Schlagwort-Archive: Phishing

Security Roundup Report 2018: Unternehmen sollten auf veränderte Bedrohungslandschaft reagieren

Trend Micro veröffentlichte seine Auswertung von Bedrohungsdaten aus dem Jahr 2018. Dabei zeigt sich ein deutlicher Anstieg bei den Erkennungen von Kryptowährungs-Mining Malware, Phishing-Versuchen und Angriffen mittels Business E-Mail Compromise. Ransomware-Angriffe nahmen hingegen drastisch ab.

Security Roundup Report 2018

Trend Micro veröffentlichte seinen Security Roundup Report für das Jahr 2018, der einen deutlichen Wandel in der Cyber-Bedrohungslandschaft zeigt. Dazu gehört eine deutliche Zunahme von Kryptowährungs-Minern – um 237 Prozent im Jahresverlauf. Zudem geschehen Angriffe häufiger, die das menschliche Bedürfnis ausnutzen, möglichst schnell auf die Anforderungen von vermeintlichen Autoritäten zu reagieren. Dazu gehört Business E-Mail Compromise (BEC, auch Chef-Masche oder CEO-Fraud) ebenso wie Phishing. Die Anzahl der geblockten Phishing-URLs stieg im Vergleich zum Vorjahr um 269 Prozent. Der Zuwachs seit dem Jahr 2015 beträgt sogar fast 2.500 Prozent. (1)

Richard Werner, Business Consultant bei Trend Micro meint:

„Die Veränderungen der Bedrohungslandschaft im Jahr 2018 deuten auf einen Wandel in den Köpfen der Cyberkriminellen hin. Die meisten Angriffe geschehen heute gezielt und geplant – im Gegensatz zu den universellen Angriffsmethoden in der Vergangenheit. Angesichts dieses Musters entwickeln wir unsere Produkte dahingehend, dass sie diese Angriffe erkennen und wir den Angreifern damit einen Schritt voraus sind.“

Die Zahl der BEC-Angriffe stieg 2018 um 28 Prozent. Diese Attacken geschehen zwar seltener als Phishing-Versuche, sind jedoch deutlich ausgefeilter und erfordern genaue Planung. Dafür verspricht jeder Angriff aber auch einen Gewinn von durchschnittlich 132.000 US-Dollar. Da diese Attacken keine Malware benötigen und deshalb von traditionellen Security-Maßnahmen nicht erkannt werden, benötigen Unternehmen neue, intelligentere Lösungen, um sich gegen sie zu schützen. Dazu gehören Lösungen wie Trend Micro Writing Style DNA, das mittels künstlicher Intelligenz den Schreibstil von Entscheidungsträgern analysiert und erkennt, ob eine empfangene Mail möglicherweise gefälscht wurde.

Weitere Veränderungen in der Bedrohungslandschaft betreffen Zero-Day-Schwachstellen

Trend Micros Zero Day Initiative (ZDI) kaufte im Jahr 2018 mehr von ihnen als jemals zuvor, darunter 224 Prozent mehr Bugs in industriellen Steuerungssystemen als im Vorjahr. Dies ist besonders für Unternehmen relevant, die Probleme damit haben, ihre Systeme zu patchen. Denn während Zero-Day-Exploits immer seltener werden, wurden bereits bekannte Schwachstellen 2018 für die größten Angriffe genutzt. Dabei werden Sicherheitslücken angegriffen, für die schon seit mehreren Monaten oder Jahren Patches verfügbar sind, die jedoch in den Unternehmensnetzwerken noch immer nicht geschlossen wurden.

Weitere Indizien für den Wandel sind die Arten von Bedrohungen, die geringer werden. Erkennungen von Ransomware gingen im Vergleich zu 2017 um 91 Prozent zurück, wobei 45 Prozent weniger neue Ransomware-Familien entdeckt wurden. Diese Entwicklung entspricht dem Gesamtbild. Schließlich sind für Ransomware-Angriffe keine besonders intensive Planung, technische Fähigkeiten oder Einfallsreichtum erforderlich, da zahlreiche Ressourcen dafür in Untergrund-Marktplätzen verfügbar sind.

Trend Micro arbeitet durch intensive Forschung und fortschrittliche Auswertungsmethoden für Bedrohungsinformationen an neuen und erweiterten Produkten, um sicherzustellen, dass seine Kunden den Angreifern auch weiterhin einen Schritt voraus sind.

Weitere Informationen

Den vollständigen Bericht mit weiteren Informationen zu Entwicklungen in der Bedrohungslandschaft finden Sie unter https://documents.trendmicro.com/assets/rpt/rpt-unraveling-the-tangle-of-old-and-new-threats.pdf sowie weiter unten zum Download.

