Archiv der Kategorie: Betrug

Cloud of Logs: Kriminelle nutzen die Cloud für ihre Prozesse

Originalartikel von Robert McArdle, Director Threat Research

Es wird viel Wirbel um die Cloud gemacht, und dies ist auch gerechtfertigt. Schliesslich lassen sich mithilfe des Konzepts Ressourcen optimieren, Zeit sparen, die Automatisierung erhöhen und einen Teil der Sicherheitsverantwortung abgeben. Aber auch Cyberkriminelle nutzen die Cloud: Gestohlene Zugangsinformationen und Infos über Nutzer werden in der Cloud vorgehalten und auf Abonnement- oder Einmalbasis vermietet. Trend Micro hat diesen Trend ausführlich untersucht. In einem Sample-Datenset von 1.000 Logs konnten die Sicherheitsforscher 67.712 URLs für kompromittierte Konten identifizieren. Der Zugang zu diesen so genannten „Cloud of Logs“ lässt sich über eine monatliche Gebühr von 350 – 1000 $ erwerben. Die Logs umfassen unter Umständen Millionen E-Mails und Passwörter für beliebte Sites wie Google, Amazon, Twitter, Facebook und PayPal.

Gestohlene Zugangsdaten führen zu kompromittierten Unternehmen, und die Cloud macht diesen Prozess effektiver denn je. Es geht nicht um Kriminelle, die die Cloud-Infrastruktur von Firmen angreifen, sondern darum, dass sie die Cloud-Technologie dafür verwenden, ihre Abläufe zu verbessern und zu erweitern.

Die Wiederverwendung von Zugangsdaten ist ein weit verbreitetes Problem in vielen Unternehmen. Deshalb ist es wichtig, die persönlichen Daten der Mitarbeiter bei einer Risikobewertung des Unternehmens ebenfalls zu berücksichtigen.

Neuer Markt für Cyberkriminalität entsteht

Der Diebstahl von Anmeldedaten hat in den letzten Jahren zugenommen, da Angreifer massenhaft Anmeldedaten und damit verbundene E-Mail-Adressen oder Domänennamen erbeuten. Dies ist eine der grundlegendsten und seit langem bestehenden Bedrohungen für Unternehmen weltweit.

Doch nutzt eine grosse Mehrheit der heutigen Angriffe immer noch die grundlegendsten Sicherheitsschwächen aus: die Wiederverwendung von Passwörtern als eine der häufigsten. So könnte zum Beispiel ein Mitarbeiter ein Passwort für sein persönliches Konto auch als Passwort für seine Unternehmensdomäne wiederverwenden. Und die Anmeldedaten für dieses persönliche Account können in diesen Cloud-basierten Logs landen, um von anderen Kriminellen für einen neuen Cyberangriff wiederverwendet zu werden. Allein in sechs der identifizierten Cloud-Logs fanden die Forscher insgesamt 5 TB Logs, also Millionen kompromittierter persönlicher Nutzerdaten.

Im Allgemeinen sieht ein „traditioneller“ Verlauf von Cyberverbrechen über den Diebstahl von Zugangsdaten folgendermassen aus:

  • Eine kriminelle Gruppe kompromittiert ihre Opfer mit verschiedenen Mitteln und setzt Malware zum Informationsdiebstahl ein, um an die Account-Daten der Opfer (Verbraucher und Unternehmen) zu gelangen. Aufgrund der Wiederverwendung von Passwörtern kann jedes kompromittierte persönliche Konto das Unternehmen in Gefahr bringen.
  • Die Kriminellen lagern diese Accounts an einen zentralen Ort aus, einen Server, den sie kontrollieren.
  • Angesichts des Datenvolumens ist eine manuelle Verarbeitung unmöglich – daher starten sie einige einfache Suchläufe über die Daten, um die erfolgversprechenden Konten und Daten (Kreditkarten, E-Mail, Netflix usw.) zu finden. Für jede dieser zielgerichteten Suchen sieht die Gruppe die Listen manuell durch, um herauszufinden, welche dieser Accounts einen effektiveren Zugriff auf ein hochwertiges Ziel ermöglicht. Das ist zeitaufwändig, wenn man Zehntausende Logs und ein Team von vielleicht einem halben Dutzend Personen zur Verfügung hat, die auch noch andere Rollen in der Gruppe haben – der Prozess kann also Tage bis Wochen dauern.
  • Die nicht genutzten Konten werden gebündelt und auf Untergrundmarktplätzen zum Verkauf angeboten. Dies sind die „Filetstücke“, die sich immer gut verkaufen und die leicht zu verarbeiten sind – aber es lässt sich viel mehr daraus machen. Die Zeit, bis zum Verkauf beträgt nicht mehr als ein paar Wochen, da die Daten mit der Zeit „abgestanden“ sind.
  • Der Rest der Daten wird weitgehend verworfen – obwohl sie für den passenden Käufer von Wert sein könnten.
  • Dann erfolgen die Einbrüche bei neuen Opfern, und der Zyklus geht weiter.

Der neue Ablauf beginnt wie der erste, doch gibt es einige Verbesserungen und Zusätze:

  • Die Gruppe transferiert die Logs nun kurz auf einen zentralen Server und nimmt Kürzungen vor, lädt den Rest dann aber sofort in eine „Cloud of Logs“ hoch. Die Rentabilität der „Cloud of Logs“ und das planbare monatliche Gebührenmodell (das für Streaming-Dienste so gut funktioniert) bedeuten, dass es in ihrem Interesse ist, dies als Haupteinnahmequelle zu betrachten. Dadurch verkürzt sich die Zeit von der ersten Kompromittierung bis zum Verkauf von ein paar Wochen auf Tage oder Stunden.
  • Statt einer Gruppe wird es so viele Gruppen geben, die die Daten durchsuchen, wie die Cloud of Logs-Plattform es erlaubt.
  • Als Ergebnis werden nicht nur mehr Accounts als früher zu Geld gemacht, sondern auch die Zeitspanne vom ursprünglichen Datendiebstahl bis zur Wiederverwendung gegen Unternehmen verkürzt sich von ein paar Wochen auf Tage oder gar Stunden.
  • Da die meisten Verstösse nicht sofort entdeckt werden, hat zum Zeitpunkt der Erkennung häufig bereits eine andere Gruppe von Angreifern den ersten Einbruch für den Zugang zum Netzwerk genutzt, um sich dort auf einem Unternehmensserver einzunisten, oder um Ziele für einen Angriff über Social Engineering, BEC-Betrug oder Ransomware zu finden.

Unabhängig vom Endziel nutzen Kriminelle Cloud-Ressourcen, um schneller zu werden und ihre Angriffe weiter zu streuen.

