Auf einer Presseveranstaltung in der slowakischen Hauptstadt Bratislava hat der dort ansässige Sicherheitsanbieter Eset die aus seiner Sicht derzeit vordringlichsten Cyber-Bedrohungen für Unternehmen dargelegt. Ein weiterhin sehr gebräuchlicher Angriffsvektor ist demnach immer noch die Phishing-E-Mail. Hier ist laut Eset Spear-Phishing im Allgemeinen und dessen Variante “CEO-Betrug” im Besonderen zu nennen. Aber auch Ransomware-Attacken seien nach wie vor auf dem Vormarsch.
Firmen müssten zum einen Spear-Phishing-Attacken mit zielgerichteten Phishing-E-Mails fürchten, die nach Angaben von Eset immer mehr zunehmen. Neben klassischen Paypal-Betrugs-Mails nennt der Sicherheitsanbieter auch ausgeklügeltere Kampagnen – etwa in Form einer Spam-Mail, die die Umstellung von Hotmail auf Outlook.com Anfang 2013 ausnutzte, um vorzugeben, dass Kontodaten und Postfächer eines Nutzers durch Klick auf einen Link automatisch in einen neuen Account transferiert würden. Hier fordert Eset Unternehmen dazu auf, ihre Mitarbeiter verstärkt darauf zu trainieren und vorzubereiten, nicht auf derartige Links zu klicken.
Eine Spear-Phishing-Variante, die derzeit besonders verbreitet ist, ist der sogenannte CEO-Betrug (CEO Fraud), die auch als “Insider Spoofing” bekannt ist. Nach Definition von Eset handelt es sich dabei um eine “E-Mail-gesteuerte” Betrugskampagne, in deren Rahmen ein Angreifer vorgibt, der Chef eines Unternehmens zu sein, um einen Mitarbeiter dazu zu bringen, Firmenkapital im Wert von mehreren tausend Euro oder Dollar an ein Bankkonto zu überweisen, das auf dessen Namen läuft.
“Ein typisches Beispiel dafür ist: Man bekommt eine E-Mail, in der es heißt, der CEO sei im Urlaub und man solle stellvertretend für ihn dringend einen gewissen Geldbetrag auf ein bestimmtes Konto überweisen. Wenn es aber wirklich der CEO ist, warum schreibt er dann eine E-Mail und ruft zum Beispiel nicht einfach an?”, fragt Righard Zwienenberg, Senior Research Fellow bei Eset.
Doch wie kommt ein Krimineller eigentlich an die Informationen, die es ihm ermöglichen, einen CEO Fraud durchzuführen? An solche Informationen gelangt er laut Zwienenberg etwa über einen Komplizen innerhalb der Firma oder über frei zugängliche Informationen im Netz. So könne er den für die Freigabe finanzieller Transaktionen Verantwortlichen beispielsweise über die Kategorie “Über uns” auf der Firmen-Homepage ausfindig machen. Und oft findet er ihn ohnehin bei diversen Sozialen Netzwerken.
Zudem sei es nicht weiter schwierig herauszufinden, wenn jemand wie der CEO privat unterwegs oder auf Geschäftsreise ist. Dies lasse sich zum Beispiel sehr leicht über Urlaubs- oder Konferenzbilder in Sozialen Netzwerken wie Facebook oder Twitter ermitteln. “Mit solchen Informationen helfen wir den Kriminellen nur. Unser ‘Social Networking’ ermöglicht den Angreifern ihr ‘Social Engineering’“, sagt Zwienenberg.
Solche erspähten Daten könnten ihm zufolge aber auch für “gewöhnlichen” Bankkontenbetrug genutzt werden, etwa in Form einer E-Mail an einen Buchhalter oder die Finanzabteilung einer Firma, in der die zuständigen Mitarbeiter dazu aufgefordert werden, bestimmte Bankdaten auf jene der Kriminellen zu ändern.
Eine andere nach wie vor weit verbreitete Angriffsform auf Unternehmen ist nach Einschätzung von Eset eine Attacke via Ransomware. Die Erpresser-Software werde nicht nur immer professioneller – etwa hinsichtlich ihrer Sperrbildschirme, sondern auch immer teurer für die Betroffenen, da die Preise zum Freikaufen der von ihr verschlüsselten Daten immer weiter anstiegen.
