Eine Studie von Trend Micro zeigt auf, wie Cyber-Kriminelle die ungezügelte Neugier von Mitarbeitern ausnutzen, um in Firmennetzwerke einzubrechen. Hierbei nahm der Security-Spezialist insbesondere die so genannten "Spearfishing"-Angriffe, deren Name sich vom "Speerfischen" ableitet, genauer unter die Lupe.
Foto: Trend Micro
"Spearphishing"-Kampagnen verwenden allgemein verfügbare Informationen über das Opfer. Sie sind gezielt auf bestimmte Personen zugeschnitten. Anders als bei herkömmlichem Spam sprechen die Spearphishing-Mails die Betroffenen direkt mit Namen und Titel an. Oft ist dort auch die genaue Berufsbezeichnung oder Position des Opfers enthalten, ja oft geht der Inhalt einer derartigen E-Mail sogar auf die aktuelle persönliche Situation des E-Mail-Empfängers ein.
Warum exe-Dateien bei Cyber-Kriminellen weniger beliebt sind
Die Untersuchung von Trend Micro hat gezeigt, dass 94 Prozent dieser gezielten E-Mail-Angriffe verseuchte Dateianhänge als Infektionsquelle nutzen. Die verbliebenen sechs Prozent entfallen auf Methoden wie die Übertragung von Schadprogrammen durch bösartige Links, über die sich die Anwender bösartige Dateien herunterladen. Diese große Diskrepanz ist leicht zu erklären: Wenn Angestellte in großen Unternehmen oder Behörden Dateien -beispielsweise Geschäftsunterlagen, Berichte, Lebensläufe - gemeinsam nutzen, tun sie das im Normalfall per E-Mail, weil das Herunterladen aus dem Internet als unsicher angesehen wird.
Dabei entfallen 70 Prozent der "Spearphishing"-E-Mails auf rtf-, xls- und zip-Dateien (38, 15 beziehungsweise 13 Prozent). Dass andererseits ausführbare exe-Dateien bei Cyberkriminellen nicht so beliebt sind, liegt vor allem daran, dass solche Dateianhänge in der Regel von Sicherheitslösungen entdeckt und abgewehrt werden. Bei drei Vierteln der untersuchten Fälle wiederum ließen sich die E-Mail-Adressen der Opfer durch eine einfache Websuche herausfinden oder waren besonders leicht zu erraten, weil sie gebräuchliche E-Mail-Formate verwendeten.
Wie Mitarbeiter zu "beweglichen Zielen" werden
Trend Micros Analyxe hat außerdem aufgezeigt, dass Cyberkriminelle mit diesen Angriffen vor allem Regierungsbehörden und Aktivistengruppen ins Visier nehmen. Abgesehen davon, dass sie ohnehin ein beliebtes Spionageziel der Cyberkriminellen sind, könnte das zum einen daran liegen, dass Behörden oft detaillierte Informationen über ihre Mitarbeiter im Internet veröffentlichen.
Zum anderen geben Aktivistengruppen, die meist sehr aktiv in sozialen Medien sind, bereitwillig Auskunft über ihre Mitglieder, um dadurch die Kontaktaufnahme und die Kommunikation zu erleichtern. Doch dieser dienstleistungsorientierte Ansatz hat seine Schattenseiten, Mitarbeiter - auch hochrangige - werden durch die umfangreichen öffentlich zugänglichen Profilinformationen zu einer leichten Beute.
Das Ausspähen der Daten nach der Infiltrierung führen die Angreifer besorgt ein Remote Access Trojaner (RAT), der für den Fernzugriff erfolgreich im System des Opfers installiert wurde und ein komplettes Profiling des Zielnetzwerks durchführt. Der Trojaner sammelt Informationen darüber, welches Betriebssystem auf dem Computer läuft, welche Sicherheitssoftware genutzt wird und wie der Zugriff auf lokale IP-Adressen. Proxy-Server und andere Geräte im Netzwerk erfolgt. (rw)