Neue Rollen in cyberkriminellen Gangs

Kriminelle Unternehmen werden Data-Mining-Spezialisten benötigen, um den grösstmöglichen Ertrag aus jedem Terabyte gestohlener Daten zu erzielen. Diese Rolle in der cyberkriminellen Organisation wird nicht darin bestehen, Zugangsdaten zu stehlen oder zu vermarkten, sondern diese Person wird die Daten nach ihrer Bedeutung trennen. Ein idealer Kandidat in diesem neuen Cloud-gesteuerten Geschäftsmodell wird maschinelles Lernen nutzen, um effizient jeden Datentyp zu identifizieren und den für verschiedene Käufer attraktiven zu bündeln. Datenanalysten und Experten für maschinelles Lernen sowie Cloud-Architekten sind in der Geschäftswelt sehr gefragt, und Cyberkriminelle schätzen deren Wissen genauso.

Folgen für die Verteidigungsstrategie von Unternehmen

Das kriminelle Potenzial der gestohlenen Daten wird in vollem Umfang genutzt, da die Informationen unter verschiedenen Cyberkriminellen verteilt werden, die auf verschiedene Verbrechen spezialisiert sind. Zudem nutzen sie Cloud-Technologien genau wie Unternehmen, um agiler zu agieren.

Für die Verteidigungsstrategie eines Unternehmens ist die Zeitspanne vom Diebstahl einer Information bis zu ihrer Verwendung in einem Angriff viel kürzer. Das bedeutet, Organisationen haben jetzt viel weniger Zeit, um den Vorfall des Diebstahls von Anmeldeinformationen zu erkennen und darauf zu reagieren.

Organisationen müssen die Grundlage ihrer Sicherheitshaltung stärken, um Verstösse schnell zu erkennen. Auch die Schulung von Mitarbeitern bezüglich der Basis der Cybersicherheit und wie ihre Sorgfalt zum Schutz des Unternehmens beitragen kann ist wichtig. .

Den vollständigen Bericht über diesen neuen Markt finden Interessierte hier.

Raffinierter BEC-Betrug trifft französische Unternehmen

Originalbeitrag von Cedric Pernet, Senior Threat Researcher

Die hochgradig anonyme und oft vertraulich ausgelegte Natur des Internets hat zu einer Verbreitung von Betrügereien geführt, die darauf abzielen, von Menschen und Organisationen Geld abzuschöpfen. Trend Micro hat diese Betrügereien im Laufe der Jahre verfolgt und gesehen, wie sie sich von einfachen Schemata zu ausgefeilten Kampagnen entwickelt haben. Eine der gefährlichsten Betrugsmaschen heutzutage ist Business Email Compromise (BEC). Dieser Trick hat Unternehmen 2019 1,7 Mrd. $ Verluste beschert. Trend Micro hat bereits häufig über BEC-Themen berichtet. Ziel dieses Beitrags nun ist es, anhand einer sehr raffinierten Kampagne, die mithilfe von Social Engineering eine Vielzahl von französischen Unternehmen ins Visier nahm, Anwendern nochmals die Gefahren ins Bewusstsein zu bringen.

Bild 1.der Ablauf des BEC-Betrugs

Bei der Recherche verschiedener BEC-Attacken stiessen die Sicherheitsforscher auf einen Vorfall, bei dem böswillige Akteure sich als ein französisches Unternehmen in der Metallverarbeitungsindustrie ausgaben, das seine Dienstleistungen für viele verschiedene Unternehmen anbietet.

Die Täter registrierten am 27. Juli eine Domäne, die der legitimen Domäne des Unternehmens sehr ähnlich ist (wobei die gefälschte Domäne einen falsch geschriebenen Firmennamen hat) und benutzten sie, um E-Mails an ihre Ziele zu senden. Die betrügerische E-Mail, deren Absender sich als echter Mitarbeiter des Unternehmens ausgab, enthielt eine dringende Aufforderung an die Empfänger, die Bankverbindung des Unternehmens auf ein neues Konto bei einer italienischen Bank zu ändern. Die Mail umfasste zwei PDF-Anhänge mit einem Bestätigungsschreiben der durchgeführten Änderung und eine Datei mit den neuen Bankdaten.

Gleich nachdem die Forscher den Betrug bemerkt hatten, wandten sie sich an die Zielfirma (die sehr kooperativ war) und bemühten sich gemeinsam die Auswirkungen auf das Unternehmen zu verhindern. Darüber hinaus hatten sie eine Beschwerde eingereicht und sich an die italienische Bank gewandt, um den Betrugsversuch zu stoppen.

Nachforschungen

Eine Recherche auf der Unternehmens-Website zeigte, dass die Betrüger tatsächlich einen Mitarbeiter der Firma als vorgebliche Absender ausgesucht hatten, der jedoch nicht, wie in der Mail angegeben, in der Buchhaltung beschäftigt war sondern als Webmaster. Möglicherweise wählten sie aufgrund der Informationen, die sie vorher gefunden hatten, eine zufällige Person aus.

Die Betrüger machten interessanterweise einige Fehler:

  • Sie vergassen, den Zielnamen in der Kopfzeile des E-Mail-Inhalts zu ändern und gaben so den Namen eines anderen Ziels Preis. Ein aufmerksamer Mitarbeiter hätte dies möglicherweise als ungewöhnlich bemerken und misstrauisch werden können.
  • Zudem gab es eine weitere Version der PDF-Datei mit dem Konto, das für die Änderung der Bankverbindung verwendet wurde, jedoch nicht die Zielfirma als Konteninhaber auswies sondern eine Einzelperson, deren Namen vor allem in der Elfenbeinküste häufig vorkommt.

Die E-Mail-Adresse für die Registrierung der betrügerischen Domain wurde seit 2019 für die Registrierung mehrerer anderer Domains verwendet, die alle ähnliche Namen wie legitime französische Firmendomains aufweisen, aber auch hier zum Teil mit leichten Fehlern. Die verwendete E-Mail-Adresse schien nicht kompromittiert worden zu sein und wurde wahrscheinlich von den böswilligen Akteuren selbst erstellt.

Aus dieser Liste geht auch hervor, dass die Angreifer auf eine breite Palette von Branchen abzielen. Es konnte zwar nicht bestätigt werden, dass alle diese Domänen für BEC-Betrug genutzt wurden, aber mindestens einen weiteren Fall gab es, in dem die Betrüger eine Organisation aus der Gesundheitsbranche im Visier hatten.

