|
|
Rubrik: Virenwarnung/Statistiken MessageLabs Intelligence-Sicherheitsbericht 2005: Cyber-Kriminelle stärker zielgerichtet Anstieg in der Menge gezielter Angriffe auf Unternehmen und Organisationen (27.03.06) - In dem "MessageLabs Intelligence"-Bericht werden die wichtigsten Sicherheitsrisiken und Entwicklungen des Jahres 2005 zusammengefasst und die zentralen Punkte umrissen, die sich im Laufe des Jahres ergaben, und wie sie sich auf den Sicherheitsmarkt auswirkten. Der Bericht vermittelt auch einige Aspekte der zentralen Bedrohungen und der Sicherheitsprobleme, die für 2006 erwartet werden.
Anzeige
Schlüsselbefunde Es wäre verständlich, wenn 2005 auch als das Jahr betrachtet würde, in dem die Begriffe Corporate-Governance und Konformität mit Regelwerken und Gesetzgebung Eingang in die IT-Alltagssprache gefunden haben. Da Spam und Viren die Unternehmen weiterhin bedrohen, stellen ungesicherte Kommunikationswege ein leichtes Ziel dar, wenn sie nicht konform sind. Und die Risiken fehlender Konformität können Unternehmen dauerhaft schädigen und juristische Konsequenzen nach sich ziehen, den Ruf der Marke schädigen und Geldbußen mit sich bringen. Der gesteigerte finanzielle Aufwand für diese Bereiche wirkt sich bereits auf IT-Budgets aus, da zum Lösen dieser Probleme mehr Ressourcen umgeleitet werden. Im Jahr 2005 zeichnete sich ein Anstieg in der Menge gezielter Angriffe auf Unternehmen und Organisationen ab. Gezielte Angriffe treten in unterschiedlichen Formen auf. Einige Formen sind häufiger zu beobachten, etwa schädlicher Code, der in einem Trojanischen Pferd verborgen wird, um Informationen zu stehlen. Oder gut dokumentierte Beispiele für Denial-of-Service-Angriffe (DoS), bei denen E-Mail-Server und Webserver mit Verbindungen von Botnets geflutet werden, um die Site lahm zu legen. Die Folge: Beeinträchtigungen der Unternehmensaktivitäten oder Erpressung. Derartige Trojaner können sich auch gezielt auf Schwachstellen in Anwendungen richten, und nicht auf das Betriebssystem. Der Artikel informiert Sie
über: Die wichtigsten Bedrohungen 2005 Die wichtigsten angegriffenen Sektoren 2005 Gezielte Angriffe auf Unternehmen im Mittelpunkt Spam-Sweatshops und Einweg-Domains Botnets auch weiterhin Basis für Cyberkriminelle Phishing: Spear-Phishing sucht neue Opfer Ausblick und Prognosen für 2006: ein Jahr der Evolution Instant-Messaging - über die Hintertür in Ihr Netzwerk Bedrohungen mobiler Kommunikation werden signifikant Intelligente Technologien für Banken und intelligentere Technologien für Phishing Die
wichtigsten Bedrohungen 2005 · Der Spam-Gesamttrend für die erste Jahreshälfte 2005 zeigte eine Nivellierung der Spam-Menge entsprechend den Zahlen für 2004. Der Jahresdurchschnitt betrug 68,6 Prozent, oder 1 von 1,46 E-Mails wurde als Spam eingestuft. Der Jahresdurchschnitt für 2004 war 72,3 Prozent oder 1 von 1,38 E-Mails. · Der entsprechende Jahresdurchschnitt für Malware-Angriffe betrug 2,8 Prozent, oder 1 von 36,15 E-Mails enthielt einen Virus oder Trojaner. 2004 lag der Wert bei 6,1 Prozent oder 1 von 16,39 E-Mails. · 2005 fing MessageLabs zwei bis drei gezielte Angriffe pro Woche ab; 2004 war dieses Ergebnis praktisch zu vernachlässigen. · Auch 2005 war Phishing eine der größten Bedrohungen: Der Jahresdurchschnitt lag bei 0,3, oder 1 von 304 E-Mails im gesamten E-Mail-Datenverkehr. 2004 betrug der Jahresdurchschnitt der Phishing-E-Mails 0,1 Prozent oder 1 E-Mail von 943. Der Höhepunkt der Phishing-Welle wurde im Januar 2005 erreicht, obwohl das Gesamtvolumen im Mai größer war. Das Verhältnis für Mail betrug im Januar aber 1 E-Mail von 126,5 oder 0,79 Prozent. Phishing betrug 27 Prozent des schädlichen E-Mail-Datenverkehrs, der im Januar 2005 abgefangen wurde. Der Jahresdurchschnitt lag bei 13,1 Prozent. Dem gegenüber betrug der Anteil von Malware 2,4 Prozent im Jahr 2004. Hieran wird die Verlagerung der Cyberkriminalität zum Phishing 2005 deutlich. · Botnets: Sicherheitsexperten führen den plötzlichen Anstieg beim Phishing auf die höhere Anzahl von Zombie-Botnets zurück, die zur massenhaften Verbreitung betrügerischer E-Mails verwendet werden. Die Größe der Botnets nahm im Laufe des Jahres 2005 zwar ab, aber die Cyberkriminellen wandten sich anscheinend kleineren und unauffälligeren Netzwerken zu, die leichter zu kontrollieren sind, aber in größerer Anzahl auftreten.
