CEO-Fraud, Whaling und Spearphishing bisher fast nicht zu unterbinden

„Hornetsecurity Advanced Threat Protection“ soll nun das Einfallstor E-Mail für hochkomplexe und ausgeklügelte Angriffe schließen

[datensicherheit.de, 18.08.2016] Nach einer Meldung aus dem Haus Hornetsecurity häufen sich Angriffe mit der sogenannten „CEO-Fraud“-Masche. Bei dieser geben sich Unbekannte als hochrangige Mitarbeiter aus, um damit Geldüberweisungen zu veranlassen oder Zugangsdaten zu bestimmten Konten zu erlangen – mit zum Teil sehr hohen Schäden für betroffene Unternehmen. Verschlüsselungstrojaner sind laut Hornetsecurity ein weiteres stark zunehmendes Angriffsszenario, das unmittelbar hohe Schäden in betroffenen Unternehmen verursacht. Beiden Angriffsformen sei gemein, dass sie sehr schwer zu entdecken seien und die meisten gängigen Schutzmaßnahmen unbemerkt passierten. Hornetsecurity möchte mit dem ab September 2016 verfügbaren „Advanced Threat Protection“-Service („Hornetsecurity ATP“) jetzt eine Lösung zum Schutz speziell gegen solche hochkomplexen und ausgeklügelten Angriffe anbieten.

Identifikation speziell zu schützender Personengruppen

Angriffe auf hochrangige Mitarbeiter und Kollegen in zentralen und wichtigen Positionen – wie „CEO-Fraud“, „Whaling“ oder „Spearphishing“-Attacken – seien extrem ausgeklügelt und mit herkömmlichen Methoden fast nicht zu unterbinden, warnt Daniel Hofmann, Geschäftsführer von Hornetsecurity.
Für die Abwehr von „CEO-Fraud“ setzt Hornetsecurity nach eigenen Angaben daher mit seiner ATP auf die Identifikation von speziell zu schützenden Personengruppen wie zum Beispiel Geschäftsführer, Prokuristen oder Buchhalter. Auf die E-Mail-Kommunikation dieser Gruppen seien mehrere Forensiksysteme ausgerichtet, um so einen optimalen Schutz zu ermöglichen:

• Mittels „Intention Recognition System“ lasse sich feststellen, welche Absicht hinter einer eingehenden E-Mail steht, also ob es sich bei der E-Mail um eine reine Weitergabe von Informationen oder um eine Zahlungsaufforderung handelt. Bei kritischen Inhalten versende das System eine Alarmierung.
• Die „Fraud Attempt Analysis“ prüfe eingehende Nachrichten auf die Authentizität und Integrität von Metadaten und Mailinhalten, da Betrüger diese Parameter bewusst veränderten, um ihr Ziel zu erreichen, etwa die Umlenkung eines Zahlungsverkehrs.
• Die „Identity Spoof Recognition“ entdecke Angreifer, die mit einer falschen Identität hantierten und E-Mails unter fremdem Namen versendeten, und unterbinde die Zustellung der Nachricht.
• Mit „Spy Out Detection“ ließen sich Attacken, die auf die Gewinnung von Passwörtern, Unternehmensgeheimnissen oder anderen Informationen abzielten, abfangen. „Hornetsecurity ATP“ bemerke sowohl bekannte als auch komplett neue Muster bereits beim Eintreffen dieser Mails, blockiere sie und setze sofort eine Benachrichtigung ab.
• In der „Feign Facts Identification“ würden per identitätsunabhängiger Inhaltsanalyse Nachrichten erkannt, die durch fingierte Tatsachen den Mailempfänger zu einer bestimmten Aktion wie der Herausgabe von Informationen bewegen möchte.
• Die „Targeted Attack Detection“ erkenne gezielte Angriffe auf einzelne Personen. Diese könnten auch einmalig erfolgen.

Schutz auch vor Angriffen mit Ransomware

Darüber hinaus schließe „Hornetsecurity ATP“ noch weitere Lücken, die klassische Spam- und Virenfilter nicht abdecken könnten, da letztgenannte immer erst einige Zeit benötigten, bevor deren Filter reagierten. So schütze der Service vor Angriffen mit Ransomware wie „Locky“, „Tesla“ oder „Petya“, filtere Phishing-Mails heraus und wehre sogenannte „Blended Threats“ ab. Um dies zu bewerkstelligen, nutze „Hornetsecurity ATP“ verschiedene Erkennungsmechanismen – so komme neben einer „Sandbox“ auch das URL-Rewriting und URL-Scanning zum Einsatz. „Freezing“, also das „Einfrieren“ verdächtiger E-Mails, sei ebenfalls Bestandteil des Services.

Sofortige Benachrichtigung bei Angriffen

Von zentraler Bedeutung sei die sofortige Benachrichtigung bei Angriffen, unabhängig von der Angriffsart. Sobald „Hornetsecurity ATP“ einen Angriff entdeckt, schicke es eine automatisierte Benachrichtigung an die Sicherheitsverantwortlichen des Kunden.
Dann erhalte der Administrator sofort eine Infomationsmail mit Details. Durch die Benachrichtigungen könnten die Unternehmen ihre Mitarbeiter im Fall eines Angriffs sensibilisieren und zu erhöhter Wachsamkeit aufrufen, denn seien die Angreifer über ein Kommunikationsmittel nicht erfolgreich, versuchten sie oftmals, über andere Kanäle zum Erfolg zu kommen.