Französische Steuerbehörde als Köder

In vielen BEC-Schemata infizieren die Täter die Rechner ihrer Ziele mit Malware, die es ihnen ermöglicht, E-Mails zu lesen – und damit Informationen zu sammeln. Sobald die Cyberkriminellen Zugang zu den Mailboxen ihrer Ziele haben, suchen sie nach Material über die Personen, die mit den Finanz- und Buchhaltungsabteilungen der Organisation zu tun haben. Darüber hinaus bemühen sich die Angreifer auch um Informationen über die Kunden und Partner des Unternehmens. Mit dieser Methode können sich BEC-Betrüger dann als Mitarbeiter ausgeben, um ein Opfer mittels Social Engineering für ihre Ziele einzuspannen.

Dies ist das übliche BEC-Vorgehen. Für diesen Fall gab es jedoch Beweise, dass die Cyberkriminellen zwar ebenfalls Malware verwendeten, diese letztlich aber gar nicht wirklich brauchten. Stattdessen nutzten sie eine alternative – und zugegebenermassen clevere – Methode, um selbst nach den Finanzdaten ihres Ziels zu fahnden.

Mit Hilfe der betroffenen Organisation konnten die Forscher herausfinden, wie die Cyberkriminellen vorgegangen waren: Sie stellten ihre E-Mails so dar, als stammten sie vom französischen Finanzamt, um Informationen über ihr Ziel zu sammeln. Etwas mehr als zwei Wochen vor der Registrierung der gefälschten Domain schickten die Angreifer eine E-Mail an das Unternehmen, die angeblich vom General Directorate of Public Finances (DGFiP) stammte und Steuernachfragen betraf. In einem PDF-Anhang forderte das vorgebliche Finanzamt Informationen für die Kunden des Unternehmens, Mitarbeiter und Finanzdaten, wobei das Schreiben sehr echt aussah und formuliert war. Lediglich ein aufmerksamer Blick auf die Adresse zeigte eine leichte Unstimmigkeit. Sobald die Betrüger die gewünschten Informationen hatten, konnten sie die nächste Phase des Angriffs starten. Weitere Einzelheiten beinhaltet der Originalbeitrag.

Breitgefächerte Ziele

Eine Suche nach ähnlichen E-Mails in den Systemen der Forscher erbrachte mindestens 73 verschiedene französische Unternehmen, die von diesen Cyberkriminellen anvisiert worden waren.

Bild 2. Die Verteilung der von diesem BEC-Betrug anvisierten Unternehmen nach Branchen

Die am meisten ins Visier genommene Branche in dieser BEC-Kampagne ist die verarbeitende Industrie, insbesondere Fertigungsunternehmen, die High-Tech-Produkte und -Materialien herstellen. Zahlreiche der anvisierten Unternehmen arbeiten mit vielen verschiedenen Dienstleistungsanbietern und Partnern zusammen, so dass Anträge auf Änderungen der Bankverbindungen weniger verdächtig erscheinen. Es ist sehr wahrscheinlich, dass der Betrug weiter verbreitet ist, als dies aus den vorliegenden Daten hervorgeht.

Zusätzlich zur Kontaktaufnahme und Zusammenarbeit mit der ersten untersuchten Organisation, wurden auch die anderen Zielpersonen informiert.

Verteidigung gegen BEC-Angriffe

Unternehmen sind gut beraten, ihre Mitarbeiter bezüglich der Funktionsweise von BEC-Betrug und ähnlichen Bedrohungen zu schulen. Diese Tricks erfordern keine besonderen technischen Fähigkeiten. Sie benötigen lediglich ein einziges kompromittiertes Konto und Services, die im cyberkriminellen Untergrund leicht erhältlich sind. Daher sind folgende Best Practices von grossem Nutzen:

  • Alle E-Mails eingehend prüfen. Besondere Vorsicht ist bei unregelmässig ankommenden E-Mails angebracht, die von hochrangigen Führungskräften verschickt werden, insbesondere bei solchen, die ungewöhnlich dringlich scheinen. E-Mails, in denen es um Forderungen nach Geld geht, sollte immer geprüft werden, ob es sich um ungewöhnliche Anfragen handelt.
  • Das Bewusstsein der Mitarbeiter schärfen. Mitarbeiter müssen geschult werden, Unternehmensrichtlinien überprüft und gute Sicherheitsgewohnheiten aufgebaut werden.
  • Verifizieren aller Änderungen des Zahlungsziels von Lieferanten, indem eine zweite Unterschrift eines Firmenmitarbeiters gefordert wird.
  • Mit Kundengewohnheiten auf dem Laufenden sein, einschliesslich der Details und Gründe für Zahlungen.
  • Anfragen immer verifizieren. Bestätigen der Anfragen für Geldtransfers mit Hilfe der telefonischen Verifizierung als Teil der Zweifaktor-Authentifizierung (2FA). Dabei sollten bekannte, vertraute Nummern und nicht die in den E-Mail-Anfragen angegebenen Details genutzt werden.
  • Unverzügliche Meldung eines jeden Vorfalls an die Strafverfolgungsbehörden oder bei der Beschwerdestelle für Internet-Kriminalität (IC3).

Trend Micro-Lösungen

Die E-Mail- sowie Endpoint-Sicherheitsfähigkeiten der Trend Micro User Protection– und Network Defense-Lösungen können Mail-Nachrichten blocken, die in BEC-Angriffen verwendet werden, und erkennen auch fortgeschrittene Malware. Die InterScan Messaging Security Virtual Appliance als Teil der User Protection-Lösungen bietet Schutz vor Angriffen, die Social Engineering-Taktiken verwenden, wie etwa BEC.

Kriminelle Methoden: Das Bulletproof Hosting-Geschäft

Originalartikel von Vladimir Kropotov, Robert McArdle und Fyodor Yarochkin, Trend Micro Research

Viele cyberkriminelle Aktionen zeigen ein gewisses Mass an Organisation, Planung und irgendeine Form der Grundlage, die den technischen Scharfsinn des Einzelnen oder der Gruppe dahinter widerspiegelt. Zum Modus Operandi eines Cyberkriminellen gehört die Nutzung der Untergrundinfrastruktur. In der Reihe „Underground Hosting“ haben die Autoren dargelegt, wie cyberkriminelle Waren in den Marktplätzen verkauft und welche Arten von Dienstleistungen angeboten werden. Dieser letzte Teil der Reihe widmet sich den Methoden, die Kriminelle anwenden, um ihre Güter zu sichern und im Geschäft zu überleben.

Da Infrastruktur-anbietende Plattformen sehr unterschiedlich sind, ist es schwierig, bösartige Quellen aufzudecken.