·
Mehr Datendiebstahl über Schwachstellen in der IT-Sicherheit: Ein Rogue-Programm setzte Die wichtigsten
angegriffenen Sektoren 2005 · Behörden und Infrastruktur: Das britische National Infrastructure Security Coordination Centre meldete, dass ca. 300 britische Regierungseinrichtungen und Unternehmen mit kritischer Bedeutung für die Infrastruktur des Landes Angriffen von Trojanern ausgesetzt waren, die überwiegend aus dem Fernen Osten stammten. · Banken und Finanzeinrichtungen: Dieser Sektor ist nach wie vor einer der bedrohtesten und ist direkten und indirekten Angriffen ausgesetzt (über Phishing-E-Mails und gezielte Trojaner). · Einzelhandel: Online-Einzelhändler sind ebenfalls einem Anstieg an Phishing-E-Mails ausgesetzt, die einen Verlust an Verbrauchervertrauen beim Internet-Handel nach sich ziehen. · Privatnutzer: Im Hinblick auf die Menge der Phishing-E-Mails, Trojaner und Viren sind Privatnutzer von Computern den Gefahren direkt ausgesetzt, da ihre PCs mit nur begrenztem Schutz ausgestattet sind und Kriminellen nicht nur die persönlichen Daten auf dem PC zur Verfügung stellen, sondern den PC auch zum Bestandteil eines Netzwerks aus Zombie-Computern (Botnets) mutieren können. Ein derartiges Netz potenziert diese neuartige Bedrohung beträchtlich. Geographische Trends 2005 Angriffe aus neuen Ländern: Die am besten organisierten Gruppen mit Cyberkriminellen operieren auf internationaler Ebene ohne Rücksicht auf gesetzliche Bestimmungen einzelner Länder. Die Gefahren für und aus Schwellen- und Entwicklungsländern nehmen daher zu. Als Beispiel: Die Anzahl der gemeldeten Zwischenfälle, die sich in China ereignen, ist 2005 aus verschiedenen Gründen gestiegen. Das rasante Wirtschaftswachstum und die weniger regulierte IT-Umgebung und die Schwachstellen in der Kommunikationsstruktur der westlichen Länder trugen dazu bei. Cyberkriminelle nutzen die Mängel in der internationalen Zusammenarbeit des Kampfes gegen Cyberkriminalität aus und starten grenzübergreifende Angriffe ohne persönliches Risiko. Dadurch gestaltet es sich wesentlich schwieriger, Angriffe zur Quelle zurückzuverfolgen, vor allem wenn den Trends zu entnehmen ist, dass die Angriffe immer häufiger aus Osteuropa und Asien geführt werden. In diesen Regionen sind die entsprechenden Strafen milder und werden weniger häufig umgesetzt. Eine zunehmende Technologisierung und ein Anstieg der entsprechenden Kenntnisse und ein sehr geringes juristisches Risiko und die Aussicht auf sehr beträchtliche Erträge haben zur Folge, dass die Cyberkriminellen weiterhin neue und höher entwickelte Angriffe gegen Unternehmen und Organisa-tionen ausführen. Im Westen wurden zwar bekannte Spammer und Hacker weiterhin verfolgt und festgenommen, jedoch wurden hiermit die Gefahren aus Ländern wie China nicht gelöst. China ist mittlerweile aufgrund des phänomenalen Wirtschaftswachstums der letzten Jahre das Hauptziel. Diese Bedrohung stellt jedoch eine neue Herausforderung dar, und laut der allgemeinen Prognose werden im kommenden Jahr die Zwischenfälle aus Entwicklungsländern beträchtlich zunehmen.
Da eine nur geringe Aussicht auf Abhilfe durch Gesetzgebung und Aufsichtsbehörden besteht, müssen Unternehmen koordinierte Maßnahmen ergreifen, um sich selbst zu schützen. Durchbrochene Sicherheitsvorkehrungen in Unternehmen können schwerwiegende Unterbrechungen der Unterneh-mensabläufe, Systemausfälle, Frustration der Angestellten und potentielle finanzielle Verluste nach sich ziehen. Trends und Entwicklungen bei
der E-Mail-Sicherheit 2005
·
Gezielte Angriffe auf Unternehmen im Mittelpunkt Die kriminelle Aktivität in der virtuellen Welt nimmt weiterhin zu. MessageLabs erkennt eine neue Welle der Sicherheitsrisiken für die Unternehmen durch hoch entwickelte und bösartige Techniken, die Cyberkriminellen zur Verfügung stehen. Die Virenverbreitung alten Stils, die sich durch ungezielte Streuung im gesamten Internet auszeichnete, wurde von neuen gezielten E-Mail-Angriffen Krimineller abgelöst, die auf den Betrug von Unternehmen, Diebstahl geistigen Eigentums und das Erpressen von Lösegeld abzielen. Den MessageLabs Intelligence vorliegenden Daten ist zu entnehmen, dass diese gezielten E-Mail-Angriffe gegen Unternehmen, die oftmals aus finanzieller, wettbewerblicher, politischer oder sozialer Motivation erfolgen, zwar weiterhin in nur geringem Ausmaße auftreten, ihre Anzahl und die dahinter stehende Gewieftheit jedoch zunehmen. Seit Anfang 2005 haben gezielte E-Mail-gestützte Angriffe auf Unternehmen in Anzahl und Niveau zugenommen. Diese Angriffe richteten sich häufig gegen Behörden, militärische Einrichtungen und andere große Organisationen, vor allem in den Bereichen Luftfahrt, Treibstoff, Justiz und Menschen-rechte. 2005 machten mehrere spektakuläre Fälle Schlagzeilen, aber es kann davon ausgegangen werden, dass die Dunkelziffer höher ist und eine viel höhere Zahl an Angriffen von Unternehmen nicht erkannt wird. Beispiele Im Juni verhaftete die Polizei zwei IT-Berater in Großbritannien unter dem Verdacht, an einem massiven Industriespionageskandal beteiligt gewesen zu sein, der in Israel entdeckt wurde: Führende Unternehmen hatten Trojanersoftware eingesetzt, um vermutlich vertrauliche Informationen bei Wettbewerbern zu stehlen und ihre Aktivität zu überwachen. Bekannte Unternehmen wurden beschuldigt, in E-Mail-Anlagen Malware an Konkurrenten zu schicken, die als normale Geschäfts-korrespondenz getarnt war und die Benutzer dazu bewegte, unwissentlich Spyware zu downloaden. Streuangriff: einer gegen viele In zahlreichen Organisationen ist die Einstellung verbreitet, derartige Angriffe nicht zu erwarten, da „schon nichts passieren wird“. Tatsache ist jedoch, dass zahlreiche führende Organisationen, kleine wie große, weltweit bereits solchen Angriffen ausgesetzt waren. Jedes Unternehmen muss Schritte zum Schutz seines geistigen Eigentums und Ressourcen ergreifen und die zunehmende Verbreitung der elektronischen Kommunikation und die damit zusammenhängenden Anfälligkeiten berück-sichtigen. Herkömmliche Virenschutzlösungen auf Signaturbasis bieten einen reaktiven Ansatz und benötigen zur Wahrung ihrer Wirksamkeit regelmäßige Signatur-Updates. Gegen die meist individuell gestalteten gezielten Angriffe bieten sie keinen Schutz. Wie aus der Graphik unten hervorgeht, kann die herkömmliche Virenschutzsoftware Schutz bei einem umfassenden Virenbefall bieten. Die überlegt eingesetzten, gezielten Trojaner, die gelegentlich nur an ein oder zwei Ziele geschickt werden, erhalten niemals diesen Grad an Aufmerksamkeit. Studien von MessageLabs zeigten, dass üblicherweise ein bis drei Monate vergehen, ehe Signaturen für gezielte Trojaner veröffentlicht werden. Unternehmen müssen dringend berücksichtigen, dass sie sich nicht ausschließlich auf herkömmliche reaktive Methoden verlassen können.
·
Spam-Sweatshops und Einweg-Domains MessageLabs beschäftigte sich gegen Ende 2005 mit dem Erfassen von Spammern, die Einweg-Domains registrieren und anschließend kurzlebige, aber recht aggressive Spam-Kampagnen ausführen (Domain-Hopping). Die Lebensdauer dieser Spam-Domains liegt zwischen einigen Stunden und Tagen, bei einer maximalen Nutzungsdauer von ca. 12 Tagen. 28,9 Prozent der Domains bestehen weniger als 24 Stunden, 9,9 Prozent weniger als drei Stunden. Zwar sind zahlreiche dieser Domains weiterhin aktiv, MessageLabs ermittelte jedoch, dass nach dieser Zeit keine E-Mails Benutzer mehr zu dieser Site locken.
·
Botnets auch weiterhin Basis für Cyber-Kriminelle Ø Die Zielrichtungen der Angriffe sind zunehmend vielgestaltig. MessageLabs fing beispielsweise zu Anfang des Jahres 800.000 Vorkommen des Glieder-Trojaners ab, der zu einer neuen Variante der Bagle-Virusfamilie zählt. Im Unterschied zu früheren Trojanern kann Glieder einen mehrstufigen Angriff gegen seine Ziele ausführen und zeigt ein höheres Maß an „Kooperation“ zwischen seinen Vorläufern und anderen Angriffen. Glieder gehört in die Vorhut und hatte drei Ziele: Infektion seines Opfers, Deaktivieren des Schutzes einschließlich der Firewall und Virenschutzsoftware und die Wandlung des Rechners in einen Zombie, der von einigen Botnets kontrolliert wurde: globalen Roboternetzwerken gekaperter Computer, die von Cyberkriminellen ferngesteuert werden können. Ø Spammer, Phisher, Adware- und Spyware-Händler und andere kriminelle Banden mieten derartige Botnets zu betrügerischen oder anderen kriminellen Zwecken. Das Honeypot-Projekt, eine Gruppe aus Sicherheitsexperten, hat ermittelt, dass mehr als eine Million Computer weltweit auf diesem Wege gekapert wurden, um Websites anzugreifen, Spam zu verbreiten oder heimtückische Ladungen zu verwenden, um die Reichweite der Botnets zu vergrößern. Ø Infolge des wachsenden Wettbewerbs zwischen lokalen Kabel- und DSL-Anbietern wurden die Bandbreitenkosten gesenkt und nahm die jeder Verbindung zur Verfügung stehende Bandbreite zu, so dass auch der Personenkreis, der zum attraktiven Ziel für Cyberkriminelle wird, wächst. Ø Im Laufe des Jahres 2004 wurden Botnets gelegentlich von Cyberkriminellen verwendet, um die Websites von Opfern mit Zehntausenden von gleichzeitigen Verbindungen unter krimineller Kontrolle zu fluten und damit die Lebensfähigkeit von Online-Unternehmen zu gefährden. Ø Der Spam-Gesamttrend für die erste Jahreshälfte 2005 zeigte eine Nivellierung der Spam-Niveaus entsprechend den Zahlen für 2004, bei einem Jahresdurchschnitt von 68,6 Prozent oder 1 in 1,46 E-Mails, die als Spam eingestuft wurden. Der entsprechende durchschnittliche Anteil an Malware-Angriffen beträgt 2,8 Prozent oder 1 in 36,15 E-Mail, die einen Virus oder Trojaner enthalten. Phishing-E-Mails erreichten einen Jahresdurchschnitt von 0,3 Prozent oder 1 von 304 E-Mails.
Ø
Die Anzahl der Trojaner-E-Mails verzeichnete
im letzten Jahr einen bedeutenden Anstieg. Es ist offensichtlich, dass die
Übeltäter einen anderen Kurs eingeschlagen haben: vom Massenversand von
E-Mails hin zu mehr gezielten Trojanern über Botnets.
Das Diagramm oben zeigt, dass die Anzahl eindeutiger Trojaner näherungsweise in einem umgekehrt proportionalen Verhältnis zur Anzahl der IPs steht, die zu ihrem Versand verwendet werden. Das deutet darauf hin, dass die Überreste jedes Botnets (nach intensiver Nutzung und unmittelbar vor ihrem völligen Verfall oder ihrer Erschöpfung) verwendet werden, um Trojaner zu versenden, die den Umfang des Botnets vergrößern sollen. Die Trojaneraktivität nimmt also zu, wenn die Botnets kurz vor dem völligen Verfall stehen. Daher ist es sehr wichtig, die Sicherheitsfunktionen zu verstärken, um sich gegen derart durchdacht gestaltete und spezialisierte Trojanerangriffe zu schützen, die über eine Reihe unterschiedlicher Protokolle und Techniken (einschließlich Web und IM) in eine Organisation eindringen können. Im Oktober 2005 verhaftete die niederländische Polizei drei Männer unter dem Verdacht, dass sie ein Botnet mit mehr als 100.000 Zombie-PCs steuerten. Das Botnet wurde vermutlich zur Erpressung eines US-Unternehmens und zur Verbreitung von Phishing-Angriffen und verschiedener Adware- und Spyware-Formen eingesetzt. In einem ähnlichen Fall verhaftete das FBI im November in Kalifornien einen 20jährigen, der beschuldigt wurde, ein Botnet mit 400.000 übernommenen Computern zu betreiben. Den Meldungen zufolge stammen seine Einnahmen aus der Vermietung der Rechner an Spammer und andere Kriminelle. Ebenfalls im November vereitelte MessageLabs eine Reihe großer Virenbefälle auf E-Mail-Basis - dieses Mal der Sober- und Bagle-Würmer (Bagle in geringerem Umfang als Sober, der den größten Befall des Jahres verursachte). Diese neuere Aktivität weist auch darauf hin, dass die Botnet-Betreiber ihre Botnets in der Vorweihnachtszeit ausgebaut haben, um sie an die Spam-Sweatshops und Adware-Händler zu vermieten, die darüber ihre Wares verbreiten. Der derzeitige Trend geht in Richtung Kontrolle über weniger, aber größere Botnets. Die Betreiber derartiger Netze bewegen sich zu kleineren Botnets in größerer Anzahl, deren Entdeckung weniger wahrscheinlich ist. Zugleich können sie damit eine größere Menge an Zombies steuern, indem sie mehrere Befehls- und Kontrollkanäle verwenden. Der Sober-Ausbruch wurde durch einen Botnet-Betreiber ausgelöst, der einen Aktualisierungsbefehl ausgab. Alle Zombies unter seiner Kontrolle wurde mit der neuesten Version der Software aktualisiert, die sich anschließend auch über E-Mail zu verbreiten versuchte. Zahlreiche Hersteller von Virenschutzsoftware verfügen zwar seit dem 16. November über generische Erkennungsfunktionen für Sober. Dennoch ist deutlich, dass ihr Virenschutz faktisch ausgeschaltet ist, wenn Ihr Computer bereits Bestandteil eines Botnets ist. Der Trojaner war bereits auf den Computern installiert und deaktivierte den Schutz von Millionen von Computern.
·
Phishing: Spear-Phishing sucht neue Opfer Ø Ein weiterer sich abzeichnender Trend bei den gezielten Angriffen stellt das „Spear“-Phishing dar. Hierbei bombardieren Kriminelle Unternehmen mit direkt gezieltem Spam, der dem Anschein nach aus dem Unternehmen selbst stammt, zumeist von der IT- oder HR-Abteilung. Der Eindringling bietet oftmals eine kleine Gegenleistung für Informationen an, und die Personen, die glauben, es handele sich um eine zulässige E-Mail, kooperieren und kommen der Bitte nach. Sie geben Informationen preis, mit denen der Kriminelle auf gesicherte Bereiche des Unternehmensnetzwerkes zugreifen kann. Die Folge: Diebstahl geistigen Eigentums und anderer sensibler Unterneh-mensdaten. Ø Spear-Phishing als Social-Engineering-Technik wurde auch eingesetzt, um Personen zum Öffnen von Malware zu bewegen. So können einige Versionen des MyTob-Virus einen Computer durch Klicken auf einen Link infizieren, der in einer E-Mail steht, die angeblich von Sicherheitsmitarbeitern der gleichen Organisation stammt, in der auch der Empfänger beschäftigt ist. Der Absicht und dem Zweck nach handelt es sich um einen Phishing-Angriff. Das Ziel besteht darin, den Empfänger zum Besuch einer Website zu bewegen, die versucht, über einen anfälligen Webbrowser schädlichen Code zu installieren. Der erste Mytob (eine Mischung aus MyDoom und einer Bot-Funktion) wurde im Februar 2005 veröffentlicht. Bereits im Juli waren über 30 Varianten dieser Malware im Umlauf. Es sieht danach aus, als würden die Autoren kurz nach der Veröffentlichung neuer Signaturen durch Virenschutzanbieter neue Varianten verbreiten. Ø Diese Entwicklung unterstreicht den stärker kombinierten und koordinierten Charakter der Bedrohungen, denen sich Organisationen 2005 gegenübersahen. Diese Art der Bedrohungen wird im kommenden Jahr mit Sicherheit zunehmen. Ø Der Höhepunkt der Phishing-Saison 2005 war im Januar zu beobachten, obwohl das größte Gesamtvolumen im Mai auftrat. Das Verhältnis für Mail im Januar betrug 1:126,5 oder 0,79 Prozent. Phishing stand für 27 Prozent des bösartigen E-Mail-Datenverkehrs, der von MessageLabs abgefangen wurde. Der Durchschnitt für 2005 betrug 13,1 Prozent. Ø Im Laufe des Jahres 2005 waren südamerikanische Banken das Hauptziel von Online-Betrügern. Das Gesamtvolumen der Phishing-E-Mails ging in der ersten Jahreshälfte zurück, stieg gegen Jahresende jedoch wieder an. Es kann auch davon ausgegangen werden, dass der Anstieg bei den Phishing-Aktivitäten durch die gesteigerte Nutzung von Botnets bedingt war, mit denen massive Volumen an betrügerischen E-Mails versendet wurden. Die Urheber sind Cyberkriminelle, die ihre Erträge durch aggressivere und zielgerichtetere Aktionen zu steigern versuchen. Da die Computer-nutzer zunehmend ein Bewusstsein für die Risiken des Internets und der E-Mail-Bedrohungen entwickeln, entwickeln die Urheber der Phishing-Angriffe im Gegenzug neue Techniken, um ihre Erfolgschancen zu verbessern. Ø Auch der Angriffsvektor weist erste Änderungen auf: Zur Sicherung der Wirksamkeit wird Phishing weniger von Social Engineering abhängig werden, also weniger häufig Techniken einsetzen, bei denen der Empfänger davon ausgeht, mit einer Bank in Kontakt zu stehen. Stattdessen werden sie sich darauf richten, die mehrschichtigen Authentifizierungssysteme zu umgehen, die Banken derzeit verwenden. W32/Grams, die unauffällige, aber tödliche Trojaner-Spyware, wartet beispielsweise, bis der Authentifizierungsvorgang abgeschlossen ist, bevor das Konto des Opfers geplündert wird. Die Gegenwehr beginnt - aber mit begrenzter Wirkung Regierungen in aller Welt haben angefangen, zur Abwehr dieses wachsenden Problems zusammen-zuarbeiten. Der im Oktober 2004 verabschiedete London Action Plan ist ein internationaler Aktions-plan, der vom britischen Office for Fair Trading und der US-amerikanischen Federal Trade Commission erarbeitet wurde und von Behörden in 35 Ländern weltweit unterstützt wird. Ziel des Plans ist es, eine Aufklärungskampagne zu starten, über die Druck auf Internetdienstanbieter und andere Internet-instanzen ausgeübt werden soll, mehr Verantwortung im Kampf gegen E-Mail-Angriffe zu übernehmen. Dieses Vorhaben ist jedoch nur kleiner Schritt im Kampf gegen eine der schwerwiegendsten Herausforderungen, der sich die globale Online-Community heute gegenüber sieht. Und es braucht Zeit, bevor derartige Initiativen Wirkung zeigen. Ausblick
und Prognosen für 2006: ein Jahr der Evolution · In der Übergangszeit von 2005 nach 2006 wird das Mailvolumen während der Feiertage geringfügig zurückgehen. Dieser Rückgang wird jedoch kaum auffallen, da der größte Teil der Mail unerwünscht ist und keine zulässige Mail darstellt. Der Anteil des Spams wird in dieser Zeit zunehmen. · Zwar sind Anzeichen für ein Abschwächen der aggressiven Malware-Methoden zu erkennen, aber in den kommenden Monaten werden mehr Trojaner-Angriffe auf niedrigem Niveau zu erwarten sein. · Initiativen wie GetSafeOnline in Großbritannien, StaySafeOnline in den USA und NetAlert in Australien bieten Unterstützung bei der Verbesserung des Verhaltens von Privatnutzern und Unternehmen im Internet. Das Bewusstsein bei den Benutzern nimmt zwar zu, aber die Fähigkeiten und Techniken der Virusautoren wachsen in gleichem Maße und werden durchdachtere und aggressivere Bedrohungen mit sich bringen. · Die Spammer-Operationen werden sich in Länder verlegen, in denen die gesetzlichen Bestimmungen weniger konsequent umgesetzt werden oder nachlässiger sind, etwa in Russland, China und Osteuropa. · Wir gehen davon aus, dass mehr neue Cyberkriminelle aktiv werden. Das die Vorgänge stärker automatisiert werden und mehr nutzungsbereite Technologie zur Verfügung steht, können selbst Neulinge in Sachen Viren, Spam oder Phishing fertige "Phishing-Kits“ per Download im Internet kaufen, einschließlich Mailing-Systemen und den Listen der IP-Adressen der Proxys (oder Bots), über die die Mail verschickt wird. · Es wird davon ausgegangen, dass der Einsatz von Einweg- oder "Wegwerf“-Domains zunehmen wird, da es für jeden Spammer, der etwas auf sich hält, ein Leichtes ist, enorme Mengen an Spam-Domains zu registrieren, ohne seine wahre Identität preiszugeben, wie es beispielsweise beim Kauf einer sicheren Webzertifikats erforderlich wäre. · Aufgrund der Verlagerung zu mehr illegalen Aktivitäten wie gezielten Angriffen und Cyberverbrechen wie Phishing erwarten wir eine aktivere Beteiligung des FBI und anderer internationaler Polizeibehörden, da die Prioritäten und Ressourcen zunehmend auf die Ermittlungen derartiger illegaler Aktivitäten gerichtet werden. Im April 2006 wird die britische NHTCU (National Hi-Tech Crime Unit) in die neue „Serious and Organised Crime Agency“ (SOCA) integriert. Eine Entwicklung, die für eine grundlegende Änderung in der Herangehensweise an diese Verbrechen in Großbritannien bedeutet. · Da sich die Kriminellen in ihrem ungehemmten Hunger nach geistigem Eigentum auf die Wirtschaftsspionage