[datensicherheit.de, 15.04.2020] Angesichts der gehäuften Meldungen zu Cyberangriffen rund um COVID-19 hat Carsten J. Pinnow für datensicherheit.de (ds) ein Interview mit Quentin Delmas, Cyber Threat Intelligence Analyst bei Thales zum vorliegenden COVID-19 Cyber Threat Assessment Report 2020 geführt.

ds: Welche Trends konnten Sie in Ihrer Analyse feststellen?

Delmas: Cyberkriminelle Gruppierungen scheinen der tatsächlichen Entwicklung des Virus zu folgen, mit wichtigen Angriffen zunächst in Asien (Taiwan, Südkorea, Mongolei…), dann in Mittel- und Osteuropa (Tschechische Republik, Ukraine) und schließlich in Westeuropa (Italien, Frankreich).

In den letzten Wochen wurden viele Fake-Domains, die mit COVID-19 in Verbindung stehen, angemeldet. Mehr als 10 Prozent dieser Domains können zur Einschleusung von Malware führen (d.h. einige Millionen Möglichkeiten zur Infektion mit Malware). So duplizieren Hacker beispielsweise Websites mit Hilfe interaktiver Karten über den Verlauf des Virus und fügen ihnen Malware hinzu. Massive Spam-Kampagnen nutzen COVID-19 als Lockmittel. Diese Kampagnen zielen in der Regel darauf ab, Lösegeldforderungen und Datendiebstahl zu betreiben oder Bank-Malware (z.B. TrickBot, Agent Tesla, FormBook, Loki Bot) einzusetzen. Per E-Mail verschickte Phishing-Kampagnen fordern die Benutzer auf, sich auf einer gefälschten Office 365-Webseite anzumelden, um Zugang zu einem angeblich wichtigen Dokument zu erhalten. Betrugskampagnen (Business Email Compromise oder BEC) verbreiten nicht unbedingt Malware, sondern fordern eine Geldsumme. Darüber hinaus nehmen auch Angriffe, die von staatlich finanzierten Hackergruppen durchgeführt werden, zu (Advanced Persistent Threat). Sie benutzen COVID-19 aktuell als Vorwand, um ihre Spionagekampagnen zu starten.

Bild: Thales

Quentin Delmas, Cyber Threat Intelligence Analyst bei Thales

Hierzu ist wichtig zu wissen, dass diese cyberkriminellen Gruppierungen nicht neu sind, sondern die gleichen Cybergangster, mit denen wir es schon vorher zu tun hatten. Nun sprangen und springen sie auf die aktuellen Entwicklungen auf und versuchen davon zu profitieren. In Zeiten, in denen wir es mit Malware-as-a-Service zu tun haben und die Versender der Phishing-Mails nicht mehr die Urheber der Schadsoftware selbst sind, wird der Erfolg der Kampagnen und letztlich der Gruppierungen daran gemessen, wer am meisten Infektionen und erpresstes Lösegeld nachweisen kann. Die Tools bekommt der Angreifer dann von selbst und natürlich erhält die erfolgreichste Gruppe auch Zugriff auf die neuesten und besten Werkzeuge. Cybercrime ist ein Geschäft und in diesem Fall ist das Ausnutzen des Informationsbedarfs innerhalb der Bevölkerung der am meisten erfolgsversprechende Treiber.

Letztlich geht es aber nicht nur um die Infektion, um die Erpressung via Ransomware, es geht auch um Industriespionage. Dass jetzt besonders viele Mitarbeiter im Home Office arbeiten ist für viele Cyberkriminelle ein Vorteil, weil sie weniger Hürden nehmen müssen, um sich Zugriff auf sensible Daten zu verschaffen.

ds: In Deutschland ist vor allem der Mittelstand gefährdet, denn er kann sich keine teuren Sicherheitslösungen leisten, schon gar nicht, wenn die halbe Belegschaft und mehr nun aus der Ferne auf die IT-Systeme zugreifen müssen. Wie können sich gerade diese mittelständischen Unternehmen am besten vor solchen Angriffen schützen?

