[datensicherheit.de, 01.03.2024] Die Annahme, dass mobile Geräte wie Smartphone und Tablet keinen Cyber-Schutz benötigen, sollte laut Kaspersky „gründlich überdacht“ werden, denn hauseigene Experten haben demnach im Jahr 2023 weltweit einen deutlichen Anstieg der Angriffe auf mobile Geräte auf rund 33,8 Millionen verzeichnet, „was einem Plus von fast 52 Prozent gegenüber dem Vorjahr entspricht“. In Deutschland seien 513.441 Angriffe auf Mobilgeräte festgestellt worden – „und damit die meisten innerhalb der verglichenen europäischen Länder“.

Kaspersky-Analyse der mobilen Bedrohungslandschaft 2023 zeigt zunehmende Verbreitung mobiler Sicherheitsrisiken…

Die jährliche Kaspersky-Analyse der mobilen Bedrohungslandschaft zeige eine zunehmende Verbreitung mobiler Sicherheitsrisiken und die Weiterentwicklung schädlicher Tools sowie auf mobile Geräte abzielender Technologien. Es sei ein deutlicher Aufwärtstrend bei Angriffen auf mobile Geräte zu beobachten: „Allein im Jahr 2023 stieg die Zahl solcher Angriffe auf 33.790.599; dies entspricht einem deutlichen Anstieg von knapp 52 Prozent im Vergleich zu 22.255.956 Angriffen im Jahr 2022.“

„Die Bedrohungszunahme im Bereich der ,Android’-Malware- und Riskware-Aktivitäten im Jahr 2023 ist besorgniserregend, insbesondere auch weil zuvor eher weniger passiert ist. Der Anstieg, der bis zum Jahresende ein Niveau erreicht, das an jenes von Anfang 2021 erinnert, unterstreicht die erhebliche Bedrohung, der sich Nutzer derzeit ausgesetzt sehen“, kommentiert Waldemar Bergstreiser, „General Manager Central Europe“ bei Kaspersky. Daher sei es wichtig, wachsam zu bleiben und auch auf mobilen Geräten robuste Sicherheitsmaßnahmen zu implementieren, um sich vor den sich ständig weiterentwickelnden Cyber-Bedrohungen adäquat zu schützen.

Bedrohung für mobile Geräte: Adware 2023 weltweit ganz vorne

Die am weitesten verbreitete Bedrohung für mobile Geräte sei im vergangenen Jahr – 2023 – sogenannte Adware gewesen, eine Art von Software, welche unerwünschte (und manchmal lästige) Popup-Werbung anzeige. Diese habe 40,8 Prozent aller entdeckten Bedrohungen ausgemacht. Bei den Banking-Trojanern hingegen sei die Zahl der Installationen auf 153.682 zurückgegangen, „nachdem sie im Vorjahr stark angestiegen war und sich verdoppelt hatte“; die Zahl der Angriffe mit mobilen Banking-Trojanern sei relativ konstant geblieben.

Cyber-Kriminelle verbreiteten gegen mobile Nutzer gerichtete Malware häufig über offizielle und inoffizielle App-Stores. „Im Jahr 2023 beobachteten die Experten von Kaspersky zahlreiche schädliche Apps, die in ,Google Play’ eingeschleust wurden. Eine der häufigsten Arten im Jahr 2023 waren gefälschte Investment-Apps. Diese nutzen Social-Engineering-Taktiken, um persönliche Daten von Nutzern zu extrahieren, insbesondere Telefonnummern und vollständige Namen.“ Diese Daten würden anschließend Datenbanken hinzugefügt, „die für Telefonbetrug verwendet werden“. Ein weiterer häufig beobachteter Angriffsvektor seien schädliche „WhatsApp“- und „Telegram“-Mods, die darauf abzielten, Nutzerdaten zu stehlen.

Kaspersky-Empfehlungen auf Basis der Erkenntnisse von 2023 zum Schutz vor Bedrohungen auf mobilen Geräten:

• Apps nur aus offiziellen Stores wie dem „Apple-App-Store“, „Google Play“ oder dem „Amazon Appstore“ herunterladen. Diese garantierten zwar keinen vollständigen Schutz, würden jedoch zumindest von Mitarbeitern der Anbieter geprüft. Zudem sorge ein Filtersystem dafür, dass nicht jede App in die Stores gelangen kann.
• App-Berechtigungen vor ihrem Einsatz stets überprüfen, insbesondere solche mit höherem Risiko wie Zugangsdienste. Eine Taschenlampe benötige beispielsweise nur Zugriff auf das Blitzlicht, nicht jedoch die Kamera des Geräts.
• Eine zuverlässige Sicherheitslösung helfe, schädliche Apps und Adware zu erkennen, bevor sie auf einem Gerät Schaden anrichten kann (Schutzlösungen wie z.B. „Kaspersky Premium“ seien direkt bei den Mobilfunkbetreibern erhältlich).
• Updates für das Betriebssystem und wichtige Anwendungen installieren, sobald sie verfügbar sind. Hierdurch könnten viele Sicherheitsprobleme vermieden werden.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, Anton Kivva, 26.02.2024
The mobile malware threat landscape in 2023

[datensicherheit.de, 03.02.2023] Sicherheitsforscher von Check Point gehen in einer aktuellen Stellungnahme auf eine weitere Masche ein, welche unter Hackern über die letzten Jahre immer beliebter geworden sei – verseuchte Pakete mit bösartigen Befehlszeilen dienten als „Stoßtrupp“.

