Phishing E-Mails – auf Angeltour am Datenfluss

Phishing E-Mails – auf Angeltour am Datenfluss

Die vermeintliche E-Mail von der Hausbank kam komplett unerwartet, ihr Design täuschend echt, der Inhalt auf den ersten Blick unverdächtig: „Wir haben eine Sicherheitslücke in unseren Systemen festgestellt. Bitte melden Sie sich unverzüglich in ihrem Account an, um ihre Identität zu verifizieren“ – viele Empfänger einer solchen E-Mail sind nicht in der Lage, den sich dahinter versteckenden Betrug zu durchschauen. Denn hierbei handelt es sich nicht etwa um eine Sicherheitslücke oder einen gut gemeinten Rat des Kreditinstituts, sondern um eine ganz klassische Phishing-E-Mail.

Doch wie funktioniert Phishing eigentlich und ist man als Laie überhaupt in der Lage, die Masche zu durschauen? Was passiert, nachdem ich doch auf den Schwindel hereingefallen bin? Warum heißen Phishing E-Mails überhaupt so und wie kann ich mich vor ihnen schützen? Fragen zum Thema Phishing gibt es wie Sand am Meer. Dieser Blogbeitrag möchte etwas Licht in die Abgründe der Phishing-Masche bringen und zeigt nicht nur, wie man Phishing-E-Mails mit ein paar simplen Tricks entlarven kann, sondern auch, wie man sie gar nicht erst in sein E-Mail-Postfach lässt.

Der Name ist Programm

Das Wort „Phishing“ etablierte sich in den 1990er-Jahren in den USA und hat an sich eher weniger mit dem offenen Meer und seinen Bewohnern zu tun, doch Parallelen zum englischen Wort „fishing“, zu Deutsch „angeln“, lassen sich dennoch durchaus ziehen. Denn beim Phishing „angeln“ sich die Cyberkriminellen wortwörtlich die persönlichen Daten ihrer Opfer auf betrügerische Art und Weise.

Auch das Wort „Phreaking“ spielte eine Rolle bei der Namensgebung. Es beschreibt das Erschleichen von kostenfreien Telefonaten, indem ein 2600-Hertz-Ton erzeugt wird. Beim Einspielen in den Telefonhörer täuscht dieser bestimmte Vermittlungsstellen in beispielsweise den USA, Frankreich oder Japan, um Telefongespräche aufzubauen. Amüsant hieran ist, dass sich genau dieser 2600-Hertz-Ton mit einer Spielzeug-Pfeife erzeugen lässt, die einst eine Beilage der „Captain Crunsh“-Cerealien war. Die moderne Vermittlungstechnik ermöglicht diese Methode jedoch nicht mehr, allerdings ist dieses Verfahren der Beginn des heute bekannten „Hacking“. Der Begriff „Phishing“ ist eine Wortneuschöpfung aus den beiden Worten „Fishing“ und „Phreaking“.

Wie funktioniert Phishing?

Bei einem Phishing-Angriff handelt es sich um einen digitalen Identitätsdiebstahl. Hierbei verschicken die Hacker betrügerische E-Mails, die beispielsweise das Design bekannter Internetdienstleister, wie Amazon oder auch PayPal sowie renommierter Kreditinstitute nachahmen.

Die teilweise täuschend echt aussehenden Nachrichten versuchen ihre Empfänger mithilfe von perfiden Vorwänden auf gefälschte Webseiten zu locken, damit sie dort ihre persönlichen Daten preisgeben. Sie geben zum Beispiel vor, dass es einen Hackerangriff gegeben habe und der vermeintlich betroffene Account nicht mehr sicher sei. Nur wenn man seine Daten auf der über einen Link zu erreichenden Website verifiziere, sei die Sicherheit des Accounts wieder gewährleistet.

Der in der E-Mail enthaltene Link ist oftmals nur sehr schwer als Mogelpackung zu entlarven. Dies liegt schlicht daran, dass die Cyberkriminellen sehr viel Wert darauf legen, dass die verwendeten Links möglichst authentisch aussehen. Durch den Kauf von Domains, wie beispielsweise „amazn.com“, die dem Original nahezu ähnlich sehen, kann der Betrug erstaunlich hohe Erfolgsraten vorweisen. Knapp 114.000 solcher Phishing-Seiten sind laut der Anti-Phishing Working Group (APWG) im März 2018 online gewesen.

Um den Betrug perfekt zu machen, gilt dies selbstverständlich auch für die Absenderadressen der Phishing-E-Mails. Die eigentliche Amazon-Absenderadresse moc.n1545137365ozama1545137365@ylpe1545137365ron1545137365 wird dann gerne zu moc.n1545137365ozma@1545137365ylper1545137365on1545137365 abgewandelt.

Auch ist es bei bestimmten E-Mail-Clients möglich, absurde Absenderadressen, wie moc.n1545137365imaod1545137365@rekc1545137365ah1545137365, die nichts mit – in unserem Fall Amazon – zu tun haben, über einen Anzeigenamen zu tarnen. Optisch ist dieser Schwindel nur bei sehr genauem Hinsehen zu erkennen und fällt den meisten Opfern gar nicht oder zumindest erst dann auf, wenn es bereits zu spät ist. Denn hat die Zielperson erst ihre persönlichen Daten auf der schadhaften Website eingegeben, gelangen diese auf direktem Wege in die Fänge der Cyberkriminellen.

