- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Spionagesoftware über sicheres HTTPS-Protokoll


Google Drive- und Dropbox-User aufgepasst: Der Spion kommt durch die Hintertür
Absenderadresse prüfen, eingebettete Links ignorieren und Multifaktorauthentifizierungen nutzen

(04.09.14) - Dass Cyberkriminelle und -spione sich für Anbieter legitimer und beliebter Services ausgeben, stellt leider eine weit verbreitete, weil erfolgreiche Betrugsmasche dar. Zurzeit machen Spam-Nachrichten die Runde, die es auf Google-Drive- und Dropbox-Nutzer abgesehen haben. "Nicht öffnen, sondern löschen" lautet hier die Devise. Denn wer auf den Trick hereinfällt, fängt sich einen Hintertürschädling ein. Dabei handelt es sich um Spionagesoftware, die Benutzernamen und Passwörter stiehlt sowie Tastatureingaben mitschneidet und darüber hinaus Befehle der Hintermänner im Internet ausführt.

Der aktuelle Betrugsversuch weist ein erkleckliches Maß an Dreistigkeit auf. Denn die gefälschten E-Mails tarnen sich nicht nur als Sicherheitswarnungen – angeblich habe sich jemand von einem unbekannten Gerät aus im Google-Drive- oder Dropbox-Konto eingeloggt. Die Masche der Ganoven ist also kaum auf den ersten Blick zu erkennen, denn die Nutzer kennen solche Warnungen nur zu gut; außerdem verwenden die Cyberkriminellen zumindest teilweise deutsche Absenderadressen. Zudem nutzen die Online-Spione sogar einen der missbrauchten Dienste – im vorliegenden Fall Google Drive –, um den Hintertürschädling auf die infizierten Systeme zu verteilen.

Dadurch erfolgt das Herunterladen der Spionagesoftware über das sichere HTTPS-Protokoll, so dass Sicherheitsmechanismen wie manche Webfilter umgangen werden. Ferner tricksen die Angreifer zahlreiche E-Mail-Reputationsdienste aus, indem sie lokale Mailserver auf Web-Hosts nur mit deren IPv6-Adresse für den Versand ihrer Spam-Nachrichten missbrauchen. Denn viele E-Mail-Reputationsdienste filtern ausschließlich anhand der IPv4-Adresse.

Drei einfache Verhaltensregeln für mehr Sicherheit
Um sich gegen diese Bedrohung zu wappnen, sollten die Anwender ein paar grundsätzliche Verhaltensregeln beachten:

>> Erhalten sie Sicherheitswarnungen von Google Drive oder Dropbox oder auch von anderen Cloud-Diensten, sollten sie im Adressfeld prüfen, ob die Absenderadresse wirklich vom angeblichen Versender stammt. Wenn nicht, befindet sich im Absenderfeld eine zweite, abweichende Adresse – im vorliegenden Fall unter anderem von einem Mailserver aus Deutschland.

>> Auch wenn die Sicherheitswarnung vom vertrauenswürdigen Absender zu stammen scheint, sollten Anwender niemals auf eingebettete Links klicken, um ihre Kontodaten zu prüfen. Besteht ein begründeter Verdacht, dass das eigene Konto gefährdet ist, sollte man sich stets über die Startseite des Diensteanbieters einloggen, um seine persönlichen Daten zu überprüfen und gegebenenfalls zu ändern.

>> Drittens gilt generell: Wenn die Cloud-Services-Anbieter Mechanismen zur Multifaktorauthentifizierung, zum Beispiel über die zusätzliche Eingabe eines per SMS zugestellten Einmalpasswortes oder Sicherheitscodes, zur Verfügung stellen, sollten diese auf jeden Fall genutzt werden. Dies setzt freilich voraus, dass nicht nur auf dem Rechner, sondern auch auf dem Smartphone oder Tablet eine Sicherheitslösung installiert ist, die fortlaufend aktualisiert wird. Ferner bieten sowohl Google als auch Dropbox eine abgesicherte Anmeldung mittels zeitlich begrenzt gültiger Einmalpasswörter, so genannter TOTP-Tokens, an. Dabei wird auf einem vom Rechner unabhängigen zweiten Gerät ein Einmalpasswort erzeugt, bei der Anmeldung auf der Webseite vom Anwender eingegeben und im Hintergrund auf dem Server des Diensteanbieters verifiziert. Der Vorteil dieses Verfahrens besteht darin, dass das Passwort nicht erst zum Beispiel auf ein Smartphone gesendet wird und auf diesem Weg von den Cyberkriminellen abgefangen werden kann.
(Trend Micro:ra)

Trend Micro: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.