021 vor einem US-Gericht dafür verantworten, dass er Cyberkriminelle gegen Bezahlung beim SIM-Swapping unterstützt hatte.

• Der Fall zweier Tesla-Mitarbeiter, die interne Daten des Unternehmens – darunter persönliche Informationen der Belegschaft – an das “Handelsblatt” geleakt haben, zeigt indes, dass bei Insider Threats nicht nur monetäre Gründe eine Rolle spielen.

Cyberkriminelle und (böswillige) Innentäter treten dabei häufig über Deep- und Dark Web miteinander in Kontakt. Diese Umgebung bietet beiden Parteien die Möglichkeit, (weitgehend) anonym zu bleiben. Im Rahmen meiner Tätigkeit als Security Research Lead habe ich gemeinsam mit meinem Team bei Cybersixgill einen Blick auf einschlägige Foren und Plattformen geworfen. In diesem Artikel lesen Sie, was wir dabei beobachten konnten.

Diese Mitarbeiter eignen sich als Innentäter

Ähnlich wie herkömmliche, gezielte Cyberangriffe durch externe Bedrohungsakteure, laufen auch Angriffe, die sich Insider zunutze machen, oft über einen längeren Zeitraum ab. Die Innentäter ergreifen dabei im Regelfall Maßnahmen, um ihre Aktivitäten zu verbergen, respektive unentdeckt zu bleiben. Das Insider-Threat-Problem betrifft generell Organisationen jeder Größe und Branche. Dabei kommen auch sämtliche Jobrollen und -Ebenen potenziell als böswillige Insider in Frage – zudem auch externe Partner sowie ehemalige Mitarbeiter.

Es gibt jedoch zwei Typen von Mitarbeitern, auf die sich cyberkriminelle Organisationen besonders konzentrieren, wenn es darum geht, Innentäter zu rekrutieren:

• Einerseits sind das Mitarbeiter, die über bestimmte Privilegien in Bezug auf Systemzugang oder -Management verfügen.

• Andererseits auch solche, bei denen sich sehr wahrscheinlich leichter eine finanzielle Motivation herstellen lässt. Typischerweise sind das einfache Angestellte etwa in Callcentern oder dem Einzelhandel, die wenig verdienen.

Dabei ist eines der wesentlichen Probleme, dass sich menschliches Verhalten schwer vorhersehen lässt. Es kommt höchst selten vor, dass jemand mit dem Vorsatz, Innentäter zu werden, in ein Unternehmen eintritt. Aber Mitarbeiter können dazu gebracht werden, mit Bedrohungsakteuren zusammenzuarbeiten – zum Beispiel wenn ein kultureller Change für Verstimmung oder eine Veränderung der persönlichen Lebensumstände für einen neuen Fokus sorgt.

Geht es ganz konkret darum, Insider zu rekrutieren, setzen Cyberkriminelle verschiedene Taktiken ein. Dazu können auch Erpressung respektive Nötigung zählen. Unseren Beobachtungen zufolge werden die meisten Innentäter im Dark Web hingegen über finanzielle Anreize angeworben. Dabei legen kriminelle Hacker im Regelfall viel Wert darauf, so wenig Informationen wie möglich preiszugeben und auszutauschen – und so schnell wie möglich Remote-Zugriff zu erhalten. Das erleichtert es, die Insider zu rekrutieren und minimiert parallel das Risiko, dass die Sache auffliegt.

Diese Branchen werden am häufigsten von innen angegriffen

Im Rahmen unserer Recherchen sind wir auf Hunderte von Beiträgen in Untergrund-Foren und auch auf dem Messenger-Dienst Telegram gestoßen, in denen Cyberkriminelle willige Insider suchten – unter anderem bei einigen der größten Unternehmen der Welt wie Amazon, Meta, Walmart oder Paypal. Zwar war dabei nicht in jedem Fall aus dem betreffenden Post ersichtlich, welche Funktion die Innentäter konkret übernehmen sollten – dennoch konnten wir aus den Daten folgendes Ranking extrahieren, das auf einen Blick die am häufigsten über Innentäter angegriffenen Branchen und die jeweils zugehörigen “Funktionen” zeigt:

1. Telekommunikation: SIM-Swapping; Zugangs- und Kundendaten verschaffen;

2. Einzelhandel: Refund-Betrug; Kundendaten und Produkte stehlen;

3. Logistik: betrügerische Tracking-Scans; Pakete stehlen;

4. Social Media: Admin-Funktionen zugänglich machen; Kundendaten weitergeben;

5. Finanzbranche: Überweisungen und Abhebungen validieren; Krypto-Transaktionen; Serverzugang verschaffen;

6. Regierung / Militär: Geheime Informationen beschaffen; Datendiebstahl;

Interessant ist dabei vor allem: Die Finanzbranche ist die, die im Dark Web wegen der zu erwartenden Beute zwar ganz allgemein am häufigsten ins Visier genommen wird. Geht es jedoch um Insider Threats, findet sie sich auf dem vorletzten Platz. Das hat mehrere Gründe: Einerseits verdienen Bankangestellte im Regelfall ordentlich, andererseits drohen ihnen bei betrügerischen Handlungen oft auch härtere Sanktionen – je nach Rechtslage. Das führt dazu, dass die Mitarbeiter bei Finanzdienstleistern generell weniger bereit sind, das Risiko einer Innentäterschaft auf sich zu nehmen.

Dazu kommt jedoch auch, dass es bei betrügerischen Finanztransaktionen im Unternehmensumfeld meist um hohe Summen geht. Entsprechend investieren viele Unternehmen in Maßnahmen zur Betrugsbekämpfung und in ausgiebige Hintergrundchecks ihrer Mitarbeiter.

So sprechen Cyberkriminelle Ihre Mitarbeiter an

Im Folgenden werfen wir einen vertieften Blick auf die Dark-Web-Aktivitäten von Cyberkriminellen in den einzelnen Branchen und Sektoren und ihre jeweilige Vorgehensweise, um Mitarbeiter als Innentäter zu verpflichten.

Telekommunikation

Die Telekommunikationsbranche ist bei Cyberkriminellen die beliebteste Branche, wenn es darum geht, im Dark Web Insider anzuwerben. Der Zweck dürfte klar sein: Die Mitarbeiter von TK-Anbietern können SIM-Swapping erheblich erleichtern. Dabei “kapern” kriminelle Hacker die Telefonnummer eines Opfers und lassen sich mit Unterstützung des Telefonanbieters eine neue SIM-Karte zusenden. Damit lassen sich in der Folge diverse Schandtaten begehen – etwa SMS mit Einmalpasswörtern abfangen oder mit der Nummer verbundene Crypto Wallets plündern.

Eine Telefonnummer zu portieren, ist ganz allgemein ein routinemäßiger Vorgang bei TK-Anbietern. Das erleichtert es scheinbar, willige Mitarbeiter zu finden, die unautorisiert Rufnummern portieren. Zumindest gibt es im Dark Web eine beträchtliche Anzahl von Posts in Untergrund-Foren, in denen SIM-Swapping-Komplizen gesucht werden – etwa wie im folgenden Beispiel beim US-Anbieter Verizon:

Foto: Cybersixgill

Neben dem Dark Web steht jedoch vor allem der Messenger-Dienst Telegram bei Cyberkriminellen hoch im Kurs, um böswillige Insider – im Cybercrime-Jargon auch “Innys” genannt – bei TK-Unternehmen zu rekrutieren. Im folgenden einige Beispiele für Innentäter-Gesuche zu SIM-Swapping-Zwecken bei T-Mobile, AT&T und Verizon:

Foto: Cybersixgill

Gelegentlich geben die Thread-Ersteller auch direkt an, wie viel Geld die neu rekrutieren Insider für ihre Dienste erwarten dürfen:

Foto: Cybersixgill

Es gibt dabei auch Mittelsmänner, die Innentäter vermitteln – in diesem Beispiel inklusive “Authentizitätsbeweis-Beweis” in Form des internen Mitarbeiterportals von AT&T:

Foto: Cybersixgill

Abseits von SIM-Swapping suchen Cyberkriminelle auch Insider bei TK-Anbietern, um Zugangsdaten zu Unternehmensnetzwerken, Kundendaten oder allgemeine Informationen zu erhalten. Die folgenden Screenshots zeigen entsprechende Angebote:

Foto: Cybersixgill

Davon abgesehen gibt es auch Mitarbeiter, die sich im Dark Web aktiv als Innentäter feilbieten. Wie der “verärgerte” Mitarbeiter dieses US-Anbieters:

Foto: Cybersixgill

Einzelhandel

Wenn Bedrohungsakteure nach Insidern im Einzelhandel suchen, dann geht es im Regelfall darum, kostenlos an Waren und Produkte zu gelangen. Eine gängige Masche ist dabei die sogenannte “Refund-Masche” oder auch Rückerstattungsbetrug. Um sich auf diese Art und Weise zu bereichern, gibt es diverse Methoden – die meisten erfordern allerdings, dass ein Angestellter des Unternehmens, bei dem die Rückerstattung eingeht, diese absegnen muss. Handelt es sich dabei um einen heimlichen Komplizen, wird die unrechtmäßige Rückerstattung zum Kinderspiel. Entsprechend gesucht sind Innentäter bei Retail-Unternehmen, die bereit sind, sich gegen Bezahlung an diesen Betrügereien zu beteiligen:

Foto: Cybersixgill

Andere Akteure gehen auch im Dark Web weniger explizit auf die Suche nach Insidern, die bei Refund-Scams unterstützen können. Der Cyberkriminelle im folgenden Beispiel sucht beispielsweise nach einem Insider bei Amazon – vorzugsweise eine Führungskraft im Customer Support:

Foto: Cybersixgill

Unsere Dark-Web-Analyse zeigt jedoch auch, dass Cyberkriminelle auch Innentäter suchen, um gesperrte Konten wieder nutzen zu können – wie in diesem Fall, der sich auf eBay bezieht:

Foto: Cybersixgill

Diverse Beiträge enthalten jedoch nur spärliche Hinweise darauf, zu welchem Zweck der Innentäter gesucht wird. Es ist jedoch im Fall des Einzelhandels davon auszugehen, dass es dabei um Diebstahl geht – entweder von Daten oder von Waren:

Foto: Cybersixgill

Logistik

Insider bei Versanddienstleistern und Logistikunternehmen werden vor allem rekrutiert, um mit Hilfe von Tracking-Scans beim Rückerstattungsbetrug zu unterstützen:

Foto: Cybersixgill

Bei dieser Masche bittet ein Akteur um die Rückgabe eines Artikels an einen E-Commerce-Shop. Ein Komplize des Versandunternehmens scannt das Versandetikett und bestätigt dem Händler damit, dass sich eine Retoure auf dem Weg befindet. Der Händler stellt eine Rückerstattung aus, erhält das Paket aber nie. Eine andere Form des Betrugs: Pakete werden “versendet” und verschwinden anschließend – eine Versicherungsgesellschaft trägt anschließend die (nie entstandenen) Verluste.

Die folgenden Screenshots zeigen, wie böswillige Akteure gezielt Mitarbeiter bei Unternehmen wie UPS, DHL und anderen suchen, um Rückerstattungs-Scams zu unterstützen:

Foto: Cybersixgill

Die sogenannten “Insider-Scans” werden im Dark Web inzwischen auch als Dienstleistung angeboten, wie der nachfolgende Screenshot belegt:

Foto: Cybersixgill

Social Media

Wenn Bedrohungsakteure Innentäter bei Social-Media-Unternehmen suchen, dann meist, um Konten zu entsperren, zu verifizieren oder an Kundendaten zu kommen. Auch in diesen Fällen wird das große Geld in Aussicht gestellt:

Foto: Cybersixgill

Foto: Cybersixgill

Finanzbranche

Wie eingangs bereits erwähnt geht es in der Finanzbranche im Regelfall um das große Geld – auch in Sachen Innentäter. Sitzen diese in Bankinstituten, können sie Zahlungen respektive Geldtransfers genehmigen und Cyberkriminellen so etwa ermöglichen, Geld zu waschen. Der Untergrundakteur in folgendem Beispiel behauptet etwa, Insider bei Metro, Santander und Barclays vermitteln zu können, die legitim erscheinende Zahlungen im Bereich zwischen 100.000 und 230.000 Euro genehmigen können:

Foto: Cybersixgill

Davon abgesehen, können Insider bei Finanzdienstleistern auch beim sogenannten “Loading” behilflich sein – bei dem Geldbeträge unrechtmäßig transferiert werden:

Foto: Cybersixgill

Auf ganz ähnliche Weise versuchen Cyberkriminelle zudem, Insider zum Tausch von Geld in Kryptowährungen zu gewinnen. Im folgenden Beispiel erwartet ein krimineller Hacker täglich zwischen 10.000 und 30.000 Dollar aus einem “Projekt” – und sucht einen PayPal-Mitarbeiter, der das Geld in Krypto umwandelt.

Foto: Cybersixgill

Ein anderer Dark-Web-Nutzer suchte gezielt nach Insidern in Banken, um die Fastcash-Malware einzusetzen. Mit Hilfe der Schadsoftware (die mit einer nordkoreanischen APT-Gruppe in Verbindung gebracht wird), können Geldautomaten dazu gebracht werden, Bargeld auszuwerfen. In Verbindung mit dem gesuchten Zugang zum Switch-Anwendungsserver winken potenziell beträchtliche Geldbeträge.

Foto: Cybersixgill

Regierung / Militär

Im Rahmen unserer Analyse entdeckten wir mehrere Beiträge, in denen Cyberkriminelle Innentäter in Regierungen und Regierungsinstitutionen suchen – in erster Linie zu Zwecken der Informationsbeschaffung. Das muss nicht unbedingt in Spionageaktivitäten münden, wie das folgende Beispiel zeigt, in dem Innentäter-Support zu Doxing-Zwecken gesucht wird:

Foto: Cybersixgill

Es werden jedoch auch durchaus Personen gesucht, die Informationen beschaffen, die der (staatlichen) Geheimhaltung unterliegen. Der nachfolgende Beitrag erschien in mehreren Dark-Web-Foren und auf Telegram – dabei bietet eine selbsternannte “Intelligence Analysis Corporation” großzügigen “Finderlohn” für einen Mittelsmann, der eine Verbindung zu einem Insider bei einem Unternehmen herstellen kann, das mit dem US-Militär zusammenarbeitet:

Foto: Cybersixgill

Last but not least, entdeckten wir auch noch folgenden Post, in dem ein Bedrohungsakteur diverse Regierungsdatensätze zum Kauf anbietet, die auch geheime Informationen von Rüstungsunternehmen wie Raytheon und Elbit enthalten sollen:

Foto: Cybersixgill

Dabei ist zu betonen, dass Gesuche dieser Art, bei der es um geheime Informationen geht, höchst selten sind.

Was gegen Insider Threats hilft

Die eigenen Mitarbeiter können eine einzigartige Bedrohung für Unternehmen darstellen, wenn sie sich von Cyberkriminellen dazu verleiten lassen, ihre Position im Unternehmen zu missbrauchen. Die potenziellen finanziellen Verluste und Reputationsschäden können enormen Schaden anrichten. Innentäter sind dabei keine Randerscheinung, wie ein Blick auf Verizons “Data Breach Investigations Report 2023” zeigt. Demnach sind böswillige Insider für etwa 19 Prozent aller (bekanntgewordenen) Datenschutzverletzungen verantwortlich.

Ganz allgemein gibt es einige Best Practices, mit denen Unternehmen sich vor Mitarbeitern mit Innentäter-Ambitionen schützen können:

• Least-Privilege-Prinzip: Mitarbeiter sollten nur auf die Assets zugreifen können, die sie benötigen, um ihre Aufgaben zu erledigen.

• Job-Rotation: Mitarbeiter werden im regelmäßigen Wechsel auf bestimmte Aufgaben verteilt, um betrügerische Aktivitäten aufzudecken.

• Mehrfache Freigabe: Sensible (Trans-)Aktionen sollten stets von verschiedenen Stellen genehmigt werden müssen.

• VIP-Kontoschutz: Kunden, bei denen erhöhte Gefahr besteht, angegriffen zu werden, sollten eine Möglichkeit haben, strengere Schutzmaßnahmen zu aktivieren.

• Mitarbeiter-Awareness: Die Angestellten sollten wissen, dass Bedrohungsakteure versuchen, sie zu rekrutieren und entsprechend geschult werden, um verdächtige Aktivitäten zuverlässig zu melden.

• Automatisierte Detection: Mit Hilfe entsprechender Software lassen sich verdächtige Vorgänge automatisiert flaggen.

• Untergrund-Monitoring: Unternehmen sollten wissen, was ihre Widersacher treiben – auch wenn es um Insider geht. Entsprechende Threat-Intelligence- beziehungsweise Monitoring-Tools sind essenziell, um relevante Risiken aufzudecken.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.