Phishing und seine Variationen

Reguläre Phishing-E-Mails, sind, genau wie Spam-E-Mails, für den Massenversand bestimmt. Cyberkriminelle kaufen hierfür große Mengen an E-Mail-Adressen zu oder nutzen eigenständig erbeutete Daten.Die Betrugsnachrichten werden anschließend meist millionenfach an unterschiedliche Personen versendet. Auch wenn bei so manchen Phishing-E-Mails selbst nicht viel Wert auf Details gelegt wird, können sie dennoch oft beachtliche Erfolgsraten erzielt werden – zumindest, wenn man totale Zahlen betrachtet. Ganz anders sieht es beim so genannten Spear-Phishing aus. Die Methode basiert im Wesentlichen auf der herkömmlichen Phishing-Masche, allerdings handelt es sich hier um einen gezielten E-Mail-Betrug.

Dieser kann sowohl auf ein bestimmtes Unternehmen, als auch auf eine einzelne Person zugeschnitten sein. Ziel ist es, sensible Finanz- oder Login-Daten zu stehlen. Mittels Social Engineering finden die Cyberkriminellen im Vorfeld so viele persönliche Informationen über ihr Ziel heraus, dass sie eine täuschend echt aussehende E-Mail-Kommunikation vortäuschen können. Das Opfer merkt bestenfalls nichts von dem Betrug und wird mithilfe eines Vorwands auf eine gefälschte Website geleitet, wo es im Anschluss seine Daten preisgibt.

Worauf sind die digitalen Piraten aus?

Meistens handelt es sich bei den durch die Cyberkriminellen „erangelten“ Informationen um Zugangsdaten für Online-Banking-Accounts oder andere webbasierte Banking Dienstleistungen, aber auch generell Kreditkarteninformationen stellen ein beliebtes Zielobjekt dar.

Die Motivation der Angreifer kann dabei durchaus verschieden sein und reicht von finanzieller Bereicherung in Form von Kontoplünderungen oder dem Verkauf von Daten, bis hin zu Hackerangriffe auf Unternehmen, die durch die Informationen der erbeuteten Daten durchgeführt werden.

Ich bin Opfer eines Phishing-Angriffs geworden – was ist nun zu tun?

Trotz aller Sicherheitsmaßnahmen ist es doch passiert und man ist zum Opfer einer Phishing-Attacke geworden? Oft bemerkt man diese erst, wenn es bereits zu spät ist. Jetzt gilt: Ruhe bewahren und schnell reagieren! Man sollte dazu am besten umgehend den Betreiber des betroffenen Accounts über die Phishing-Attacke informieren, damit dieser entsprechende Gegenmaßnahmen einleiten und den Betrug publik machen kann. In manchen Fällen kann man auch selbst schon aktiv werden, indem man die Zugangsdaten des betroffenen Kontos ändert oder es bei Möglichkeit selbst sperrt.

Wie kann ich mich effektiv vor Phishing schützen?

Die Erfolgsquote von Phishing-E-Mails ist erschreckend hoch. Trojaner-Info.de berichtete im Jahr 2017 sogar von einer äußerst aufwendig durchgeführten Phishing-Attacke gegen Vielflieger, die eine unglaubliche Erfolgsquote von 90 Prozent vorweisen konnte. Opfer einer Phishing-Attacke zu werden geht also schneller als einem lieb ist. Umso wichtiger ist es daher, sich bereits im Vorfeld gegen potentielle Phishing-Angriffe zu wappnen. Die wichtigsten Ratschläge haben wir daher in den folgenden Absätzen aufgeführt.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

1. Sensibilisierung

Zunächst einmal stellt die richtige Sensibilisierung im Kampf gegen Phishing E-Mails eine gute Grundlage dar. Viele Nutzer sind nicht genügend über im E-Mail-Postfach lauernde Gefahren, wie etwa Phishing-Attacken, informiert. Für sie ist es daher nur schwer, E-Mails mit betrügerischen Absichten als solche zu entlarven. Allerdings kann das Risiko einer Phishing-Kampagne mit ein wenig Vorwissen immerhin reduziert werden.

Zuallererst sollte beim Verdacht auf Phishing geprüft werden, ob die Absenderadresse auch tatsächlich mit der Original-Domain übereinstimmt oder ob Zusätze bzw. Rechtschreibfehler enthalten sind. Ist dies der Fall, kann es sich um ein erstes Indiz für einen Phishing-Angriff handeln. Ein weiterer Hinweis kann unpersönliche Anrede, wie „Sehr geehrte Damen und Herren“ sein. Außerdem sollte man Vorsicht bei in E-Mails platzierten Links oder Buttons walten lassen, da man als „normaler Nutzer“ leider nur sehr schwer nachprüfen kann, ob das vermeintliche Link-Ziel auch tatsächlich korrekt ist.

Falls die Adresse ähnlich zu der Original-Domain sein sollte und zunächst unverdächtig wirkt, dann kann man dies nachprüfen, indem man beide URLs abgleicht. Zudem sollte man niemals persönliche Daten in einer E-Mail-Kommunikation preisgeben.

2. Aktiver Schutz

Über die Sensibilisierung hinaus, gibt es Dinge die getan werden können, um sich aktiv gegen Phishing-Attacken zu schützen. Im E-Mail-Client sollte etwa die Funktion „Aktive Inhalte ausführen“ deaktiviert sein, da diese dazu führen kann, dass auch schädliche Inhalte unbemerkt und automatisch ausgeführt werden.

Wer Phishing E-Mails erst gar nicht in das E-Mail-Postfach gelangen lassen will, der sollte zudem auf einen Spamfilter Service nicht verzichten. Der Managed Spamfilter Service von Hornetsecurity filtert 99,9% aller per E-Mail versandten Bedrohungen, darunter auch Phishing E-Mails, zuverlässig aus.

Selbst gegen äußerst professionell durchgeführte Phishing-Attacken gibt es wirkungsvollen Schutz: Hornetsecurity Advanced Threat Protection ist in der Lage durch ein ganzes Bündel an Sicherheitsmechanismen, wie Fraud Attempt Analysis, Identity Spoofing-Recognition oder Targeted Attack Detection auch die ausgefeiltesten Phishing-Kampagnen zu erkennen. Das Risiko für Mitarbeiter und Unternehmen kann somit also drastisch gesenkt werden.

Beispiel für eine Phishing E-Mail:

Phishing E-Mail Beispiel

Klassische Phishing-E-Mail, bei der sich die Cyberkriminellen als Kreditinstitut tarnen. Über den Vorwand, dass es ungewöhnliche Login-Aktivitäten auf dem Konto gegeben habe, wird die Zielperson dazu genötigt, ihre Kontodaten zu verifizieren. Das Design ist von dem regulären Design der Bank nicht zu unterscheiden. Die E-Mail weist keinerlei Rechtschreibfehler auf und die Formatierung ist ordentlich. Werbeanzeigen in der E-Mail mit Verlinkungen zur echten Website sowie der QR-Coder für die Banking-App runden das Gesamtbild ab. Da es sich um ein Kreditinstitut aus Südafrika handelt, ist selbst die Absender-Domain „abSaMail.co.za“ recht glaubwürdig. Lediglich der Prefix „xiphaMe“ wirkt merkwürdig und deutet auf einen Betrug hin.

Beispiel für eine Spear-Phishing E-Mail:

Spear-Phishing E-Mail Beispiel

Beispiel für eine perfide Spear-Phishing-E-Mail*. Die Betrüger haben im Vorfeld mittels Social Engineering die Namen, die E-Mail-Adressen und höchstwahrscheinlich auch die Beziehung zweier Mitarbeiter untereinander herausgefunden. Darauf haben sie anhand der erbeuteten Informationen eine möglichst authentisch wirkende E-Mail-Kommunikation nachgebildet. Durch persönliche Anrede und Insiderwissen über den Anwalt des Unternehmens wird Vertrauen aufgebaut. Die E-Mail-Adresse des vermeintlichen Absenders wird zudem im Namensfeld mitgenannt. Auf diese Weise soll suggeriert werden, dass es sich tatsächlich um die richtige Absenderadresse handelt. Erst dahinter folgt die eigentliche Absenderadresse.

*Es handelt sich bei dem dargestellten Beispiel um eine echte Spearphishing-E-Mail. Aus Datenschutzgründen wurden sämtliche persönliche Informationen abgeändert.

Emotet: Comeback im neuen Gewand

Emotet: Comeback im neuen Gewand

+++ UPDATE 05.12.2018: Das Hornetsecurity Security Lab meldet aktuell einen immensen Anstieg an gefährlichen E-Mails, die die bösartige Schadsoftware „Emotet“ mit sich bringt. Auch das BSI informiert über die wachsende Bedrohung, durch die aktuelle Phishing- und Spam-Kampagne, durch die „Emotet“ verbreitet wird. Bei betroffenen Unternehmen kam es zu Ausfällen der kompletten IT-Infrastruktur, was einen immensen Kapitalschaden nach sich zieht.

Getarnt als Office-Word-Dokument im Anhang einer seriös gestalteten E-Mail, wird das Schadprogramm beim Öffnen auf dem Computer installiert und liest Kontakte sowie E-Mail-Inhalte aus den Postfächern des infizierten Systems aus. Darüber hinaus verfügt Emotet über die Möglichkeit weitere Schadprogramme nachzuladen, die es den Hackern ermöglicht Zugangsdaten auszulesen und per Remote-Access auf das System zuzugreifen.

Bereits im September dieses Jahres berichtete Hornetsecurity über die Aufmachung der Schadsoftware als Rechnung im PDF Dokument getarnt, welche beim Ausführen einen Banking-Trojaner nachlädt: +++

Neue Emotet-Version

Seit der Weihnachtswelle im letzten Jahr wurden keine Großoffensiven des Banking-Trojaners Emotet mehr beobachtet. Nun erscheint er in einer neuen Gestalt und wird durch eine heimtückische Blended Attack verteilt.

Die Malware-Spezialisten aus unserem Security-Lab haben am Donnerstag den 06.09.18 eine neue Variante des Banking-Trojaners Emotet gefunden und den Angriffsweg genauer untersucht.

Frühere Varianten von Emotet wurden vornehmlich direkt in E-Mail-Anhängen oder durch Links im Body von E-Mails verteilt. Diese neue Variante setzt auf einen komplexeren Auslieferungsweg: Sie verbirgt sich hinter einem als Rechnung getarnten PDF-Dokument, das an eine Phishing-Mail angehängt wurde.

Emotet Phishing E-Mail

Phishing-Mail mit angehängtem PDF-Dokument

Emotet PDF-Dokument

PDF-Dokument mit Link zur Office-Datei

Im Inhalt dieses PDF-Dokuments befindet sich ein Link zu dem Download einer Office-Datei.

Emotet Office-Dokument

Office-Dokument

Öffnet das Opfer die Datei, wird ein Makro ausgeführt, das die gefährliche Malware herunterlädt.

Statische Analyse Emotet Code-Fragment

Statische Analyse – Code-Fragment

Diese Verschleierungstaktik nutzt Emotet, um Virenfilter und Sandbox-Analysen zu umgehen. Bisher scheint dies gut zu funktionieren, denn nicht mal ein Drittel, der auf VirusTotal gelisteten Antiviren-Programme, stuft die Datei als gefährlich ein.

Mit Advanced Threat Protection auf der sicheren Seite

Das URL-Scanning-Feature der Advanced Threat Protection von Hornetsecurity findet auch diese noch so gut versteckte Datei und schützt Kunden vor dieser hartnäckigen Blended Attack schon vor dem Eintreffen der Phishing-Mail.

In einem früheren Artikel haben wir einer anderen Variante von Emotet unter die Haube geschaut und ihr Verhalten analysiert.

Malware – Des Cyberkriminellen liebstes Kind

Malware – Des Cyberkriminellen liebstes Kind

Wenn die Frage in den Raum geworfen wird, was es eigentlich mit dem Begriff „Malware“ auf sich hat, dann haben die allermeisten nur eine unklare Vorstellung. Nicht selten fallen dann Wörter wie „Virus“ oder „Trojaner“. Das ist nicht unbedingt falsch, aber auch nicht wirklich richtig. Denn das Thema ist wesentlich komplexer und dreht sich längst nicht nur um Viren und Trojaner.

Der folgende Blogbeitrag gibt einen Einblick in die Welt der Malware und klärt darüber auf, für was der Begriff überhaupt steht, aus welchen Gründen Cyberkriminelle Malware einsetzen und wie man sich am besten davor schützen kann.

Viel mehr als nur Viren und Trojaner

Bei „Malware“ handelt es sich um eine Wortneuschöpfung, die sich aus den beiden englischen Wörtern „malicious“ und „software“ zusammensetzt; zu Deutsch: „schädliche Software“. Fälschlicherweise wird Malware oft synonym mit den Wörtern Virus oder Trojaner verwendet, doch die Welt der Malware ist wesentlich größer und komplexer. Denn genau genommen handelt es sich bei Malware lediglich um einen Sammelbegriff für unterschiedliche Schadprogramme, zu denen neben Viren und Trojanern auch noch „Exploits“, „Backdoors“, „Spyware“ „Würmer“ und „Ransomware“ gehören – um nur einige wesentliche Vertreter zu nennen.

Wie einer Studie von av-test.org über das erste Quartal 2018 zu entnehmen ist, stellten Trojaner mit 51,48 Prozent den Löwenanteil von unter Windows verbreiteter Malware dar. Weit abgeschlagen dahinter folgen Viren mit 18,93 Prozent sowie auf Platz drei Skripte mit einem Anteil von 10,56 Prozent. Alle anderen Malware-Arten, wie z.B. Ransomware stellen in der Häufigkeit ihres Auftretens nur eine untergeordnete Rolle dar.

Anteil von Malware-Arten

%

Trojaner

%

Viren

%

Skripte

Viren, Trojaner und Würmer – wo liegen die Unterschiede?

Computerviren sind die klassische Art der Malware und wurden bereits in den frühen 1970er-Jahren entwickelt. Sie sind darauf programmiert, sich in andere Dateien einzunisten und können sich von einem auf ein anderes Computersystem verbreiten und es ebenfalls infizieren. Ohne menschliches Zutun können Viren allerdings nicht ihre Arbeit aufnehmen, da die kompromittierte Datei zuerst ausgeführt werden muss.

Bei einem Trojaner handelt es sich hingegen um keinen Virus, sondern um ein Schadprogramm, das sich als gutartige Anwendung tarnt – deshalb auch die häufig vorkommende Bezeichnung „Trojanisches Pferd“. Anders als Viren, vervielfachen sich Trojaner nicht eigenständig. Sie ermöglichen den Hackern über eine so genannte „Backdoor“, die Kontrolle über das infizierte System zu übernehmen.

Im Vergleich zu Viren, unterscheiden sich Computerwürmer durch die Fähigkeit, sich durch die Nutzung einer Datenschnittstelle ohne Zutun zu verbreiten. Da sich der Wurm innerhalb des Systems replizieren kann, besteht die Gefahr, dass am Ende nicht nur ein Wurm, sondern hunderte oder gar tausende Kopien versendet werden können. In letzter Instanz kann dies dazu führen, dass ein betroffenes System so viele Ressourcen bereitstellen muss, dass es zu keinen- oder nur noch extrem verlangsamten Rückmeldungen kommt.

Spyware – Der Spion im System

Spyware gilt als der Spion unter den Malware-Arten. Sie ist darauf aus, eingegebene Benutzerdaten zu protokollieren und zu stehlen. Beispielsweise zeichnet sie Logins in Social Media Accounts auf oder spioniert Kontodaten beim Online-Banking aus. Im Anschluss werden die erbeuteten Daten an die Hacker übertragen, die sie entweder weiterverkaufen oder für eigene, meist finanzielle Interessen missbrauchen.

Malware Infografik von Hornetsecurity

Dabei kann Spyware durchaus mit unterschiedlichen Gesichtern auftreten. Zum einen ist es möglich, dass ein so genannter „Keylogger“ verwendet wird, der Tastatureingaben aufzeichnet. Zum anderen kann mittels „Screencast“ die Bildschirmaktivität des Users ausspioniert werden. Des Weiteren können die Hacker auf einen so genannten „Browser-Hijacker“ zurückgreifen, der die Standard-Einstellungen des Webbrowsers manipuliert. Auf diese Weise wird es den Cyberkriminellen ermöglicht, Suchanfragen mitzulesen oder den Nutzer auf gefälschte Webseiten zu leiten.

Ransomware – Wenn der Computer Lösegeld verlangt

Bei Ransomware handelt es sich um eine Form der Malware, die in der Lage ist, den Zugriff auf sämtliche, auf einem Computer gespeicherten Daten zu unterbinden. Die Hacker verschlüsseln die auf der Festplatte gespeicherten Dateien und lassen nach einer erfolgreichen Infektion im Normalfall eine Nachricht auf dem Bildschirm der Zielperson zurück, mit der Forderung, Lösegeld zu zahlen. Geschieht dies nicht, wird damit gedroht, dass die verschlüsselten Dateien – je nach Ausführung der Ransomware – nicht mehr entschlüsselt- oder gar gelöscht werden.

Wege, den Computer mit Ransomware zu infizieren, gibt es zu Genüge. Das mit Abstand häufigste Einfallstor stellt allerdings die E-Mail-Kommunikation dar. Oft geben die Cyberkriminellen sich mittels Social Engineering als bekannte Organisation oder befreundete Person aus, um Vertrauen zu suggerieren.

Die Ransomware ist in vielen Fällen in einem Office-Dokument enthalten, das als Anhang mitgeschickt wird. Durch einen Vorwand wird der Empfänger dazu gebracht die Datei zu öffnen und sämtliche Daten werden auf der Festplatte verschlüsselt. Insbesondere in den vergangenen Jahren kam es zu einer regelrechten Flutwelle an Ransomware-Angriffen, die unter Namen wie „WannaCry“ oder „Petya“ bekannt wurden. Auch wenn Ransomware in der Häufigkeit des Auftretens nur eine untergeordnete Rolle spielt: Der Schaden, der durch die aggressiven Kryptotrojaner entstehen kann, sollte keineswegs unterschätzt werden! In absoluten Zahlen dargestellt, ist ein Prozent vom gesamten Malware-Aufkommen weltweit immer noch eine beachtliche Summe.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Exploits und Backdoors – Der geheime Trumpf

Exploits sind ein beliebtes Werkzeug von Hackern, um Schwachstellen oder Sicherheitslücken von Software auszunutzen und über diese in Computersysteme einzudringen. Bei einem Exploit kann es sich sowohl um eine rein theoretische Beschreibung einer Schwachstelle handeln, aber auch um einen direkt ausführbaren Programmcode.

Die Bandbreite an verschiedenen Exploit-Arten ist so groß, dass es zu fast jedem Anlass den richtigen Exploit gibt. Sie unterscheiden sich sowohl in der Angriffsart, als auch in ihren Auswirkungen. Je nach Art können sie beispielsweise Daten schreiben oder lesen oder auch ein System zum Absturz bringen. Prominente Exploit-Arten sind der so genannte Zero-Day-Angriff und der Denial-of-Service-Exploit (DoS-Exploit).

Eine Backdoor stellt hingegen einen alternativen, meist versteckten Zugang zu einer Software oder auch einem Hardwaresystem dar. Dieser ermöglicht es dem Hersteller und seinen Partnern (beispielsweise Geheimdiensten), aber auch eventuell Hackern, den Zugriffsschutz zu umgehen und sich Zugang zu dem System zu verschaffen. Wie bereits erwähnt, verfügen auch Trojaner über eine Backdoor, allerdings muss man hier eine klare Abgrenzung ziehen: Der Trojaner dient nur als Mittel zum Zweck, da er sich als nützliches Programm ausgibt und dafür sorgt, dass der Rechner über die eingebaute Backdoor kompromittiert werden kann. Die Backdoor alleine benötigt keinen Trojaner, da sie bereits von Anfang an in einem System installiert sein kann.

Viele Malware-Arten, eine Lösung?

Die Professionalität von Malware-Attacken nimmt von Tag zu Tag zu. Insbesondere Angriffe mittels Ransomware liegen bei Cyberkriminellen stark im Trend. Wer denkt, dass es DIE eine Lösung gegen Malware gibt, der irrt leider. Vielmehr sollte ein Unternehmen über ein ausgeklügeltes Sicherheitskonzept mit vielen verschiedenen Maßnahmen verfügen. Welche das im Einzelnen sein können, beschreiben wir im Folgenden.

Viele Komponenten müssen wie eine gut geölte Maschine zusammenspielen, damit ein optimaler Schutz gegen Malware erzielt werden kann. Der wichtigste Punkt ist hierbei allerdings die Sensibilisierung des Personals vor Cyberangriffen. Die Mitarbeiter eines Unternehmens müssen sich den Gefahren bewusst sein, die von Malware ausgehen. Aufklärung über die verschiedenen Malware-Verbreitungswege sollte also zum Beispiel in regelmäßig stattfindenden Schulungen in den Arbeitsalltag integriert werden.

Um auf Nummer Sicher zu gehen, empfiehlt es sich für Unternehmen außerdem, auf einen Spamfilter-Service zurückzugreifen, damit bösartige E-Mails erst gar nicht in die E-Mail-Postfächer der Mitarbeiter gelangen. Falls es doch einmal dazu kommt, dass es eine Malware bis auf den Rechner eines Mitarbeiters schafft, dann ist ein Antivirenprogramm in vielen Fällen nach wie vor eine sinnvolle Methode, um dem Eindringling den Garaus zu machen.

Auch Updates sollten nicht nur bei Antivirenprogrammen gang und gäbe sein. Es empfiehlt sich einen Prozess zu etablieren, der die Aktualität von eingesetzten Programmen regelmäßig auf den Prüfstand stellt, um sie gegebenenfalls auf den neusten Stand der Dinge zu bringen. Wer diese Tipps beherzigt, der wird zumindest weniger wahrscheinlich zum Opfer für Cyberkriminelle.

Weiterführende Informationen:

 

Hacker stehlen tausende sensible Daten zu französischen Atomanlagen

Hacker stehlen tausende sensible Daten zu französischen Atomanlagen

Laut NDR-Informationen (Quelle) gelang es aktuell noch unbekannten Hackern mehr als 65 Gigabyte sensibler Daten zu kritischen Infrastrukturen von den Servern des französischen Bauunternehmens Ingérop zu entwenden. Unter den insgesamt mehr als 11.000 Datensätzen befinden sich auch Baupläne von Atomkraftwerken, Hochsicherheitsgefängnissen und Straßenbahnnetzen. Ingérop bestätigte den Angriff auf Anfrage.

