personalisierte Attacken, Erpresser-Software, Industriespionage

Hugh Thompson ist Sicherheitsstratege und Senior Vice President bei Blue Coat. CW sprach mit dem Sicherheitsguru über die beliebtesten Angriffsmaschen der Cyberkriminellen, die gefährlichsten Attacken der letzten vier Wochen  und über die neueste Security-Software der Anbieter. Von Malware-Attacken sind Schweizer Privatinvestoren und Schweizer Unternehmen gleichermassen betroffen.

Solche Massnahmen sind schon einmal nicht schlecht. Wir beobachten seit einiger Zeit jedoch einen starken Trend hin zum personalisierten Phishing. Cyberkriminelle versenden ihre Mails mit Malware nicht mehr nach dem Giesskannenprinzip, sondern informieren sich gezielt über ihre Opfer auf Linkedin, Xing oder Facebook. Also zum Beispiel: Sie lieben thailändisches Essen oder waren vor Kurzem in Urlaub auf den Bahamas, interessant. Solche persönliche Informationen verleihen den Phishing-Mails eine höhere Glaubwürdigkeit.

Von personalisiertem Phishing sind nicht nur Privatleute, sondern auch Zielpersonen in Unternehmem bedroht, wie zum Beispiel Systemadministratoren. Die Mails werden dabei gerne mitTelefonaten oder anderen Techniken des Social Engineeringkombiniert. Der Aufwand aufseiten der Cyberkriminellen, personalisierte Attacken zu fahren, ist zurzeit noch hoch. Er wird aber sinken, weil unterstützende Recherche-Tools auf den Markt kommen.

Die einzige Lösung ist eine Technologie, die hinter den Aktivitäten der einzelnen Anwender steht. Nehmen Sie zum Beispiel die von uns so genannten «Eintagsfliegen» (engl. One Day Wonders). Das sind Websites, die lediglich für 24 Stunden online sind, gezielt für eine Attacke eingesetzt werden und danach wieder verschwinden. Blacklisting hift in diesen Fällen nicht weiter, die verdächtigen Sites erscheinen auf keiner Schwarzen Liste. Und 78 Prozent dieser Seiten sind ja auch legitim und sauber.

Die restlichen 22 Prozent aber haben es in sich. Wir suchen zum Beispiel nach Ähnlichkeiten in der Infrastruktur, bestimmte Apache-Versionen und anderes. Gibt es infrastrukturelle Gemeinsamkeiten mit bekannten Malware- und Phishing-Sites, dann ist die Wahrscheinlichkeit hoch, dass die unbekannte neue Seite ebenfalls kriminellen Zwecken dient. Cyberkriminelle wollen möglichst effizient arbeiten. Was einmal erfolgreich war, wird auch bei nächsten Mal eingesetzt.

Wir kombinieren unterschiedliche Techniken. In der physischen Welt erkennen Sie gefährliche Stadtquartiere an bestimmten Anzeichen, zum Beispiel mit Brettern vernagelte Fenster, Schmutz auf den Strassen, brennende Mülleimer... Auch in der digitalen Welt existieren solche Zeichen, aber der normale Anwender ist meist nicht in der Lage, sie zu erkennen.

Eine besonders risikofreudige, abenteuerlustige Gruppe sind zum Beispiel Jugendliche. Ein Teenie, den Sie kennen und der bereits öfter auf korrupten Sites gesurft hat, wird mit hoher Wahrscheinlichkeit auch demnächst wieder eine infizierte Seite besuchen. Wir nennen das die «Foolish Zebra»-Mentalität und benutzen solche Anwender sozusagen als menschliche Detektoren.

Besonders beliebt unter Cyberkriminellen ist zurzeit Erpresser-Software (ransom software). Da gab es über die letzten 30 Tage einen signifikanten Anstieg zu verzeichnen. Malware, die Sie sich unabsichtlich auf ihren Rechner geladen haben, verschlüsselt sämtliche Dokumenten und macht sie dadurch unbrauchbar. Die Kriminellen bieten ihren Opfern dann an, gegen eine «Gebühr» von mehreren hundert Dollar die Dokumente wieder zu entschlüsseln, was sich aber meistens als leeres Versprechen erweist (siehe auch Zerolocker: Kasperski warnt vor neuer Erpresser-Malware).

Auch ein zweiter Trend hat erpresserische Ziele: Betrüger bringen die Cybercam an ihrem Bildschirm oder ihrem Laptop unter ihre Kontrolle, können also alles mitverfolgen, was sich vor den Augen der Kamera abspielt. Kommt ihnen dann irgendetwas Kompromittierendes vor die Kameralinse, dann drohen die Kriminellen, das peinliche Material auf Facebook oder YouTube zu veröffentlichen. Es sei denn, Sie überweisen eine gewisse Ablösesumme.

Signaturen entschärfen das Risiko heute nicht mehr, weil auch die gefälscht werden können. Und auch blockierende Perimeter-Verfahren bieten heute keinen ausreichenden Schutz mehr. Perimeter-Verfahren sind mit den Impfungen im Gesundheitswesen vergleichbar. Sie schützen vor den schlimmsten Krankheiten. Trotzdem werden Sie ab und an einmal krank, und gehen dann zum Arzt.

Ich glaube, dass auf Enterprise-Ebene sogenannte Sandbox-Verfahren immer wichtiger werden. Das sind Post-Prevention-Systeme, die innerhalb eines gesicherten Containers den Gebrauch bestimmter Attachements oder Downloads im Zeitraffer simulieren.

Sollte sich der Testkandidat als Malware herausstellen, dann ist die Malware - also der Krankheitsvirus - zwar bereits im System. Aber durch Netzprotokolle lässt sich die Verbreitung der Malware zurückverfolgen und lokalisieren, um sie dadurch unschädlich zu machen. In der Art wie: Beat hat sich die Datei "ShowMe" heruntergeladen und seitdem das und das gemacht... Diese forensischen Systeme sind mit einer Video-Kamera vergleichbar, die alles aufnimmt, was im Netzwerk passiert, die jede Datei registriert, die sich im Firmennetz bewegt.

Ich unterscheiden zwischen drei Arten von Kriminellen. Die Phishing-Betrüger werden zwar immer raffinierter, aber auch immer berechenbarer. Diese Gruppe denkt wie ein Unternehmer, der möglichst effizient arbeiten und möglichst viel Profit erzielen will. Die beiden anderen Gruppen - Hacktivisten und Wirtschaftsspionage, also Angriffe auf nationale Einrichtungen (Nation state attackers) - sind in ihrem Verhalten viel schwerer voraussagbar.

Ich rate dazu, Angriffe nicht mehr wie bisher als Ausnahme zu sehen, sondern sie zu erwarten, also fest einzuplanen. Schon beim Design sollte sich ein Netzwerk-Architekt die Frage stellen: Wie muss ich mein Netz konstruieren, damit es mit solchen Angriffen fertig werden kann.