Angriffe auf Unternehmensnetze: Cyber-Kriminelle betreiben verstärkt Social Engineering

FireEye stellt Report mit solchen Begriffe vor, die häufig als Köder in E-Mails eingesetzt werden

[datensicherheit.de, 25.09.2012] Die FireEye® Inc. in Milpitas, US-Staat Kalifornien, versteht sich selbst als „das führende Unternehmen beim Schutz vor fortschrittlichen Cyber-Attacken“. Am 25. September 2012 hat FireEye einen Report mit dem Titel „Begriffe, die am häufigsten bei Spear-Phishing-Angriffen benutzt werden, um Unternehmensnetzwerke erfolgreich zu gefährden und Daten zu stehlen“ („Top Words Used in Spear Phishing Attacks to Successfully Compromise Enterprise Networks and Steal Data”) vorgestellt.
Die zugrundeliegende Untersuchung sollte „Social-Engineering“-Techniken aufzeigen, die Kriminelle heute bei Angriffen via E-Mail anwenden. Gemäß den vorliegenden Ergebnissen würden vor allem Begriffe verwendet, die eine gewisse Dringlichkeit vermittelten und damit unvorsichtige Empfänger dazu verleiteten, Schadsoftware herunterzuladen. Am häufigsten fänden sich dabei Wörter aus der dem Bereich „Express-Versand“, um klassische IT-Sicherheitsmaßnahmen zu umgehen. Laut aktueller Daten aus dem „Advanced Threat Report” von FireEye für das erste Halbjahr 2012 habe die Zahl an Angriffen, die über E-Mail erfolgen, um 56 Prozent zugenommen. Diese fortschrittlichen Attacken umgingen dabei die traditionellen, signatur-basierten Abwehrmechanismen und setzten darauf, dass unwissende Nutzer sich zur Installation von Malware verleiten lassen.
Cyber-Kriminelle veränderten und verbesserten kontinuierlich ihre Taktiken, um unentdeckt zu bleiben und mit ihren Angriffen tatsächlich erfolgreich zu sein. Genau aus diesem Grund würden zunehmend „Spear-Phishing“-E-Mails verwendet, erklärt Ashar Aziz, Gründer und CEO von FireEye. Signatur-basierte Lösungen seien gegen diese sich ständig verändernden Attacken nicht effektiv. Daher müssten IT-Abteilungen eine zusätzliche Abwehrreihe in ihre Sicherheitsinfrastruktur integrieren, die vor den zunehmend fortschrittlichen Angriffen schützt, empfiehlt Aziz.
Der Report soll eben unter anderem aufzeigen, dass insbesondere Begriffe aus dem Bereich „Express Versand“ bei den Kriminellen beliebt sind – etwa ein Viertel aller Angriffe enthielten Wörter wie „DHL“, „UPS”, und „Lieferung“. Begriffe, die auf Dringlichkeit schließen lassen, wie „Benachrichtigung” oder „Warnung“ fänden sich in etwa zehn Prozent aller Attacken. Ein Beispiel für ein Schadprogramm, das als Anhang versendet wird, wäre etwa „UPS-Lieferung-Bestätigung-Warnung_April-2012.zip”.
Zudem verlegten sich Cyber-Kriminelle darauf, Begriffe aus dem Finanzbereich zu nutzen, wie beispielsweise die Namen von Finanzinstituten, zusammen mit einer passenden Transaktion, wie zum Beispiel „Lloyds TSB – Login Form.html“ sowie Wörter aus dem Bereich „Steuern“, wie „Steuerrückzahlung.zip“. Auch Begriffe aus dem Bereich „Reisen” oder „Rechnung” – wie beispielsweise „American Airlines Ticket“ oder „Rechnung“ – seien bei „Spear-Phishing“-Angriffen mit E-Mails beliebt.
„Spear-Phishing“ per E-Mail ist deshalb so effektiv, weil Kriminelle sich vorher in Sozialen Netzwerken über ihre Opfer informieren und so entsprechend personalisierte und authentisch wirkende Nachrichten verschicken können. Wenn ahnungslose Nutzer darauf eingehen, kann es passieren, dass sie über einen Anhang oder einen Link Schadsoftware herunterladen. Dadurch erhalten Cyber-Kriminelle Zugriff auf das Unternehmensnetzwerk und können so auf Geistiges Eigentum, Kundendaten oder andere unternehmenskritische Informationen zugreifen. In Bezug auf den Dateityp bevorzugten Cyber-Kriminelle laut Report ZIP-Dateien, um Schadcode zu verstecken. Allerdings fänden auch andere Dateiformate, wie PDF, oder ausführbare Dateien Verwendung.
Die für den Report ermittelten Begriffe Begriffe, die am häufigsten bei „Spear-Phishing“-Angriffen benutzt werden, um Unternehmensnetzwerke erfolgreich zu gefährden und Daten zu stehlen, beruhten auf Daten aus der „FireEye Malware Protection Cloud™“, einer Datenbank, die von Tausenden FireEye-Appliances weltweit geteilt werde, sowie aus direkten Auswertungen von Schadcodes durch das FireEye-Forschungsteam. Der Report soll einen globalen Überblick über Angriffe via E-Mail geben, die traditionelle Sicherheitslösungen wie Firewalls und „Next Generation“-Firewalls, IPS, Antiviren-Software und Gateways umgehen.

Weitere Informationen zum Thema:

FireEye
Advanced Threat Report 1H 2012

FireEye
Top Words Used in Spear Phishing Attacks to Successfully Compromise Enterprise Networks and Steal Data