verlegen, gehen wir von künftig zwei bis drei gezielten E-Mail-Angriffen pro Woche aus. Derartige gezielte Angriffe werden auch auf zunehmend höherem Niveau ausgeführt, um der Entdeckung zu entgehen. Daher erwarten wir eine recht konstante Abfangrate. · Das Webprotokoll (HTTP) und die Instant-Messaging-Protokolle werden bei der Abwehr von Bedrohungen zunehmend beachtet werden müssen. Spyware-Verbreiter werden weiterhin „Tippfehler-Domains“ besetzen (z. B. googkle.com) und dort große Mengen an schädlicher Software hosten, die ein Risiko für Organisationen darstellt. Im Mai meldeten russische Medien auch ein Szenario, in dem Webmaster über die Website iframedollars.biz dazu verlockt wurden, Websites als Host für Spyware einzurichten. Es wird nicht nur Spyware auf dem Rechner jedes Site-Besuchers installiert, sondern die Kriminellen zahlen für jede Infektion auch noch 6 Cent. Den Berichten zufolge wurden in einer Woche ganze $ 11.890,- gezahlt. · Aufgrund der wachsenden Konvergenz von Technologie- und Kommunikationsmedien können wir davon ausgehen, dass mehr Viren auftreten werden, die speziell mobile Kommunikations-geräte angreifen. Wenn 3G-Anwendungen allgemeiner verbreitet sind, könnten auch sie ein anfälligeres Ziel darstellen, besonders für Spam. Zu erwarten sind drastische Zunahmen bei den Web/HHTP-Angriffen, einschließlich Spyware und Adware. · Aufgrund der wachsenden Konvergenz von Technologie- und Kommunikationsmedien können wir davon ausgehen, dass mehr Viren auftreten werden, die speziell mobile Kommunikations-geräte angreifen. Wenn 3G-Anwendungen allgemeiner verbreitet sind, könnten auch sie ein anfälligeres Ziel darstellen, besonders für Spam. Instant-Messaging
- über die Hintertür in Ihr Netzwerk · Den IM-Markt teilen sich derzeit weitgehend drei Anbieter auf: MSN, AIM und Yahoo. Von entscheidender Bedeutung ist, dass diese drei IM-Ökosysteme noch nicht miteinander kommunizieren können. Daher sind sie aus der Perspektive der Leute mit bösartigen Absichten im Vergleich zu E-Mail weitestgehend uninteressant, da der neueste SPIM (Spam für Instant-Messaging) auf das IM-System beschränkt bleibt, in dem der Spam ausgebracht wurde. In nicht allzu ferner Zukunft werden diese Systeme jedoch anfangen, sich zu vereinen, und werden die ersten gemeinsamen Standards zwischen ihnen zu erkennen sein. Ab diesem Punkt wird ein derartiges Netzwerk sofort interessant für Kriminelle, und wir können deutlich erkennen, wie sich eine Roadmap aggressiver Bedrohungen entwickeln wird. · Nach IM ist VoIP innerhalb der Messaging-Systeme das folgerichtige nächste Ziel. Die mit VoIP möglichen drastischen Kostensenkungen sind zwar noch weitgehend Zukunftsmusik, weisen aber darauf hin, dass diese Kommunikationstechnologie sehr schnell akzeptiert werden würde. Sobald dieser Fall eintritt, besteht eine weitere attraktive kritische Masse, die über das Internet zur Verfügung steht, und zum Ziel würde. · Es wird davon ausgegangen, dass sich VoIP-Bedrohungen erst um 2007 häufiger gegen Unternehmen richten werden. aber in dem gleichen Maße, in dem Angreifer jetzt Anfälligkeiten in Anwendungen ausnutzen, kann ein bösartiges VoIP-Paket in der Lage sein, die VoIP-Anwendung abstürzen zu lassen und die Kontrolle dem Angreifer zu übergeben. Es ist jedoch wahrscheinlicher, dass dieses Ökosystem zum Aktionsbereich einer neuen Spammer-Spezies für SPIT (Spam für Internet-Telefonie) wird, da sich ihnen die gleichen Vorteile wie den Privatnutzern der neuen Technologie bieten: die extrem niedrigen Kosten. Bedrohungen