Check Point sieht Code-Pakete als neues Vehikel der Hacker

„Check Point Research“ (CPR), die Forschungsabteilung der Check Point Software Technologies Ltd., warnt alle IT-Sicherheitskräfte vor betrügerischen Code-Paketen: Die „ThreatCloud“ habe mehrere schädliche Objekte gefunden. Diese Masche dürfe zu den Lieferketten-Angriffen und Wertschöpfungsketten-Angriffen gerechnet werden, die stark zunähmen.

Auf verschiedenem Weg versuchten Cyber-Kriminelle, in die Systeme von Unternehmern und Privat-Leuten einzudringen, und Code-Pakete seien das neue Vehikel der Hacker. Über die letzten Jahre, so CPR, hätten die Verbrecher zunehmend diese für ihre Zwecke missbraucht: „Entweder schmuggeln sie bösartige Befehlszeilen in echte Code-Pakete, die über Online-Repositories und Package Manager verteilt werden, oder sie veröffentlichen einfach schädliche Code-Pakete selbst, die legitim aussehen.“ Dies bringe vor allem eigentlich vertrauenswürdige Drittanbieter solcher „Repositories“ in Verruf und habe Auswirkungen auf die oft weit verzweigten IT-Öko-Systeme von „Open Source“. Vor allem „Node.js“ (NPM) und „Python“ (PyPi) seien im Visier.

Beispiel 1 lt. Check Point: Verseuchtes Code-Paket Python-drgn hochgeladen

Am 8. August 2022 sei auf „PyPi“ das verseuchte Code-Paket „Python-drgn“ hochgeladen, welches den Namen des echten Paketes „drgn“ missbrauche. „Wer es herunterlädt und nutzt, ermöglicht den Hackern dahinter, die privaten Daten der Nutzer zu sammeln, um diese zu verkaufen, die Identität zu stellen, Benutzerkonten zu übernehmen und Informationen über die Arbeitgeber der Opfer zu sammeln.“

Diese würden an einen privaten Slack-Kanal geschickt. Das Gefährliche: „Enthalten ist lediglich eine ,setup.py’-Datei, die in der ,Python’-Sprache nur für Installationen genutzt wird und automatisch ,Python’-Pakete abruft, ohne die Einwirkung des Benutzers.“ Dies allein mache die Datei verdächtig, da sämtliche anderen üblichen Quell-Dateien fehlten. Der schädliche Teil verstecke sich daher in dieser Setup-Datei.

Beispiel 2 lt. Check Point: Ebenfalls verseuchtes Code-Paket bloxflip angeboten

Ebenfalls auf „PyPi“ sei das verseuchte Code-Paket „bloxflip“ angeboten worden, welches den Namen von „Bloxflip.py“ missbrauche. Dieses deaktiviere als erstes den „Windows Defender“, um nicht entdeckt zu werden.

Danach lade es eine ausführbare Datei (.exe) unter Nutzung der „Python“-Funktion „Get“ herunter. Anschließend werde ein Unterprozess gestartet und die Datei in der empfindlichen, weil privilegierten, Entwickler-Umgebung des Systems ausgeführt.

Check Point: Angriffe können schwerwiegende Folgen

„Wie gewichtig die Warnung der Sicherheitsforscher vor dieser Methode ist, zeigt das Jahr 2022: Die Zahl schädlicher Code-Pakete stieg, verglichen mit 2021, um 633 Prozent.“

„Diese Angriffe können schwerwiegende Folgen haben, einschließlich Datenbeschädigung oder -verlust, Betriebsunterbrechung und Rufschädigung“, warnt
Lee Levi, Team Leader im Bereich „Mail Security“ bei Check Point Software Technologies.

Check Point rät, stets Legitimität aller von Dritten erworbenen Quellcodes zu prüfen!

Aus Sicht der Angreifer seien Paket-Repositories ein zuverlässiger und skalierbarer Kanal zur Verbreitung von Malware. Levi betont: „Wir mahnen die Öffentlichkeit, stets die Legitimität aller von Dritten erworbenen Quellcodes zu prüfen.”

Check Point rät, um sich zu schützen: „Stets die Echtheit aller Quell-Codes von Drittanbieter-Programmen und -Paketen prüfen! Wichtige Daten immer verschlüsseln, sowohl bei der Übertragung als auch bei der Speicherung. Regelmäßige Audits zu den benutzten Code-Paketen durchführen!“

Weitere Informationen zum Thema:

Cyber, Vikki Davies, 20.01.2022
Software supply chain attacks tripled in 2021 says Argon

[datensicherheit.de, 23.11.2022] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur Auftaktveranstaltung zum Thema „Cyberangriffe: Wie gut sind die Führungs- und Fachkräfte in meinem Unternehmen geschult und welche Konsequenz haben Defizite?“ ein – in Kooperation mit der Berlin Partner für Technologie und Wirtschaft GmbH.

Abbildung: it’s.BB e.V.

it’s.BB: IT-Sicherheit für jedes Unternehmen eine Herausforderung!

Zunehmende Digitalisierung und wachsende Bedrohungen rücken IT-Sicherheit als Querschnittsthema in den Fokus

„Die Sicherstellung der IT-Sicherheit stellt für jedes Unternehmen, unabhängig von Branche und Geschäftsmodell, eine Herausforderung dar.“ Gerade in Zeiten zunehmender Digitalisierung und wachsender Bedrohungen dürfe IT-Sicherheit als Querschnittsthema nicht vernachlässigt werden.

