Die neuesten Phishing-Kampagnen 2019

/0 Kommentare/in /von

Die Welt der Cybersicherheit wird von Malware, Ransomware, Datenschutzverletzungen, App-Schwachstellen,IoT-Bedrohungen und Botnet-Angriffen beherrscht. Phishing ist jedoch seit Anfang der 2000er Jahre eine ernsthafte Bedrohung und wird allgemein als häufigster Angriffsvektor für Cyberkriminelle angesehen.

Heute geht es beim Phishing nicht mehr um Lautstärke. Diese E-Mail-Bedrohungensind jetzt so eingestellt, dass ein hochwertiges Ziel erfolgreich dazu gebracht wird, die gewünschten Maßnahmen zu ergreifen: Klicken auf einen schädlichen Link, Öffnen einer mit Malware beladenen Datei, Bereitstellen eines Kennworts oder Autorisieren von Finanztransaktionen.

Im aktuellen Cyber-Wettrüsten versuchen Bedrohungsakteure ständig, Sicherheitssysteme zu umgehen. Im Kontext von E-Mail als Bedrohungsvektor hat sich Phishing zu Spear-Phishing, Identitätswechsel und Business Email Compromise (BEC) entwickelt. Diese Botschaften sind sehr zielgerichtet und erfordern umfangreiche Social-Engineering-Anstrengungen, um das Opfer sorgfältig auszuwählen und zu untersuchen.

Die weltweite Phishing-Lautstärke nimmt ab, Angriffe werden gezielter

Laut unserem SonicWall Cyber Threat Report 2019  haben unsere Capture Labs weltweit 26 Millionen Phishing-Angriffe verzeichnet. Das entspricht einem Rückgang von 4,1 Prozent gegenüber 2017. Während dieser Zeit war der durchschnittliche SonicWall-Kunde 5.488 Phishing-Angriffen ausgesetzt.

Weltweites Phishing-Angriffsvolumen 2018

Da Unternehmen weitaus versierter im Blockieren von E-Mail-Attacken sind und ihre Mitarbeiter geschult haben, verdächtige E-Mails zu erkennen und zu löschen, wenden sich Angreifer neuen Taktiken zu. Neue Daten deuten darauf hin, dass sie das Gesamtangriffsvolumen reduzieren und mehr gezielte Phishing-Angriffe starten (z. B. Black Friday- und Cyber Monday-Angriffe).

Fünf gängige Taktiken, mit denen Phisher Anmeldeinformationen stehlen, Malware einsetzen, Netzwerke infiltrieren und Marken schädigen, sind:

  1. Schädliche URLs und gefälschte Websites
    Mit Verbesserungen der Lösungen für E-Mail-Sicherheit die Phishing verhindern können, greifen Cyberkriminelle auf innovative Methoden zurück, um verstärkt gezielte Angriffe auszuführen, z. B. die Verwendung von URLs in E-Mails, um böswillige Nutzdaten, oder die Erstellung von Phishing-Websites mit gefälschten Anmeldeseiten, um Anmeldeinformationen von Benutzer zu sammeln. Ende 2017 wurde berichtet, dass jeden Monat fast 1,5 Millionen Phishing-Sites erstellt werden. Die Erkennung von Phishing-Sites ist schwieriger geworden, da Phisher Phishing-URLs mit mehreren Umleitungen und URL-Kürzungen verschleiern.
     

    Quelle:„PhishPoint: New SharePoint Phishing Attack Affects an Estimated 10% of Office 365 Users,“ Avanan, August 2018.

    Laut dem Security Intelligence-Bericht von Microsoft, „verwenden Angreifer zunehmend Websites und Dienste für die gemeinsame Nutzung und Zusammenarbeit von Dokumenten, um böswillige Nutzdaten und gefälschte Anmeldeformulare zu verteilen, mit denen Benutzeranmeldeinformationen gestohlen werden.“

  2. Phishing-Angriffe auf Office 365-Anwendungen und -Benutzer

    SaaS- und Webmail-Dienste werden zunehmend von Phishing-Kampagnen angegriffen. Laut der Anti-Phishing-Arbeitsgruppe (APWG) hat sich Phishing für SaaS- und Webmail-Dienste im vierten Quartal 2018 verdoppelt. Da sich Office 365 mehr und mehr zur beliebtesten Cloud-E-Mail-Plattform in Organisationen jeder Größenordnung sowie in vertikalen Märkten entwickelt hat, ist es also kein Wunder, dass Microsoft die am imeisten verkörperte Angriffsmarke ist.