Das Whitepaper „The Hacker Infrastructure and Underground Hosting: Cybercrime Modi Operandi and OpSec“ beleuchtet das Ökosystem des Bulletproof Hostings aus Sicht der Kriminellen und zeigt deren „Überlebensstrategien“ sowie die Hauptschwächen, die Forschern und den Strafverfolgungsbehörden bei ihrer Arbeit helfen können.

Kriminelle Verkäufer nutzen zum Schutz ihrer Geschäfte unterschiedliche Mechanismen. Die Angebote bei diesen „Geschäften“ sind häufig auf die jeweiligen Wünsche und Forderungen der Kriminellen abgestimmt. Bulletproof-Hosting (BPH)-Services, auch als missbrauchsresistente Dienste bekannt, und in einigen Fällen auch Offshore-Hosting, umfassen in der Regel kompromittierte Assets und Infrastrukturen mit einem hohen Mass an Widerstandsfähigkeit gegen Missbrauch. Die Provider bieten ihren Kunden oft Unterstützung an, indem sie frühzeitige Benachrichtigungen über Missbrauchsanfragen austauschen und sogar Server automatisch in einen anderen IP-Raum verschieben.

Ein Bulletproof Host setzt verschiedene Methoden ein, um die unter seinen Fittichen operierenden Verbrechen aufrechtzuerhalten und Schutz vor den Strafverfolgungsbehörden zu bieten. Die BPH-Dienste tendieren dazu, Ressourcen strategisch global zu verteilen und dabei lokale Vorschriften und geografische Besonderheiten zu berücksichtigen. Eine Darstellung der Merkmale von Bulletproof-Hosting Providern liefert der Originalbeitrag.

Das Hosting auf kompromittierten Assets ist die billigste Variante, mit dem Vorbehalt, dass die Hosts nicht lange überleben. Hosting-Anbieter, die über ihre Rechenzentren und Infrastruktur verfügen, sind für Systeme rentabler, die eine langfristige Verfügbarkeit erfordern.

IP-Adressen, die ein Untergrundforum zwischen Januar und April 2020 genutzt hat

Die Überlebensfähigkeit der Hosts hängt von der Anpassungsfähigkeit der Betreiber ab. Wenn das Geschäft eingestellt wird, können als Reaktion auf Missbrauchsanfragen neue Briefkastenfirmen gegründet werden. Ein Upstream-Provider könnte IP-Bereiche einfach in neue Unternehmen übertragen. Einige Provider verlagern sogar ihren Virtual Private Server (VPS), um es den Strafverfolgungsbehörden zu erschweren, Systeme zu beschlagnahmen. In Verbindung mit Front-End-Reverse-Proxies gewährleisten Hosts auch eine Hochverfügbarkeit der Dienste. Zum Beispiel kann ein Host für einen bestimmten Zeitraum kontinuierlich von einem Standort aus agieren, bevor er aktiv zwischen verschiedenen Ländern hin- und herwechselt.

Die von Kriminellen bevorzugten Standorte nach Ländern, Aktivitäten (auf der Basis des Hosting-Feedbacks von Untergrundakteuren)

Achtung: [Y]es: Untergrund-Akteure erwähnen diesen Standort; [N]o: Untergrund-Akteure raten aktiv von der Nutzung diesem Standort ab; [M]aybe: Untergrund-Akteure erwähnen gelegentlich diesen Standort mit Einschränkungen, etwa die Zielregion

Aufgrund der vielen standortabhängigen Unterschiede bei Beschränkungen und Dienstleistungen kombinieren kriminelle Verkäufer Vorteile, um ihr Geschäftsmodell zu optimieren. Viele der BPH-Anzeigen beschreiben nicht nur die Art des Hostings, sondern auch das Land, in dem sich die Ausrüstung physisch befindet.

Die BPH-Anbieter scheinen auch gut über die regionalen Rechtsvorschriften informiert zu sein und darüber, wie die Strafverfolgungsbehörden reagieren und international zusammenarbeiten. Es ist üblich, dass die Betreiber die Anzahl nützlicher Log-Dateien minimieren und von anonymen Quellen wie Tor-Netzwerken auf das System zugreifen.

Auch gibt es die Möglichkeit, genauso wie in der legalen Welt, im Markt vorhandene Hosting Provider zu vergleichen. Unter anderem fanden die Forscher eine Site, auf der mehr als 1.000 Hostings miteinander verglichen wurden, und zwar nach verschiedenen Fähigkeiten, Kategorien sowie Kundenbeurteilungen.

Kriminelle Ansätze zur Vermeidung von DDoS –Angriffen und Forum Scraping

Untergrundforen sind häufige Ziel von Distributed Denial of Service (DDoS)-Angriffen durch verärgerte Forumsmitglieder und Konkurrenten. Eine Ausfallzeit kann den Ruf eines Forums erheblich beeinträchtigen und folglich dazu führen, dass Mitglieder zu Foren von Konkurrenten wechseln. Der Schutz vor DDoS-Angriffen hingegen erhöht den Ruf eines Forums als stabile Plattform.

Ein über einen DDoS-Schutzservice gesichertes Forum

Forumsbetreiber setzen auch verschiedene Mechanismen gegen automatisiertes Scraping ihrer Inhalte ein. Sicherheitsforscher und Strafverfolgungsbehörden setzten auf Scraping, um die Aktivitäten der Akteure im Untergrund zu analysieren. Einige Foren ermöglichen temporären oder nicht autorisierten Nutzern den Zugriff auf lediglich zehn Seiten innerhalb von 24 Stunden.

Wie legitime Websites verwenden auch kriminelle Foren Captcha-Systeme, um ihre Seiten vor automatischem Scraping und Besuchen durch Suchmaschinen und Bots zu schützen. Einige Underground-Akteure haben sie sich jedoch kreative Ersatzlösungen für Captcha ausgedacht. Sites stellen in der Regel zufällige Fragen zu verschiedenen Anwendungsbereichen – einige davon erfordern Kenntnisse über den kulturellen Hintergrund des Zielpublikums des Forums.

Beispiele der Fragen, die statt Captcha genutzt werden

Der Screenshot zeigt ein Beispiel für ein solches System, das mit einer Kategorie von Fragen zum Allgemeinwissen beginnt, bevor es zu einer Frage geht, die Nicht-Muttersprachler, die sich auf maschinelle Übersetzung verlassen, überfordern könnte.