Neues IT-Weiterbildungs- und -Coachingprogramm

„Cybersecurity-Kompetenzen von Führungskräften und Mitarbeitern sind zunehmend erforderlich, um Schäden im eigenen Unternehmen abwehren zu können.“ Abgeleitet u.a. aus den Ergebnissen und Handlungsempfehlungen der BMWK-Studie „IT-Dienstleister als Akteure zur Stärkung der IT-Sicherheit im Mittelstand“ sollen mit einem neuen „Weiterbildungs- und Coachingprogramm“ Unternehmen unterstützt werden.

Impuls zum Fachkräftebedarf, zur Nachfrage nach IT-Ausbildung und zu Herausforderungen an IT-Führungskräfte

Darüber hinaus werde Prof. Dr.-Ing. Jochen Schiller von der Freien Universität Berlin über Fachkräftebedarf, Nachfrage nach IT-Ausbildung und Herausforderungen von IT-Führungskräften berichten. Als „CIO“ der Freien Universität Berlin sei Professor Schiller den Anforderungen einer IT-Führungskraft ebenfalls permanent ausgesetzt.

it’s.BB-Einladung zur Präsenz-Auftaktveranstaltung

„Cyberangriffe: Wie gut sind die Führungs- und Fachkräfte in meinem Unternehmen geschult und welche Konsequenz haben Defizite?“
Auftaktveranstaltung am Mittwoch, dem 30. November 2022 von 16.00 bis 19.00 Uhr
betahaus GmbH, Rudi-Dutschke-Straße 23, 10969 Berlin

Agenda (ohne Gewähr)

16.00-16.10 Uhr Begrüßung
Christian Köhler, Vorstandvorsitzender it’s.BB e.V., Geschäftsführer NKMG mbH

16.10-16.25 Uhr Einführungsvortrag
„Sicherheit – eine Herausforderung für IT-Führungskräfte in der Personalentwicklung“
Prof. Dr.-Ing. Jochen Schiller, Freie Universität, Leitung AG Technische Informatik, Vorstand Einstein Center Digital Future

16.25-16.35 Uhr Kurzvorstellung des Coaching-Programms
Hans-Peter Möschle, Vorstandsmitglied it’s.BB e.V., Geschäftsführer M&H IT-Security GmbH

16.35-17.15 Uhr Panel-Diskussion

17.15-17.45 Uhr Auftaktgespräche an „Info-Points“
it’s.BB-Coaches und Teilnehmer

17.45-19.00 Uhr „Get-Together“

Anmeldung:

eventbrite
Cyberangriffe: Wie gut sind die Führungskräfte im Unternehmen geschult

[datensicherheit.de, 31.01.2022] Nach aktuellen Erkenntnissen von Forschern aus dem Hause Trend Micro heraus nutzt eine „hochentwickelte Cyber-Spionage-Gruppe mit Verbindungen zu China“ sogenanntes Social Engineering, um Cyber-Spionage und finanziell motivierte Angriffe durchzuführen.

Cyber-Spionage Hauptmotivation der Bedrohungsakteure von Earth Lusca

Die Forscher schreiben: „Seit Mitte 2021 untersuchen wir einen ziemlich schwer fassbaren Bedrohungsakteur namens ,Earth Lusca‘, der Organisationen auf der ganzen Welt mit einer Kampagne angreift, die traditionelle Social-Engineering-Techniken wie ,Spear Phishing‘ und ,Watering Holes‘ einsetzt.“

Bei ihren Angriffen scheine Cyber-Spionage die Hauptmotivation der Bedrohungsakteure zu sein. Zu ihren Opfern gehörten Kritische Ziele wie Regierungs- und Bildungseinrichtungen, religiöse Bewegungen, pro-demokratische und Menschenrechtsorganisationen in Hongkong und „Covid 19“-Forschungsorganisationen.

Die Cyber-Kriminellen schienen jedoch auch finanziell motiviert zu sein, da sie es auch auf Glücksspiel- und Kryptowährungsunternehmen abgesehen hätten.

Earth Lusca setzt Spear-Phishing-E-Mails und Watering- Hole-Websites ein

Diese raffinierte Cyber-Spionage-Gruppe habe drei primäre Angriffsvektoren, von denen zwei „Social Engineering“ beinhalteten – die Social-Engineering-Techniken könnten in „Spear Phishing“-E-Mails und „Watering Hole“-Websites unterteilt werden.

In einem anderen Fall habe „Earth Lusca“ Spear-Phishing-E-Mails mit bösartigen Links an eines seiner Ziele – ein Medienunternehmen – versendet. Darin enthalten seien als Dokumente getarnte Dateien, welche für das potenzielle Opfer von großem Interesse seien. Der arglose Benutzer lade schließlich eine Archivdatei herunter, die entweder eine bösartige LNK-Datei oder eine ausführbare Datei enthalte – was schließlich zu einem „Cobalt Strike Loader“ führe.

Außerdem nutzten die Cyber-Kriminellen auch „Watering Hole“-Websites – sie kompromittierten entweder die Websites ihrer Ziele oder richteten täuschend echte Websites ein, „die von legitimen Seiten kopiert wurden“, und platzierten dort dann bösartigen „JavaScript“-Code. Die Links zu diesen Websites würden dann an die potenziellen Opfer geschickt.

Beispiel Earth Lusca mahnt abermals: Security Awareness Basis der Verteidigung gegen Social-Engineering-Attacken

Die effektivste Maßnahme zur proaktiven Verhinderung solcher Angriffe sei, bei den Mitarbeitern das Sicherheitsbewusstsein zu stärken, unterstreicht KnowBe4 wiederholt. Dafür könne die Durchführung von „Security Awareness“-Trainings das Fundament bilden. Grundsätzlich werde dabei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel dieser Trainings sei, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen.

Zunächst würden sogenannte Baseline-Tests durchgeführt, welche es ermöglichten, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. Zudem sollte man herausfinden, auf welche Art von Angriffen sie hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren. Die internen Schulungen sollten regelmäßig wiederholt werden und die Ergebnisse auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen.

Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen könne durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen könnten die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.

Weitere Informationen zum Thema:

datensicherheit.de, 30.11.2021
Tag der Computersicherheit: Rainer Seidlitz fordert Stärkung der menschlichen Firewall / Stellungnahme von Rainer Seidlitz, Leiter Produkt-Management Safety & Security bei der TÜV SÜD Akademie GmbH, zum 30. November

datensicherheit.de, 23.08.2021
KnowBe4: Ressourcenpaket zur Verteidigung gegen zunehmende Cyberangriffe veröffentlicht / Kostenloses Angebot zur Unterstützung von IT-Administratoren bei der Stärkung ihrer Schulungen zum Sicherheitsbewusstsein

[datensicherheit.de, 10.11.2021] Vor Phishing-Attacken sondieren Cyber-Kriminelle offensichtlich immer häufiger das „E-Mail-Terrain“ mittels Köder-Angriffen – so können sie feststellen, ob das Account real ist und auch genutzt wird. In seiner aktuellen Stellungnahme beschreibt Dr. Klaus Gheri, „General Manager Network Security“ bei Barracuda Networks, die Abläufe solcher Köder-Angriffe und gibt Tipps für Unternehmen, um sich davor besser schützen zu können.

Abbildung: Barracuda Networks

Dr. Klaus Gheri: Cyber-Kriminelle nutzen für Angriffe neue E-Mail-Konten bei kostenlosen Anbietern wie Gmail…

Beide Seiten nutzen Köder…

Angesichts einer fortschreitenden Professionalisierung Cyber-Krimineller müssten Unternehmen in der Lage sein, Angriffe verschiedenster Art abwehren zu können. Dennoch bestehe bei überaus elaborierten Attacken die Gefahr, „dass es Hackern gelingt, das Netzwerk zu infiltrieren und sich dort unbemerkt fortzubewegen“, warnt Dr. Gheri.

Um einen derartigen Ernstfall für die Aufklärung über die Gegenseite zu nutzen, existierten bekanntlich mittlerweile Technologien, welche – mittels Köder in Web-Applikationen oder „Endpoints“ hinterlegt – ausschließlich von Akteuren mit böswilligen Absichten gefunden werden könnten.

„Soweit die gute Nachricht. Doch umgekehrt nutzen auch Cyber-Kriminelle verstärkt Köder, mit denen sie Informationen sammeln, die sie zur Planung künftiger gezielter Phishing-Angriffe verwenden können.“

Köder-Angriffe – E-Mails mit sehr kurzem oder leerem Inhalt

Bei Köder-Angriffen, auch als „Aufklärungs-Angriffe“ bezeichnet, handele es sich in der Regel um E-Mails mit sehr kurzem oder leerem Inhalt. Ziel sei es, entweder die Existenz des E-Mail-Kontos des Opfers zu überprüfen, indem keine „unzustellbaren“ E-Mails zurückkämen, oder das Opfer in eine Konversation zu verwickeln, welche möglicherweise böswillig mit Geldüberweisungen oder durchgesickerten Anmeldedaten ende.

Um unentdeckt agieren zu können, verwendeten die Kriminellen für den Versand ihrer Angriffe in der Regel neue E-Mail-Konten bei kostenlosen Anbietern wie Gmail, Yahoo oder Hotmail. Dabei achteten sie auf ein geringes Sendevolumen, um massen- oder anomalie-basierte Auffälligkeiten zu vermeiden.

Im September 2021 gut 35% der 10.500 analysierten Unternehmen von mindestens einem Köder-Angriff betroffen

Zwar ist die Anzahl der Köder-Angriffe insgesamt noch gering, aber nicht ungewöhnlich oder weniger gefährlich: Barracuda-Analysten fanden demnach heraus, dass im September 2021 etwas mehr als 35 Prozent der 10.500 analysierten Unternehmen von mindestens einem Köder-Angriff betroffen gewesen seien, „wobei im Durchschnitt drei verschiedene Mailboxen je Unternehmen eine dieser Nachrichten erhielten“.

Funktionsweise der Köder-Angriffe
„Es ist im Wesen der Sache begründet, dass Köder-Angriffe einer gezielten Phishing-Attacke vorausgehen.“ Barracudas Security-Analysten hätten ein Experiment durchgeführt, „indem sie auf einen der versendeten Köder antworteten, der sich im Postfach eines Mitarbeiters befand“.
Bei dem ursprünglichen Angriff – datiert auf den 10. August 2021 – habe es sich um eine E-Mail mit der Betreffzeile „HI“ gehandelt, welcher ein leeres Textfeld gefolgt sei. Am 15. August 2021 habe der Mitarbeiter mit dem E-Mail-Inhalt „Hallo, wie kann ich Ihnen helfen?“ geantwortet. 48 Stunden später sei ein gezielter Phishing-Angriff auf das E-Mail-Konto dieses Mitarbeiters erfolgt. Dr. Gheri berichtet: „Die ursprüngliche E-Mail war so gestaltet, dass sie die Existenz des Postfachs und die Bereitschaft des Opfers, auf E-Mail-Nachrichten zu antworten, verifizieren sollte.“

Tipps zum Schutz vor Köder-Angriffen:

Eine automatisierte Reaktion auf Vorfälle könne dazu beitragen, Köder-Angriffe innerhalb von Minuten zu identifizieren und zu beseitigen, um eine weitere Verbreitung des Angriffs zu verhindern oder das Unternehmen zu einem künftigen Ziel zu machen.

Einsatz Künstlicher Intelligenz
Künstliche Intelligenz (KI) könne Köder-Angriffe erkennen und blockieren. Herkömmliche Filtertechnologien seien weitgehend hilflos, „wenn es um die Abwehr von Köder-Angriffen geht“. Sie trügen keine bösartige Nutzlast und stammten in der Regel von seriösen E-Mail-Anbietern. Eine KI-basierte Abwehr helfe da wesentlicher besser: „Sie nutzt Daten, die aus verschiedenen Quellen wie Kommunikationsgraphen, Reputationssystemen und Analysen auf Netzwerkebene gewonnen werden, um potenzielle Opfer vor derartigen Angriffen zu schützen.“

Schulungen, um Köderangriffe zu erkennen und zu melden
Schulungen könnten helfen, Mitarbeiter dahingehend zu sensibilisieren, Köder-Angriffe zu erkennen und nicht zu beantworten, sie aber unbedingt den IT- und Sicherheitsteams zu melden. Beispiele für Köder-Angriffe sollten Bestandteil in Schulungen zum Sicherheitsbewusstsein und in Simulationskampagnen sein.

Köder-Angriffe dürfen nicht in den Posteingängen der Benutzer verschwinden
„Wenn Köder-Angriffe erkannt werden, ist es wichtig, sie so schnell wie möglich aus den Posteingängen der Benutzer zu entfernen, bevor diese die Nachricht öffnen oder darauf antworten.“

Weitere Informationen zum Thema:

datensicherheit.de, 27.09.2020
Deception: Ransomware-Hackern Köder auslegen und damit ablenken / Mit Deception- und Verschleierungs-Technologien Angreifer daran hindern, die IT-Infrastruktur spürbar zu beeinträchtigen

datensicherheit.de, 26.06.2020
Ransomware „Philadelphia“ – Angebliche E-Mail der Bundesregierung als Köder / Serie von Cyberangriffen in Deutschland

[datensicherheit.de, 25.10.2021] Dieses Thema sei nicht neu: „Soziale Netzwerke wie ,facebook‘, ,Twitter‘ oder auch Berufsnetzwerke wie ,XING‘ und ,LinkedIn‘ haben massive Sicherheitsprobleme. Datenklau ist bei nahezu jedem dieser Netzwerke bereits Thema gewesen.“ Allein 2021 seien bereits eine halbe Milliarde „facebook“-Nutzer, mehr als eine Million „Clubhouse“-Daten sowie die „LinkedIn“-Daten von fast allen Nutzern betroffen gewesen. Patrycja Schrenk kommentiert und warnt: „Allerdings können Nutzende selbst die meist nicht sehr tiefgreifende Sicherheit Sozialer Netzwerke weiter kompromittieren, indem diese beispielsweise für sämtliche Dienste dieselben Login-Daten verwenden“, so die Geschäftsführerin der PSW GROUP.

Foto: PSW GROUP

Patrycja Schrenk: Soziale Netzwerke oder auch Berufsnetzwerke haben massive Sicherheitsprobleme!

Credential Stuffing: Angreifer probieren mit Login-Daten Anmeldungen bei anderen Online-Diensten aus

Schrenk betont: „Das kann fatale Folgen haben, die bis zum Identitätsdiebstahl reichen können. Denn wenn Nutzende dieselben Login-Daten für mehrere Dienste verwenden, reicht es, wenn Cyber-Kriminelle einmalig an diese Daten gelangen.“ Diese probierten dann aus, in welche Dienste man sich mit diesen Zugängen noch einloggen kann. Diese Angriffsmethode werde auch „Credential Stuffing“ genannt.
Tatsächlich gehöre „Credential Stuffing“ zu den Angriffsmethoden, welche im Internet sehr häufig aufträten. Angreifer nutzten dabei Anmeldedaten, „die entweder geleakt, gestohlen oder sonst wie in ihre Hände gelangt sind“.
Mit diesen Login-Daten probierten die Angreifer Anmeldungen mit Nutzernamen und Passwort bei anderen Online-Diensten aus. „Um dieses Ausprobieren bei anderen Diensten zu erleichtern, werden dafür in aller Regel gerne Bot-Netzwerke eingesetzt. Rotierende ,Proxys‘ können Hunderttausende Login-Informationen über verschiedene Online-Dienste hinweg ansteuern“, erläutert Schrenk.

Credential Stuffing nicht mit Brute Force verwechseln!

Das „Credential Stuffing“ könne demnach nur bei Nutzern Erfolg haben, welche dieselben Login-Daten („Credentials“) für verschiedene Dienste verwendeten. Nicht zu verwechseln seien „Credential Stuffing“-Angriffe mit „Brute Force“-Attacken: Für „Brute Force“-Angriffe würden unzählige Kombinationen möglicher Login-Daten computergestützt „erraten“.
„Es werden solange Login-Daten eingegeben, bis irgendwann zufällig eine Kombination passt.“ Die Erfolgsaussichten von „Brute Force“-Attacken verringerten sich mit starken Passwörtern – beim „Credential Stuffing“ hingegen sei die Stärke eines Passworts nicht maßgeblich.
„Damit ist der beste Schutz vor ,Credential Stuffing‘- Angriffen, tatsächlich für jeden Dienst unterschiedliche Login-Daten zu verwenden. Niemals sollte dasselbe Passwort für verschiedene Dienste genutzt werden. Um nicht den Überblick über viele Passwörter zu verlieren, hilft die Nutzung eines sicheren Passwort-Managers“, empfiehlt Schrenk. Unternehmen rät sie zudem zum Einsatz von Monitoring-Systemen, welche unautorisierte Anmeldeversuche von Botnetzen erkennen könnten und diese abwehrten.

