Cyberattacken: die gefährlichen 99 Prozent

10. September 2019, 11:10
  • security
  • e-mail
  • proofpoint
  • cybercrime
image

Cyberkriminelle greifen laut einer Studie praktisch immer die Benutzer an – mit Microsoft-Tools als Köder.

Cyberkriminelle greifen laut einer Studie in 99 Prozent aller Fälle direkt die Benutzer an – mit Microsoft-Tools als Köder.
Cyberkriminelle entwickeln weiterhin Techniken, die mehr auf Menschen als auf Infrastrukturen abzielen und die auf menschlicher Interaktion und weniger auf automatisierten Exploits beruhen. Zu diesem Schluss kommt die Studie "The Human Factor Report" des Security-Unternehmens Proofpoint.
Das Vorgehen mit infizierten E-Mails ist seit Jahren bekannt, trotzdem überrascht die Zahl: 99 Prozent der von Proofpoint beobachteten Angriffe erforderten eine menschliche Interaktion, die dann zur Installation von Malware, Offenlegung von Daten und mehr führten. Nur ein Bruchteil der Angriffe setzte auf Exploits und bekannte Software-Schwachstellen, um Systeme zu gefährden.
Zu den Kernaussagen des Reports gehören:
Erstens: Bei 99 Prozent der beobachteten Bedrohungen war das Aktivieren eines Makros, das Öffnen einer Datei oder das Klicken auf einen Link der Auslöser, was die Bedeutung von Social Engineering für erfolgreiche Angriffe unterstreicht.
Zweitens: Microsoft-Köder bleiben das Hauptangriffsmittel. Fast jede vierte Phishing-E-Mail, die 2018 verschickt wurde, war mit Microsoft-Produkten verknüpft. 2019 waren besonders Phishing-Angriffe wirkungsvoll, die Cloud Storage, DocuSign und Microsoft Cloud Services ausnutzten. Die effizientesten Phishing-Köder konzentrierten sich auf den Diebstahl von Zugangsdaten und das Erzeugen von Feedbackschleifen, die dazu geeignet sind, zukünftige Angriffe, eine Ausbreitung in der kompromittierten Unternehmens-IT und internes Phishing zu ermöglichen.
Drittens: Angreifer verfeinern ihre Werkzeuge und Techniken auf der Suche nach finanziellem Gewinn und Informationsdiebstahl. Während "One-to-one-attacks" häufiger auftraten als "One-to-many-attacks", sind vor allem Angriffe mit mehr als fünf Identitäten gegen mehr als fünf Personen in Zielorganisationen erfolgreich.
Viertens: Zu den Top-Malware-Familien der letzten 18 Monate gehörten in der Regel Banktrojaner, Info-Stealers, Remote-Access-Trojaner (RATs) und andere Bedrohungen, die die befallenen Systeme intakt lassen. Vielmehr ist diese Art der Malware darauf ausgelegt, auf infizierten Geräten zu verbleiben und kontinuierlich Daten abzuschöpfen, die den Cyberkriminellen zukünftig potenziell von Nutzen sein können.
Angriffsziele sind einfach identifizierbar
Cyberkriminelle haben auch begonnen, sich primär gegen gezielt ausgesuchte Personen in Unternehmen zu wenden, anstatt jeden Benutzer anzugreifen und zu sehen, welche Angriffe erfolgreich sind. Die Studie nennt sie "Very Attacked People" (VAP). Diese VAPs sind Benutzer mit leicht zu durchsuchenden Adressen und Zugang zu sensiblen Daten. Proofpoint fand heraus, dass die Identität und E-Mail-Adressen von 36 Prozent der identifizierten VAPs einfach online über Corporate Websites, Social Media, Publikationen oder eine Google-Suche gefunden werden konnten.
Die Top 5 der Phishing-Köder sind laut Studie das generische Sammeln von E-Mail-Anmeldeinformationen, das rund einen Viertel der beobachteten Angriffe ausmachte. Dahinter folgen Phishing bei Office-365-Accounts, das sogenannte "Chalbhai Phishing" bei Banken oder Telekommunikations-Unternehmen sowie Phishing bei Microsoft OWA und OneDrive-Accounts.
Entwicklung von Exploits ist wenig profitabel
"Cyberkriminelle zielen hauptsächlich auf Menschen ab, weil das Versenden betrügerischer E-Mails, das Stehlen von Anmeldeinformationen und das Präparieren von Cloud-Anwendungen mit gefährlichen Payloads einfacher und weitaus profitabler ist, als die Entwicklung eines teuren, zeitaufwendigen Exploits, der zudem nur eine geringere Trefferwahrscheinlichkeit aufweist", sagt Kevin Epstein, Vice President of Threat Operations bei Proofpoint.
Der menschliche Faktor definiere die Handlungen und Motivationen der meisten Bedrohungsakteure, schreibt Proofpoint im Fazit. Selbst automatisierte Exploits würden häufig so eingesetzt, dass sie immer noch von Benutzern und nicht von Geräten ausgeführt werden müssen. Mit der weit verbreiteten Einführung von SaaS-Plattformen und der zunehmenden Häufigkeit und Komplexität von Betrugsangriffen seien die Herausforderungen für Unternehmen höher denn je: "Menschen bleiben das primäre Ziel von Angreifern und gleichzeitig die letzte Verteidigungslinie für Unternehmen."
Die Studie basiert auf den Daten der globalen Kundenbasis von Proofpoint und der Analyse von mehr als einer Milliarde Mail-Nachrichten pro Tag. Proofpoint mit Hauptsitz in Sunnyvale, Kalifornien, bietet unter anderem selber SaaS-Lösungen für E-Mail-Sicherheit an. (paz)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Ransomware-Bande Conti gibts nicht mehr

Die Bande griff die Universität Neuenburg oder den Storenbauer Griesser an. Aber zu früh freuen sollte man sich über den "Rücktritt" nicht, die Kriminellen haben noch ein Ass im Ärmel.

publiziert am 20.5.2022
image

Online-Ads: Nutzer-Daten werden Milliarden Mal pro Tag verarbeitet

Eigentlich weiss man es: Beim Besuch einer Website werden eine Menge Informationen verfolgt und geteilt. Ein Bericht verdeutlicht nun, wie häufig dies geschieht und stellt die Frage: Ist das legal?

publiziert am 20.5.2022
image

Hacker nehmen VMware- und F5-Sicherheitslücken aufs Korn

Die US-Cyberbehörde CISA warnt, dass die kürzlich bekannt gewordenen Lücken aktiv angegriffen werden, vermutlich von staatlich unterstützten Gruppierungen.

publiziert am 19.5.2022