Bericht über Bedrohungen für Websites Teil 2

Transkript

1 Teil 2

2 Willkommen Vielen Dank für Ihr Interesse an unserem Bericht über Bedrohungen für Websites Symantec veröffentlicht jedes Jahr einen ausführlichen Internet Security Threat Report. Der vorliegende Auszug aus dem diesjährigen Bericht geht insbesondere auf Gefahren für Websites und Online-Geschäfte ein. Er fasst die Trends des vergangenen Jahres zusammen und bietet auf dieser Grundlage einen Einblick in die Internetsicherheit von heute. Im Internet hängen der Ruf und Erfolg eines Unternehmens oft von dem Vertrauen ab, das Kunden seiner Website entgegenbringen. Daher ist es wichtig zu wissen, wie dieses Vertrauen erhalten und gestärkt werden kann. Seit über zehn Jahren ist SSL/TLS eine der wichtigsten Maßnahmen zum Aufbau von Vertrauen und zum Schutz vor immer neuen Bedrohungen im Internet. Daran wird sich auch in Zukunft nichts ändern. Diese hochmoderne Technik dient einem ganz einfachen Zweck: Sie soll die Abwicklung geschäftlicher Transaktionen über das Internet für alle Beteiligten sicherer machen. Das vorliegende Dokument soll Ihnen einen Überblick über die aktuelle Bedrohungslage und die zum Schutz Ihres Unternehmens und seiner Infrastruktur notwendigen Maßnahmen geben. Wenn Sie weiterführende Fragen haben, rufen Sie uns bitte unter (kostenlos aus DE) oder (kostenlos aus AT) an oder besuchen Sie unsere Website: Symantec-wss.com/de. 2

3 Schwachstellen, Angriffsmethoden und Toolkits

4 Schwachstellen, Angriffsmethoden und Toolkits Einleitung Eine aktuelle Studie des Ponemon Institute kam zu dem Ergebnis, dass die durch Internetkriminalität verursachten Schäden 2012 um sechs Prozent zunahmen, während die Anzahl der Angriffe um 42 Prozent anstieg. Mit durchschnittlich US-Dollar sind die den betroffenen Unternehmen entstehenden Kosten erheblich. 1 Internetkriminelle haben immer mehr Schwachstellen und Angriffsmethoden zur Auswahl; es ist also kaum verwunderlich, dass ihre Ausbeute steigt. Das Finden von Schwachstellen, die Entwicklung von Methoden zu ihrer Ausnutzung und die Ausführung der entsprechenden Angriffe erfordert eine Reihe verschiedener Fähigkeiten. Internetkriminelle müssen jedoch nicht alle diese Fähigkeiten besitzen: Sie sind als Toolkits auf dem schwarzen Markt erhältlich. Hacker finden Schwachstellen und beuten sie entweder selbst aus oder verkaufen sie. Toolkitentwickler schreiben oder kaufen Quellcode, der von diesen Schwachstellen Gebrauch macht, und binden ihn in ihre Produkte ein. Internetkriminelle müssen sich also nicht mehr die Mühe machen, sich alle Fähigkeiten selbst anzueignen. Der Kauf oder Diebstahl der neuesten Version eines dieser Toolkits reicht aus, um einen massiven Angriff zu starten. Auf einen Blick Die Anzahl der ausgebeuteten Zero-Day- Schwachstellen stieg 2012 von 8 auf 14 an. Der Schwarzmarkt für Schwachstellen entwickelt sich ständig weiter und bedient eine kriminelle Branche, deren Umsatz inzwischen mehrere Milliarden US-Dollar beträgt. Methoden zur Ausbeutung dieser Schwachstellen werden später in Toolkits eingebunden, gewöhnlich nach dem Bekanntwerden der Schwachstelle. Die Anzahl der Drive-by-Angriffe stieg 2012 um ein Drittel, möglicherweise aufgrund von Malvertising. Im vergangenen Jahr wurden rund Macs mit der Malware Flashback infiziert. Nach einem langsamen Start im Jahr 2011 wurde das Toolkit Sakura 2012 in etwa 22 Prozent der webbasierten Toolkit-Angriffe verwendet. Streckenweise überstieg sein Anteil sogar den von Blackhole. In Zahlen Browser-Schwachstellen 2010 bis 2012 Quelle: Symantec Plugin-Schwachstellen 2010 bis 2012 Quelle: Symantec 50% Apple Safari Google Chrome Mozilla Firefox Microsoft Internet Explorer Opera 50% Adobe Flash Player Oracle Sun Java Adobe Acrobat Reader Apple QuickTime

5 Schwachstellen, Angriffsmethoden und Toolkits Gesamtzahl der Schwachstellen Quelle: Symantec Jan Feb 527 Mär Apr 422 Mai Jun Jul Aug Sep 517 Okt Nov 292 Dez Im Jahr 2012 wurden 5291 Schwachstellen gemeldet, 2011 waren es Jeden Monat wurden 2012 zwischen 300 und 500 Schwachstellen gemeldet. Die Anzahl der bekannten Schwachstellen in SCADA- Systemen (Supervisory Control and Data Acquisition) ging 2012 gegenüber dem Vorjahr von 129 auf 85 zurück. Im gleichen Zeitraum stieg die Anzahl der Schwachstellen auf Mobilgeräten von 315 auf 415. Zero-Day-Schwachstellen Quelle: Symantec Jan Feb Mär Apr Mai Jun Jul Aug Sep Okt Nov Dez Als Zero-Day-Schwachstellen werden Sicherheitslücken bezeichnet, die von Internetkriminellen ausgenutzt werden, bevor ihre Existenz öffentlich bekannt gegeben wird und ein Patch allgemein verfügbar ist. Im Jahr 2012 wurden 14 Zero- Day-Schwachstellen gemeldet. Jeden Monat wurden bis zu 3 Zero-Day-Schwachstellen gemeldet. 5