Delmas: In der Regel können Unternehmen gegen Spear-Phishing wenig ausrichten, sie können nicht von allen Mitarbeitern ständige Wachsamkeit erwarten. Die Opfer sind nicht wirklich darauf vorbereitet und es ist schwer sie im Home-Office zu schulen. Letztlich wird bei den Phishing-E-Mails und Business E-Mail Compromise (BEC) ein enormer Druck auf die Empfänger ausgeübt und es gibt zahlreiche Beispiele, bei denen selbst Experten es schwer haben die Anzeichen auf eine Phishing-E-Mail sofort richtig zu erkennen. Wir sehen über unsere Systeme, dass vor allem Telearbeiter über Cloud Services wie Office 365 mit Phishing geradezu bombardiert werden. BEC nimmt ebenfalls eher zu, als dass es weniger wird.

Wir raten dazu die Empfehlungen der ANSSI (Agence nationale de la sécurité des systèmes d’information, das französische Counterpart zum BSI) in ihrem Bulletin d’actualité CERTFR-2020- ACT-002 zu befolgen:

1. Wichtig ist, unter keinen Umständen die Webschnittstellen von Microsoft Exchange-Servern, die nicht auf dem neuesten Stand sind, im Internet zu veröffentlichen.
2.  Gewähren Sie keinen Zugriff auf Ihre File-Sharing-Server über das SMB-Protokoll.
3.  Wenn Sie neue Dienste im Internet bereitstellen oder bereitstellen müssen, aktualisieren Sie diese sobald wie möglich mit den neuesten Sicherheits-Patches und aktivieren Sie Protokollierungsmechanismen. Wenn möglich, aktivieren Sie die Zwei-Faktor-Authentifizierung.
4. Schnelles Aufspielen von Sicherheits-Patches, insbesondere bei Geräten und Software, die dem Internet ausgesetzt sind (VPN-Lösung, Remote-Desktop-Lösung, Messaging-Lösung usw.).
5. Führen Sie Offline-Backups für Ihre kritischen Systeme durch.
6. Verwenden Sie eine firmenspezifische Zugangslösung wie VPN, idealerweise IPsec oder TLS, um zu vermeiden, dass Anwendungen direkt dem Internet ausgesetzt werden.
7. Implementierung von Zwei-Faktor-Authentifizierungsmechanismen zur Begrenzung des Risikos von Identitätsdiebstahl (VPN und zugängliche Anwendungen).
8. Überprüfen Sie regelmäßig die Zugriffsprotokolle der im Internet veröffentlichten Lösungen, um verdächtiges Verhalten zu erkennen.

Darüber hinaus sollten Sie die folgenden Tipps befolgen:

• Vermeiden Sie es, dass Ihre Mitarbeiter auf Fake-News hereinfallen. Weisen Sie Ihre Mitarbeiter darauf hin, nur vertrauenswürdige Informationen zu konsumieren, die von staatlichen Stellen stammen. Nur so gelingt es die Flut an Falschinformationen einzudämmen, die dann dazu beitragen weitere per Phishing zugeschickte Fake-News anzuklicken und den eigenen Laptop zu infizieren.
• Alarmieren Sie Ihre Telearbeiter auf der Grundlage der Empfehlungen der ANSSI. Die überwiegende Mehrheit der Institutionen und Organisationen hat sich für die Fernarbeit entschieden. Dennoch sollte die Änderung der Arbeitsumgebung die Mitarbeiter nicht dazu veranlassen, ihre Gewohnheiten zu ändern. Im Gegenteil, im Lichte der hier beschriebenen Ereignisse ist es ratsam, sich an die Vorschriften zu erinnern, die in Ihrem Unternehmen zu beachten sind.
• Geben Sie der Aufklärung von Cyber-Bedrohungen den Vorrang. Einige der Angreifer sind äußerst erfolgreich. Die Überwachung ihrer Bewegungen vor dem Hintergrund laufender Kampagnen ist auf der Ebene der Institutionen und Organisationen von wesentlicher Bedeutung. Die Aufklärungsteams für Cyber-Bedrohungen sind mit diesen Gruppen vertraut, wissen, wie sie arbeiten und was sie motiviert. Regelmäßige Analysen ermöglichen es, eine proaktive Haltung gegenüber diesen Angreifern einzunehmen.
• Die Kombination von Erkennungswerkzeugen mit Informationen über Cyber-Bedrohungen zum Schutz ihrer Systeme. Der Einsatz von Werkzeugen wie IDS (Intrusion Detection Systems), die mit den Informationen der Cyber-Bedrohungsintelligenz angereichert sind, ermöglicht, die Angriffe aller Gruppen zum Zeitpunkt ihres Auftretens zu erkennen und so den potenziellen Schaden erheblich zu reduzieren.

ds: Gibt es bei all dem Negativen auch einen kleinen Lichtblick?