Angriffe per Credential Stuffing erschweren: Immer mehr Dienste bieten Zwei-Faktor-Authentifizierung an

Auch mittels verschiedener Faktoren zur Authentifizierung könnten Accounts geschützt werden: Immer mehr Dienste böten mit der Zwei-Faktor-Authentifizierung (2FA) mindestens zwei Faktoren, über welche sich Nutzer anmelden könnten. „Als zweiten Faktor oder auch für den gängigen Login setzen bereits immer mehr Dienste auf biometrische Daten. Der Fingerabdruck- oder Augen-Scan existiert bei Notebooks, Smartphones, Tablets und Rechnern. Da biometrische Daten einmalig sind, sind Fälschungen schwer bis unmöglich“.
Allerdings sollten Anwender einen sicheren Anbieter zum Speichern ihrer biometrischen Daten nutzen. Darüber hinaus erfreue sich „TOTP-based Authenticator“ zur zusätzlichen Authentifizierung immer größerer Beliebtheit. Der „Time-based One-time“-Passwort-Algorithmus (TOTP) sei das Verfahren, mit welchem Session-Kennwörter erstellt würden. Entsprechende Anwendungen seien auch für Mobilgeräte verfügbar, so dass diese Login-Methode überall genutzt werden könne. Dabei werde dem Passwort ein einmaliger Code, das Session-Kennwort, angehängt.
„Jeder Internet-Nutzende sollte es sich außerdem zur Routine machen, Passwörter regelmäßig auf Diebstahl oder Kompromittierung zu checken“, so Schrenk. Entweder sei diese Funktion im Passwort-Manager enthalten oder alternativ böten sichere Online-Dienste wie „haveibeenpwned.com“ für E-Mail und Rufnummer oder „haveibeenpwned.com/passwords“ für Passwörter entsprechende Services an.

Weitere Informationen unter zum Thema:

PSW GROUP, Bianca Wellbrock, 31.08.2021
Credential Stuffing: Cyberangriffe durch unsichere Logins

datensicherheit.de, 01.07.2021
Linkedin-Datenleck: API als Schwachstelle / Bereits im April 2021 wurde über ein Datenleck bei Linkedin berichtet

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt

datensicherheit.de, 23.02.2021
Clubhouse: Data Breach bei Social-Media-Plattform / Satnam Narang kommentiert Sicherheitslücken in boomender Clubhouse-App

[datensicherheit.de, 23.09.2021] Tenable hat nach eigenen Angaben gemeinsam mit Forrester u.a. in Deutschland Unternehmen befragt, wie sich die „Corona“-bedingten Umstellungen (Home-Office, mobiles Arbeiten, beschleunigte Digitalisierung) auf ihre Cyber-Sicherheit ausgewirkt haben. Ein Resultat der internationalen Studie lautet demnach: „78 Prozent der deutschen Unternehmen führen schädliche Cyber-Angriffe auf Schwachstellen in Technologien zurück, die während der ,Pandemie‘ eingeführt wurden!“

Abbildung: Tenable

Zentrales Studien-Ergebnis: Hybride Arbeitsmodelle werden sich durchsetzen – Gleiches droht auch für die damit einhergehenden Risiken

Ohne Grenzen: Cybersecurity in der neuen Arbeitswelt – Studie von Forrester Consulting im Auftrag von Tenable

Die Tenable® Inc. hat die Ergebnisse einer Studie veröffentlicht, nach der 78 Prozent der deutschen Unternehmen die jüngsten geschäftsschädigenden Cyber-Angriffe auf Schwachstellen in Technologien zurückführten, welche während der „Pandemie“ eingeführt wurden seien.
Diese Daten stammten aus der Studie „Ohne Grenzen: Cybersecurity in der neuen Arbeitswelt“, welche von Forrester Consulting im Auftrag von Tenable unter mehr als 1.300 Sicherheitsverantwortlichen, Führungskräften und Remote-Mitarbeitern durchgeführt worden sei, darunter auch 156 Befragte in Deutschland.

Tenable: Viele Unternehmen planen langfristige Fortführung hybrider, flexibler Arbeitsmodelle

Zwar sei die „pandemie“-bedingte Home-Office-Pflicht in Deutschland aufgehoben worden, aber viele Unternehmen planten dennoch die langfristige Fortführung hybrider und flexibler Arbeitsmodelle.
Zweiundachtzig Prozent der deutschen Unternehmen hätten Mitarbeiter, welche von zu Hause aus arbeiteten, und 65 Prozent dieser Firmen beabsichtigten, Home-Office-Modelle in den nächsten ein bis zwei Jahren dauerhaft einzuführen.

Tenable warnt vor neuen und unkontrollierten Cyber-Risiken

Diese Umwälzung in der Arbeitswelt habe Unternehmen jedoch für neue und unkontrollierte Cyber-Risiken anfällig gemacht:

Unterstützung einer Belegschaft ohne Grenzen
Nach eigenen Aussagen fühlten sich nur 58 Prozent der deutschen Unternehmen ausreichend vorbereitet, um ihre Personalstrategie in puncto Sicherheit zu unterstützen.