Was genau haben die Cyberkriminellen gestohlen?

Bei den entwendeten Datensätzen handelt es sich laut dem Unternehmen um Informationen zu einem Dutzend Großprojekten in Frankreich, Spanien und Südamerika.

Nicht alle der Bauvorhaben seien auch tatsächlich umgesetzt worden, darunter auch ein geplantes Atommüllendlager im Norden Frankreichs. Ebenfalls Teil des Datenlecks sollen auch persönliche Daten von mehr als 1.200 Ingérop-Mitarbeitern sowie firmeninterne E-Mails gewesen sein.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Was ist mit den Daten passiert?

Die gestohlenen Daten waren wohl zwischenzeitlich nicht nur im Darknet abrufbar, sondern auch für kurze Zeit, im Juli 2018, von einem Server des so genannten „Wissenschaftladens“ in Dortmund zum Download angeboten worden. Der „Wissenschaftladen“ ist Teil eines Kulturzentrums und vermietet Server-Kapazitäten. Man habe nicht gewusst, dass die Ingérop-Daten dort abgelegt waren, da die Server von einer Gruppe aus Rostock betrieben werden.

Im Vorfeld soll es bereits eine mehr oder weniger professionell angelegte Phishing-Kampagne auf Mitarbeiter von Ingérop gegeben haben. Die E-Mails, die von gefälschten Absenderadressen versandt wurden, führten die Mitarbeiter auf Seiten, die mit Schadsoftware infiziert gewesen waren.

Wäre der Angriff zu verhindern gewesen?

Dazu fehlen zum jetzigen Zeitpunkt noch genauere Informationen. Fakt ist jedoch, dass sich das Unternehmen bei der Speicherung der Daten einen Fauxpas erlaubt hat. Im Normalfall werden Daten zu verschiedenen Projekten getrennt voneinander gespeichert. Dies ist hier nicht der Fall gewesen und die Hacker konnten Daten aus gleich mehreren Arbeitsbereichen stehlen. Attacken dieser Art sind mittlerweile leider keine Seltenheit mehr und werden auch als “Industroyer” bezeichnet. Bereits zum Ende des Jahres 2016 gab es einen ähnlichen Angriff auf die Stromversorgung der Ukraine.  Auch lassen sich Parallelen zur im Jahr 2010 bekannt gewordenen Kampagne gegen das iranische Atomprogramm – die mittels eines als “Stuxnet” bezeichneten Computerwurms durchgeführt wurde – ziehen.

Daniel Hofmann, Geschäftsführer von Hornetsecurity, stuft den aktuellen Angriff auf das Bauunternehmen als schwerwiegend ein: „IT Sicherheit ist nicht nur eine Frage der IT-Compliance, es ist auch eine Geschäftsentscheidung. Unternehmen, die in hochwertige Cybersecurity Produkte investieren, reduzieren nachhaltig Ihre Kosten, die im Rahmen von Cyberangriffen entstehen. Pläne über Hochsicherheitsgefängnisse und Atommüll-Endlager können in den falschen Händen ungeahnte Schäden anrichten. Um dieser Verantwortung nachzukommen, bedarf es an Investitionen in die eigene IT Sicherheit und die Schulung der eigenen Mitarbeiter. Mit gut gewarteten Intrusion Detection bzw. Prevention Systemen sowie dem verschlüsselten Speichern von sensiblen Daten und einem guten E-Mail Schutz wäre eine Schadensprävention möglich gewesen. Nun steht die Ingérop Gruppe vor einem großen Image Schaden, dem möglichen Verlust von Partnern und Kunden sowie weiteren nicht absehbaren Konsequenzen.
Der Trend zeigt, dass Hacker, Phisher und Fraudster ihre Opfer gezielt auswählen und angreifen. Simple Sicherheitstechniken sind zum Schutz vor heutigen Cyberangriffen ungenügend.“

Wie geht es jetzt weiter?

Auf Anfrage der Landesregierung von Nordrhein-Westfalen, sei die Offenlegung der Daten aus Sicht der französischen Behörden geeignet gewesen, die nationale Sicherheit Frankreichs zu gefährden. Die französische Polizei wollte sich zu diesem Zeitpunkt noch nicht zu den Vorfällen äußern. Der französische Inlandsgeheimdienst ermittle aber bereits.

Weitere Hackangriffe gegen öffentliche Anlagen (Industrie, Versorgung, Atom, Infrastruktur):

Stuxnet:

Industroyer:

Schutz vor Phishing und ausgeklügelten Cyberangriffen auf Unternehmen:

Advanced Persistent Threats – Die unsichtbare Bedrohung

Advanced Persistent Threats – Die unsichtbare Bedrohung

Was haben die Olympischen Winterspiele, der Informationsverbund Berlin-Bonn und große sowie kleine und mittelständische Unternehmen gemeinsam? Sie alle waren und sind noch immer Ziel von hochwertigen Cyberangriffen, die darauf aus sind, interne Prozesse auszuspionieren, zu sabotieren und wichtige sowie geheime Daten zu stehlen bzw. zu kopieren. Das alles möglichst unbemerkt und über einen längeren Zeitraum hinweg. Hierbei handelt es sich um „fortgeschrittene, andauernde Bedrohungen“, allgemein bekannt als „Advanced Persistent Threat“ (APT).

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

„Fortgeschritten“ sind die Angriffe deshalb, weil dem Angreifer große Mengen an Zeit und Geld und damit Informationen und Entwicklungskapazitäten zur Verfügung stehen. Für die „Opfer“ ist der Eingriff in ihre IT-Infrastruktur kaum nachvollziehbar und schwer auffindbar, sodass sich der Eindringling über mehrere Wochen oder sogar Monate hinweg im internen Netz unerkannt bewegen kann. Bei den Cyberkriminiellen handelt es sich oftmals um ganze Gruppierungen und nicht selten stehen Wettbewerber, Organisationen oder sogar Staaten hinter den ausgeklügelten Attacken.