Delmas: Zumindest für Europa, allerdings ist der eher schwach. Nachdem die Gruppen im März vor allem in Europa aktiv waren, lenken sie nun ihre Aufmerksamkeit auf die USA. Das heißt jedoch nicht, dass jetzt europäische Firmen weniger im Fokus stehen. Die Cyberkriminellen gehen nur Back-to-Business, also nutzen jetzt wieder die allgemeinen Aufhänger für ihre Aktivitäten und nicht mehr die Themen COVID-19 und Heimarbeit. Wir müssen also wachsam bleiben und auch mittelständische Firmen müssen auf kurz oder lang in ihre Sicherheit investieren. Wenn man allerdings die oben genannten Tipps verfolgt, dann ist die Ausgangslage schon mal besser als vorher.

ds:Herr Delmas, wir bedanken uns für das Gespräch.

Weitere Informationen zum Thema:

datensicherheit.de, 14.04.2020
COVID-19: Cyberangriffe auf Regierungen und medizinische Organisationen

datensicherheit.de, 01.04.2020
Hacker nutzen COVID-19-Krise: Smartphone-Nutzer oftmals das Ziel

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

[datensicherheit.de, 01.04.2020] Während COVID-19 sich ausbreitet und die Menschen nach zuverlässigen Informationen über das Virus und seine Auswirkungen suchen, nutzen Regierungen und Unternehmen in großem Umfang E-Mail, Textnachrichten und andere digitale Hilfsmittel, um mit Bürgern und ebenso mit Kunden zu kommunizieren. Leider haben sich Cyberkriminelle und Betrüger die zunehmende Kommunikation zu diesem Thema sowie den Wunsch des Einzelnen, auf dem Laufenden zu bleiben sehr schnell zunutze gemacht.

Lookout Mobile Security hat sieben grundlegende Verhaltensmaßregeln für Sie zusammengestellt:

1. Es kann jeden treffen
   Viele sind immer noch der (irrigen) Ansicht, keine Hackerangriffe auf ihre Smartphones befürchten zu müssen. Man geht fälschlicherweise davon aus, dass sich niemand speziell für seine Daten interessiert oder es ganz gezielt auf solche Informationen abgesehen haben könnte. Im Bereich Cybersicherheit ist das allerdings kein Argument. Jeder von uns verfügt über deutlich mehr sensible Daten als ihm tatsächlich bewusst ist.
2. Jeder ist angreifbar
   Manch einer fühlt sich vielleicht ausreichend geschützt und vertraut Sicherheitsmaßnahmen wie etwa Passwörtern. Inzwischen haben wir aber ausreichend Erfahrungen damit gemacht wie leicht Passwörter zu hacken sind. Starke Passwörter zu verwenden senkt das Risiko. Ausreichend ist es bei Weitem nicht.
3. Nicht alle Netze sind sicher
   Viele Internetnutzer verwenden relativ bedenkenlos ein öffentliches WLAN, ohne sich über die möglichen Risiken den Kopf zu zerbrechen. In einem öffentlichen WLAN sollte man sich aber nicht bewegen als wäre man im sicheren heimischen Netzwerk. Online-Banking und alle Transaktionen, bei denen sensible persönliche Daten weitergegeben werden, sollten nicht über das offene WLAN eines Hotels oder Einkaufszentrums wandern. Nutzen Sie in der Öffentlichkeit bevorzugt das 4G-Netz. Es ist deutlich sicherer als seine Vorgänger.
4. Updates einspielen
   Gehören Sie zu denen, die Updates nur dann einspielen, wenn sie neue Funktionen für Apps oder Smartphone bereitstellen? Wer an dieser Stelle eine Spur zu nachlässig ist, sieht sich unter Umständen mit schwerwiegenden Folgen konfrontiert. Sämtliche Updates dienen auch dazu, mögliche Angriffe abzuwehren und sind essenziell für die grundlegende Sicherheit der mobilen Kommunikation.
5. Nicht alle Apps sind vertrauenswürdig. 
   Auch dann nicht, wenn sie aus einem vertrauenswürdigen Store stammen. Alle Apps, die in den AppStore für iOS oder den Android-PlayStore aufgenommen werden, durchlaufen sicherheitstechnisch eine Prüfung, bevor sie Benutzern zugänglich gemacht werden. Trotzdem gelingt es etlichen Apps, die den Sicherheitskriterien nicht entsprechen oder Schadsoftware enthalten, diese Vorkehrungen zu umgehen. In den letzten Jahren wurden zahlreiche Fälle von in Apps versteckter Malware publik. Bleiben sie wachsam. Überprüfen Sie immer die Zahl der Downloads und lesen Sie die Kommentare anderer Nutzer, bevor Sie eine App herunterladen. Verzichten Sie zusätzlich vor allem darauf, Apps aus den App-Stores von Drittanbietern herunterzuladen und auf verdächtige Links zu „informativen“ Websites oder in Apps, die per SMS verbreitet werden, zu klicken.
6. Ihr Gegenüber ist nicht immer der, für den Sie ihn halten
   Jeden Tag gibt es zahlreiche Fälle von Online-Identitätsdiebstahl. Eine ungewöhnliche Nachricht von einem Ihrer Kontakte oder einem Vorgesetzten im Posteingang? Mit einem Link? Klicken Sie unter keinen Umständen auf einen Link! Oft handelt es sich um bösartige Phishing-Versuche. Und informieren Sie Ihren Kontakt auf einem anderen Weg darüber, dass sein Konto vermutlich gehackt wurde.
7. Vorbeugen ist besser als heilen
   Dieses Sprichwort hat auch innerhalb der Cybersicherheit seine Berechtigung. Versuchen Sie Hackern einen Schritt voraus zu sein, und schützen Sie Ihr Smartphone bestmöglich. Und nutzen Sie überall da, wo sie angeboten wird, die Zwei-Faktor-Authentifizierung, um Ihre Konten abzusichern.