Auch in diesem Fall setzten die Cyberkriminellen kontinuierlich und zunehmend auf Social Engineering. Beispielsweise böten sie in manchen Fällen an, dass man das Lösegeld mit der Kreditkarte bezahlen kann, statt wie bisher in der Regel per Bitcoin. “Kommt ein Betroffener dem Angebot nach, erhalten Kriminelle außer dem eigentlichen Lösegeld auch noch dessen Kreditkartendaten”, erklärt Zwienenberg.
Als Hauptgrund, warum sich Erpresser-Malware immer weiter ausbreitet, sieht Eset die Tatsache, dass die Masche schlicht und ergreifend funktioniert. Sowohl Privatnutzer als auch Firmen seien immer noch gewillt zu bezahlen. Eine Ursache dafür sei wiederum, dass Mitarbeiter, die durch Ransomware erpresst würden, Angst hätten ihren Job zu verlieren, wenn sie einen solchen Vorfall der IT-Abteilung melden.
Außerdem hätten viele Nutzer kein Backup erstellt oder wenn sie eine Datensicherung beispielsweise auf einem an den Rechner angeschlossenes NAS oder einem anderen externen Medium vorhielten, könnten die darauf gesicherten Daten ebenso verschlüsselt werden. Trotz solcher Eventualitäten rät der Sicherheitsanbieter dazu, den Lösegeldforderungen nicht nachzugeben, da man nie wisse, ob die Kriminellen tatsächlich den Schlüssel zum Dechiffrieren der Daten beitzen.
Righard Zwienenberg gibt in dem Kontext das Beispiel des von Eset entdeckten Erpressertrojaners Android/Locker.DQ, der sich im September 2015 insbesondere in den USA verbreitete. Die auch als Lockerpin bezeichnete Schadsoftware war damals in der Lage, eine beliebige PIN für die Display-Sperre festzulegen oder eine vorhandene PIN zu ändern. Da die PIN allerdings nicht von den Kriminellen gespeichert, sondern permanent zufällig neu generiert wurde, konnte ein infiziertes Gerät, falls es nicht gerootet war, nur durch ein Zurücksetzen auf die Werkseinstellungen wieder entsperrt werden.
Aber auch wenn die Kriminellen eine gültige PIN, einen validen Schlüssel oder ein Dechiffrier-Tool vorhalten, so ist das noch lange keine Garantie für die problemlose Entschlüsselung der Daten. “Selbst wenn sie eine Entschlüsselungssoftware anbieten, kann es immer noch sein, dass diese nicht ordnungsgemäß funktioniert und die Daten am Ende beschädigt sind”, warnt Zwienenberg. Außerdem halte die ungebrochene Zahlungsbereitschaft der Opfer das Ökosystem der Cyberkriminellen aufrecht.
Eset hält es darüber hinaus für möglich, dass sich Ransomware in Zukunft auf weitere Plattformen ausbreitet. So sei sie dann künftig nicht mehr nur auf Windows-, Mac- oder Android-Geräten zu finden, sondern womöglich auch auf Smart TVs oder sogar in Autos. Letzteres Szenario sei dabei “alles andere als weit hergeholt”.
“Selbstfahrende Autos werden ja unter anderem von Google gebaut, das auch Android entwickelt. Auf dem wiederum ist Ransomware inzwischen weit verbreitet. Und stellen Sie sich nun einmal vor, Sie werden während der Fahrt von einer Erpresser-Software dazu aufgefordert, zunächst die Kreditkarte in das Fahrzeug einzuführen, da andernfalls die Bremsen nicht funktionieren”, skizziert Zwienenberg ein mögliches Schreckensszenario.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…
Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…
Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…
Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
View Comments
...
"Sie werden während der Fahrt von einer Erpresser-Software dazu aufgefordert, zunächst die Kreditkarte in das Fahrzeug einzuführen, da andernfalls die Bremsen nicht funktionieren”,
...
Diese Warnung habe Ich hier schon mehrmals hinterlassen. Aber viele CIO's wollen dies nicht hören, gerade die Technik-affinen.
Traurig finde Ich es aber, daß sich solche Cyber-Aktivitäten auch per Google Play store ausbreiten. Hier sollt man Google mehr in die Pflicht nehmen, daß man Google bei Schäden durch verseuchte android Software aus dem Play store auf Schadensersatzansprüche verklagen kann.