6 Schwachstellen, Angriffsmethoden und Toolkits Analyse Zunahme webbasierter Angriffe Unseren Beobachtungen zufolge stieg die Anzahl der webbasierten Angriffe um nahezu ein Drittel. Diese Angriffe zielen darauf ab, die Computer von Unternehmen oder Verbrauchern beim Besuch einer gehackten Website unbemerkt zu infizieren. Hervorzuheben ist, dass hierdurch Computer durch den Besuch einer seriösen Website infiziert werden können. Die Angreifer infiltrieren gewöhnlich eine Website und installieren ihr Toolkit und die für die Computer der Opfer bestimmte Malware, ohne dass der Eigentümer der Website oder die potenziellen Opfer dies bemerken. Die mithilfe webbasierter Toolkits eingeschleuste Malware wird oft dynamisch generiert oder nutzt serverseitigen Polymorphismus, so dass signaturbasierte Antivirenprogramme sie nicht finden. Unternehmen, die sich ausschließlich auf solche Programme verlassen, sind Angriffen dieser Art schutzlos ausgeliefert. Ein kurzer, versteckter Abschnitt JavaScript oder wenige Zeilen Quellcode können Malware von einer anderen Website herunterladen und installieren, die dann nur sehr schwer zu finden ist. Daraufhin werden die Systeme aller Besucher nach Browser- und Betriebssystemschwachstellen durchsucht. Sobald ein geeignetes Schlupfloch gefunden wird, wird die Malware auf dem Computer des Besuchers installiert. Der Erfolg derartiger Angriffe beruht darauf, dass aktuelle Patches für Browser-Plugins wie Adobe Flash Player und Acrobat Reader sowie die Java -Plattform von Oracle oft nicht oder nur mit Verzögerung auf den Systemen von Unternehmen und Verbrauchern installiert werden. Bei Verbrauchern ist dies gewöhnlich auf Nachlässigkeit zurückzuführen, aber in größeren Unternehmen wird das Patch-Management mitunter dadurch erschwert, dass geschäftskritische Systeme nur mit den älteren Versionen von Plugins kompatibel sind. Derartige Probleme verzögern das Einspielen von Patches und führen dazu, dass Unternehmen besonders anfällig für webbasierte Angriffe sind. Dabei dürfen wir jedoch nicht aus den Augen verlieren, dass es keinen direkten Zusammenhang zwischen der Anzahl der Schwachstellen und dem bestehenden Risiko gibt. Eine einzige Schwachstelle in einer Anwendung kann ein folgenschweres Risiko darstellen, wenn sie erfolgreich ausgenutzt wird. Symantec wird die Risiken, die sich durch Schwachstellen und deren Ausbeutung durch Toolkits für webbasierte Angriffe ergeben, 2013 eingehender analysieren. Es steht jedoch jetzt schon fest, dass der außerordentliche Erfolg webbasierter Angriffe nicht auf den allerneuesten Zero-Day-Schwachstellen beruht. Die Anzahl der Angriffe über gekaperte Websites ist um 30 Prozent gestiegen, die der aufgedeckten Schwachstellen hingegen nur um 6 Prozent. Beim Hacken der meisten Websites machen Internetkriminelle von älteren Schwachstellen Gebrauch, für die noch kein Patch eingespielt wurde. Der Wettlauf um die Ausnutzung neuer Schwachstellen Dennoch nahm die Zahl der Zero-Day-Schwachstellen 2012 zu. Vierzehn Schwachstellen wurden erst aufgedeckt, als Internetkriminelle sich ihrer bedienten. Im Jahr 2011 traf das nur auf acht Schwachstellen zu. Die Anzahl der gemeldeten Schwachstellen stieg ebenfalls leicht an, von 4989 im Jahr 2011 auf 5291 im Jahr Bei Mobilgeräten wurde ein Anstieg von 315 gemeldeten Schwachstellen 2011 auf 415 im Jahr 2012 verzeichnet. Organisierte Gruppen wie die sogenannte Elderwood- Gang arbeiten gezielt an der Aufdeckung von Schwachstellen in gängiger Software wie Webbrowsern und deren Plugins. Wenn eine Schwachstelle an die Öffentlichkeit gelangt, können sie sich schnell eine andere zunutze machen. Das deutet darauf hin, dass die Gruppe über erhebliche Fähigkeiten auf diesem Gebiet verfügt. Zwischen Internetkriminellen und seriösen Softwareentwicklern ist ein Wettlauf im Gange. Kriminelle finden und nutzen neue Schwachstellen schneller, als Softwarehersteller sie beheben und die entsprechenden Patches herausgeben können. Manche Softwareanbieter stellen nur alle drei Monate Patches bereit, andere tun sich schwer damit, die Existenz von Schwachstellen zuzugeben. Selbst rasch zur Verfügung gestellte Patches werden in vielen Unternehmen nur mit deutlicher Verzögerung eingespielt. 6

7 Schwachstellen, Angriffsmethoden und Toolkits Zero-Day-Schwachstellen sind zweifelsohne eine ernst zu nehmende Bedrohung. Das darf jedoch nicht darüber hinwegtäuschen, dass Schwachstellen auch nach ihrer Aufdeckung und sogar nach der Bereitstellung eines Patches gefährlich bleiben, solange dieser Patch nicht eingespielt wird. Viele Unternehmen und Verbraucher warten dennoch zu lange, bevor sie diese Upgrades vornehmen. Mithilfe von Toolkits, die von bereits bekannten Schwachstellen Gebrauch machen, können Kriminelle Millionen von PCs ins Visier nehmen und diejenigen finden, bei denen diese Schwachstellen noch nicht behoben wurden. Die am häufigsten ausgenutzten Schwachstellen sind nicht die zuletzt entdeckten. Malvertising und das Kapern von Websites Wie schleusen Hacker auf seriöse Websites Schadcode ein? Auch hierfür gibt es Toolkits. Im Mai 2012 infizierte das Toolkit LizaMoon beispielsweise fast eine Million Websites mit einem als SQL-Injektion bekannten Verfahren. 2 Die folgenden Methoden sind ebenfalls verbreitet: die Ausnutzung einer bekannten Schwachstelle in der Software für das Hosting oder Content-Management einer Website, der Einsatz von Phishing, Spyware oder Social Engineering, um in den Besitz des Kennwortes des Webmasters zu gelangen, das Eindringen über die Backend-Infrastruktur des Webservers, beispielsweise über eine Systemsteuerung oder Datenbank, das Einschleusen von Malware mithilfe bezahlter Werbung. Die letztgenannte, als Malvertising (von malicious advertising, schädliche Werbung) bezeichnete Methode, kann dazu führen, dass eine legitime Website Malware verbreitet, ohne selbst infiziert zu sein. Diese Angriffsform scheint weit verbreitet zu sein. Bei der Suche nach Schwachstellen und Malware stellte Symantec fest, dass die Hälfte der getesteten Websites mit Malware enthaltender Werbung infiziert war. Online-Anzeige für ein Malware-Toolkit Durch Malvertising können Angreifer eine Website kapern, ohne sie im herkömmlichen Sinn hacken zu müssen. Die schädliche Werbung infiziert die Computer der Websitebesucher mit oft dynamisch erstellter Malware, die durch Antivirenprogramme allein nicht zu erkennen ist. Ein Zeichen für die Tragweite dieser Bedrohung ist, dass Google und andere Suchmaschinen Websites nach Malware durchsuchen und infizierte Websites auf eine schwarze Liste setzen. In der Vergangenheit wurden mehrere Fälle bekannt, in denen renommierte Werbenetzwerke schädliche Werbung verbreiteten. Selbst die bekanntesten Namen der Branche sind nicht vor diesen kriminellen Machenschaften gefeit. 3 Diese Tatsache kann ernsthafte Auswirkungen für die Betreiber von Websites haben, denn Werbeeinnahmen sind unverzichtbar für die Wirtschaftlichkeit vieler Websites. Darüber hinaus wird die Glaubwürdigkeit des Inhalts einer Website durch die Präsenz schädlicher Werbung untergraben. Angesichts Dutzender verschiedener Werbenetzwerke und ständiger Werberotation ist es sehr schwierig, Malvertising zu vermeiden bzw. zu entdecken. 7

8 Schwachstellen, Angriffsmethoden und Toolkits Toolkits für Webangriffe Das Finden neuer Schwachstellen ist nur ein erster Schritt; Angreifer benötigen auch eine Methode, um sie auszunutzen. Kriminelle Unternehmer erstellen Toolkits, die weniger versierte Benutzer kaufen und einsetzen können. Wie bei kommerzieller Software werden sogar Support- und Garantieleistungen angeboten. Die Bezahlung erfolgt über Online-Zahlungsdienste auf anonyme Nummernkonten. Die wichtigsten Toolkits für Webangriffe Quelle: Symantec Sakura 22 % 10 % Phoenix 7 % Redkit Verfügbar sind Toolkits zur Erstellung von Malware verschiedener Art und zum Angriff auf Websites. Das weit verbreitete Toolkit Blackhole ist ein berüchtigtes Beispiel. Seine Benutzer entwickeln anscheinend eine Art Markentreue, von der die Autoren des Toolkits in derselben Weise profitieren wie legitime Softwareanbieter: Sie bieten Updates und neue Versionen an. Blackhole 41 % sonstige 20 % Blackhole konnte seine führende Marktposition 2012 behaupten; es war bei 41 Prozent aller webbasierten Angriffe im Einsatz. Im September erschien eine aktualisierte Version des Toolkits, die als Blackhole 2.0 bezeichnet wird. Dennoch zeichnet sich ein mögliches Ende der absoluten Marktdominanz von Blackhole ab. In der zweiten Jahreshälfte 2012 übernahm zeitweise ein anderes Angriffs-Toolkit die Führung. Der Marktneuling Sakura war kurzzeitig für bis zu 60 Prozent und im Jahresdurchschnitt 2012 für 22 Prozent aller Toolkit- Aktivitäten verantwortlich. Rund 41 Prozent aller auf Toolkits beruhenden webbasierten Angriffe 2012 nutzten Blackhole, 2011 waren es 44 Prozent. Sakura gehörte 2011 nicht zu den zehn führenden Toolkits, wird inzwischen aber in etwa 22 Prozent der webbasierten Toolkit-Angriffe verwendet. Zeitweise überstieg sein Anteil sogar den von Blackhole. Jahresbilanz der Toolkits für Webangriffe Quelle: Symantec 90 % sonstige Blackhole Sakura 40 Nuclear Redkit 10 Phoenix Jan Feb Mär Apr Mai Jun Jul Aug Sep Okt Nov Dez 8

9 Schwachstellen, Angriffsmethoden und Toolkits Durchsuchung von Websites nach Malware und Schwachstellen Im Rahmen unserer Services zur Überprüfung von Websites auf Malware und Schwachstellen wurden Tools von (ehemals VeriSign) im Verlauf des Jahres 2012 zur Durchsuchung von über 1,5 Millionen Websites benutzt. Bei der täglichen Durchsuchung von mehr als URLs wurde auf jeder 532. Website Malware gefunden. Die am häufigsten gefundene Form von Malware sind Plattformen für Driveby-Downloads. Zusätzlich zu den Malware-Scans wurden täglich über 1400 Websites nach potenziell gefährlichen Schwachstellen durchsucht. Auf etwa 53 Prozent der untersuchten Websites wurden nicht behobene, eventuell für Hacker interessante Schwachstellen gefunden (2011 waren es 36 Prozent); 24 Prozent dieser Schwachstellen wurden als kritisch eingestuft (gegenüber 25 Prozent 2011). Die am häufigsten gefundene Schwachstelle machte die betroffenen Systeme anfällig für Cross-Site- Scripting-Angriffe. Mehr gesicherte Verbindungens Eine Methode zur Einschätzung der Verbreitung von SSL ist die Verfolgung der Anzahl der OCSP- und CRL- Anfragen. Die Protokolle OCSP (Online Certificate Status Protocol) und CRL (Certificate Revocation List) werden genutzt, um zu prüfen, ob ein digitales Zertifikat noch gültig ist oder widerrufen wurde. Beim Aufbau einer durch SSL gesicherten Verbindung findet mindestens eine solche Prüfung statt. Wir verfolgen die Anzahl der über unsere Systeme abgewickelten Prüfungen, um Rückschlüsse auf die Anzahl der durch SSL gesicherten Verbindungen im Internet zu ziehen. Die Zahlen deuten darauf hin, dass immer mehr Menschen das Internet und gesicherte Verbindungen nutzen. Das ist unter anderem auf die steigende Anzahl von E-Commerce- Transaktionen zurückzuführen. Es könnte auch ein Anzeichen für den Einsatz von SSL in einer größeren Anzahl von Systemen und Anwendungsbereichen sein. Beispiele hierfür sind die zunehmende Nutzung von SSL- Zertifikaten mit Extended Validation, die die Adressleiste des Webbrowsers grün hinterlegen, um den Benutzern zu signalisieren, dass sie sich auf einer sicheren Website befinden, und von Always-On SSL, dessen Einsatz 2012 insbesondere bei sozialen Netzwerken, Suchdiensten und Online- -Anbietern stark gestiegen ist. Eine weitere Ursache könnte die steigende Anzahl von 9 Geräten sein, über die heute auf das Internet zugegriffen werden kann, darunter beispielsweise Smartphones und Tablet-PCs. Symantec verzeichnete 2012 im Schnitt 4,8 Milliarden OCSP-Anfragen pro Tag. Das entspricht einem Anstieg von 31 Prozent gegenüber dem Vorjahr. Der Rekord für 2012 lag bei 5,8 Milliarden OCSP-Anfragen an einem einzigen Tag. OCSP ist die modernere der beiden Methoden zur Prüfung des Zertifikatstatus. Die Anzahl der mithilfe der älteren Methode CRL bei Symantec gestellten Anfragen stieg 2012 gegenüber dem Vorjahr um 45 Prozent an. Im Schnitt wurden 1,4 Milliarden Anfragen pro Tag gestellt, der Rekordwert lag bei 2,1 Milliarden. Das Norton Secured-Siegel und andere Vertrauensmarken Websites mit Vertrauensmarken wie dem Norton Secured-Siegel hatten 2012 mehr Besucher als Für Websites mit Vertrauensmarken von Symantec wurde 2012 ein Besucherzuwachs von acht Prozent gemessen. Das Norton Secured-Siegel wurde 2012 bis zu 750 Mal pro Tag angezeigt. Das deutet darauf hin, dass eine steigende Anzahl von Internetbenutzern Wert auf die starke Sicherung ihrer Online-Aktivitäten legen. Gestohlene Code-Signing-Zertifikate Im Jahr 2012 zeigte sich erneut, dass sowohl große als auch kleine Unternehmen unwissentlich zu Helfershelfern im weltweiten Netzwerk zur Malware-Verbreitung werden können. So konnte ein Zuwachs der mit legitimen Code-Signing-Zertifikaten versehenen Malware festgestellt werden. Der signierte Quellcode dieser Malware hat scheinbar einen seriösen Ursprung, das erleichtert die Verbreitung. Die Autoren von Malware nutzen oft gestohlene private Schlüssel von Code-Signing-Zertifikaten. Diese stammen teilweise aus Angriffen auf Zertifizierungsstellen, bei denen gezielt private Schlüssel gestohlen werden. Mitunter gelingt es Internetkriminellen aufgrund unzureichender Sicherheitsmaßnahmen auch, mit gefälschten Identitäten echte Zertifikate zu kaufen. Im Mai 2012 stellte Comodo, eine große Zertifizierungsstelle, nach erfolgter Prüfung beispielsweise ein Code-Signing- Zertifikat für ein fiktives Unternehmen aus, hinter dem sich Internetkriminelle verbargen. 4

10 Empfehlungen Nutzen Sie die ganze Bandbreite der Sicherheitstechnik In einer weniger akuten Bedrohungslage würden die gemeinhin als Antivirensoftware bezeichneten Dateiprüfungsprogramme zum Schutz vor Malware-Infektionen ausreichen. Angesichts von Toolkits zur bedarfsgerechten Erstellung von Malware, polymorpher Malware und Zero-Day-Angriffen ist dies jedoch nicht der Fall. Zum wirksamen Schutz vor derartigen Angriffen sind auch netzwerkbasierte Schutzmaßnahmen und der Einsatz von Reputationsdiensten auf den Endgeräten erforderlich. Malware, die trotz aller Vorsichtsmaßnahmen auf Ihre Systeme gelangt ist, kann durch Verhaltensmustererkennung und regelmäßige Malware-Scans gefunden werden. Schützen Sie Ihre öffentlich zugänglichen Websites Erwägen Sie den Einsatz von Always-On SSL zur Verschlüsselung des gesamten Datenverkehrs zwischen Ihrer Website und den Computern ihrer Besucher, nicht nur auf Anmelde- und Bezahlseiten. Halten Sie die Software Ihrer Content-Management-Systeme und Webserver ebenso sorgfältig auf dem aktuellen Stand wie die der als Clients verwendeten PCs. Nutzen Sie Tools zur Überprüfung Ihrer Websites auf Malware und Schwachstellen, um etwaige Probleme frühzeitig aufzudecken. Nutzen Sie starke Kennwörter für Administratorkonten und andere Dienste, um diese Zugangsdaten vor Diebstahl mithilfe von Social-Engineering- oder Phishing-Methoden zu schützen. Gewähren Sie nur denjenigen Benutzern Zugang zu wichtigen Webservern, die ihn wirklich benötigen. Mit Always-On SSL sind Kontodaten besser vor unverschlüsselter Übertragung und Man-in-the-Middle-Angriffen geschützt. Schützen Sie Code-Signing-Zertifikate Die Inhaber von Zertifikaten sollten ihre Schlüssel mit wirkungsvollen Sicherheitsmaßnahmen und -richtlinien schützen. Dazu gehören die Gewährleistung der physischen Sicherheit der Infrastruktur, der Einsatz kryptografischer Hardwaresicherheitsmodule und der umfassende Schutz des Netzwerks und seiner Endpunkte, insbesondere der zur Signierung von Code verwendeten Server und Anwendungen, durch DLP-Software und andere Sicherheitsmaßnahmen. Darüber hinaus müssen Zertifizierungsstellen bei jedem Authentifizierungsschritt Best Practices anwenden. Aktualisieren Sie Ihre Software frühzeitig und überprüfen Sie die Prozeduren für das Einspielen von Patches Die meisten webbasierten Angriffe machen von den 20 am weitesten verbreiteten Schwachstellen Gebrauch. Durch das Einspielen von Patches für bekannte Schwachstellen können Sie Ihre Systeme also vor den meisten Angriffen schützen. Die zeitnahe Implementierung von Updates und Patches ist daher unerlässlich. Zum Schutz vor Risiken wie dem Trojaner Flashback ist es wichtig, die als Einfallstor missbrauchte Software (in diesem Fall Java) entweder in der aktuellen Version oder gar nicht zu verwenden. Das gilt für CIOs mit Verantwortung für Tausende von Benutzern ebenso wie für Kleinunternehmer und Privatanwender. Sie alle sollten die von Softwareherstellern angebotenen automatischen Update-Verfahren nutzen, um veraltete und unsichere Browser, Browser-Plugins und Anwendungen schnellstmöglich zu aktualisieren oder zu ersetzen, insbesondere wenn diese eine häufig ausgenutzte Schwachstelle aufweisen. Die meisten Softwareanbieter sind sehr darum bemüht, von Malware ausgenutzte Sicherheitslücken so schnell wie möglich zu schließen. Die Patches entfalten jedoch nur dann ihre Wirkung, wenn die Benutzer sie auch einspielen. Begegnen Sie unternehmensweiten Standardkonfigurationen mit Vorsicht, denn diese beinhalten oft veraltete und unsichere Versionen von Browsern, Browser-Plugins bzw. Anwendungen. Unsichere Plugins sollten aus den Konfigurationen aller Mitarbeiter entfernt werden, die diese Plugins nicht benötigen. Automatisieren Sie das Einspielen von Patches, soweit dies möglich ist, um Schwachstellen in Ihrer gesamten Infrastruktur zu beseitigen. 10

11 Soziale Netzwerke, Mobilgeräte und die Cloud

12 Soziale Netzwerke, Mobilgeräte und die Cloud Soziale Medien werden zum Ziel von Spam und Phishing In den letzten Jahren haben wir einen deutlichen Anstieg von Spam und Phishing auf den Websites sozialer Netzwerke beobachtet. Kriminelle folgen legitimen Benutzern auf beliebte Plattformen. Mit den Mitgliederzahlen von Facebook und Twitter stieg auch die Anzahl der kriminellen Aktivitäten in diesen Netzwerken. Im vergangenen Jahr nahmen Internetkriminelle jedoch auch neuere Netzwerke mit schnell wachsenden Mitgliederzahlen ins Visier, darunter Instagram, Pinterest und Tumblr. Zu den am weitesten verbreiteten Bedrohungen gehören Betrugsversuche mit gefälschten Gutscheinen oder Umfragen als Aufhänger. Mehr als die Hälfte (56 Prozent) aller Angriffe in sozialen Netzwerken sind Betrugsversuche dieser Art. Ein solcher Versuch beginnt beispielsweise mit der Nachricht Click here for a $100 gift card (Klicke hier, um einen Geschenkgutschein in Höhe von 100 USD zu gewinnen) auf einer Facebook-Seite oder in den Pinterest-Feeds des anvisierten Opfers, also unter Nachrichten zu bestimmten Themen oder von Personen, denen das Opfer folgt. Wer auf diesen Link klickt, gelangt auf eine Website, auf der er aufgefordert wird, alle möglichen anderen Angebote anzunehmen und dabei jeweils persönliche Daten preiszugeben. Die Spammer werden für jede dieser Anmeldungen bezahlt, der versprochene Gutschein bleibt dagegen aus. Gefälschte Website mit Scheinumfrage Typischer Betrugsversuch in einem sozialen Netzwerk Bei einer anderen Masche wird eine gefälschte Website benutzt, um die persönlichen Daten und Kennwörter der Opfer zu stehlen, zum Beispiel die Anmeldedaten für ihr Facebook- oder Twitter-Konto. Weitere heimtückische Phishing- Angriffe machen sich das Interesse der potenziellen Opfer für Profisportler, Filmstars, Sänger und andere Prominente zunutze. Bei Phishing-Angriffen, die speziell auf bestimmte Länder und deren Prominente zugeschnitten sind, war ein Anstieg zu verzeichnen. Im Jahr 2012 nahmen die Angriffe in sozialen Medien stetig zu. Auch die Anzahl der Kanäle und Plattformen stieg, von denen viele nur als Anwendungen für Mobilgeräte verfügbar sind. Angriffe auf soziale Anwendungen für Mobilgeräte werden 2013 vermutlich weiter zunehmen, insbesondere in Apps für Teenager und junge Erwachsene, da diese weniger Erfahrung mit derartigen Betrugsversuchen haben und eher bereit sind, persönliche Daten preiszugeben. 12

13 Empfehlungen Auch Unternehmen sind von Bedrohungen in sozialen Medien betroffen Die IT-Verantwortlichen vieler Unternehmen scheuen davor zurück, den Zugang zu sozialen Medien vollständig zu blockieren. Sie müssen jedoch einen Weg finden, ihr Unternehmen vor webbasierter Malware zu schützen, die über diese und andere Websites verbreitet wird. Dazu sollte an den Schnittstellen zwischen dem Intra- und Internet sowie auf Client-PCs mehrschichtige Sicherheitssoftware installiert sein. Patches und Updates sollten so schnell wie möglich eingespielt werden, um das Risiko von Malware-Infektionen durch Drive-by-Angriffe zu mindern. Darüber hinaus sind auch die Schulung der Benutzer und die Einführung klarer Richtlinien erforderlich, die u. a. festlegen, inwieweit Benutzer befugt sind, persönliche Daten im Internet zu veröffentlichen. 13

14 Malware, Spam und Phishing

15 Malware, Spam und Phishing Malware und Social Engineering sind weiterhin große, chronische Probleme. Obwohl diese Bedrohungen seit Langem bekannt sind, werden die Angriffsformen noch immer weiterentwickelt und bleiben eine ernst zu nehmende Gefahr für Verbraucher und Unternehmen. Darüber hinaus untergraben sie das Vertrauen ins Internet und schaden damit allen, die dort tätig sind. Diese chronischen Bedrohungen werden nur selten in den Medien erwähnt, da sie inzwischen zum Alltag gehören. Das macht sie jedoch weder ungefährlich noch unwichtig. Die Situation lässt sich mit dem Unterschied zwischen Eisenbahn- und Autounfällen vergleichen. Über Eisenbahnunglücke wird in den Nachrichten berichtet, über Autounfälle hingegen gewöhnlich nicht, obwohl diese Jahr für Jahr mehr Menschenleben kosten. 5 Die wachsende Verbreitung von sogenannter Ransomware ist ein gutes Beispiel für alle in diesem Abschnitt angesprochenen Themen. Ransomware ist erpresserische Malware, die Computer blockiert und deren Besitzer auffordert, sie mit einem heftigen Bußgeld an einen Internetkriminellen freizukaufen. Derartige Angriffe führen zu Misstrauen gegenüber dem Internet insgesamt, fügen den Betroffenen großen Schaden zu und zeigen, dass Internetkriminelle immer skrupelloser und raffinierter werden. Die Zahlen sprechen für sich. Die Malware Reveton (auch als Trojan.Ransomlock.G bekannt) wurde innerhalb von 18 Tagen bei Angriffsversuchen auf Computer entdeckt. Laut einer aktuellen Symantec-Umfrage unter Erwachsenen in 24 Ländern verursacht ein Internetverbrechen im Schnitt einen Schaden von 197 USD. 6 In den zwölf Monaten vor der Erstellung dieses Berichts wurden schätzungsweise 556 Millionen Erwachsene weltweit Opfer eines Online-Verbrechens. Auf einen Blick Ransomware ist eine besonders skrupellose und profitable Form von Malware. -Spam nimmt weiterhin ab, das Volumen fiel 2012 um 29 Prozent. Grund hierfür ist der Umstieg der Spammer auf soziale Netzwerke. Phishing-Angriffe werden raffinierter und finden zunehmend in sozialen Netzwerken statt. Ransomware blockiert Computer und fordert deren Besitzer auf, ein Bußgeld zu zahlen. Die Malware-Infektion lässt sich jedoch in den meisten Fällen auch nach der Zahlung nicht rückgängig machen. 15

16 Malware, Spam und Phishing Malware Im Jahr 2012 enthielt durchschnittlich jede einen Virus, 2011 war dieser Anteil noch erheblich höher (ein Virus je 239 s). Weniger als ein Viertel (23 Prozent) dieser per verbreiteten Malware enthielt Links zu schädlichen Websites. Auch dies ist ein deutlicher Rückgang gegenüber 2011 (39 Prozent). Ähnlich wie bei Spam und Phishing sind die rückläufigen Zahlen jedoch nicht unbedingt ein Zeichen dafür, dass Internetkriminelle diese Angriffsart aufgeben. Sie deuten vielmehr auf eine Änderung der Taktik hin. Die Angreifer konzentrieren sich zunehmend auf andere Ziele im Internet, wie beispielsweise soziale Netzwerke. Die fünf am stärksten von Malware betroffenen Branchen Branche 1 von Öffentlicher Dienst 1 von 72 Bildungswesen 1 von 163 Finanzwesen 1 von 218 Marketing/Medien 1 von 235 Hotel- und Gastgewerbe 1 von 236 Die fünf am stärksten von Malware betroffenen Länder Land 1 von Niederlande 1 von 108 Luxemburg 1 von 144 Großbritannien u. Nordirland 1 von 163 Südafrika 1 von 178 Deutschland 1 von 196 Malware-Infektion und Unternehmensgröße Mitarbeiterzahl 1 von von von von von von 252 über von 252 Anteil der s, die Viren enthielten: 2011 und 2012 im Vergleich Quelle: Symantec 1 von 50 1 von von von 200 Die Gesamtzahl ging zurück, im Schnitt enthielt jede einen Virus. Im Jahr 2011 war es jede von von von von 400 Jan Feb Mär Apr Mai Jun Jul Aug Sep Okt Nov Dez

17 Malware, Spam und Phishing Anteil der s mit einem Link zu Malware: 2011 und 2012 im Vergleich Quelle: Symantec 70 % Der Anteil der s mit einem Link zu einer infizierten Website ging 2012 deutlich zurück, in manchen Monaten auf weniger als die Hälfte gegenüber dem Vorjahresmonat Jan Feb Mär Apr Mai Jun Jul Aug Sep Okt Nov Dez Im Jahr 2012 enthielten etwa 23 Prozent der zur Übertragung von Malware verwendeten s einen Link zu einer schädlichen Website anstelle eines Anhangs. Im Jahr 2011 waren dies 39 Prozent. Wegen Malware-Infektion blockierte s pro Tag Quelle: Symantec Tausend Im Jahr 2012 wurden rund webbasierte Angriffe pro Tag abgewehrt. Im Jahr 2011 waren es etwa Angriffe pro Tag. Das entspricht einem Anstieg um 30 Prozent Jul Aug Sep Okt Nov Dez Jan Feb Mär Apr Mai Jun Jul Aug Sep Okt Nov Dez

18 Malware, Spam und Phishing Angriffe auf verschiedene Arten von Websites Mithilfe von Norton Safe Web, einer Software, die das Internet nach Malware verbreitenden Websites durchsucht, haben wir ermittelt, dass 61 Prozent dieser Websites seriöse Websites sind, die gehackt und mit Malware infiziert wurden. Am stärksten sind dieses Jahr Websites von Anbietern von Konsum- und Handelsgütern sowie Dienstleistungen betroffen. Das könnte auf die steigende Anzahl infizierter Websites von kleinen und mittelständischen Unternehmen und damit indirekt auf unzureichende Investitionen in die zum Schutz von Websites erforderlichen Ressourcen in diesem Sektor zurückzuführen sein. Hacking-Websites waren 2011 nicht unter den ersten 15, belegen nun aber Platz zwei. In dieser Kategorie befinden sich u. a. Websites, die Hacking-Aktivitäten positiv darstellen oder die dazu nötigen Mittel anbieten. Die Kategorie Technik und Telekommunikation, d. h. Websites, die Informationen zum Thema Computer, Internet oder Telekommunikation bereitstellen, belegt 2012 Platz drei. Mit 5,7 Prozent der infizierten Seiten sank ihr Anteil gegenüber dem Vorjahr um 1,2 Prozent. Trotz eines Rückgangs von 4,1 Prozent bleiben Online- Shops unter den fünf meistbetroffenen Kategorien. Hosting-Websites sind vom zweiten auf den siebten Platz abgerutscht. Diese Kategorie umfasst Dienste, die Verbrauchern und Unternehmen Website-Hosting und Cloud-Speicher anbieten. Der Rückgang könnte zumindest teilweise auf den steigenden Marktanteil von Anbietern wie Google und Dropbox zu Lasten weniger verlässlicher Lösungen zurückzuführen sein. Der Anteil der Blogging-Websites an der Gesamtzahl der Malware verbreitenden Websites ging 2012 ebenfalls zurück, sie liegen nun auf Platz vier. Ein Grund hierfür könnte die verstärkte Nutzung von sozialen Netzwerken zum Austausch der bisher über Blogs verbreiteten Informationen sein. Für die Autoren von Malware ist es relativ einfach, schädlichen Code in soziale Netzwerke einzuschleusen und dort auf verschiedene Arten zu verbreiten. Die zehn am häufigsten angegriffenen Arten von Websites Quelle: Symantec Platz Die am häufigsten angegriffenen Website-Kategorien Die zehn am häufigsten genutzten Malware-Versionen 2012 Quelle: Symantec Anteil an der Gesamtheit infizierter Websites 1 Unternehmen 7,7 % 2 Hacking 7,6 % 3 Technik und Telekommunikation 5,7 % 4 Blogs 4,5 % 5 Online-Shops 3,6 % 6 bekannte Malware-Domänen 2,6 % 7 Hosting 2,3 % 8 Autos 1,9 % 9 Gesundheit 1,7 % 10 Bildung 1,7 % Platz Name der Malware % 1 W32.Sality.AE 6,9 % 2 W32.Ramnit.B 5,1 % 3 W32.Downadup.B 4,4 % 4 W32.Virut.CF 2,2 % 5 W32.SillyFDC 1,1 % 6 W32.Mabezat.B 1,1 % 7 W32.Xpaj.B 0,6 % 8 W32.Changeup 0,6 % 9 W32.Downadup 0,5 % 10 W32.Imaut 0,4 % 18