Schnellere Verlagerung kritischer Systeme in die „Cloud“
Nahezu drei Viertel (73%) der deutschen Unternehmen hätten geschäftskritische Funktionen in die „Cloud“ verlagert, darunter Buchhaltung und Finanzen (51%) und das Personalwesen (48%). „Auf die Frage, ob das Unternehmen dadurch einem erhöhten Cyber-Risiko ausgesetzt sei, antworteten 76 Prozent, dass dies der Fall sei.“

Angreifer nutzen die Gelegenheit
93 Prozent der Unternehmen hätten in den vergangenen zwölf Monaten einen geschäftsschädigenden Cyber-Angriff verzeichnet, wobei 57 Prozent von fünf oder mehr Angriffen betroffen gewesen seien. Sechsundsechzig Prozent der deutschen Unternehmen hätten angegeben, dass diese Angriffe auf Remote-Mitarbeiter abgezielt hätten.

Tenable-CEO: Unternehmen müssen Angriffsoberfläche in den Griff bekommen!

„Home-Office- und hybride Arbeitsmodelle werden sich durchsetzen – und das Gleiche gilt auch für die damit einhergehenden Risiken, wenn Unternehmen ihre neue Angriffsoberfläche nicht in den Griff bekommen“, kommentiert der Tenable-„CEO“ Amit Yoran.
Diese Studie zeige zwei Wege in die Zukunft auf – einen, der mit unkontrollierten Risiken und unerbittlichen Cyber-Angriffen behaftet sei, und einen anderen, welcher geschäftliche Produktivität und Betriebsabläufe auf sichere Weise beschleunige. „CISOs“ und „CEOs“ hätten die Möglichkeit und die Verantwortung, die Macht der Technologie auf sichere Weise einzusetzen und Cyber-Risiken für die neue Arbeitswelt zu managen.

Tenables Fazit: Unternehmen müssen sich unbedingt ganzheitlichen Überblick über Risiken verschaffen!

Während sich Unternehmen auf die neue Arbeitswelt einstellten – also eine, in der Büro- und Home-Office-Modelle miteinander kombiniert würden – müssten „CISOs“ und Verantwortliche für Informationssicherheit ihren Ansatz für die Gewährleistung der Sicherheit in hochdynamischen und verschiedenartigen Umgebungen neu überdenken. Dazu gehöre auch, dass sie sich stärker am „Business“ orientierten, um das Risiko effektiv zu reduzieren.
„In Deutschland hat die ,Pandemie‘ die Art und Weise, wie die meisten Unternehmen arbeiten, grundlegend verändert“, so Roger Scheer, „Regional Vice President of Central Europe“ bei Tenable. „Cloud“-Nutzung und Telearbeit hätten so stark zugenommen wie nie zuvor, wodurch die Grenzen des Unternehmensnetzes gesprengt würden und exponentielle Risiken entstünden. Scheers abschließende Forderung: „Unternehmen müssen sich unbedingt einen ganzheitlichen Überblick über die Risiken verschaffen, die mit der neuen Arbeitswelt einhergehen, und sichere Arbeitskonzepte umsetzen, die Abwehrmaßnahmen stärken und erfolgreiche Cyber-Angriffe verhindern.“

[datensicherheit.de, 09.09.2021] Laut einer aktuellen Stellungnahme von Tenable hat Microsoft „eine Warnung herausgegeben, dass Angreifer eine bisher unbekannte Sicherheitslücke in ,Windows 10‘ und vielen ,Windows Server‘-Versionen ausnutzen“. Microsoft gebe an, „dass es Kenntnis von gezielten Angriffen hat, die versuchen, diese Schwachstelle mit speziell erstellten ,Microsoft Office‘-Dokumenten auszunutzen“.

Foto: Tenable

Scott Caveza: Angreifer nutzen Zero-Day-Schwachstelle CVE-2021-40444 in Microsoft Windows aus

Warnung vor Sicherheitslücke und Ausnutzungsversuchen

„Über das vergangenen Wochenende haben Angreifer damit begonnen, eine Zero-Day-Schwachstelle in ,Microsoft Windows‘ auszunutzen. ,CVE-2021-40444‘ ist eine Schwachstelle für Remote-Code-Ausführung (Remote Code Execution / RCE) in MSHTML (auch bekannt als ,Trident‘), der HTML-Engine, die von ,Internet Explorer‘ verwendet wird“, erläutert Scott Caveza, „Research Engineering Manager“ im „Security Response Team“ bei Tenable.
Angreifer könnten diese Schwachstelle ausnutzen, „indem sie ahnungslosen Zielpersonen ein manipuliertes ,Microsoft Office‘-Dokument schicken und die Opfer dazu verleiten, den Anhang zu öffnen“, betont Caveza. Microsoft warne in einer Mitteilung vor dieser Sicherheitslücke und vor aktiven Ausnutzungsversuchen, welche auf diese Schwachstelle abzielten.

Angriffsfläche verringern, bis Patch verfügbar ist

Obwohl die Schwachstelle noch nicht behoben sei, gebe das Unternehmen an, dass „Protected View“ oder „Application Guard for Office“ die erfolgreiche Ausführung des Angriffs verhinderten. Außerdem gebe es einen „Workaround“, welcher „ActiveX“-Steuerelemente im „Internet Explorer“ deaktiviere, „um die Angriffsfläche zu verringern, bis ein offizieller Patch verfügbar ist“.
Obwohl dieser Angriff eine Benutzerinteraktion erfordere, würden Kriminelle wahrscheinlich mit maßgeschneiderten E-Mails Angriffsopfer ins Visier nehmen oder versuchen, aktuelle Ereignisse auszunutzen, „um eine höhere Erfolgsquote bei ihren Täuschungsmanövern zu erzielen“.