mobiler Kommunikation werden signifikant · Eine wachsende Anzahl an Organisationen wird Telearbeit fördern und unterstützen - zu Hause oder unterwegs. Damit erstreckt sich das Unternehmensnetzwerk in eine Umgebung außerhalb der Kontrolle der IT-Verwalter. IDC zufolge werden im Jahr 2009 69 Millionen Arbeitskräfte in Europa mobil tätig sein. Bereits jetzt werden mehr und mehr Züge und Flugzeuge mit Wi-Fi ausgestattet. Die Risiken für Unternehmen wachsen im gleichen Umfang. Damit wird es auch wichtiger, den Fluss des Datenverkehrs aus und ins Internet zu kontrollieren, um die Workstations und damit das Unternehmensnetzwerk zu sichern. Ein VPN sichert den Computer nicht vor dem Internet. Wenn ein Laptop befallen ist, ist damit auch das VPN befallen. · Der Sicherung mobiler Geräte wird eine höhere Priorität zukommen, da sie allgegenwärtige Elemente des Arbeitsbereichs sein werden. Diebstahl oder Verlust solcher Geräte werden zwangsläufig häufiger auftreten. In der Folge werden häufiger biometrische oder Fingerabdruck-Sicherungssysteme eingesetzt, um die mobilen Geräte zu sichern. Da eine wachsende Anzahl an Unternehmen Blackberry-Lösungen oder ähnliche Systeme einführen wird, wird es auch wichtiger als bisher, die wachsende Menge an Spam aus dem Unternehmenspost-eingang zu filtern, da Spam aus dem Posteingang auch die mobilen Benutzer erreichen wird. Wenn der Spam nicht kontrolliert wird, können die Geräte nahezu unbrauchbar werden. Ein weiteres Problem, das mobile Geräte mit sich bringen, ist die Sicherung von Geräten, die unter Umgehung der Firewall in die Organisation gebracht werden. Die Authentifizierung und sichere Verwaltung dieser Geräte wird sich ohne Frage als schwierig gestalten. Intelligente
Technologien für Banken · Banken werden in größerem Maßstab Zwei-Faktor-Authentifizierungsgeräte ausgeben, möglicherweise auch Key-Fobs einführen, aber mit Sicherheit zu persönlichen Kartenlesern übergehen, die sich zur Authentifizierung von Online-Transaktionen physisch an den Computer anschließen lassen. Intelligentere Technologien
für Phishing · Die Phishing-Versuche werden auf höher entwickelten Niveau stattfinden - sowohl bei der Zielsetzung als auch dem Aufbau der E-Mail und Spoof-Websites, die sie häufig zur Irreführung von Opfern einsetzen. Desktop-Anwendungen werden häufiger Ziel von Trojanern sein, möglicherweise auch die herkömmlichen Schwachstellen der Betriebssysteme. Die darauf folgenden Spear-Phishing-Einsätze werden die kriminelle Energie der Angreifer nur steigern, da sie alles daran setzen werden, mehr über eine Organisation und die Zielanwendungen zu erfahren. Die Risiken der Messaging-Angriffe sind nicht nur technischer Natur (Datenverlust, Ausfall der Infrastruktur), sondern implizieren auch üble Nachrede, Schäden für den Ruf der Marke und Beeinträchtigungen des Verhältnisses zu Angestellten, Kunden und Geschäftspartnern. Die Folgen sind potentiell bedrohlich und kostenträchtig. Zu erwarten sind schwere Auswirkungen auf Einkünfte, Aktienkurs und Gewinn - und vor allem der Verlust von geistigem Eigentum und vertraulichen Unternehmensinformationen. Eine Analyse der Daten von MessageLabs Intelligence deutet darauf hin, dass die hoch entwickelten E-Mail-Angriffe ein relativ neues Phänomen sind und sich erst in den letzten anderthalb Jahren gegen Unternehmen und Organisationen richteten. MessageLabs fängt jetzt mehrere Zwischenfälle pro Woche ab und erwartet eine Verstärkung dieses Trends. Die heutigen Unternehmen sind in zunehmendem Maße bösartigen und heimtückischen Angriffen ausgesetzt und können sich keine Passivität in dieser Frage mehr erlauben. Einen Sieg der Cyberkriminellen bedeutet dies jedoch keinesfalls. Unternehmen können die Kontrolle über ihre Sicherheit übernehmen und durch Schulung, Wachsamkeit und die Integration verwalteter Dienste, die weitaus mehr als herkömmlicher Desktop- oder Gateway-Schutz leisten, können sie zuversichtlich und sicher sein, dass das Problem im Griff ist. MessageLabs - das Unternehmen Mit über 13 Millionen Kunden ist MessageLabs der weltweit führende Anbieter von verwalteten Services für E-Mail-Sicherheit. MessageLabs Intelligence ist eine anerkannte Daten- und Analyse-Quelle für E-Mail-Sicherheit, Trends und Statistiken. MessageLabs bietet eine Reihe von Informationsmaterialien in Form von Diskussionssträngen über globale E-Mail-Sicherheit an, basierend auf live Daten, die in den eigenen Control Towern rund um den Erdball gesammelt werden. Die Informationen zu den MessageLabs-Diensten in diesem Bericht basieren auf Daten, die intern von MessageLabs erarbeitet wurden, wenn nicht anders angegeben. (MessageLabs:
ra) |
||
|