    „Mit zunehmendem SEG-Marktanteil von Microsoft werden intelligente Angreifer gezielt auf Microsoft abzielen”, berichtet Gartner.

    Das ist nicht verwunderlich, da ein Office 365-Abonnement für jeden mit einer Kreditkarte verfügbar ist. Dadurch sind die Sicherheitsfunktionen für Cyberkriminelle sehr gut angreifbar. Auf diese Weise könnten kriminelle Gruppen Phishing-Kampagnen erstellen, die sich der systemeigenen Abwehr von Microsoft entziehen. In einem anderen Bericht stellten Security-Forscher fest, dass 25 % der Phishing-E-Mails die Sicherheit von Office 365 umgehen.

  3. Kompromittierte Anmeldeinformationen
    Im Januar 2019 entdeckte der Security-Forscher Troy Hunt die „Collection 1“, eine Sammlung von Millionen E-Mail-Adressen und 21 Millionen Passwörtern, die im Hacker Forum zum Verkauf angeboten wurden. Mit diesen kompromittierten Benutzer-IDs und Passwortkombinationen wurden Angriffe von innen durchgeführt.  Zu einem häufigen Angriff gehörte die Übernahme von Konten, bei der Bedrohungsakteure die Anmeldeinformationen von Mitarbeitern kompromittierten, indem sie entweder eine Phishing-Kampagne für Anmeldeinformationen gegen eine Organisation starteten oder Anmeldeinformationen im Darkweb aufgrund von Datenlecks von Drittanbietern erwarben. Der Bedrohungsakteur konnte diese gestohlenen Anmeldeinformationen verwenden, um weitere Zugriffe oder Berechtigungen auf das Netzwerk zu erhalten. Kompromittierte Berechtigungsnachweise können Monate oder Jahre lang unentdeckt bleiben.
  4. CEO-Betrug und Business Email Compromise (BEC)
    Nach Angaben des FBI handelt es sich bei Business Email Compromise (BEC) um einen Betrug, der sich an Unternehmen richtet, die mit ausländischen Lieferanten zusammenarbeiten und / oder regelmäßig Zahlungen per Überweisung leisten. Diese raffinierten Betrügereien werden von Angreifern ausgeführt, die E-Mail-Konten durch Social Engineering oder Computereingriffe kompromittieren, um nicht autorisierte Geldtransfers durchzuführen. Diese Arten von Angriffen sind nur schwer zu stoppen, da sie keine böswilligen Links oder Anhänge enthalten, sondern aus einer Nachricht bestehen, die von einem vertrauenswürdigen Absender an das Opfer gesendet wird, um beispielsweise eine Überweisung anzuordnen.
  5. Schädliche PDF-Dateien und Office-Dokumentanhänge
    E-Mail-Anhänge sind ein beliebter Übermittlungsmechanismus für schädliche Nutzdaten wie Ransomware und noch nie dagewesene Malware. Die Bedrohungsforscher von SonicWall Capture Labs stellten kürzlich eine erhebliche Zunahme von schädlichen oder betrügerischen PDF-Dateien fest.  Bei diesen Betrugskampagnen wird das Vertrauen der Empfänger in PDF-Dateien als ein „sicheres“ Dateiformat genutzt, das für Geschäftsabläufe weit verbreitet und zuverlässig ist. Wenn Sie mehr über die neuen Phishing-Kampagnen und wie Sie diese stoppen können erfahren möchten, empfehle ich Ihnen den von von Dmitriy Ayrapetov, Executive Director für Produktmanagement, verfassten Beitrag „New PDF Fraud Campaign Spotlights Shifting Cybercriminal Phishing Tactics“.

Dragonblood-Vulnerability: Ist Ihr WLAN geschützt?

/0 Kommentare/in /von

Die neue Staffel von Game of Thrones ist angelaufen! Und alles, was mit Drachen zu tun hat, erinnert mich an diese Serie. Dragonblood-Vulnerability ist eine Malware, die kürzlich den WPA3-Standard geknackt hat. Vor knapp einem Jahr verursachte KRACK Sicherheitslücken im WPA2-Standard. Als Reaktion darauf wurde von der Wi-Fi Alliance ein stärkerer Nachfolger angekündigt: WPA3.

Doch war dieser Nachfolger wirklich so stark wie angenommen? Offensichtlich nicht.

WPA3 verwendet den Handshake „Simultaneous Authentication of Equals” (SAE), was eine wesentliche Verbesserung gegenüber WPA2 darstellt, da damit auch Wörterbuchangriffe verhindert werden. Die Familie der SAE-Handshakes wird als Dragonfly bezeichnet. Leider ist dieser Handshake aber anfällig für Kennwortaufteilungsangriffe, die den Wörterbuchangriffen ähneln und Seitenkanal-Schwachstellen nutzen, um Netzwerkkennwörter zu erfassen.

Laut den Forschern Vanhoef und Ronen, die den Artikel zu dieser Sicherheitsanfälligkeit veröffentlichten, liegen bei WPA3 schwerwiegende Designfehler vor, die durch Beachtung des Feedbacks von Branchenexperten zur WLAN-Sicherheit hätten vermieden werden können. Einer dieser Mängel ist z. B. die Tatsache, dass WPA3 keine neuen Protokolle eingeführt hat, sondern nur Anweisungen dazu enthält, welche bestehenden Protokolle unterstützt werden sollten.

WPA3-Hintergrund

WPA3 führte zu Verbesserungen gegenüber WPA2, indem die neuesten Sicherheitsmethoden verwendet, veraltete Protokolle abgelehnt und die Nutzung von Protected Management Frames (PMF) implementiert wurden. Es wurde für zwei Arten von Netzwerken konzipiert: Schutz für Heimnetzwerke mit WPA3-Personal und für Unternehmensnetzwerke mit WPA3-Enterprise.

WPA3-Personal bietet einen verbesserten Netzwerkkennwortschutz, während WPA3-Enterprise höhere Sicherheitsprotokolle für Unternehmensnetzwerke bietet. In WPA3-Personal-Netzwerken ersetzt der SAE-Handshake den in WPA2 verwendeten Pre-Shared Key (PSK). WPA3 bietet eine natürliche Kennwortauswahl, leichte Anwendung und Forward Secrecy.

Was ist ein Dragonfly-Handshake?

WPA3-Personal erfordert die Unterstützung von SAE-Handshakes, wobei es sich um einen ausgewogenen Austausch von Kennwortauthentifizierungsschlüsseln handelt, bei dem zwei Endpunkte (AP und AP oder AP und Client) Kennwörter im Klartext speichern. Die Eingabe für den SAE-Handshake ist ein vorab geteiltes Geheimnis und die Ausgabe ist ein paarweiser Master-Schlüssel mit hoher Entropie. Nach dieser Ausführung erfolgt ein vierfacher Handshake, um einen paarweisen Übergangsschlüssel zu generieren.

