Phisher nutzen den Faktor Sprache Phisher nutzen den Faktor Sprache - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


23.11.2014 Monika Schaufler*

Phisher nutzen den Faktor Sprache

Das Forschungsteam von Proofpoint hat kürzlich eine Phishing-Kampagne entdeckt, die gezielt auf Unternehmen in Deutschland und Frankreich gerichtet war. Dies ist ein interessantes Beispiel für Phishing-Kampagnen, die in mehreren Sprachen und Ländern ausgeführt werden und zeigt, wie Angreifer den Faktor Sprache nutzen, um die Abwehrmechanismen von Organisationen zu umgehen.

© Vladimir Vitek - Fotolia.com

Es wurden in dieser Kampagne zwölf verschiedene Microsoft Word-Dokumentanhänge identifiziert, die jeweils mit unterschiedlichen Absendern und Betreffzeilen kombiniert wurden und so eine klassische Longline-Phishing-Kampagne bildeten, die eine Reputations-basierte Blockierung umgehen konnte. Die automatisierte Analyse der Anhänge ergab, dass die Dokumente ein schadhaftes Makro, d. h. einen VBA-Virus, enthielten, mit dem die Malware Andromeda (auch Gamarue genannt) heruntergeladen und installiert wird. Durch die Verschleierung sowohl des Makros als auch der Andromeda-Payload konnten die Angreifer verschiedensten Antivirenprogrammen hervorragend ausweichen: Zum Zeitpunkt der Analyse durch Proofpoint waren die Anhänge von weniger als zehn Prozent der Antivirenprogramme erkannt worden, und die Andromeda-Payload nur von fünf Prozent.

Teil der Kampagne waren E-Mails in Deutsch und Französisch mit verschiedenen Ködern, Betreffen und Nachrichtentexten. Ein deutsches Beispiel enthält eine Rechnung und fordert den Empfänger auf, diese bis zum 1. Januar zu begleichen. Eine weitere deutsche E-Mail der Kampagne enthält scheinbar eine Kundendienstmitteilung eines bekannten deutschen Internetanbieters, die den Empfänger auffordert, den Anhang zu lesen und innerhalb von 48 Stunden zu antworten. In einer französischen E-Mail wird der Empfänger beispielsweise gebeten, eine aktualisierte Lizenzvereinbarung zu lesen und auf die E-Mail zu antworten.

Im September haben wir mitgeteilt, dass die URLs in unerwünschten E-Mails, die an Empfänger in Deutschland und Frankreich gesendet werden, mit geringerer Wahrscheinlichkeit schadhaft sind als beispielsweise E-Mail-URLs, die an Empfänger in den USA oder Großbritannien gehen. In modernen Phishing-Kampagnen werden die Flexibilität von URLs sowie der Umstand ausgenutzt, dass eine URL erst nach Eingang einer E-Mail schadhaft werden kann und somit regelmäßig auch die aktuellsten URL-Reputationsdatenbanken unterläuft. Da bei dieser Kampagne statt schadhafter URLs E-Mail-Anhänge zur Einschleusung der Payload verwendet wurden, ist offenkundig, dass Unternehmen in Frankreich und Deutschland nicht weniger im Fokus von Angreifern stehen als Unternehmen in den USA oder Großbritannien.

Diese drei Beispiele einer einzigen Kampagne veranschaulichen den variablen Einsatz von Anhang-Name, Köder, Betreff und Absenderadresse – genau die Elemente, die moderne Longline-Phishing-Kampagnen so effektiv gegen Reputations- und Signatur-basierte Abwehrmechanismen machen. Die Word-Anhänge enthielten ein verschleiertes Word-Makro, das dafür konzipiert war, Erkennungsmechanismen zu umgehen. Und mit mindestens zwölf Anhängen in einer Longline-Kampagne mit relativ geringem Umfang standen die Chancen gut, dass sie von Antivirensystemen und Reputationsprüfungen unerkannt bleiben und somit auch das stärkste Antispam-Gateway überwinden würden. Egal, ob URL oder Anhang – beide machen beispielhaft deutlich, warum Unternehmen ihr vorhandenes Antispam-Gateway um komplexere Erkennungsfunktionen ergänzen müssen: Selbst die beste klassische Abwehr bietet keinen 100-prozentigen Schutz.

Wenn zu diesem Mix noch die Sprachkomponente und in vielen Teilen Kontinentaleuropas die Wahrnehmung hinzukommt, dass moderne komplexe Bedrohungen hauptsächlich ein Problem englischsprachiger Länder und Unternehmen sind, erhält man ein Rezept für weitreichende Infizierungen – und das ist in jeder Sprache ein Problem.

* Monika Schaufler ist Regional Sales Director CEMEA bei Proofpoint.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr

Hosted by:    Security Monitoring by: