Archiv des Autors: Trend Micro

Credential Phishing im Steilflug

Schreibe eine Antwort

Originalbeitrag von Trend Micro

Phishing nach Zugangsinformationen bleibt auch weiterhin für Unternehmen ein Problem. Diese Form des Cyberangriffs mit dem Diebstahl von Anmeldeinformationen für Email-Konten über gefälschte oder kompromittierte Anmeldeseiten, kann Unternehmen einer Vielzahl von kriminellen Handlungen aussetzen, darunter Betrug, Spionage und Informationsdiebstahl. Die Folge davon sind finanzielle Verluste und Störungen des Betriebs. Die Trend Micro™ Cloud App Security™-Lösung fand in der 1. Hälfte dieses Jahres 2,4 Mio. Angriffe dieser Art – eine Zunahme um 59% von 1,5 Mio. in der 2. Hälfte 2018.


Bild 1. Die Credential Phishing-Erkennungszahlen von Trend Micro Cloud App Security in der 2. Hälfte 2018 und 1. Hälfte 2019

Diese Zahlen zeigen, wie hoch das Risiko ist, Opfer eines Angriffs zu werden. Das liegt unter anderem auch daran, dass Cyberkriminelle neue Techniken aufsetzen, um Mail-Nutzer besser zu täuschen.

Neue Credential Phishing-Techniken in der 1.Hälfte 2019

Der Trend Micro Cloud App Security Report 2018 stellte eine Vielfalt von Credential Phishing-Techniken vor, die durch ihre ausgefuchsten Täuschungsmanöver hervorstechen. In nur sechs Monaten entwickelten die Kriminellen neue, die auf bestimmten Tools und Tricks aufbauen, die noch in keiner Kampagne vorher verwendet wurden. Durch die Kombination der einzigartigen Funktionalität eines Tools und Social Engineering-Elementen gelang es Cyberkriminellen, Techniken zu entwickeln, die mit denen aus 2018 gleich ziehen.

Im April entdeckte ein Sicherheitsforscher von Trend Micro eine Kampagne, die SingleFile dazu nutzte, um eine identische Kopie von legitimen Anmeldeseiten zu erstellen. Bedrohungsakteure griffen auf die Anmeldeseite der zu fälschenden Website zu und nutzten dann SingleFile, um eine Datei zu speichern und zu generieren, die die gesamte Seite enthält. Sie konnten identische Anmeldeseiten einrichten, um Anmeldeinformationen für Email-Konten zu stehlen.

Im Juli berichtete Bleeping Computer über zwei Arten von Phishing-Techniken. Die erste nutzte OneNote Audio als Köder, um Empfänger auf eine gefälschte Login-Seite zu locken. Die zweite versuchte, mit gefälschten Office 365 Alerts Administratoren zu manipulieren und die Tatsache auszunutzen, dass diese gegen die Zeit agieren müssen.

Cyberkriminelle geben sich immer noch als Microsoft-Mitarbeiter aus

Daten aus anderen Berichten zu Phishing in der 1. Hälfte des Jahres bestätigen den enormen Zuwachs an Angriffen. Für viele der Attacken werden Microsoft Services missbraucht.

Bild 2. Sample einer Email, die einen Office 365 Alert als Köder missbraucht (von Cloud App Security entdeckt)

Der jährliche Sicherheitsüberblick 2018 von Trend Micro zeigt einen Anstieg um 319% bei der Zahl der einzigartigen Phishing URLs, die als Office 365- und Outlook-Anmeldeseiten posieren. Cyberkriminelle gaben sich bei einem Drittel der Angriffe als Microsoft aus und versuchten per Email Account-Informationen über eine gefälschte Login-Seite zu phishen, so Barracuda Networks. Vade Secure notierte in seinem Report für Q1 2019, dass Microsoft an erster Stelle steht in der Liste der bei Phishing-Angriffen am häufigsten missbrauchten Markenzeichen. Der Report von Avanan 2019 zur Phishing-Szene wiederum erklärt, dass Microsoft in 43% der Angriffe, die als Köder Markenzeichen missbrauchen, eingesetzt wurde.

Die Wahl von Microsoft für Credential Phishing-Angriffe lässt sich mit der Profitabilität von Office 365 Credentials erklären. Der Grund: Angreifer benötigen nur einen Schlüssel für die gesamte Office 365-Plattform, so dass sie verschiedene Angriffe über kompromittierte Konten durchführen können.

Zusätzliche Sicherheitsschichten können Credential Phishing abwehren

Unternehmen brauchen eine verbesserte Verteidigung, um Angreifer davon abzuhalten, noch größere Phishing-Netze auszuwerfen. Die Trend Micro Cloud App Security-Lösung unterstützt Unternehmen mit vorhandener Email-Sicherheit, indem sie die Bedrohungen, die von anderen Sicherheitsschichten nicht erkannt wurden, entdeckt und blockiert.

Neben Machine Learning für die Webreputations- und dynamische URL-Analysen nutzt Cloud App Security Künstliche Intelligenz (KI) und Computer Vision-Technologien, um Unternehmen vor Credential Phishing-Angriffen zu schützen, die auf den Missbrauch von Markenzeichen setzen. Nach dem Vorfiltern über den Mail-Absender, URL und Webreputationsanalysen untersuchen Computer Vision und KI die restlichen verdächtigen URLs auf gefälschte Login-Seiten von legitimen Markenzeichen.