Kommentar von Trend Micro zum Cyberangriff auf Twitter

Von Richard Werner, Business Consultant bei Trend Micro

Mit einem hörbaren Paukenschlag gab Twitter gestern bekannt, dass Profile verschiedener Prominente gehackt wurden. Einen Tag danach und nachdem nun auch die Hintergründe der Tat deutlicher werden ist es an der Zeit, die Geschehnisse einzuordnen. Passend zu den Cyber-Halunken, die hier offensichtlich am Werk waren, orientieren wir uns dabei am Titel eines bekannten Spaghetti-Western: 

The Good: Unter den Prominenten deren Accounts übernommen wurden, sind einige hochrangige Politiker zu finden – unter anderem der gegenwärtige US-Präsidentschaftskandidat Joe Biden. Es ist unschwer zu erkennen, welch hoher politischer Zündstoff bis hin zu internationalen Spannungen ein Angriff auf solche „hochkarätigen“ Accounts haben könnte. Hätten die Angreifer politische Motive gehabt, könnte der Schaden ungleich grösser sein. Es ist deshalb fast schon als „gut“ zu bezeichnen, dass es sich hier lediglich um „gewöhnliche Cyberkriminelle“ handelte, die letztlich auf monetäre Gewinne aus waren.

The Bad: Die hier angewandte Methodik, Menschen auszutricksen ist nicht neu und auch nicht besonders originell. Immer wieder gibt es Versprechen, überwiesene Geldbeträge zu vervielfachen oder anderweitig riesige Gewinne zu erwirtschaften, wenn nur zunächst ein kleiner Betrag investiert würde. Sogenannte „Get Rich Quick“-Schemata helfen in der Regel jedoch nur den Erfindern. Alle anderen verlieren ihr Geld, weil es sich schlicht und ergreifend um Betrug handelt. Das Schlechte ist, dass dieser Vorfall eindringlich zeigt, wie einfach es Cyberkriminellen fallen kann, Gewinne zu machen. Dieser Scam war nur kurze Zeit aktiv und dennoch gelang es Berichten zu folge, mindestens 100 Personen zu finden, die bedenkenlos die nicht unbeträchtliche geforderte Summe von 1.000 US-Dollar „investierten“. Dadurch wird es Nachahmungstäter geben. Welche Wege diese nutzen werden, bleibt abzuwarten. Deshalb der wichtige Hinweis: Glauben Sie es grundsätzlich nicht, wenn Ihnen jemand über Online Medien verspricht Ihr Geld zu verdoppeln!

The Ugly: Bei der Rekonstruktion des Angriffs zeigt sich, dass auch dieser einem Schema folgt. Es handelt sich um einen sogenannten Supply-Chain-Angriff. Hierbei wird die Infrastruktur eines initialen Opfers (in diesem Fall Twitter) angegangen und soweit möglich übernommen. Das eigentliche Ziel der Hacker ist es in solchen Fällen jedoch, die Kunden des initialen Opfers zu erreichen. Besonders hinterhältig ist dabei: Für diese Kunden ist der Angriff oft kaum abzuwehren, weil er aus einer eigentlich vertrauenswürdigen Quelle stammt und oft technisch erst einmal gar nicht als Angriff identifiziert werden kann. Die Täter nehmen dafür einen relativ hohen Aufwand ein Kauf, um das erste Opfer zu infiltrieren. Laut Twitter schloss dies hier sogar einen Insider mit ein.

Dafür kann der Angriff auf die finalen Opfer dann weitestgehend automatisiert werden, um so auf eine Weise zu skalieren, die in den meisten anderen Angriffsmethoden nicht funktioniert. Im vorliegenden Fall konnten die Täter so innerhalb weniger Stunden bis zum Auffliegen der Tat Millionen Menschen mit Ihrer Botschaft erreichen – die Schadenssumme hätte also sogar noch um ein Vielfaches höher sein können. Auch für dieses Schema wird es weitere Nachahmer geben. Wie Trend Micro in seinen Sicherheitsvorhersagen für 2020 prophezeit hat, befinden sich Supply-Chain-Angriffe derzeit auf dem Vormarsch. Unternehmen tun gut daran, sich dieses Risiko bewusst zu machen. Bei Twitter ging es um bösartige Tweets und das „Get Rich Quick“-Schema. In anderen Fällen geht es um Ransomware und Sabotage. Seien Sie sich stets darüber im Klaren, dass solch medienwirksame Taten immer Nachahmer provozieren!   Richard Werner steht Ihnen zu diesem Thema auch jederzeit gerne für ein Gespräch zur Verfügung. Sprechen Sie uns dafür gerne an.

Russische Gruppe führt mehr als 200 BEC-Kampagnen

Eine russische Gruppe namens Cosmic Lynx hat mehr als 200 Business Email Compromise (BEC)-Kampagnen gegen hunderte multinationaler Unternehmen geführt, so das Sicherheitsunternehmen Agari. Die Kampagnen gab es seit 2019 in 40 Ländern, und die Kriminellen verlangten von ihren Opfern insgesamt 1,27 Millionen Dollar.

Wie viele andere Gruppen zielte auch Cosmic Lynx auf gehobene Führungskräfte in Positionen wie Geschäftsführer (28%), Vizepräsident (24%), General Manager (23%), CEO (8%), Finanzchef (7%), Präsident (7%) und andere (4%).

Um diese Ziele zu täuschen, bedienen sich die Cyberkriminellen einer zweifachen Identitätstäuschung: Zuerst geben sie sich als der CEO des Unternehmens aus, dann als legitimer Anwalt einer in Großbritannien ansässigen Anwaltskanzlei. Zuerst schicken die Angreifer, die sich als CEO des Unternehmens ausgeben, eine Email an einen Mitarbeiter, in der sie auf die Notwendigkeit eines „externen Rechtsbeistands“ hinweisen. In der Email heisst es, dass es sich um eine zeitkritische Angelegenheit handele, um ein Gefühl der Dringlichkeit zu erzeugen. Antwortet der Mitarbeiter, wird er aufgefordert, sich per Mail mit einem angeblichen Anwalt auszutauschen und soll dann Geld an Konten überweisen, die vorgeblich mit der Anwaltskanzlei in Verbindung stehen, in Wirklichkeit aber von der Gruppe kontrollierte Scheinkonten sind. Die geforderten Summen belaufen sich auf 1,27 Millionen von US-Dollar.

Bei den meisten Angriffen werden kostenlose Mail-Konten und Domänen verwendet, die eine sichere Mail- und Netzwerkinfrastruktur nachahmen (z.B. Secure-Mail-Gateway, verschlüsselter SMTP-Transport, MX-Secure-Net). Die Gruppe registrierte auch einige ihrer Domänen bei einem Bulletproof Hosting- und einem anonymen Domänen-Provider.

