Gezielte Angriffe: 91 Prozent beginnen mit einer E-Mail

Studie von Trend Micro zeigt, wie Mitarbeiter im Web zu „beweglichen Zielen“ werden

[datensicherheit.de, 25.02.2013] Fälle wie Mata Hari oder Lawrence von Arabien bilden die Ausnahme, in der Regel bleiben Spione unerkannt. Auch ihre Methoden sind nicht immer so phantasievoll wie in einem James-Bond-Film: Neun von zehn gezielten Angriffen („Advanced Persistent Threats“), die es auf die Informationen eines Unternehmens oder einer Behörde abgesehen haben, beginnen mit einer einfachen E-Mail-Nachricht. Wie eine Untersuchung von Trend Micro zeigt, sind die „Spearphishing“-Angriffe (also besonders zielgenaue „Phishing“-Angriffe“) so geschickt erstellt, dass neugierige Anwender den verseuchten Dateianhang öffnen oder den integrierten Link anklicken, hinter dem sich Schadsoftware oder ein Exploit verbirgt – und schon den kriminellen Absendern den Zugang zum Netzwerk ihrer Firma ermöglicht haben.

Die „Spearphishing-Kampagnen“, deren Name sich vom „Speerfischen“ ableitet, verwenden allgemein verfügbare Informationen über ihr Opfer und sind gezielt auf bestimmte Personen oder Gruppen innerhalb einer Organisation und deren persönliche Situation zugeschnitten. Anders als bei herkömmlichen „Phishing“-Kampagnen sprechen die E-Mails die Betroffenen beispielsweise mit ihrem Namen und Titel an und enthalten die genaue Berufsbezeichnung oder Position des Opfers.

exe-Dateien bei Cyberkriminellen weniger beliebt

Die Untersuchung hat gezeigt, dass 94 Prozent dieser gezielten E-Mail-Angriffe verseuchte Dateianhänge als „Payload“ oder Infektionsquelle nutzen. Die verbliebenen sechs Prozent entfallen auf Methoden wie die Übertragung von Schadprogrammen durch bösartige Links, über die sich die Anwender bösartige Dateien herunterladen. Diese große Diskrepanz ist leicht zu erklären: Wenn Angestellte in großen Unternehmen oder Behörden Dateien – wie beispielsweise Geschäftsunterlagen, Berichte, Lebensläufe – gemeinsam nutzen, tun sie das im Normalfall per E-Mail, weil das Herunterladen aus dem Internet als unsicher angesehen wird.

Dabei entfallen 70 Prozent der „Spearphishing“-Emails auf rtf-, xls- und zip-Dateien (38, 15 beziehungsweise 13 Prozent). Dass andererseits ausführbare exe-Dateien bei Cyberkriminellen nicht so beliebt sind, liegt vor allem daran, dass solche Dateianhänge in der Regel von Sicherheitslösungen entdeckt und abgewehrt werden. Bei drei Vierteln der untersuchten Fälle wiederum ließen sich die E-Mail-Adressen der Opfer durch eine einfache Websuche herausfinden oder waren besonders leicht zu erraten, weil sie gebräuchliche E-Mail-Formate verwendeten.

Mitarbeiter in Behörden werden zu „beweglichen Zielen“

Trend Micros Untersuchungen haben auch gezeigt, dass Cyberkriminelle mit diesen Angriffen vor allem Regierungsbehörden und Aktivistengruppen ins Visier nehmen. Abgesehen davon, dass sie ohnehin ein beliebtes Spionageziel der Cyberkriminellen sind, könnte das zum einen daran liegen, dass Behörden oft detaillierte Informationen über ihre Mitarbeiter im Internet veröffentlichen. Zum anderen geben Aktivistengruppen, die meist sehr aktiv in sozialen Medien sind, bereitwillig Auskunft über ihre Mitglieder, um dadurch die Kontaktaufnahme und die Kommunikation zu erleichtern. Doch dieser dienstleistungsorientierte Ansatz hat seine Schattenseiten, Mitarbeiter – auch hochrangige – werden durch die umfangreichen öffentlich zugänglichen Profilinformationen zu einer leichten Beute.

Weitere Informationen zum Thema:

Trend Micro
Spear-Phishing E-Mail: die beliebteste APT-Angriffstechnik