Zielgerichtete Attacken beginnen mit Phishing-Mails

Nach Angaben von Trend Micro gehen 91% der zielgerichteten Cyberattacken Spam-Versendungen mit geringer Auflage voraus (Experten nennen solche Mitteilungen Spear-Phishing-Mails), die in der Regel schädlich sind. Sie sind ein Baustein des Social-Engineering-Schemas und werden an konkrete Personen oder Adressatengruppen innerhalb der anzugreifenden Organisation gesendet.

Ein solcher Auftakt verliert unter den Organisatoren von zielgerichteten Attacken nicht an Popularität, denn in eine sorgfältig vorbereitete Falle lässt sich selbst der erfahrenste und umsichtigste Anwender locken. Ein leuchtendes Beispiel für eine zielgerichtete Attacke, die mit einer eng eingegrenzten Spam-Versendung begann, ist der Vorfall aus dem letzten Jahr, der im Diebstahl einer einzigartigen Technologie von RSA mündete.

Schädliche Mitteilungen, die Cyberkriminellen Tor und Tür ins interne Netz einer Organisation öffnen, werden mit Hilfe von Daten personalisiert, die schon vorher aus dem Internet abgefischt wurden. Solche Mails haben häufig Anhänge, die als unschuldiges Dokument getarnt sind – als typisches Dokument in der internen Korrespondenz von Unternehmen und Behörden. Der Empfänger wird unter irgendeinem Vorwand dazu gebracht, die angehängte Datei zu öffnen und den mitgelieferten Schädling auf seinen Computer zu laden, der für seinen Herrn daraufhin den Schlüssel stiehlt, der ihm Zutritt in die Organisation verschafft.

Im Zuge der Analyse von Spear-Phishing-Versendungen, die Trend Micro zwischen Februar und September des laufenden Jahres durchführte, wurde festgestellt, dass 94% der Mitteilungen schädliche Anhänge enthielten, und die restlichen mit Links auf infizierte Ressourcen und Plattformen mit Exploits ausgestattet waren. Die schädlichen Links werden meist den Vertretern von Aktivistengruppen und anderen Nichtregierungsorganisationen dargeboten, die über verschiedene Länder verstreut sind. Die bei zielgerichteten Attacken verwendeten gefährlichen Anhänge haben die Formate RTF (38%), XLS (15%), ZIP (13%), RAR (11%), PDF (8%), DOC (7%). Auf das Format EXE trifft man im Rahmen zielgerichteter Attacken sehr selten, da per Attachment verschickte ausführbare Dateien beim Eingang ins Unternehmensnetzwerk üblicherweise blockiert werden.

Hauptziele von zielgerichteten Spam-Versendungen sind nach Angaben von Trend Micro Regierungsorganisationen und Aktivistengruppen. Informationen über Behörden und deren Mitarbeiter werden normalerweise auf allgemein zugänglichen Regierungswebsites veröffentlicht. Aktivisten sind für gewöhnlich in sozialen Netzwerken äußerst aktiv und stellen den Teilnehmern ihrer Aktionen und ihren „Neuzugängen“ gern Kontaktinformationen zur Verfügung. Wie sich zeigte, findet man fast die Hälfte aller Adressen der Empfänger der von den Experten registrierten Spear-Phishing-Versendungen mit einer simplen Google-Sucher heraus. Über die Hälfte der E-Mail-Adressen, die nicht von Google ausgegeben wurden, ließen sich problemlos zusammenstellen, indem man den Namen des Empfängers mit der Mail-Domain seines Unternehmens kombiniert, nach dem Muster Name_Empfänger@Name_Unternehmen.com.

Quelle: trendmicro.com

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.