IBM-Sicherheitsbericht
Vergiftung der Wasserstellen
IBM hat die Ergebnisse des aktuellen IT-Sicherheitsberichts "X-Force 2013 Mid-Year Trend and Risk Report" vorgestellt. Dieser zeigt, dass Chief Information Security Officer (CISO) ihr Wissen um die sich rasant fortentwickelnden Bedrohungsszenarien insbesondere bei Mobile- und Social-Technologien erweitern sollten, um neue Sicherheitsbedrohungen effektiver bekämpfen zu können.
Bekannte, aber noch nicht behobene Schwachstellen in Web-Anwendungen, Server- und Endpoint-Software schaffen nach wie vor viele Möglichkeiten für Angriffe. Diese nicht gepatchte Software ist seit Jahren einer der Hauptverursacher für Sicherheitsvorfälle. Doch der neueste IBM X-Force-Sicherheitsbericht zeigt auch, dass Angreifer ihre Fähigkeiten verfeinern, was Ihnen zu noch mehr Erfolg im Falle eines gelungenen Einbruchs verhilft. Diese Angreifer nützen das Vertrauen von Nutzern aus, insbesondere in den Bereichen Social Media, Mobile-Technologie und bei "Waterhole-Attacks", also Angriffen auf Webseiten, die häufig aufgerufen werden.
Anstieg in der Ausnutzung von "Trusted Relationships"
Gegenwärtig konzentrieren sich Angreifer auf die Ausnutzung von "Trusted Relationships", also Kontakten, denen ein Nutzer vertraut, und zwar über Soziale Netzwerke und vertrauenswürdig aussehenden Spam. Dies vor allem über infizierte Links, die scheinbar von Freunden oder Menschen, denen Nutzer "folgen", zu kommen scheinen. Diese Angriffe funktionieren überraschend gut und schaffen einen Einstiegspunkt in Organisationen. Zur Abwehr haben soziale Netzwerke bereits verstärkt Maßnahmen im Vorscannen von Links in öffentlichen und privaten Nachrichten ergriffen.
Kriminelle bieten auch Konten auf Social-Networking-Sites an, von denen einige Personen gehören, deren Anmeldeinformationen gehackt wurden. Andere Identitäten sind fiktiv, aber so konzipiert, dass sie durch scheinbar realistische Profile und Web-Verbindungen glaubwürdig und echt erscheinen. Sie dienen unter anderem dazu, Page-Likes nach oben zu treiben oder Bewertungen zu verfälschen. Raffiniertere Formen umfassen das Verstecken der eigenen Identität zur Ausführung krimineller Taten, äquivalent zu einer falschen ID, aber mit Testimonial-"Freunden", die die Täuschung noch steigern sollen.
Die IBM X-Force-Experten erwarten einen Anstieg in der Anwendung von Social Engineering, da Angreifer versuchen, komplexe Netze an Schein-Identitäten zu schaffen, mit denen sie Opfer besser täuschen können. Trotz aller technologischen Fortschritte und Kontrollen, Best Practices und Sicherheitsschulungen bleibt das Vertrauen der User in die Glaubwürdigkeit einer Identität eine zentrale Schwachstelle, mit der fast alles umgangen werden kann, was an Sicherheitseinrichtungen von Unternehmen aufgesetzt worden ist.
- Vergiftung der Wasserstellen
- Water Hole-Attacken
Lesen Sie mehr zum Thema