Neben BEC wurde die Gruppe auch mit anderen bösartigen Aktivitäten wie die Verbreitung von Emotet, Trickbot und Click-Fraud-Malware in Verbindung gebracht. Sie sollen auch hinter einem Carding-Marktplatz und gefälschten Dokumenten-Websites stecken.

Die Verluste durch BEC betrugen 2019 1,7 Milliarden Dollar, berichtet das FBI.

Kampf gegen BEC

Die von Trend Micro™ Cloud App Security entdeckten BEC-Versuche stiegen von mehr als 100.000 in 2018 auf fast 400.000 in 2019, ein Mehr von 271%. Diese Spitzenwerte sind beachtlich, wenn man bedenkt, dass viele BEC-Kampagnen keine innovativen Taktiken anwenden müssen, um erfolgreich zu sein. Die Nachahmung von Schlüsselfiguren im Unternehmen, die Andeutung von Dringlichkeit und die Nutzung aktueller Ereignisse als Lockmittel (wie die Coronavirus-Pandemie) sind nur einige der bewährten Strategien, die von Cyberkriminellen eingesetzt werden, um ahnungslose Mitarbeiter zu täuschen. Durch die ständige Entwicklung neuer Techniken durch Cyberkriminelle, wie die Verwendung von Deepfakes, neuen Kanälen und verschiedenen Dateiformaten für Anhänge, wandelt sich BEC weiterhin zu einer noch ernsteren Bedrohung.

Um das Risiko finanzieller Verluste durch BEC-Betrug zu vermeiden, sollten Unternehmen ihre Mitarbeiter mit folgenden Best Practices vertraut machen:

  • Verifizieren von Anfragen für Geldüberweisungen durch Bestätigung der Richtigkeit des Absenders mit anderen Mitteln als Mail. Festlegen eines zweiten Freigabeprozesses ist auch empfehlenswert.
  • Untersuchen von Mails, um gefälschte Adressen zu erkennen. Einige Kampagnen verwenden Emails, die den echten Adressen bis auf einen geringfügigen Unterschied in einigen wenigen Zeichen sehr ähnlich sind.
  • Wissen über die jeweils neuesten Mail-Betrügereien hilft dabei, diese schneller zu erkennen.

Unterstützung beim Blockieren von BEC-Bedrohungen liefern auch Sicherheitslösungen, die auf künstliche Intelligenz und Machine Learning setzen.

  • Trend Micro Cloud App Security kann Microsoft Office 365- und andere Cloud-Services über Sandbox Malware-Analysen für BEC und andere fortgeschrittene Bedrohungen schützen.
  • Trend Micro™ Email Security analysiert Email Header und Inhalte mithilfe von fortschrittlichem maschinellem Lernen und ausgeklügelten Regeln, um BEC und andere Bedrohungen zu erkennen und zu stoppen.

Aktuell: Netflix-Betrugsmasche in Zeiten des Coronavirus

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Trend Micro Research untersuchte eine neue Betrugsmasche und Phishing-Taktik, die über den Facebook Messenger ausgeführt wird.

Es geht um Nachrichten, die ein kostenloses zweimonatiges Netflix Premium-Abo versprechen:

Bild 1. Schnappschuss der betrügerischen SMS

Eine Short URL (hxxps://bit[.]ly/34phlJE) wird über Facebook Messenger geschickt und leitet die nichtsahnenden Opfer auf zwei mögliche Seiten um.

Erstes Szenario

Ist der Nutzer bereits in sein Facebook-Konto eingeloggt, wird er einfach weiter auf eine gefälschte Netflix-Seite umgeleitet:

Bild 2. Betrügerische Netflix-Seite

Die Seite greift die Facebook-Anmeldeinfos des Opfers ab und erzeugt ein aktives Abo für eine App namens „NeTflix“ in Facebook. Die App ist lediglich ein Hinweis darauf, dass der Nutzer bereits kompromittiert ist. Klickt ein bereits abonnierter Nutzer abermals auf den bösartigen Link, so wird er auf eine zweite Seite umgeleitet (siehe zweites Szenario).

Zweites Szenario

Nutzer, die nicht in ihrem Facebook-Konto angemeldet sind, werden auf die Facebook-Anmeldeseite umgeleitet und nach Angabe ihrer Login-Infos an die betrügerische Seite aus dem ersten Szenario weiter geleitet.

Klickt der Nutzer den „Not now“-Button an, wird er zur gefälschten Netflix-Seite geleitet. Hier findet er ein gefälschtes Netflix-Angebot und eine Umfrage mit Fragen zu COVID-19 und den eigenen Sauberkeitsgepflogenheiten. Die Betrüger nutzten kostenlose, neu erstellte Domänen, die keinen Bezug zu Netflix haben.

Bild 3. Betrügerisches Netflix-Angebot

Zuletzt wird der Nutzer aufgefordert, die Umfrage mit zwanzig Freunden oder fünf Gruppen zu teilen oder diese aufzufordern, die Umfrage ebenfalls auszufüllen, bevor er fortfahren kann und das gefälschte kostenlose Netflix-Abo erhält.

Unabhängig davon, ob Benutzer am Ende der Umfrage auf ‚Senden‘ oder ‚Weiter‘ klicken, werden sie auf dieselbe Seite weitergeleitet – eine Facebook-Freigabeaufforderung. In diesem nächsten Schritt werden die Opfer erneut angehalten, bösartige Links über „Teilen“ für Facebook-Kontakte zu verbreiten. Danach soll sich der Nutzer bei Facebook anmelden. Nach der Anmeldung werden sie zu einem automatisch generierten Beitrag weitergeleitet. Wenn Sie auf „Post“ klicken, wird ein Status über den bösartigen Link auf der Facebook-Seite des Nutzers gepostet.

Trend Micro hat die folgenden URLs als bösartig erkannt und sie bereits blockiert:

  • hxxp://bit[.]ly/3ec3SsW — flixx.xyz
  • hxxp://bit[.]ly/2x0fzlU — smoothdrive.xyz
  • hxxp://bit[.]ly/39ZIS5F — flixa.xyz

Empfehlungen

Diese Art von Angriffen lassen sich vermeiden:

  • Keine Links oder geteilte Dateien aus unbekannten Quellen anklicken.
  • Prüfen, ob die geteilte Information aus einer legitimen Quelle stammt.
  • Prüfen der URLs oder Websites, die nach persönlichen Informationen fragen.
  • Keine persönlichen Informationen oder Anmeldedaten an nicht verifizierte Sites geben.

Einzelheiten zu den Bedrohungsarten sowie zu früheren bösartigen Kampagnen liefern die entsprechenden Blogeinträge. Darüber hinaus sind dies die aktuellen Zahlen zu COVID-19 bezogenen Bedrohungen im ersten Quartal 2019.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Zusätzliche Informationen und Hilfsangebote von Trend Micro in der Corona-Krise finden Sie hier.