6 Auswirkungen von Dragonblood auf Ihr WLAN

  1. Denial of Service (DoS)-Angriff. Der Anti-Clogging-Mechanismus von WPA3, der DoS-Angriffe verhindern soll, verhindert dies aber nicht wirklich. Dadurch können Access Points abstürzen und eine Störung Ihres Netzwerks verursachen.
  2. Downgrade-Angriff. Der Übergangsmodus von WPA3 ist anfällig für Wörterbuchangriffe. In diesem Modus kann ein WPA3-fähiger Access Point Verbindungen von WPA2- und WPA3-Clientgeräten akzeptieren. Wenn ein Angreifer mithilfe eines Man-in-the-Middle-Angriffs die Beacons eines WPA3-fähigen Access Points modifiziert, um den Client so zu täuschen, als sei er ein WPA2-Access-Point, erkennt der Client während des vierseitigen WPA2-Handshakes die Anomalie und bricht die Übertragung ab. Während des Handshakes werden jedoch genügend Frames gesendet, sodass der Angreifer einen Wörterbuchangriff ausführen kann. Darüber hinaus entdeckten die Forscher „implementierungsspezifische Downgrade-Angriffe, wenn ein Client sich nicht automatisch mit einem zuvor verwendeten WPA3-Netzwerk verbindet.”
  3. SAE Group Negotiation-Angriff. Clientgeräte können Gruppen im SAE-Handshake gemäß den 802.11-Spezifikationen priorisieren. Wenn ein Client mit SAE eine Verbindung zu einem Access Point herstellt, schließt er die gewünschte Gruppe in die Commit-Frame ein und der Prozess wird fortgesetzt. „Leider gibt es keinen Mechanismus, der erkennt, ob jemand in diesen Prozess eingegriffen hat. Dies macht es einfach, den Client zu zwingen, eine andere Gruppe zu verwenden: Man erfindet einfach einen Commit-Frame, der angibt, dass der AP die aktuell ausgewählte Gruppe nicht unterstützt.” Dies führt zu einem Downgrade-Angriff. Diese Methode kann auch für Upgrade-Angriffe verwendet werden.
  4. Timing-basierte Seitenkanal-Angriffe. Der SAE-Handshake ist anfällig für Timing-Angriffe, bei denen Kennwortinformationen durchsickern und später bei Kennwortaufteilungsangriffen verwendet werden können, wobei das Kennwort des Opfers erfasst werden kann.
  5. Cache-basierte Seitenkanal-Angriffe. SAE ist außerdem anfällig für Schwachstellen bei der Implementierung seiner Algorithmen, die bei Kennwortaufteilungsangriffen genutzt werden könnten und zur Erfassung des Kennworts des Opfers führen könnten.
  6. EAP-PWD. Beeinflusst das EAP-Protokoll (Extensible Authentication Protocol), das in den WPA2- und WPA-Standards unterstützt wird. Die Forscher „entdeckten auch schwerwiegende Fehler in den meisten Produkten, die EAP-pwd implementieren. Diese ermöglichen es einem Angreifer, sich als Benutzer auszugeben und dadurch auf das Wi-Fi-Netzwerk zuzugreifen, ohne dessen Kennwort zu kennen.”

Wie man sich vor Dragenblood schützt

Die Dragonblood-Schwachstelle kann mit Software-Patches behoben werden. Während die Wi-Fi Alliance den Herstellern Richtlinien mitteilt, muss vor allem sichergestellt werden, dass das eigene Netzwerk immer sofort mit den neuesten Sicherheitsupdates der Hersteller von Wireless-Geräten aktualisiert wird. Des Weiteren sollten in allen Netzwerken stets starke Kennwörter verwendet werden.

Sind SonicWave-Wireless-Access-Points von der Dragonblood-Vulnerability betroffen?

Nein. Bei den Wireless-Access-Points von SonicWall liegt diese Schwachstelle nicht vor. Die SonicWave-Access-Points bieten unübertroffene WLAN-Sicherheit und haben ein dediziertes drittes Modul für Sicherheitsscans. Erweiterte Sicherheitsfunktionen wie die Capture Advanced Threat Protection (ATP) Sandbox und Content Filtering Service (CFS) können von den APs ausgeführt werden, auch wenn keine Firewalls angebunden sind. Somit erhalten Sie ultimative Flexibilität bei der Verwaltung Ihres WLANs über die Cloud  oder über Firewalls — ohne jegliche Beeinträchtigung der Sicherheit.

Nicht-Standard-Ports sind Cyberattacken ausgesetzt

/0 Kommentare/in /von

Wenn Sie gerne Superhero-Movies anschauen, wissen Sie, dass Superhelden ihre Identität durch Anonymität, z. B. durch das Tragen einer Maske schützen.Superhelden-Filmen Mit Ausnahme von Iron Man, versuchen Superhelden sich durch die Verheimlichung ihrer wahren Identität zu schützen. Bei der Netzwerksicherheit ist das sehr ähnlich.

Das Prinzip „Security through obscurity“ (deutsch „Sicherheit durch Obskurität“) ist sehr umstritten. Können Sie wirklich Unfälle vermeiden und ist es wirklich sicherer, nur auf Seitenstraßen statt auf der Autobahn zu fahren? Können Sie auf diese Weise ebenso effizient an Ihr Ziel gelangen? Es ist zwar möglich, aber das bedeutet nicht, dass Sie unerwünschte Vorfälle für immer vermeiden können.

Der Unterschied zwischen Standard-Ports und Nicht-Standard-Ports

Firewall-Ports werden durch Internet Assigned Numbers Authority (IANA) für bestimmte Zwecke oder Dienste zugewiesen.

Es gibt zwar über 40.000 registrierte Ports, doch nur eine Handvoll wird regelmäßig verwendet. Dabei handelt es sich um Standard-Ports. HTTP (Webseiten) verwenden beispielsweise Port 80, HTTPS (Websites, die Verschlüsselungen einsetzen) verwenden Port 443 und SMTP (E-Mails) verwenden Port 25.

Die zum Abhören dieser Ports konfigurierten Firewalls sind zum Empfangen von Verkehr bereit. Cyberkriminelle sind sich dessen bewusst und richten ihre Attacken deshalb auf diese häufig verwendeten Ports. Infolgedessen verstärken Unternehmen diese Ports mit Abwehrfunktionen gegen solche Bedrohungen.

Als Reaktion auf die vielen auf Standard-Ports gerichteten Attacken wenden sich Unternehmen vermehrt an die Verwendung von Nicht-Standard-Ports für ihre Dienste. Ein Nicht-Standard-Port kann für andere als die standardmäßig zugewiesenen Zwecke verwendet werden. Ein Beispiel dafür ist die Verwendung von Port 8080 anstatt Port 80 für Web-Verkehr.

Das entspricht der „Security through obscurity“-Strategie. Damit können Cyberkriminelle zwar für kurze Zeit verwirrt werden, doch auf lange Sicht ist es keine wirksame Sicherheitslösung. Außerdem kann die Verbindung mit Ihrem Web-Server für Ihre Benutzer erschwert werde, da deren Browser für die Verwendung von Port 80 konfiguriert sind.

Angriffe gegen Nicht-Standard-Ports

Laut Daten im SonicWall Cyber Threat Report 2019 ist die Zahl der Angriffe gegen Nicht-Standard-Ports deutlich gestiegen. SonicWall-Berichten zufolge wurden 2017 mehr als 17,7 % aller Attacken über Nicht-Standard-Ports durchgeführt.

Diese Zahl stieg im Jahr 2018 auf 19,2 % an. Das ist eine Steigerung von 8,7 %. Allein im Dezember 2018 wurden sogar 23 % verzeichnet.

Wie können Nicht-Standard-Ports geschützt werden?

Die beste Abwehr von Cyberattacken gegen Dienste auf Standard- und Nicht-Standard-Ports ist die Implementierung einer mehrschichtigen Sicherheitsstrategie.

Das Prinzip „Security through obscurity“ ist eine Schicht dieser Strategie. Man darf sich jedoch nicht zu stark auf diese Schicht verlassen, da sie nicht den benötigten Grad an Sicherheit bieten kann. Sie schützt zwar vor Port-Scans, kann aber keine gezielteren Cyberattacken abwehren.

Deshalb sollten Sie unbedingt weitere Maßnahmen ergreifen, z. B. eine regelmäßige Änderung der Kennwörter, Verwendung von Zwei-Faktor-Authentifizierung und sofortige Implementierung von Patches und Updates. Zusätzlich sollte eine Firewall verwendet werden, die anstatt des gesamten Verkehrs auch spezifische Artefakte analysieren kann (d. h. ein Proxy-gestützter Ansatz).