Social-Networking-Websites: Sehr beliebt bei Phishing-Betrügern

Sicherheitstrends 2009: Drive-by-Downloads - oft auf legalen Websites platziert

(01.09.09) - Im Dezember 2008 traf Symantec mehrere Prognosen zu möglichen Sicherheitstrends für 2009. Die nachfolgende Zusammenfassung gleicht die Voraussagen mit den tatsächlichen Entwicklungen ab. Außerdem werden einige neue Trends vorgestellt, die in der ersten Jahreshälfte dominierend waren.

· Explosion neuer Malware-Varianten:

Im Durchschnitt blockieren Symantec-Sicherheitsexperten jeden Monat weltweit mehr als 245 Millionen Schadcodeattacken; bei den meisten dieser Attacken handelt es sich um völlig neuartige webbasierte Bedrohungen. Statt wie bisher Massenattacken mit wenigen Bedrohungen zu starten, konzentrieren sich die Angreifer nun zunehmend auf die Mikroverbreitung millionenfacher zielgerichteter Bedrohungen. Viele dieser neuen Malware-Stämme bestehen aus Tausenden von Einzelbedrohungen, die aus bekannten, spezifischen Malware-Familien stammen und durch Methoden wie File-Sharing, E-Mail und den Einsatz von Wechselmedien übertragen werden. Hieraus entwickelt sich das Potenzial für eine unbegrenzte Zahl einzigartiger Malware-Vorfälle. Diese neu auftretenden Bedrohungen erfordern neue, komplementäre Erfassungsmethoden wie beispielsweise Heuristik, Behaviour-Blocking und reputationsbasierte Sicherheitsansätze.

· Wirtschaftskrise:

Die globale Wirtschaftskrise liefert die Basis für zahlreiche neue Angriffe im Jahr 2009. Dabei handelt es sich beispielsweise um Phishing- und Spamattacken, die sich gegen Jobsuchende richten. Zusätzlich zu den fingierten "Heimarbeit"-Angeboten, die im letzten Jahr von Symantec vorausgesagt wurden, erstrecken sich die neuen Varianten inzwischen auch auf Kleinanzeigen und Jobbörsen. Menschen, deren Häuser zwangsversteigert wurden, die Hypotheken aufnehmen möchten oder auf der Suche nach Refinanzierungsmöglichkeiten sind, bleiben nach wie vor das Ziel betrügerischer Angebote. Darüber hinaus gab es auch einige Betrugsfälle, die sich das US-Konjunkturpaket zunutze machten.

· Social Networks:

Social-Networking-Websites sind nach wie vor beliebte Fanggründe für Phishing-Betrüger, welche die Erfolgsquote ihrer Angriffe durch einen Missbrauch des sozialen Kontextes steigern. So gab es erst vor Kurzem eine viel beachtete Angriffsreihe auf einer beliebten Social-Networking-Seite, bei der die Phishing-Betrüger ein Nutzerkonto fälschten, um es als Ausgangsbasis für Angriffe auf die Freunde des betreffenden Nutzers zu verwenden. Jüngst wurde eine der beliebtesten Social Networking Sites sogar dazu benutzt, ein Bot-Netz zu steuern. Eine weitere erst kürzlich aufgetretene Attacke versteckt sich hinter einem neuen Spiel, das auf einer populären Blogging-Seite erscheint. Die Teilnehmer werden gebeten, persönliche Informationen preiszugeben, wie den Namen der Straße, in der sie aufwuchsen, oder den Mädchennamen ihrer Mutter. Zu Beginn scheint alles ganz harmlos - bis der Nutzer merkt, dass die Anbieter des "Spiels" einige potenziell lukrative Informationen über ihn gesammelt haben.

· Anstieg des SpamLevels:

2008 registrierte Symantec zwischen den 24 Stunden vor und den 24 Stunden nach der Schließung der McColo-Server einen Rückgang des Spam-Levels um 65 Prozent. Symantec prognostizierte damals, dass der Spam-Anteil 2009 wieder auf 75 bis 80 Prozent ansteigen würde. Wie Anfang Juni von Symantec berichtet, sorgte die US Federal Trade Commission (FTC) gemeinsam mit anderen Beteiligten dafür, dass der Internet-Service-Provider Pricewert LLC abgeschaltet wurde. Dies war zwar ein gutes Beispiel dafür, wie Sicherheitsexperten gemeinsam gegen Internetkriminalität vorgehen können, doch mit einem Anteil von 90 Prozent an allen E-Mail-Nachrichten hielten sich die Spam-Zahlen den ganzen Juni hindurch auf einem sehr hohen Niveau. Zu den aktuellen Ereignissen, die sich Spammer zunutze machten, gehörten der Tod von Michael Jackson, der Ausbruch der H1N1-Grippe sowie das Erdbeben in Italien.

· Weiterentwicklung von Web-Bedrohungen:

Nach wie vor stützen sich bösartige Aktivitäten hauptsächlich auf das Internet. Viele dieser Attacken richten sich gegen Besucher legaler Websites, die von Angreifern manipuliert wurden, sodass die Nutzer auf Webseiten umgeleitet werden, die betrügerischen Zwecken dienen. Eine Infektionsart sind Drive-by-Downloads, bei denen gefährliche Inhalte ohne Wissen oder Zustimmung des Nutzers auf dessen Computer heruntergeladen werden. Darüber hinaus sind webbasierte Angriffe auf seriöse Domänen zu verzeichnen, die über soziale Netzwerke erfolgen. Vor kurzem erregte ein Angriff Aufsehen, bei dem gefälschte Einladungen an die Mitglieder einer Social-Networking-Website geschickt wurden - der Anhang dieser Einladungen enthielt einen Massenmail-Wurm. Andere Angreifer setzen nun statt auf bösartige JavaScripts oder veraltete Browser vermehrt auf die Sicherheitslücken von Plug-in-Applikationen und Cross-Site-Scripting.

Weitere Sicherheitstrends im ersten Halbjahr 2009

Einige der bisherigen Entwicklungen im Jahr 2009 waren bereits im Voraus abzusehen, darüber hinaus traten in der ersten Jahreshälfte auch eine Reihe neuer Trends auf.

· Comeback älterer Angriffsmethoden 2009:

In der ersten Hälfte des Jahres 2009 nutzten einige der aktuellen Bedrohungen Angriffsmethoden, die schon in früheren Jahren zum Einsatz gekommen waren. So war die weitflächige Verbreitung einer kleinen Anzahl von Bedrohungen, wie sie für die CodeRed- und Nimda-Attacken charakteristisch waren, nun Teil der Angriffstechniken des Koobface-Wurms, der sich über soziale Netzwerke verbreitet, sowie des Conficker-Wurms, einer der komplexesten und verbreitetsten Internet-Bedrohungen in den letzten Jahren. Die große Mehrzahl der Angriffe in jüngerer Zeit war finanziell motiviert. Beispiele sind das Ausspionieren persönlicher Daten, der Verkauf gefälschter Antivirensoftware, oder das Verbreiten von Spam‐Mails. Die Beweggründe für die neuesten Distributed Denial of Service (DDoS)-Attacken des Schädlings Trojan.Dozer scheinen - ähnlich wie in der Vergangenheit - der Wunsch nach zweifelhaftem Ruhm und/oder die Freude am Unheilstiften zu sein. Ältere Angriffstechniken werden nach wie vor Teil aktueller Bedrohungen bleiben. Als wirksamer Schutz sind deshalb mehrschichtige Abwehrsysteme vonnöten, die traditionelle Erkennungsmethoden mit zusätzlichen Mechanismen wie reputationsbasierten Sicherheitsansätzen kombinieren.

· Übergreifende Zusammenarbeit für Cybersecurity:

Da Malware-Attacken immer ausgeklügelter werden, ist eine bessere Zusammenarbeit innerhalb der Branche erforderlich, um weit verbreitete Bedrohungen schnell zu bekämpfen. So wurde im Februar 2009 die Gründung der Conficker Working Group bekannt gegeben. Sie setzt sich aus Technologieführern und Wissenschaftlern zusammen und arbeitet gemeinsam an einem globalen, koordinierten Vorgehen gegen den Conficker-Wurm. Gemeinsam mit Sicherheitsexperten, der Internet Corporation for Assigned Names and Numbers (ICANN) und Betreibern des Domain-Name-Systems entwickelten mehrere Softwareanbieter eine Lösung, um von Conficker betroffene Domains zu deaktivieren. Auch künftig wird es voraussichtlich zu einer verstärkten Zusammenarbeit über Branchen, Wissenschaftsbereiche und Regierungsbehörden hinweg kommen, um aktuelle Sicherheitsrisiken zu bekämpfen.

Betrügerische Methoden unter Nachahmung herkömmlicher Geschäftspraktiken weiter auf dem Vormarsch:

Angreifer gehen immer versierter vor und sind zunehmend besser organisiert. So imitieren sie mit Hilfe von Täuschungsmanövern herkömmliche Geschäftspraktiken. Bösartige Werbeanzeigen, so genannte "Malvertisements", die meist in Form von Flash-Werbung auftreten, leiten Nutzer auf gefälschte Websites weiter. Diese Gefahr betrifft sowohl bekannte und als vertrauenswürdig geltende Websites als auch weniger seriöse Seiten. Gefälschte und irreführende Anwendungen, auch bekannt als "Scareware", tarnen sich als Virenscanner und geben vor, den Rechner des Nutzers zu schützen oder zu säubern. Derartige Anwendungen führen üblicherweise zuerst einen vorgetäuschten Scan des Computersystems durch und zeigen als Ergebnis nicht existente Bedrohungen des Systems an. Hierzu nutzen sie wiederkehrende Pop-ups oder Meldungen in der Taskbar. Mit dem Versprechen, alle diese angeblichen Bedrohungen zu entfernen, soll der Nutzer dazu gebracht werden, ein gefälschtes Produkt zu kaufen. Wer sich auf den Handel einlässt, wird meist direkt auf eine Bestellseite geleitet und dort zur Kasse gebeten. (Symantec: ma)