Aktuell: Coronavirus hat Hochkonjunktur in Untergrundforen und -märkten

Von Trend Micro

Cyberkriminelle nutzen die Coronakrise in verschiedenen bösartigen Kampagnen. Das Virus wird als Köder in Email Spam, für BEC, Malware, Ransomware und in bösartigen Domänen eingesetzt. Und je weiter die Zahl der vom Virus Betroffenen weltweit steigt, desto mehr solcher Malware-Kampagnen entdecken die Sicherheitsforscher, die ständig weltweit Samples zu solchen Corona-bezogenen Aktivitäten sammeln. Der Beitrag beschreibt Angriffskampagnen, zeigt Schutzmaßnahmen auf und wird immer wieder aktualisiert! Neben den aktuellen Kampagnen, beherrscht das Coronavirus auch die Untergrundforen.

Update 1. April

Untergrundforen und cyberkriminelle Marktplätze funktionieren auf dieselbe Weise wie legitime Handelsplätze: Die Anbieter achten auf die Weltnachrichten und Märkte und verdienen Geld, indem sie die jeweiligen Marktbedürfnisse bedienen.

Bild 1. Ein beliebtes Untergrundforum hat begrenzte Coronavirus-Preise geschaffen, bei denen man ein Toilettenpapier oder ein „Coronavirus“-Symbol kaufen kann, um es dem Benutzerprofil hinzuzufügen.

Wie immer bei Naturkatastrophen oder großen Weltereignissen missbrauchen Cyberkriminelle auch die aktuelle Coronavirus-Pandemie (COVID-19) in Untergrundforen und bieten im Zusammenhang mit COVID-19 Phishing, Exploits und Malware an. So verlangt ein Forumsnutzer 200 $ für einen privaten Build eines Coronavirus Phishing Exploits und weitere 700 $ für ein Code Signaturzertifikat.

Bild 2. Coronavirus Phishing Exploit in einem russischen Untergrundforum

Des Weiteren nutzen Cyberkriminelle die Tatsache aus, dass die Menschen in vielen Ländern zum Teil Mühe haben, sich mit dem Notwendigen zu versorgen. Toilettenpapier und Gesichtsmasken sind sehr gefragt. Das Trend Micro Forward-Looking Threat Research (FTR) Team stellte fest, dass in zahlreichen Untergrundforen inzwischen Artikel wie N95-Masken, Toilettenpapier, Ventilatoren, Thermometer und andere krisenspezifische Artikel verkauft werden. Es gibt Angebote für N95-Masken für je 5 $ und Toilettenpapierrollen für 10 $. Bei sinkenden Lagerbeständen gibt es Diskussionen in den Untergrundforen, ob jetzt ein guter Zeitpunkt wäre, in Bitcoins zu investieren. Der Wert der Bitcoins ist innerhalb eines Monats von 8.914 $ (27. Februar) auf 6.620 $ (27. März) gesunken.

Bild 3. Angebot von N95-Masken in einem Forum

Einige Verkäufer verwenden „Coronavirus“ als Stichwort im Titel oder im Text ihrer Werbung, um den Verkauf zu steigern. Auch wird darüber diskutiert, wie das Virus für Social-Engineering-Betrügereien eingesetzt werden kann. Um etwa die Verifizierung bei großen Transaktionen zu umgehen, könnte der Nutzer erwähnen, dass das überwiesene Geld für ein vom Virus betroffenes Familienmitglied bestimmt war oder dass eine Ausgangssperre ihn daran hinderte, die Transaktion persönlich abzuschließen.

Bild 4. Darkweb-Marktplatz bietet „coronavirus Sale” für Marijuana an

Auch Untergrundverkäufer haben Umsatzeinbuße, weil weniger Menschen Geld ausgeben. Die Untergrundgeschäfte, die abhängig sind von Strohmännern (Money Mules) und Dropshipping, gehen ebenfalls zurück, da die Strohmänner aus Angst vor dem Virus nicht mehr mitmachen. In mehreren Foren wird auch diskutiert, wie man sich vor COVID-19 schützen kann, wie man Handdesinfektionsmittel herstellt, wie mit den Ausgangssperren in den Städten zurechtzukommen ist und andere Fragen im Zusammenhang mit dem Virus.

Die Daten aus dem Trend Micro Smart Protection Network zeigen die Vielfalt der Bedrohungen, die COVID-19 zur Manipulation der Ziele einsetzen. Die Grafik hebt hervor, dass Spam der am häufigsten genutzte Vektor ist

Bild 5. Verteilung der Bedrohungen, die auf COVID-19 beruhen

Einzelheiten zu den Bedrohungsarten sowie zu früheren bösartigen Kampagnen im März liefern die entsprechenden Blogeinträge.

Schutz vor diesen Bedrohungen

Endpoint-Lösungen von Trend Micro wie Smart Protection Suites und Worry-Free™ Business Security können die Malware und damit zusammenhängende Domänen erkennen und blockieren. Als zusätzliche Verteidigungsschicht kann Trend Micro™ Email Security Spam und andere Email-Angriffe vereiteln. Der von der Lösung gebotene Schutz wird kontinuierlich aktualisiert, um sicherzustellen, dass das System sowohl vor alten als auch neuen Angriffen gefeit ist. Trend Micro™ InterScan™ Messaging Security liefert umfassenden Schutz, der nach innen gerichtete Bedrohungen stoppt und nach außen gehende Daten sichert. Die Lösung blockiert Spam und andere Email-Bedrohungen. Ein mehrschichtiger Sicherheitsansatz ist darüber hinaus empfehlenswert, um alle Fronten zu schützen und Benutzer am Zugriff auf bösartige Domänen, die Malware liefern könnten, zu hindern.

Angriffe und Bedrohungen für eSports

Originalartikel von Mayra Rosario Fuentes und Fernando Mercês

eSports hat sich von einem Randgebiet der Unterhaltung in eine hoch lukrative Industrie gewandelt. Steigende Werbeeinnahmen und Sponsoring sorgen für mehr Turniere und damit auch für einen zunehmenden Preistopf. Diese Entwicklung weckt aber auch bei Cyberkriminellen Begehrlichkeiten. Betrugsmittel und Hacks gibt es in Untergrundmärkten in Hülle und Fülle, und sie richten sich an Spieler, die nach einem unfairen Vorteil in Turnieren suchen. Kriminelle Gruppen sind auch dafür bekannt, Distributed Denial of Service (DDoS) und Ransomware-Angriffe, Zero-Day-Exploits, Datendiebstähle und gezielte Malware gewinnbringend einzusetzen. Trend Micro geht davon aus, dass in den nächsten drei Jahren noch mehr Bedrohungen die florierende eSports-Industrie ins Visier nehmen werden. Vor allem vier Bedrohungen erwarten die Sicherheitsforscher in naher Zukunft.