Fußnoten

(1) vgl. https://www.trendmicro.com/de_de/about/newsroom/press-releases/2018/20181220-trend-micro-it-sicherheitsvorhersagen-fuer-2019-cyberangriffe-werden-immer-ausgefeilter.html

Studie von Trend Micro zeigt: Phishing ist die häufigste Methode für Cyberangriffe

Neue Umfrageergebnisse von Trend Micro zur IT-Sicherheit zeigen, dass Phishing die häufigste Angriffsmethode für Cyber-Attacken ist. 38 Prozent der Unternehmen sind bereits Opfer dieser Art von Angriffen geworden. Um dies zu verhindern, stellen Schulungen für Mitarbeiter ein wichtiges Instrument dar. Die Studie ergab jedoch auch, dass diese für 39 Prozent der befragten IT- und Sicherheitsentscheider eine Herausforderung darstellen.

Phishing ist die häufigste Methode für Cyberangriffe

Dies geht aus Studienergebnissen hervor, die Trend Micro veröffentlichte. In einer Befragung gaben 38 Prozent der befragten IT- und Sicherheitsentscheider weltweit an, dass ihr Unternehmen bereits Opfer eines Phishing-Angriffs wurde. Gleichzeitig kommt es immer häufiger zu dieser Art von Angriffen: Die Anzahl der von Trend Micro geblockten, bösartigen Phishing-URLs stieg seit 2015 um fast 2.500 Prozent an. (1)

„Phishing-Angriffe werden bei Cyberkriminellen immer beliebter, da sie mit relativ wenig Aufwand grosse Schäden verursachen können“, erklärt Udo Schneider, Security Evangelist bei Trend Micro. „Diese Angriffe sind deshalb so erfolgversprechend, da sie die ‚Schwachstelle Mensch‘ ins Visier nehmen. Um sich wirksam zu schützen, sollten Unternehmen neben einer zeitgemässen IT-Sicherheitslösung vor allem in die Aufklärung und Schulung ihrer Mitarbeiter investieren.“

Udo Schneider weiter: „Wir möchten die IT-Sicherheitsverantwortlichen in Unternehmen dabei unterstützen, ihre Mitarbeiter für die Gefahren im Cyber-Raum zu sensibilisieren. Besonders zum Schutz vor Phishing ist es wichtig, dass jeder Mitarbeiter über die Wirkungsweise solcher Angriffe informiert ist. Dafür haben wir mit Trend Micro Phish Insight ein kostenloses Simulations- und Informationsangebot geschaffen.“

Kostenlose Phishing-Simulation

Mit Trend Micro Phish Insight können Unternehmen jeder Grösse das Bewusstsein ihrer Mitarbeiter für betrügerische E-Mails testen. Dafür bietet Phish Insight verschiedene Templates, die sich an die häufigsten Phishing-Kampagnen anlehnen. Diese stehen in insgesamt acht Sprachen zur Verfügung, darunter auch Deutsch. Zudem können Nutzer auch eigene Texte verwenden.

Auf der Plattform sind auch Materialien zu finden, mit denen Anwender eine massgeschneiderte Aufklärungskampagne erstellen können. Phish Insight erfordert kein eigenes Budget und nur fünf Minuten Zeitaufwand, um eine höchst realistische Phishing-Simulation zu starten.

Weitere Informationen

https://phishinsight.trendmicro.com/en/

https://www.trendmicro.com/content/dam/trendmicro/global/de/business/products/user-protection/sps/FINAL_DS01_Phish_Insight_180316DE_HR.pdf

Fussnoten

(1) vgl. https://www.trendmicro.com/de_de/about/newsroom/press-releases/2018/20181220-trend-micro-it-sicherheitsvorhersagen-fuer-2019-cyberangriffe-werden-immer-ausgefeilter.html 

Über die Studie

Von Opinium durchgeführte Studie im Auftrag von Trend Micro. Befragt wurden 1.125 IT- und Sicherheitsentscheider im Vereinigten Königreich, den USA, Deutschland, Spanien, Italien, Schweden, Finnland, Frankreich, den Niederlanden, Polen, Belgien und der Tschechischen Republik.

HTML-Anhänge und Phishing in BEC-Angriffen

Originalbeitrag von Lord Alfred Remorin, Senior Threat Researcher

Angreifer gehen immer mehr dazu über, die traditionell in Business E-Mail Compromise (BEC)-Angriffen eingesetzten Keylogger für den Diebstahl von Kontoinformationen von den anvisierten Maschinen durch HTML-Seiten im Anhang zu ersetzen. Sie wirken auf den ersten Blick harmloser als Executables und sind daher wirksamer.