Ihre Motive sind sehr unterschiedlich und reichen von Kopieren von möglichst vielen, detaillierten Informationen über interne Unternehmensdaten sowie Angaben zu militärischen und politischen Sachverhalten, bis hin zu finanzieller Bereicherung in Form von Finanz- und Kreditkartendiebstahl. In Deutschland warnte das Bundesamt für Verfassungsschutz erst vor Kurzem vor einer erneuten APT-Angriffswelle auf deutsche Medienunternehmen und Organisationen im Bereich der Chemiewaffenforschung.

Generell wächst mit der fortschreitenden Digitalisierung in immer mehr Unternehmen, auch die Internetkriminalität zunehmend. Nach einer aktuellen Studie der Bitkom über digitale Spionage, Sabotage und Datendiebstahl, gaben 68% der befragten Unternehmen in Deutschland an, in den letzten zwei Jahren von Cyberkriminalität betroffen gewesen zu sein (Stand: Oktober 2018).

Die fünf Stufen eines APT-Angriffs

Im Gegensatz zu „gewöhnlichen“ Viren- und Spamattacken, bei denen Hacker eine große Anzahl infizierter E-Mails versenden, um zufällige Opfer zu treffen, sucht eine APT-Gruppierung vorsätzlich nach einem, für ihre Motive ausgewählten, hochrangigem Ziel. Dabei gehen die Angreifer nach einem klassischen Muster vor, welches sich in 5 Stufen unterteilen lässt:

1. Erkunden und Recherchieren

Ist ein Ziel ausgewählt, geht es in dieser ersten Phase des Angriffs darum, möglichst viele Informationen über das Unternehmen oder die Organisation zu sammeln. Hierbei greifen die Hacker besonders auf Unternehmenswebsites, Social Media und andere öffentliche zugängliche Quellen zu, um mögliche Einstiegsmöglichkeiten in die Systeme des Ziels zu finden.

2. Einfall in das System

Hat der Angreifer eine gute Vorstellung über die Struktur seines Angriffsziels gewonnen und in Erfahrung gebracht, welche IP-Adressen, Domains und Systeme in welcher Art miteinander verbunden sind, kann er detailliert nach Schwachstellen suchen. Um letztendlich Zugriff zu den Systemen des Ziels zu erhalten, bedienen sich die Hacker verschiedener Methoden: Social Engineering, wie CEO-Fraud & Phishing sowie Ransomware, Blended und Targeted Attacks gehören zu den Bekanntesten. So geht es beim Thema Cyber-Sicherheit nicht nur um Computersysteme und Netzwerke – APT-Gruppierungen nutzen häufig den „Faktor Mensch“ als Schwachstelle, indem menschliche Eigenschaften wie Hilfsbereitschaft und Vertrauen ausgenutzt werden. Eine aktuelle Befragung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hat ergeben, dass jeder sechste Mitarbeiter auf eine gefälschte E-Mail der Chefetage antworten und sensible Unternehmensinformationen preisgeben würde.

3. Ausspähen und Ausbreiten

Sobald die Hacker Zugriff auf das System haben, operieren die Angreifer üblicherweise möglichst zurückhaltend, um nicht entdeckt zu werden. Die Sicherheitsvorkehrungen und eingesetzte Software des Unternehmens werden identifiziert, sodass weitere Sicherheitslücken zur Ausweitung des Zugriffs der Angreifer auf das Netzwerk genutzt werden können. Mithilfe von Keyloggern und den gefundenen Daten wird versucht, Passwörter herauszufinden und so Zugänge zu weiteren Datensätzen und Systemen herzustellen.

4. Ausführung des Angriffs

Die Täter greifen auf die ungeschützten Systeme zu und agieren nun gemäß ihrer Motivation und Zielsetzung für diesen Angriff. So können beispielsweise sensible Unternehmensdaten über einen längeren Zeitraum hinweg erfasst und/oder Malware im IT-System installiert werden. Auch das Lahmlegen von Systemen und damit den betrieblichen Abläufen ist eine Option.

5. Herausfiltern und Analyse der Daten

Die erhobenen Daten und Informationen werden an die Basis der APT-Gruppe gesendet und dort analysiert. Um weiterhin, jederzeit und vor allem unbemerkt Zugriff auf das infizierte System des Unternehmens zu haben, kann von den Angreifern eine Art „Hintertür“ installiert werden.

Erkennen und Verhindern von APTs

Vor allem bei solch individualisierten und manuellen Vorgehensweisen, sollte der Fokus der IT-Sicherheit auf der gezielten Detektion sowie unmittelbaren Reaktion auf mögliche Angriffsversuche liegen.
Bei der täglichen Flut an E-Mails, die in einem Unternehmen ein- und ausgehen, ist eine manuelle Überwachung einzelner Anhänge oder Inhalte die bspw. auf CEO-Fraud hindeuten, nicht zu bewältigen.

Mit Hornetsecurity Advanced Threat Protection sorgen innovative forensische Analyse Engines für eine Echtzeit-Überwachung der Unternehmenskommunikation und unterbinden Attacken unmittelbar. Der APT Service wird direkt in das Mail Security Management integriert und bietet neben dem Spam- und Virenfilter Schutzmechanismen wie Sandbox, URL Rewriting, URL Scanning, Freezing und Targeted Fraud Forensics. Wichtig bei einem möglichen Angriff ist die unverzügliche Benachrichtigung des IT-Sicherheitsteams eines Unternehmens, mit spezifischen Details zu Art und Ziel der APT Attacke, dem Absender und weshalb die E-Mail abgefangen wurde. Hornetsecurity ATP ist dank Real Time Alerts in der Lage, das IT-Sicherheitsteam eines Unternehmens in Echtzeit über akute Angriffe zu informieren. Diese aktuelle Information kann direkt vom Unternehmen zur Gegensteuerung genutzt werden, sodass Sie in kürzester Zeit Ihre Sicherheitslücken schließen und zusätzliche Schutzmaßnahmen aufbauen können.

Vielleicht ebenfalls für Sie von Interesse:

 

E-Mail-Archivierung und DSGVO – die größten Mythen im Überblick

E-Mail-Archivierung und DSGVO – die größten Mythen im Überblick

Bürger der Europäischen Union haben Grund zur Freude: Die Einführung der seit Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO) stärkt den Schutz der persönlichen Daten erheblich und läutet zugleich ein neues Zeitalter des europäischen Datenschutzes ein. Doch was des einen Freud ist, ist des anderen Leid. Denn nicht überall stößt das „strengste Datenschutzgesetz der Welt“ auf Zustimmung. Unternehmen und Organisationen, die die Vielzahl an neuen Regelungen und Richtlinien umsetzen müssen, sind genervt durch den erheblichen Mehraufwand und die teils undurchsichtigen Vorschriften.

Da sich die DSGVO auch unmittelbar auf den Umgang mit E-Mails auswirkt, gibt es auch hier einige Dinge zu beachten – insbesondere mit Blick auf das Thema E-Mail-Archivierung. Wir zeigen, wie die DSGVO und die rechtssichere E-Mail-Archivierung unter einen Hut gebracht werden können und klären über die wichtigsten Mythen auf.

Der Teufel steckt im Detail

Muss ich als Unternehmen wirklich alle E-Mails archivieren und wenn ja, wie lange überhaupt? Das sind typische Fragen, die sich Verantwortliche bei der Umsetzung der DSGVO stellen. An dieser Stelle kommen die GoBD (Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung) ins Spiel. Sie geben vor, wie lange E-Mails mit bestimmten Inhalten archiviert werden müssen. Nicht selten wird die Archivierung auch mit dem Backup verwechselt, doch hierbei müssen deutliche Unterschiede gemacht werden.

Während ein Backup für die temporäre Verfügbarkeit von Daten sowie deren Wiederherstellung sorgt, kommt der Archivierung eine andere Funktion zu: Sie garantiert die langfristige Speicherung von Daten auf einem separaten Speichermedium zu Dokumentationszwecken. Nach den GoBD muss eine E-Mail immer dann archiviert werden, wenn sie anstelle eines Handels- bzw. Geschäftsbriefs oder eines Buchungsbelegs fungiert. Ist die E-Mail nur Transportmittel und enthält beispielsweise einen Buchungsbeleg im Anhang, dann muss lediglich die angehängte Datei als solche, nicht aber die E-Mail aufbewahrt werden. Ein Ausdruck der Rechnung reicht hingegen nicht aus.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Die vorgeschriebene Aufbewahrungszeit für geschäftliche E-Mails beträgt sechs bis zehn Jahre. Kleingewerbetreibende sind jedoch von dieser Regelung ausgeschlossen. Die genauen Aufbewahrungspflichten für die unterschiedlichen Arten von Dokumenten, können in der Abgabenordnung und im Handelsgesetzbuch nachgelesen werden. Anders sieht es mit privaten E-Mails aus: Firmen, in denen die private E-Mail-Nutzung zumindest geduldet wird, dürfen unter keinen Umständen die private E-Mail-Kommunikation von Mitarbeitern überwachen oder speichern.

Die GoBD gibt des Weiteren vor, dass E-Mails unverändert zu archivieren sind. Das bedeutet, dass eine reine Ablage von digitalisierten Dokumenten an dieser Stelle nicht genügt. Ein weiterer Irrglaube ist die Ablage über den E-Mail-Client. Einfach einen Ordner anzulegen und sämtliche E-Mails, die der Archivierungspflicht unterliegen, manuell dorthin zu verschieben, genügt ebenso wenig.

Hier fehlt schlicht und ergreifend der richtige Schutz vor Verlust oder Diebstahl. Doch wie kann ein Unternehmen diese ganzen Vorschriften möglichst kostengünstig sowie Zeit- und Ressourcensparend umsetzen?

Die Lösung liegt in der Cloud

Wer auf der wirklich sicheren Seite sein möchte, der setzt auf die zeitgemäße E-Mail-Archivierung über die Cloud. Cloud-basierte E-Mail-Archivierungslösungen bieten gleich mehrere Vorteile für Unternehmen: sie sind voll-automatisiert, rechtssicher und funktionieren ohne Zutun der internen IT.

Der E-Mail-Archivierungsservice von Hornetsecurity sorgt beispielsweise dafür, dass E-Mails vollautomatisiert ins Archiv übertragen werden. Dabei wird sehr genau zwischen Clean-Mails und Spam- sowie Info-Mails unterschieden. Letztere landen selbstverständlich nicht im E-Mail-Archiv. Auch die umständliche und zeitintensive Suche nach archivierten E-Mails bleibt durch den E-Mail-Archivierungsservice erspart.

Über das Hornetsecurity Control Panel können E-Mails dank perfekt abgestimmter Suchalgorithmen spielend leicht wiedergefunden- und gefiltert werden. Auch die IT-Verantwortlichen haben Grund zur Freude: Nur wenige Klicks genügen, um den E-Mail-Archivierungsservice zu verwalten – egal, ob es sich dabei um den Import oder Export von E-Mails oder grundsätzliche Einstellungen zur Archivierungsdauer handelt.

Vielleicht ebenfalls für Sie von Interesse: