Computerpartner

Sie befinden sich hier: HOMENachrichtenKnow HowSecurity
30.10.2017

Spear Phishing

Palo Alto Networks rät zu Patch und Multi-Faktor Authentifizierung.

Mathias Hein

Vor wenigen Tagen gab Unit 42, das Anti-Malware Team von Palo Alto Networks, neue Erkenntnisse zur Spear Phishing-Kampagne "FreeMilk" bekannt. Hierbei kommen relative neue Angriffstechniken zum Einsatz, die sich als sehr effizient herausgestellt haben. Für gewöhnlich werden solche Techniken nur genutzt um extrem vielversprechenden Ziele zu kapern. Dabei handelt es sich dann meist um Individuen, die Zugang zu sehr sensiblen und damit wertvollen Daten haben, wie beispielsweise Vorstände und Manager, Politiker, Militärs und Geheimnisträger. Allerdings können auch Personen ins Fadenkreuz der Kriminellen geraten, die in enger Beziehung zu den eigentlichen Zielen stehen – Assistenten, Freunde und Familie.

Phishing-Attacken sind meist breit angelegt, nutzen eMails mit recht generellen Betreffzeilen um eine Vielzahl an Empfängern dazu zu veranlassen einen Link oder ein Attachment zu öffnen. Die Kriminellen werfen dabei also ein sehr großes Netz aus, in der Hoffnung dass zumindest ein paar Adressaten auf den Betrug hereinfallen.

Beim Spear Phishing hingegen gehen die Angreifer wesentlich zielgerichteter vor. Hier wird ein Opfer – oder eine kleine Gruppe – ausgewählt und individuell angegriffen. Dadurch sind die Betrugsversuche wesentlich passgenauer und haben eine höher Erfolgschance. Da mit viel Aufwand das Vertrauen der Empfängers geweckt wird, tendiert dieser eher dazu einen Link zu klicken oder ein Attachement zu öffnen. Dann steht dem Erfolg der Angreifer oft nicht mehr viel im Wege.

Bei FreeMilk handelt es sich um eine ausgefeilte Spear Phishing-Kampagne. Der Trick der Angreifer: Statt eine eMail mit einem für den Empfänger seriös wirkenden Betreff zu senden, kapern die Kriminellen eine bereits laufende eMail-Konversation und schleusen harmlos wirkende Attachments in den eMail-Verkehr, die dann arglos geöffnet werden.

Wie eine solche Attacke abläuft:

  • User A und User B tauschen eMails zu einem bestimmten Thema aus, mehrfach hin und her 
  • Der Angreifer bekommt durch den Diebstahl von Credentials Zugriff auf den eMail-Account von User A und kann nun frei agieren
  • Der Angreifer nutzt illegal den eMail-Account von User A und versendet eine Mail mit einem schädlichen Attachment, das auf den ersten Blick keinen Verdacht beim Empfänger weckt, da die Datei thematisch zum Gespräch passt. 
  • User B erhält die Mail, geht davon aus, dass er sie von User A bekommen hat, öffnet das Attachment. Darin verbirgt sich aber Malware – die Attacke läuft.

Palo Alto Networks hat festgestellt, dass bei der Spear Phishing-Kampagne "FreeMilk" eine Schwachstelle in Microsoft Office ausgenutzt wird, für die es bereits ein Patch gibt. Um sich vor FreeMilk zu schützen und auch ähnliche Attacken abzuwehren sollten daher unbedingt alle verfügbaren Patches eingespielt und Betriebssysteme auf den neusten Stand gebracht werden. 

Zusätzlich rät Palo Alto Networks weitere Sicherheitsmaßnahmen für Endgeräte und Netzwerke zu ergreifen um solche Angriffe abzuwehren. Dazu gehört beispielsweise die Aktivierung von Multi-Faktor-Authentifizierung, wo dies möglich ist. Dadurch werden gestohlene Credentials für die meisten Angreifer wertlos, denn dadurch wird es schwerer eMail-Accounts zu kapern und so Attacken wie FreeMilk zu starten.

Weitere Informationen zur Spear Phishing-Attacke "FreeMilk" finden Sie unter diesem Link  https://researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/

 +