Neue Angriffsformen – Begriffserklärung Teil 4

In dieser mehrteiligen Artikelserie möchte ich Ihnen die verschiedenen Malware-Arten vorstellen und erklären. Alle Artikel finden Sie unter --> „Interne Links“ am Ende des jeweiligen Berichts.

Themen dieses Berichts (was Sie erwartet):

• Allgemein

• Einleitung --> Typen neuer Angriffsformen

• Phishing --> Aktuelles zu Phishing

• Pharming --> Globales Pharming / Lokales Pharming

• Vishing

• Social Engineering --> Telefon Social Engineering / E-Mail Social Engineering / Chat Social Engineering / Webseiten Social Engineering

• Identitätendiebstahl --> Folgen / Ziele / Methoden

• Methoden des Identitätendiebstahls --> Social Engineering Angriffe / Diebstahl von Brieftaschen / Dumpster Diving / Chat-Rooms und Foren / Weitergabe von Informationen durch Angestellte und Mitarbeiter / Angriffe auf Online-Shops / Diebstahl von Datenträgern oder Computersystemen / Angriffe auf Firmennetzwerke

• Interne Links

• Externe Links

Allgemein:

In den vorherigen Teilen 1 bis 3 haben Sie bereits klassische und erweiterte Malware kennen gelernt. Diese Teile finden Sie hier:

Teil 1: http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html

Teil 2: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_2.html

Teil 3: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_3.html

Diese letzten beiden Teile 4 und 5 der Begriffserklärung sollen sich mit neuen Malwarearten beschäftigen. Auch diesen Bericht habe ich der besseren Übersicht in Teil 4 und 5 aufgeteilt.

Es werden aber zukünftige Entwicklungen kurz angesprochen.

Einleitung:

Wohl kaum eine Entwicklung ist so schnell wie die Bedrohungen für die IT. Ständig werden neue Formen von Angriffen und Malware entwickelt.

Dabei sind wirklich neue Techniken eher selten. Meistens werden schon bekannte Malwarearten so geschickt vermischt, dass teilweise sehr gefährliche Bedrohungen entstehen.

Auch der Markt für Schutzlösungen ist von sehr vielen situationsbedingten Änderungen betroffen. Hier noch den kompletten Überblick zu behalten ist fast unmöglich.

Entsprechend schwer sind Entscheidungen zu Investitionen im Bereich IT-Sicherheit.

Auf der diesjährigen CeBIT 2006 war dann auch die Stimmung der Hersteller von Schutzlösungen entsprechend hektisch – ja, schon fast konfus.

Die Hauptgründe waren dabei:

• Microsofts neues Betriebssystem „Vista“. Einen eigenen „Vista-„ Bereich finden Sie hier -- > http://www.security-dome.eu/html/windows_vista.html

• Neue Bedrohung durch „Rootkits“

Typen neuer Angriffsformen:

In diesen beiden Berichten Teil 4 und 5 möchte ich folgende Formen neuer Angriffe aufzeigen:

• Phishing (Teil 4)

• Pharming (Teil 4)

• Vishing (Teil 4)

• Social Engineering (Teil 4)

• Identitätendiebstahl (Teil 4)

• Ransomware (Teil 5)

• Zero-Day Attacken (Teil 5)

• Zero-Day Batteries (Teil 5)

• Under-the-Radar Viren (Teil 5)

• Archiv-Malware (Teil 5)

• Rootkits (Teil 5)

• Blended Threats (Teil 5)

• Exploits (Teil 5)

• Botnets (Teil 5)

• Crimeware (Teil 5)

• Bounce Attacken (Teil 5)

Phishing:

Der Begriff „Phishing“ setzt sich aus den Worten „Password“ und „Fishing“ zusammen. Er bedeutet das „abfischen“ von Passwortinformationen. Phishing ist ein Angriff per E-Mail.

Hierbei soll versucht werden, an vertrauenswürdige Informationen - zumeist von Online-Bezahlsystemen - zu gelangen.

In diesem Zusammenhang lesen Sie auch bitte meinen Bericht zum Online-Banking --> http://www.security-dome.eu/Online-Banking1.html

Vertrauenswürdige Informationen sind hierbei:

• Kundennummern

• Passwörter

• TAN-Nummern

• Kreditkartennummern

• usw.

Phishing-Angriffe nutzen dabei immer Social Engineering-Funktionen um folgende Reaktionen zu provozieren:

• Angst (z.B.: ihr Konto wurde missbraucht)

• Vertrauen (z.B.: offizielles Firmenlogo in der E-Mail)

• Respekt ( unkritisches Vertrauen zu Banken)

Infolge dieser Reaktionen wird der Leser aufgefordert einem Internet-Link zu folgen. Dies sind meist relativ perfekte Fälschungen der originalen Homepage der Bankinstitute. Dort wird man aufgefordert, seine Kundennummer / Passwort und eine / mehrere TAN-Nummern einzugeben.

Nach Berichten von „Gartner“, einem US-Marktforschungsunternehmen, sind im Jahr 2003 alleine in den USA ca. 1,2 Milliarden Dollar Schaden durch Phishing entstanden.

Man kann nun sehr viele Tips geben und den riesigen Themenkomplex „Phishing“ über mehre Seiten analysieren.

Am einfachsten aber ist folgender Leitsatz:

Keine Bank schickt E-Mails oder fragt nach PIN- / TAN-Nummern!!!! Suchen Sie immer das persönliche Gespräch mit Ihrem Sachbearbeiter, wenn Sie eine solche E-Mail erhalten sollten!!

Aktuelles zu Phishing:

Laut einer ganz aktuellen Veröffentlichung von BITKOM und den Landeskriminalämtern wurden folgende erschreckende Zahlen aus den Statistiken gewonnen:

• Die Zahl der Phising-Opfer ist im ersten Halbjahr 2006 um 50% gestiegen

• Der Schaden liegt bei ca. 4.000 Euro pro Opfer

• Seit Mai 2006 wurden ca. 20.000 Attacken per E-Mail registriert (ca. ein drittel mehr als im Vorjahr)

• Es tauchen ca. 12.000 Phising-Seiten im Internet pro Monat auf (meist für wenige Tage) – das sind 4 mal soviel wie im Mai 2005

• Der Schaden für die deutsche Volkswirtschaft wird auf einen 2-stelligen Millionenbetrag geschätzt

• Momentan gibt es keine eindeutige Gesetztesgrundlage gegen den Versand von Phising-Mails

Weitere Informationen zum Phishing finden Sie in Berichten mit der Bezeichnung „UM“ in folgenden Bereich --> http://www.security-dome.eu/html/sicherheit.html

Pharming:

Der Begriff „Pharming“ bedeutet, dass dieser Angriff auf „Server-Farmen“ gerichtet ist bzw. Angreifer ihre eigenen „Server-Farmen“ betreiben.

Beim „Pharming“ wird ebenso wie beim „Phishing“ versucht, Daten von Online-Bezahlsystemen abzugreifen.

Man unterscheidet dabei zwei primäre Angriffsziele:

• Globales Pharming

• Lokales Pharming

Beim „Pharming“ werden DNS-Einträge gefälscht.

Den Begriff „DNS“ werde ich noch genauer in einem zukünftigen Bericht erklären. Zum Verständnis deshalb nur eine kurze Einführung:

DNS bedeutet Domain Name Service. DNS ist ein Dienst zur Namensauflösung. Er übersetzt normale Internetadressen (www.*adresse*.de) in eine IP-Adresse.

Das geht folgendermassen:

• Sie geben die Adresse Ihrer Bank in Ihrem Browser ein

• Ihr System fragt den nächsten DNS-Server (normalerweise den Ihres Providers) nach der dazu gehörigen IP-Adresse.

• Kennt der DNS-Server diese Adresse, schickt er die Kombination IP-Adresse / Internetadresse an Ihr System zurück

• Ihr System stellt nun eine Anfrage an diese IP-Adresse

• Der Server (Webserver der Bank) gibt die Informationen an Sie zurück

• Sie sehen die Internetseite der Bank in Ihrem Browser

Globales Pharming:

Angreifer fälschen den DNS-Cache von DNS-Servern. D.h. es wird zwar die richtige Adresse im Browser eingegeben, der DNS-Server gibt aber die IP-Adresse eines gefälschten Webservers zurück. Die Informationen sind dabei so gut gefälscht, das eine Erkennung sehr schwer fällt. Somit erhält der Angreifer / Betreiber des gefälschten Webservers Ihre Bankdaten.

Hierbei wird die DNS-Datenbank durch DNS-Spoofing oder DNS-Cache-Poisoning gefälscht.

Lokales Pharming:

Hierbei wird die „hosts“ -Datei auf dem lokalen System gefälscht. In der „hosts“ -Datei können feste Routen (IP-Adressverknüpfungen) eingegeben werden. Ist dies der Fall, wird das System keinen DNS-Server um Namensauflösung befragen.

Vishing:

„Vishing“ ist ein Phishing-Angriff über VoIP (Voice over IP = Interntetelefonie). Hierbei wird ähnlich einer Phishing-Mail versucht, an Daten von Bezahlsystemen zu gelangen.

Im Unterschied zu „Phishing“ wird das Opfer allerdings per Telefon (VoIP) angerufen. In diesem Anruf werden wieder Social Engineering-Funktionen genutzt.

So wird z.B. dem Opfer erklärt, die Kreditkarte sei missbraucht worden. Im Anschluss wird eine Telefonnummer genannt, an den sich das Opfer wenden soll.

Ruft das Opfer diese Nummer an, wird es aufgefordert, sich mit geheimen Kundendaten zu verifizieren.

Social Engineering:

Beim „Social Engineering“ versucht der Angreifer immer durch gezielte psychologische Tricks gewisse Gefühle im Opfer zu erzeugen. Diese Gefühle können sein:

• Angst

• Respekt

• (Hoch-) Achtung

• Lust

• Vertrauen

• Hilfsbereitschaft

• Verlust

• usw.

„Social Engineering“ kann über alle Kommunikationsplattformen oder -möglichkeiten erfolgen:

• Telefon (normales- oder Internettelfonie)

• E-Mail

• Chat

• Webseiten

• usw.

Dazu ein paar Beispiele:

Telefon Social Engineering:

Ein angeblicher „Computer-Administrator“ gibt an, Probleme festgestellt zu haben, und fordert Sie heraus Benutzername und Passwort zu nennen.

E-Mail Social Engineering:

Eine Strafbehörde hat eine angebliche Straftat entdeckt. Die genauen Angaben befinden sich im E-Mailanhang. In diesem E-Mailanhang befindet sich natürlich Malware.

Chat Social Engineering:

Ein Chatpartner stellt sich selber als hilflos dar und kann eine wichtige Datei nicht öffnen. Er bittet Sie, diese zu öffnen.

Webseiten Social Engineering:

Eine Webseite gibt vor, Ihr Rechner sei infiziert oder gebe persönliche Daten preis. Ihnen wird zur Abhilfe die Installation einer Datei angeboten.

Sie sehen die Möglichkeiten an private Daten zu gelangen sind fast unbegrenzt – und die Angreifer sind dabei sehr einfallsreich!

Identitätendiebstahl:

Beim Identitätendiebstahl wird versucht, die Identität einer anderen Person teilweise oder auch vollkommen anzunehmen. In Folge daraus entstehen vielfältige Missbrauchs- und Betrugsmöglichkeiten.

Eingeleitet wird ein Identitätendiebstahl sehr oft über Social Engineering Angriffe.

Identitätendiebstahl stellt momentan das am schnellsten wachsende Delikt weltweit dar!

In Anbetracht des schnellen Wachstums und den mitunter fatalen Folgen sollte diesem Thema Ihre besondere Wachsamkeit gelten.

Folgen:

So sind Fälle bekannt, in welchen Personen aufgrund von Missbrauch ihrer Identität das komplette soziale Netz zerstört wurde. Dazu zählen:

• Verlust des Arbeitsplatzes

• Verlust der Wohnung

• Sperrung aller Konten

• Negative Auskunft von Finanzprüfungsgesellschaften

• Zivil- und strafrechtliche Anklagen

Die Opfer sind in Folge mehrere Jahre damit beschäftigt, ihre Identität wieder herzustellen.

Ziele:

Die Ziele der Angreifer sind, auf Kosten der angegriffenen Person:

• Geschäfte zu tätigen

• Gelder zu bewegen

• Transaktionen durchzuführen

• Kommunikation zu fälschen

• Straftaten zu verbergen

Methoden:

Methoden des Identitätendiebstahls:

• Social Engineering Angriffe

• Diebstahl von Brieftaschen

• Dumpser Diving

• Chat-Rooms und Diskussionsforen nach Personendaten durchsuchen

• Weitergabe von Informationen durch Angestellte und Mitarbeiter

• Angriffe auf Online-Shops

• Diebstahl von Datenträgern oder ganzen Computersystemen

• Angriffe auf Firmennetzwerke

Auf die Methoden des Identitätendiebstahls möchte ich näher eingehen.

Methoden des Identitätendiebstahls:

Social Engineering Angriffe:

Habe ich bereits weiter oben in meinem Artikel erklärt.

Diebstahl von Brieftaschen:

In Brieftaschen finden sich äusserst wichtige Dokumente (Führerschein, Personalausweis, Kreditkarten, Bankkarten, Versicherungskarten usw.). Werde diese gestohlen und kommen in falsche Hände, ist eine komplette Übernahme der Identität nicht mehr schwer.

Dumpster Diving:

Eine relativ neue Methode in Mülleimern und Papierkörben nach persönlichen Informationen zu suchen.

Gesucht wird hier nach folgenden Dokumenten:

• Kreditkartenbelegen

• Bankbelegen

• Rechnungen

• Kundennummern

• Persönliche Briefe

• Schriftstücke

Chat-Rooms und Foren:

Hier wird versucht in Datenbanken oder durch geschickte Suchmaschinenanfragen an persönliche Daten zu gelangen. Aber auch das geschickte „Ausfragen“ mit Social Engineering Funktionen wird gerne benutzt.

So wird nach folgenden Daten gesucht:

• Reeller Name

• Adresse

• E-Mail Adresse

• Alter

• Geburtsdatum

• usw.

Weitergabe von Informationen durch Angestellte und Mitarbeiter:

Wie im normalen Leben, gibt es auch in Firmen „schwarze Schafe“, die Informationen von Kunden verkaufen oder unbewusst durch Social Engineering Angriffe preisgeben.

Angriffe auf Online-Shops:

Online-Shops sind ein begehrtes Angriffsziel! Sie sind teilweise relativ schlecht geschützt, bieten aber eine Vielzahl an persönlichen Informationen:

• Kundennummer

• Name

• Adresse

• Telefonnummer

• E-Mail Adresse

• Kreditkartennummer

• Bankverbindung

• Geburtsdatum

• usw.

Diebstahl von Datenträgern oder Computersystemen:

In der jüngsten Vergangenheit sind sehr spektakuläre Fälle bekannt geworden! In allen Fällen müssen die Betroffenen mit den schlimmsten Folgen rechnen!

Angriffe auf Firmennetzwerke:

Auch hier gibt es einige spektakuläre Fälle! In letzter Zeit häufen sich auch Fälle, in welchen speziell angepasste Malware in Unternehmen untergebracht werden.

Das können Spionageprogramme in Form von unterschiedlicher Malware sein:

• Spyware

• RAT

• Trojaner

• Backdoors

um nur ein paar zu nennen.

Interne Links:

Klassische Malware – Teil 1: http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html

Erweiterte Malware – Teil 2: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_2.html

Erweiterte Malware – Teil 3: http://www.security-dome.eu/Erweiterte_Malware_-_Begriffserklaerung_Teil_3.html

Neue Angriffsformen – Teil 4: dieser Bericht

Neue Angriffsformen – Teil 5: http://www.security-dome.eu/Neue_Angriffsformen_-_Begriffserklaerung_Teil_5.html

Externe Links:

BITKOM: http://www.bitkom.de/41034_41030.aspx

Weitere Informationen bzw. zur Diskussion dieses Beitrags besuchen Sie unser Forum – unter --> http://www.security-dome.eu/forum/pA/

Autor: Frank Richter

Copyright: Frank Richter – securITy-dome.eu

Erstellungsdatum: 18.08.06

Letzte Aktualisierung: 24.07.07

<-- Zurück zu den News