Studie: Proofpoint warnt vor neuer Phishing-Methode
"Longlining"-Angriffe umgehen Sicherheitssysteme
Der Security-as-a-Service-Anbieter Proofpoint veröffentlichte vor Kurzem die Ergebnisse einer Studie, in der er die Identifizierung einer neuen Kategorie breit angelegter Phishing-Angriffe beschreibt - so genanntes "Longlining". Diese verbinden Taktiken des Spear-Phishings mit Mass Customization. Damit können Angreifer in Sekunden offenbar tausende personalisierte und mit Malware versehene Nachrichten versenden, die sich mit Sicherheitssystemen schwer erkennen lassen.
Security as a Service für E-Mail-Dienste
Analyse-Tool schützt vor unbekannter Malware
E-Mail-Security-Trends 2012 und 2013
Malware-Schutz vor, während und nach einem Angriff
Die bei den Angriffen verwenden „Haken“ sind äußerst variabel, im Gegensatz zu identischen Mass-Phishing-Exploits. Signatur und reputationsbasierende Sicherheits-Gateways können die Haken dadurch praktisch kaum erkennen. Laut der Studie stammen die Nachrichten in der Regel von verschiedenen IP-Adressen und unterscheiden sich in Betreff und Inhalt. Zudem enthält der Text der Nachrichten mehrere Mutationen eingebundener Ziel-URLs. Diese führen zu einer Website mit einer vor dem Angriff manipulierten positiven Reputation.
Erst durch mehrere manipulierte Geräte und Prozessautomationstechniken konnten Angreifer die Stealth-Techniken und betrügerische Schadensroutinen des Spear-Phishings mit massiven Parallelangriffen kombinieren. Auf diese Weise sind sie nun in der Lage, 100.000 individuelle Spear-Phishing-Nachrichten zu versenden, die herkömmliche Sicherheitssysteme umgehen können. Das Auswerfen tausender in E-Mails enthaltener URL-Haken in wenigen Stunden erhöht die Erfolgschancen und die Möglichkeit, Zero-Day-Malware zu platzieren, bevor Unternehmen ihre Systeme schützen können.
Im Rahmen der aktuellen sechsmonatigen Studie hat Proofpoint nach eigenen Angaben viele Longlining-Angriffe beobachtet, abgewehrt und dokumentiert. Beispielsweise entdeckten die SaaS-Spezialisten am 3. Oktober 2012 einen in Russland gestarteten Angriff, bei dem die Verursacher innerhalb von drei Stunden mehr als 135.000 E-Mails an über 80 Unternehmen sendeten. Um nicht erkannt zu werden, verwendeten die Angreifer rund 28.000 unterschiedliche IP-Adressen sowie 35.000 unterschiedliche Aliasse und manipulierten mehr als zwanzig rechtmäßige Websites durch gehostete Drive-by-Downloads mit Zero-Day-Malware. Dadurch erhielt kein Unternehmen mehr als drei E-Mails mit denselben Charakteristika.
Trotz des relativ großen Umfangs ist die Effektivität von Longline-Angriffen laut der Studie sehr hoch: Die Empfänger öffneten zehn Prozent der manipulierten E-Mail-Nachrichten mit schadhaften URLs. Die Angriffe verwenden „Drive-by-Downloads“, um Sicherheitslücken von Browsern, PDFs und Java auszunutzen. Auf diese Weise können sie ungesehen Rootkits installieren, die abgesehen vom Anklicken der in der E-Mail enthaltenen URL und dem Besuch der infizierten Website keine weitere Nutzeraktivität erfordern. Fast jeder fünfte Klick (19 Prozent) auf eine solche URL erfolgte von außerhalb des Netzwerks zum Beispiel über mobile Geräte und damit außerhalb der Unternehmenssicherheit.
Weitere Informationen gibt es unter www.proofpoint.com/id/longline-phishing-whitepaper-industrial-phishing-2013.
Lesen Sie mehr zum Thema