Hardware Hacks

Betrug in eSports-Wettkämpfen ist nicht auf Software-Hacks beschränkt, denn auch die in den Turnieren verwendete Hardware lässt sich manipulieren. Viele professionelle Turniere erlauben es den Spielern, ihre eigene Hardware mitzubringen, so etwa eine Maus und Tastatur – bekannt für Hack-Möglichkeiten. Vor einem Jahr wurde beispielsweise ein Team in einem 15 Mio. $-Turnier disqualifiziert, nachdem die Jury einen der Spieler mit einer programmierbaren Maus erwischt hatte.

Andere Methoden sollen Mechanismen zur Erkennung von Betrug umgehen. So wurde 2018 beispielsweise „Ra1f“ beim Einsatz eines augeklügelten Hardware-Betrugs für Counter-Strike erwischt: Global Offensive konnte die ESEA Anti-Betrugstechnik umgehen. Die technischen Einzelheiten dazu lesen Sie im Originalbeitrag.

Bild 1. PCI Express-Ausrüstung wird für den Betrug genutzt

Bei der Recherche im Untergrund nach erhältlichen Hardware-Hacks fanden die Forscher Hacks, die einen Arduino- oder einen Rubber Ducky USB erforderten. Beide Geräte sind für legitime Zwecke im Einsatz und im Handel leicht erhältlich. Untergrundhändler aber bieten die Hardware mit zusätzlicher Betrugssoftware an, oder auch so modifiziert, dass sie der Entdeckung entgehen können. Eine Website offerierte diese angepasste Hardware für 500 $ aufwärts.

DDoS-Angriffe

DDoS-Angriffe können zu schwerwiegenden Verzögerungen führen, ein kritisches Problem in Wettbewerben, in denen Treffer im Millisekundenbereich über Gewinn und Verlust entscheiden können. Ein DDoS-Angriff kann Reputationsschäden in einem Turnier verursachen oder als Spieltaktik verwendet werden. Ein weiteres Ziel könnte auch Erpressung sein, wobei die Kriminellen Geld von Veranstaltern verlangen, um die Störung zu stoppen.

Für diese Angriffe gibt es bereits eine Vielfalt an Angeboten im Untergrund, so etwa DDoS-Tools, bezahlte Services und sogar Schutzofferten vor DDoS.

Bild 2. Werbung für einen DDoS service in einem Untergrundforum

Da diese Spiele meist live stattfinden, könnten eSports-Organisatoren unter Druck geraten und auf cyberkriminelle Forderungen eingehen, um Störungen zu verhindern oder abzustellen.

Angreifbare Game-Server

Server werden ein beliebtes Ziel für Hacker werden, sind sie doch der Einfallsweg für Spieleunterbrechung und Informationsdiebstahl. Die Sicherheitsforscher scannten mithilfe von Shodan nach Servern für eSports, einschließlich solcher, die von privaten Organisationen und Spielern betriebenen: Sie fanden 219.981 zugängliche Server (bis 25. Juli, 2019).

Server sind von Natur aus online und damit verschiedenen Risiken ausgesetzt. Über Shodan können Cyberkriminelle einfach eine quelloffene, intelligente Suche in verschiedenen geografischen Regionen, Organisationen, über Geräte, Services usw. hinweg durchführen. Die von Shodan gesammelten Software- und Firmware-Informationen helfen, nicht gepatchte Sicherheitslücken in zugänglichen Cyber-Posten zu finden. Interessierte finden eine Aufstellung von Schwachstellen im Originalbeitrag.

Gezielte Malware

Es gab bereits Vorfälle, bei denen Spieler Ziel von Ransomware wurden. 2018 griffen Cyberkriminelle Spieler mit Ransomware an und forderten sie auf, PlayerUnknown’s Battlegrounds (PUBG) zu spielen, um ihre Dateien zu entsperren. Diese Art von Aktivitäten wird zunehmen, weil Turniere und Spieler immer mehr im Rampenlicht stehen und damit zu attraktiven Zielen werden. Die Kriminellen zielen meist auf beliebte Spiele wie Fortnite und Counterstrike und wollen da valide Konten übernehmen, die sie dann im Untergrund anbieten. „Elite“-Konten, also die im Ranking am höchsten stehenden, sind natürlich teurer.

Bild 3. CS:GO-Konten mit „The Global Elite“-Rang kosten 99$

Außerdem kompromittieren die Kriminellen Konten, um Zugriff auf Kreditkartendaten zu erlangen und In-Game-Waren für den Wiederverkauf zu erwerben. Die Forscher gehen davon aus, dass Hacker berühmte Social Media-Accounts bekannter Twitch- und YouTube-Spieler kompromittieren, entweder um Lösegeld zu verlangen oder um sie als Plattform für die Verbreitung einer Botschaft zu nutzen. Cyberkriminelle werden nach Konten mit mehreren Millionen Follower suchen und gezielte Phishing-Angriffe und Malware einsetzen, um diese Konten zu übernehmen.

Sicherheitsempfehlungen

Die eSports-Industrie wird mit der gleichen Art und Schwere von Cyberangriffen zu kämpfen haben, wie die Gaming-Community es bereits tut – allerdings in größerem Umfang. Dies sind Bedrohungen, denen alle an eSports beteiligten Unternehmen ausgesetzt sind. Eine solche Gefährdung kann zu Identitätsdiebstahl, finanziellem Verlust und sogar zu Reputationsschäden führen.

Alle Parteien müssen sich der Online-Sicherheit besser bewusst sein und sicherstellen, dass Profile und Konten sicher aufbewahrt werden. Unternehmen müssen ihr Wissen um die Bedrohungslandschaft von eSports umfassend vertiefen und geeignete Sicherheitslösungen für anspruchsvolle Cyberangriffe bereitstellen.

Die eSports-Industrie ist jedoch nicht unvorbereitet. Gaming-Firmen und Organisatoren suchen ständig, neue Betrugstechniken und -Tools zu erkennen, und bereits jetzt sind zahlreiche Anti-Betrugsdienste verfügbar, die speziell auf den Schutz von eSports und Spielewettbewerben ausgerichtet sind. Weitere Informationen zu den Bedrohungen für eSports finden Sie im Bericht „Cheats, Hacks, and Cyberattacks: Threats to the Esports Industry in 2019 and Beyond”.