Bild 3. Screenshot einer von Cloud App Security-gekennzeichneten Email, die typografische Fehler aufweist, eine gefälschte Apple Domain-Adresse und Text mit alarmistischem Unterton.

Tipps für Mitarbeiter, um Credential Phishing-Angriffe zu erkennen

Die Cybersecurity Awareness der Mitarbeiter ist von grundlegender Bedeutung für den Schutz eines Unternehmens vor Cyberangriffen. Die folgenden Best Practices helfen dabei, einen Angriff zu erkennen:

  • Emails sollten auf Grammatik- und Rechtschreibfehler geprüft werden. Die Mails von legitimen Unternehmen sind meistens fehlerfrei, da sie darauf überprüft werden.
  • Mitarbeiter sollten auch den Email-Absender genauer anschauen, um die Rechtmäßigkeit zu checken. Da die meisten Unternehmen nur eine einzige Domain für Webseiten und Emails verwenden, kann eine Mail mit einer anderen Domain als Warnzeichen gelten.
  • Achtung bei Emails von Personen oder Organisationen, die persönliche Informationen haben wollen. Die meisten Unternehmen verlangen keine sensiblen Daten von ihren Kunden, vor allem seit strengere Datenschutzregeln überall auf der Welt gelten.
  • Emails, die zur Eile mahnen oder einen alarmierenden Eindruck erwecken, wollen damit Hektik verbreiten und sollten deshalb nicht hastig bearbeitet werden. Im Zweifelsfall sollten Empfänger den Status ihrer Konten mit dem Systemadministrator des Unternehmens oder mit dem Service Provider prüfen.
  • In der Mail mitgelieferte URLs genau prüfen, denn die URL mag durchaus gültig erscheinen, aber dennoch eine andere Website-Adresse anzeigen.

Neko-, Mirai- und Bashlite-Varianten zielen auf verschiedenen Router und Geräte

Schreibe eine Antwort

Originalbeitrag von Augusto Remillano II und Jakub Urbanec


Innerhalb von nur drei Wochen haben die Telemetriedaten von Trend Micro drei Varianten von Neko, Mirai und Bashlite gezeigt. Ende Juli begannen die Sicherheitsforscher ein Neko-Botnet Sample zu analysieren und entdeckten dann eine Woche später ein weiteres mit zusätzlichen Exploits. Eine Mirai-Variante, die sich selbst „Asher“ nennt, tauchte am 30. Juli auf und in der darauf folgenden Woche eine Bashlite-Variante namens „Ayedz“. Diese Malware-Varianten fügen infizierte Router ihren Botnets hinzu, die dann in der Lage sind, Distributed Denial of Service (DDoS)-Angriffe zu starten. Die Beschreibung der Bedrohungen liefert der Originaleintrag.
Weiterlesen

Anonyme Redefreiheit: Andersdenkender oder Terrorist?

Schreibe eine Antwort

von Richard Werner, Business Consultant bei Trend Micro

 

 

 

 

 

Noch vor wenigen Tagen stellten wir die Frage, ob Anonymisierung à la Tor-Netzwerk überhaupt noch zeitgemäß ist. Gegründet, um es Dissidenten zu erlauben, politisch für ihr Heimatland problematische Fragen zu diskutieren, entwickelt sich dieses Netzwerk immer stärker zu einem Ort, wo echte Kriminelle strafrechtlich relevante Taten durchführen. Aber die Diskussion lässt sich nicht nur auf Tor beschränken, sondern muss allgemeiner geführt werden.
Weiterlesen

Der Security-RückKlick 2019 KW 33

Schreibe eine Antwort

von Trend Micro

 

 

 

 

 

 

 

Quelle: CartoonStock

Destruktive Malware nimmt besorgniserregend zu, Sicherheitslücken in 40 verschiedenen Treibern sowie News zur Hackerkonferenz DevCon – eine Auswahl aus den Nachrichten dieser Woche …
Weiterlesen

Cyberkriminalität und Betrug über Twitter

Schreibe eine Antwort

Originalbeitrag von Vladimir Kropotov und Fyodor Yarochkin

 

 

 

 

Social Media-Plattformen wie Twitter dienen Anwendern und Unternehmen zur Kommunikation und für den Informationsaustausch. Für Sicherheitsexperten ist der Dienst mehr als nur ein Netzwerktool — nämlich eine zusätzliche Quelle für wertvolle Informationen zu Themen wie Schwachstellen, Exploits und Malware, Bedrohungsakteuren und Cyberaktivitäten. Wie Twitter für die Sammlung von Bedrohungswissen genutzt werden kann, untersuchten die Forscher von Trend Micro. Dabei stellten sie auch fest, dass soziale Medien, in diesem Fall Twitter, nicht nur für das Diskreditieren von Prominenten oder Unternehmen missbraucht wird, sondern auch für Cyberkriminalität, Betrug und die Verbreitung von Fehlinformationen. Die Forscher untersuchten zudem die Beziehungen zwischen verschiedenen Akteuren und Gruppen und Anomalien zu erkennen. Daraus konnten sie wertvolle Erkenntnisse gewinnen, die in der Studie „Hunting Threats on Twitter“ vorgestellt werden.
Weiterlesen