19 Malware, Spam und Phishing Über lange Zeit versteckt agierende Malware Internetkriminelle machen sich auch Malware zunutze, die sich nicht auf den Computern ihrer Opfer bemerkbar macht. Diese versteckte Malware baut beispielsweise Botnetze aus vielen Tausend infizierter Computer auf, die dann Spam verschicken oder Klicks auf Online-Anzeigen (und Vermittlungsprämien für die Besitzer der entsprechenden Websites) generieren. Diese Methoden zahlen sich nicht so schnell und dramatisch aus wie beispielsweise Ransomware, aber sie bleiben meist lange unentdeckt und lassen sich aufgrund ihrer ausgeklügelten Programmierung auch nur schwer entfernen. Dadurch erschließen die Kriminellen sich eine konstante, langfristige Einkommensquelle. Neue Entwicklungen beim Phishing Dem Rückgang von Spam im Jahr 2012 steht ein Anstieg der Phishing-Angriffe gegenüber. Diese stützen sich oft auf sehr geschickt gefälschte Websites, die in manchen Fällen nicht von den echten Websites zu unterscheiden sind. Diese Websites sollen die Opfer zur Preisgabe von persönlichen Daten, Kennwörtern, Kreditkarten- oder Bankdaten verleiten. In früheren Jahren beruhten Phishing-Angriffe meist auf gefälschten s, aber heute nutzen sie s in Verbindung mit in sozialen Netzwerken verbreiteten Links, um ihre potenziellen Opfer auf die gefälschten Websites zu locken. Wenn Kriminelle an die Anmeldedaten für ein soziales Netzwerk gelangen, können sie vom Konto ihres Opfers aus Phishing- s an alle Freunde schicken. Eine Nachricht, die scheinbar von einem Freund kommt, wirkt natürlich gleich viel vertrauenswürdiger. Darüber hinaus können gestohlene Anmeldedaten auch missbraucht werden, um eine gefälschte Nachricht an die Freunde des Bestohlenen zu schicken, etwa: Hilfe! Ich bin im Ausland und mein Portemonnaie wurde gestohlen. Könntest Du mir bitte 150 schicken? Die Internetkriminellen machen Gebrauch von komplizierten Webadressen und Kurz-URL-Diensten, um Content-Filter und andere Sicherheitssoftware zu umgehen. Sie nutzen Social-Engineering-Methoden, um ihre Opfer zu bewegen, auf bestimmte Links zu klicken. Im vergangenen Jahr benutzten sie vor allem Nachrichten über Prominente, Kinofilme, Sportler und beliebte Gadgets wie Smartphones und Tablet-PCs als Aufhänger. Die Anzahl der Phishing-Websites, die mit einem SSL- Zertifikat versehen wurden, um Besucher in Sicherheit zu wiegen, stieg 2012 im Vergleich zum Vorjahr um 46 Prozent an. Die Anzahl der nicht-englischsprachigen Phishing-Angriffe verdreifachte sich Ein besonders großer Anstieg war in Südkorea zu beobachten. Neben Englisch sind die auf Phishing-Websites meistgenutzten Sprachen Französisch, Italienisch, Portugiesisch, Chinesisch und Spanisch. Zu den am häufigsten gefälschten Websites gehören neben den bekannten Favoriten, wie den Websites von Banken und Kreditkartenunternehmen, inzwischen auch die Websites beliebter sozialer Netzwerke. Die Anzahl der Websites, die in betrügerischer Absicht soziale Netzwerke imitieren, stieg 2012 um 123 Prozent an. 19

20 Empfehlungen Schützen Sie sich vor Social Engineering Sowohl als Verbraucher wie auch als Mitarbeiter eines Unternehmens sollten Sie auf die folgenden Anzeichen achten, die auf Social Engineering hindeuten: die Ausübung von unangemessenem Druck, der Versuch, sofortigen Handlungsbedarf zu suggerieren, ein Angebot, das buchstäblich zu gut ist, um wahr zu sein, die Nutzung von Beamtenjargon oder langen Aktenzeichen, um einer Nachricht einen offiziellen Anstrich zu verleihen, unglaubwürdige Vorwände wie der Anruf eines Microsoft-Vertreters, um Sie auf einen Virus aufmerksam zu machen, und Scheinangebote wie Geschenke im Austausch für persönliche bzw. vertrauliche Daten. Erst denken, dann klicken Wenn Sie eine unerbetene bzw. ungewöhnliche von einem Bekannten oder Verwandten erhalten, sollten Sie bedenken, dass diese nicht unbedingt tatsächlich von Ihrem Kollegen oder Ihrer Mutter kommt. Das Konto des angeblichen Absenders könnte durch einen Social-Engineering- Angriff in die Hände von Internetkriminellen gelangt sein. 20