Bild 1. Phishing-Mail mit HTML-Anhang

Beim Öffnen des Anhangs geht ein Browser mit folgendem Inhalt auf:

Bild 2. HTML Phishing-Seite (Vergrößern durch Klicken)

Um den Nutzer weiter zu ködern, sind Logos bekannter Mail Provider in die Seite eingefügt. Gibt ein Opfer Nutzername/Kennwort – wie gefordert – ein, so werden diese Infos an ein vom Angreifer konfiguriertes PHP-Skript geschickt. Dieses wiederum sendet die Infos an ein Konto des Angreifers.

Die Untersuchung des Quellcodes des HTML-Anhangs ergab, dass er wahrscheinlich in Nigeria programmiert wurde, denn der Google-Link zeigt auf eine Version dieses Landes. Dies scheint aufgrund der Funde in nigerianischen Foren umso wahrscheinlicher. Nairaland etwa enthielt eine Werbung für Betrugsseiten. Der Verkäufer bietet verschiedene Betrugsseiten für unterschiedliche Mail-Services wie 163 Mail, Gmail, Hotmail und Yahoo Mail an.

Bild 3. Website mit Betrugsseiten für Mail Services

Keyloggers sind immer noch häufig im Einsatz, um die Konten der Opfer effizient zu stehlen. Doch die Lieferung eines Executables über Mail kann heutzutage wegen Anti-Spam-Regeln schwierig werden. Eine HTML-Seite hingegen stellt keine sofortige Bedrohung dar, es sei denn, die Datei wurde verifiziert und als Phishing-Seite erkannt.

Eine Phishing-Seite ist einfach zu codieren und zu installieren, anders als ein Keylogger, der Codierkenntnisse erfordert. Eine Phishing-Seite läuft zudem auf jeder Plattform und benötigt lediglich einen Browser.

HTML-Anhänge in Zahlen

Die Daten aus dem Trend Micro Smart Protection Network zeigen zwischen dem 1. Juli 2016 und dem 30. Juni 2017 14.867 Records und 6.664 einzigartige Hashes:

Bild 4. Zahl der BEC-bezogenen Phishing-Angriffe pro Monat

Bild 5.  BEC-bezogenen Phishing-Angriffe pro Land

Bild 6. Schlüsselwörter in BEC-bezogenen Phishing-Angriffen

Weitere Informationen zu dem Thema liefert der Originalbeitrag.

OSX-Schadsoftware mit Verbindung zu Operation Emmental kapert Netzwerkverkehr

von Rubio Wu, Threats Analyst

Die OSX_DOK-Schadsoftware (Trend Micro erkennt sie als OSX_DOK. C) zielt auf Maschinen mit dem OSX-Betriebssystem von Apple und umfasst fortgeschrittene Funktionalitäten, etwa für den Missbrauch von Zertifikaten und Umgehung von Sicherheitssoftware. Die Schadsoftware zielt in erster Linie auf Banking-Nutzer in der Schweiz. Sie nutzt eine Phishing-Kampagne, um die Payload abzulegen, die dann über einen Man-in-the- Middle (MitM)-Angriff den Netzwerkverkehr eines Nutzers kapert. OSX_DOK.C scheint eine weitere Version von WERDLOD (von Trend Micro als TROJ_WERDLOD identifiziert) zu sein, eine Schadsoftware, die in den Operation Emmental-Kampagnen zum Einsatz kam – eine interessante Entwicklung.

Übertragungsmethode und Infektionsablauf



Bild 1: OSX_DOK.C-Infektionsroutine für Mac-Systeme

OSX_DOK.C wird über eine Phishing-Mail verbreitet, die bestimmte Dateien enthält, entweder als .zip oder .docx. Die von den Sicherheitsforschern von Trend Micro analysierten Samples umfassten eine Nachricht, die vorgeblich von einer Polizeiinspektion in Zürich kam und behauptete, den Empfänger erfolglos kontaktiert zu haben. Zwei angehängte Dateien gaben vor, Fragen für den Nutzer zu enthalten: eine .zip-Datei ist eine gefälschte OSX-App, während die andere .docx-Datei dazu verwendet wird, dieWindows-Betriebssysteme über WERDLOD anzupeilen. Beide Samples arbeiten als Banking-Trojaner und liefern ähnliche Funktionalitäten.

Einige Beispiele von Dateien, die im Mail-Anhang eingesetzt wurden, sind die folgenden:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • docx
  • 06.2017.docx

Weiterlesen