Weitere Informationen zum Thema:

Microsoft MSRC, 07.09.2021
Microsoft MSHTML Remote Code Execution Vulnerability / CVE-2021-40444

datensicherheit.de, 22.07.2021
Windows 10: Tenable warnt vor Zero-Day-Schwachstelle / Windows Elevation of Privilege-Schwachstelle (CVE-2021-36934) – auch als HiveNightmare oder SeriousSAM bezeichnet

datensicherheit.de, 02.07.2021
PrintNightmare: Malwarebytes nimmt Stellung zu Microsoft-Windows-Sicherheitslücke / Ratschläge der Malwarebytes-Administratoren in aller Kürze

datensicherheit.de, 17.01.2021
Windows 10-Bug: Bluescreen durch Aufruf eines bestimmten Pfades / Das englischsprachige Magazin BleepingComputer berichtet über den Fehler

[datensicherheit.de, 03.09.2021] „Bluetooth“-Angriffe hätten einst den Beginn von Bedrohungen mobiler Plattformen markiert: So sei der erste bekannte mobile Wurm „Cabir“ über „Bluetooth“ verbreitet worden. Heutzutage sei dies jedoch nicht mehr der Hauptinfektionsvektor für mobile Bedrohungen – fast alle solche Kompromittierungen seien heute in den Betriebssystemen der Nutzer verortet und würden mithilfe von Standardfunktionen des Betriebssystems erstellt.

Kaspersky-Sicherheitsexperte kommentiert Ausnutzung von Schwachstellen im Bluetooth-Stack

„Meiner Meinung nach ist die Wahrscheinlichkeit gering, dass diese Attacken über die Ausnutzung von Schwachstellen im ,Bluetooth‘-Stack verbreitet werden“, so Victor Chebyshev, Sicherheitsexperte bei Kaspersky, in einem aktuellen Kommentar. Denn es sei recht kompliziert, einen Massenangriff über diesen Kanal zu initiieren. Cyber-Kriminelle müssten demnach folgende Punkte erfüllen, um einen solchen Angriff möglich zu machen:

• Online-Betrüger müssten sich an einem öffentlichen Ort befinden und zahlreiche Geräte angreifen. „Sobald sie sich jedoch im offenen Raum aufhalten, verliert die Angriffsquelle ihre Anonymität und Täter versuchen natürlich, unnötige Aufmerksamkeit zu vermeiden.“ Das Auftauchen eines mobilen Computer-Wurms zur Ausnutzung dieser Schwachstellen scheine ebenfalls unwahrscheinlich, „da für den Betrieb des Wurms eine Interaktion auf niedriger Ebene mit dem ,Bluetooth‘-Modul erforderlich wäre, während moderne mobile Betriebssysteme einen solchen Zugang nicht bieten“.
• Cyber-Kriminelle müssten sich in der Nähe des Ziels aufhalten, „da die ,Bluetooth‘-Reichweite nur zehn Meter beträgt, was wiederum die Möglichkeiten einen Angriff durchzuführen und dabei anonym zu bleiben, erheblich einschränkt“.

Kaspersky-Tipps zum Schutz vor Angriffen auf Schwachstellen über Blootooth

• „Mobilfunknutzer sollten herausfinden, ob sie ein potenzielles Ziel sind und das ,Bluetooth‘-Modul ihres Geräts verwundbar ist oder nicht.“
• Wenn eine hohe Wahrscheinlichkeit besteht, dass ein Anwender Ziel eines Angriffs sein könnte – etwa wenn er in einem hochsensiblen Bereich wie der Diplomatie arbeitet oder Zugang zu wertvollen Informationen hat – wäre die radikale Lösung, das Gerät auszutauschen oder „Bluetooth“ zu deaktivieren.
• In Fällen, in denen der Austausch anfälliger Geräte nicht in Frage kommt, rät Kaspersky nach eigenen Angaben „zur Verwendung einer bewährten und leistungsstarken Sicherheitslösung“.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2019
Update erforderlich: Sicherheitslücke in Googles Bluetooth / Mark Miller von Venafi kommentiert Rückrufaktion

[datensicherheit.de, 01.09.2021] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung zum Thema „Cyberangriffe – Neue Verteidigungsstrategien” ein.

Praxisbeispiel zur Entgegnung von Cyber-Angriffen

Die Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt a.M. werde über Ermittlungserfolge beim Erpressungssoftware-Angriff berichten.
In dieser Hybrid-Veranstaltung besteht die Möglichkeit, neue Strategien zur Entgegnung von Cyber-Angriffen kennenzulernen und zu diskutieren.
An einem Praxisbeispiel erläuterten Fachleute von Dentons, HiSolutions AG, M&H IT-Security, ObjectSecurity OSA gemeinsam mit den Experten der ZIT neue Ansätze bei der Verteidigung gegen Cyber-Angriffe.

Veranstaltung als Cyber- und Vor-Ort-Format

„Cyberangriffe – Neue Verteidigungsstrategien”
Donnerstag, 16. September 2021, 16.00 bis 18.00 Uhr
Teilnahme kostenlos, Anmeldung erforderlich.

Die Veranstaltung werde von den Mitgliedern des IT-Security Netzwerks für Berlin und Brandenburg „it’s.BB e.V.“ in Zusammenarbeit mit der IHK Berlin organisiert.
Eine Anmeldung zur kostenfreien virtuellen oder Vor-Ort-Teilnahme sei erforderlich – für die virtuelle Option werde die „Zoom“-Plattform verwende. Für die Teilnahme vor Ort sei der Anmeldeschluss der 14. September 2021.

Weitere Informationen zum Thema:

DENTONS – IHK Berlin – it’s.BB
Cyberangriffe – Neue Verteidigungsstrategien