Gezielte Phishing-Kampagnen oder böswillige Apps verwenden in Krisenzeiten unser angeborenes Bedürfnis nach Informationen zu suchen, gezielt gegen uns. Darüber hinaus macht es die Kommerzialisierung von Spyware-Kits, die „von der Stange“ zu haben sind, böswilligen Akteuren ziemlich einfach, maßgeschneiderte Kampagne im selben Tempo zu entwickeln wie die Corona-Krise an Dynamik zulegt.

Weitere Informationen zum Thema:

datensicherheit.de, 31.03.2020
Vermeidung von Enpässen im Netz – Appell zu digitaler Besonnenheit

datensicherheit.de, 26.03.2020
Corona: Verunsicherte Nutzer im Fokus von Cyber-Betrügern

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 23.03.2020
Home-Office: TeleTrusT veröffentlicht Liste kostenfreier IT-Sicherheitslösungen

datensicherheit.de, 20.03.2020
digitronic stellt Gratis-Lizenzen für die sichere Arbeit im Home-Office bereit

datensicherheit.de, 20.03.2020
COVID-19: Kriminelle Verkäufer gewähren Rabatte auf Malware

datensicherheit.de, 18.03.2020
SANS Institute: Kostenloses „Securely Working from Home“ Deployment Kit veröffentlicht

datensicherheit.de, 17.03.2020
COVID-19: Pandemie erzwingt Arbeit im Home-Office

datensicherheit.de, 12.02.2020
Corona-Virus: Gefährliche E-Mails virulent

Mittels Phishing-Kampagnen lässt sich mit vergleichsweise wenig Aufwand ein großer Schaden verursachen. Der Grund hierfür liegt auf der Hand: Es trifft die Systeme an ihrem empfindlichsten Punkt – der Schwachstelle Mensch. Umso wichtiger ist es, die Menschen für die virtuellen Gefahren zu sensibilisieren, um diese an jenen Stellen auszumerzen, wo selbst zeitgemäße IT-Sicherheitslösungen keinen ausreichenden Schutz bieten können.

Derzeit machen sich Cyberkriminelle insbesondere die riesige Anteilnahme der Internetgemeinde an den Opfern von Coronavirus und australischen Buschbränden zunutze. Hilfreich für die Kriminellen ist die anhaltende Berichterstattung über den Virus sowie die Furcht, die sie erzeugt. Dazu gehören auch immer wieder aufkommende Berichte wie über die Absage des Mobile World Congress in Barcelona oder Neuansteckungen in Deutschland und Europa.

Das Thema bleibt somit in den Köpfen und bei vielen Menschen wächst die Bereitschaft, Geld zu spenden, um den unschuldig in Not geratenen unter die Arme zu greifen. Doch diese Hilfsbereitschaft ruft leider auch zahlreiche unseriöse Organisationen auf den Plan, die mittels betrügerischer Mails und manipulierter Spendenseiten Kreditkartendaten und weitere persönliche Informationen stehlen.

Bild: Mimecast

Francis Gaffney, Director of Threat intelligence bei Mimecast

„Ziel der Cyberkriminellen ist es, mittels emotionaler Hilfe-Mails so viele User wie möglich dazu zu bringen, mit Schadsoftware infizierte Anhänge oder Links zu öffnen – für ihren eigenen monetären Profit“, erklärt Dr. Francis Gaffney, Director of Threat Intelligence bei Mimecast. „Über 90 Prozent der Angriffe erfolgen via E-Mail, und über 90 Prozent der Sicherheitsverstöße sind menschlichem Versagen zuzuschreiben. Die Vorgehensweise der Betrüger ist ganz rational.“ Gaffney rät daher, bei jeglicher Form der elektronischen Kommunikation, die in Verbindung zu den Opfern der Waldbrände oder des Coronavirus steht, besonders aufmerksam zu sein. „Um sicherzustellen, dass Ihre Zuwendungen nur in die Hände seriöser Organisationen gelangen und nicht auf die Konten Cyberkriminieller fließen, sollten Sie sich vor aller Arten an Links und Anhängen in Acht nehmen, die in Verbindung mit diesen Hilfeleistungen steht.“

Phishing-Kampagnen entlarven

Phishing-Kampagnen werden immer ausgereifter. So kommt es, dass betrügerische E-Mails täuschend echt aussehen können. Allerdings gibt es immer Anhaltspunkte, mit Hilfe derer sich Fake-Nachrichten als solches enttarnen lassen: So sind einige dieser Spam-Mails mit einem Übersetzungsdienst angefertigt worden und strotzen daher nur so vor Grammatik- und Orthografie-Fehlern. Bisweilen kennen Betrüger auch den Namen ihrer potenziellen Opfer (noch) nicht, sodass die persönliche Anrede fehlt. Stutzig machen sollten außerdem Nachrichten, die einen dringenden Handlungsbedarf suggerieren: Fristen, Drohungen etc. sind ebenfalls berechtigte Gründe zur Skepsis, wie die Aufforderung zur Eingabe sensibler Daten, wie PINs oder TANs. Seriöse Geldinstitute werden ihre Kunden niemals dazu nötigen, Kontodaten preiszugeben oder Links und eingefügte Formulare unbedingt zu öffnen.

„URL-Links und Anhänge sind gängige Übertragungsmethoden für Schadsoftware und können täuschend echt vorgaukeln, dass es sich um echte Wohltätigkeitsorganisationen oder Spendenaktionen handelt. Dabei werden lediglich Gelder erschlichen und Kreditkartendaten sowie weitere persönliche Informationen gestohlen“, warnt Gaffney. „Ich empfehle Ihnen, die Legitimität dieser Wohltätigkeitsorganisationen zu überprüfen und Kampagnen erst dann zu unterstützen, wenn Sie den Link über Ihren Browser verifiziert haben. Echte Hilfsorganisationen sind im Netz zu finden und registriert.“

Angriffe werden auch künftig nicht abreißen

Bis zum heutigen Tag haben die Spezialisten von Mimecast zahlreiche dieser Vorfälle beobachtet, sodass sie sowohl Unternehmen als auch Privatpersonen nur den Rat geben können, sich vor Phishing-Kampagnen in Acht zu nehmen. Denn noch eines ist zu beobachten: Cyberkriminelle verbreiten nicht nur betrügerische Mail im Namen falscher Hilfsorganisationen, sie streuen auch hasserfüllte, politische Fake-News, um die Massen zu manipulieren und zu instrumentalisieren. Glaubt man Gaffney, könnte Kriminelle auch in Zukunft an diesen Strategien festhalten. „Seien Sie sich dessen bewusst und sorgen Sie mit einer zuverlässigen Antivirensoftware für die nötige Sicherheit. Darüber hinaus gilt es jetzt mehr denn je, die gängigen Praktiken zur Cyberhygiene einzuhalten und im Zuge dessen auf sichere Passwörter und bestenfalls auf eine Zwei-Faktor-Authentifizierung zu setzen.

Weitere Informationen zum Thema:

datensicherheit.de, 12.08.2019
Mimecast-Analyse zu 67 Milliarden zurückgewiesenen E-Mails