APT und gezielte Angriffe
Der nicht alltägliche Angriff
Attacken staatlicher Akteure wie die der Gruppe Void Rabisu sind zwar nicht direkt für jedermann relevant. Dennoch lohnt sich ein genauerer Blick, da sie Techniken verwenden, die immer häufiger auch im Zusammenhang mit Massenangriffen genutzt werden.
Save to Folio
Anfang August erstellte Void Rabisu eine Webseite, die eine andere nachahmte und sich in Aufmachung und Namen vom Original nur wenig unterschied. Genauer gesagt wurde die Webseite wplsummit.org des Democracy, Peace and Security Summit der Organisation Women Political Leaders (WPL) kopiert und lediglich mit der Top-Level-Domain „.com“ erneut registriert. Der böswillige Akteur veränderte nur die Fotogalerie. Während Besucher im Original auf ein Google Drive weitergeleitet wurden, wo offizielle Fotos und Videos heruntergeladen werden konnten, führte die Fake-Seite auf einen OneDrive-Account, der neben den erwarteten Dateien auch eine Malware namens „Unpublished Pictures 1…“ enthielt, eine ausführbare Datei, die sich als selbstextrahierendes Zip File (SFX) tarnte.
Wie schon erwähnt, handelte es sich hierbei um einen gezielten Angriff auf die Teilnehmerinnen des WPL-Kongresses. Da es sich dabei größtenteils um einflussreiche Politikerinnen handelt, ist die Spionageabsicht klar zu erkennen. Entsprechend groß war der Aufwand auf Täterseite. Sogar die Malware zeigte bei der Extraktion Bilder, die von Social Media-Konten von Teilnehmenden kopiert wurden, um die Simulation aufrecht zu erhalten.
Sie sind keine Politikerin?
So viel Mühe machen sich Verbrecher normalerweise nicht für uns Normalsterbliche. Was hingegen sehr häufig vorkommt, sind Angriffe mittels gefälschter Websites. Diese tarnen sich als Nachrichtenportale, gerne aus dem Boulevard-Bereich oder eben auch als Eventberichte, und sie werden von den Kriminellen in Spam-Mails oder auf Social Media beworben: „Breaking News“, „xy hat neue Beziehung“ und ähnliche so genannte Click Baits sollen Nutzer zum Klicken verführen. Videos oder Fotoarchive dienen als Köder, denn wir wollen nicht mehr lesen, sondern „sehen“ und je „unveröffentlichter“ oder „exklusiver“ das uns Angezeigte, desto interessanter. Die angewendeten Tricks stammen aus der Werbung und funktionieren auch bei Angriffen.
Noch perfider sind Links, die auf tatsächlich legitime Seiten weiterleiten – nachdem der User zuvor seine Zustimmung erteilt hat -- dies jedoch nicht für Cookies, sondern für einen Download im Hintergrund. Haben Sie die Systemwarnung überhaupt als solche wahrgenommen?
Geschieht das, so erwarten Sie nicht, dass sofort Konsequenzen erkennbar sind. Angreifer versuchen erst herauszufinden, auf welcher Art von System sie gekommen sind. Danach richtet sich dann die kriminelle Aktivität. Erpressung, Bankentrojaner oder Zwischenspeicher für bösartiges Material sind nur einige der Optionen. Nutzen Sie allerdings Systeme, die mit Ihrem Arbeitgeber verbunden sind, ist es für Angreifer oft lukrativer, Ihr System als Sprungbrett ins Unternehmensnetzwerk einzusetzen.
Warnungen bitte beachten!
- Erst der Dauertipp: Klicken Sie nicht auf Links in E-Mails! E-Mail-basierende Angriffe sind für Täter nach wie vor relevant. Da viele Sicherheitsanbieter URLs in E-Mails nicht prüfen, verlagern sich die Angreifer auf diesen Weg. Es ist zudem nicht ungewöhnlich, dass Nachrichten im Newsletter-Format empfangen werden, die viele – auch potenziell gefährliche – Links enthalten.
- Für Privatanwender gilt: Solche Angriffe sind im Regelfall auf Masse ausgelegt. Verwenden Sie Sicherheitslösungen, haben Sie eine große Chance, dass diese den Angriff entdecken. Seien Sie dennoch auf der Hut!
- Achten Sie auf Systemwarnungen und „Warnungsüberreizung“. Vor allem Betriebssystembetreiber und Browser-Hersteller sind mit einer Flut an möglichen Bedrohungen konfrontiert, die oft nicht sofort eingeschätzt werden. Entsprechend haben die Hersteller viele Warnmeldungen eingebaut. Auch wenn Sie diese schon hundertmal weggeklickt haben, nehmen Sie sie bitte ernst! Lesen Sie zunächst die Warnung und entscheiden Sie sich ganz bewusst für „ja“ oder „nein“.
Dieser Beitrag (wie auch schon frühere) ist zuerst im connect professional Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.