Email Threat Report JANUAR-MÄRZ 2019 - FireEye

Die Seite wird erstellt Dastin Marquardt
 
WEITER LESEN
Email Threat Report JANUAR-MÄRZ 2019 - FireEye
Email Threat Report
     JANUAR–MÄRZ 2019
2    EMAIL THREAT REPORT JANUAR–MÄRZ 2019

WAS FIREEYE IM 1. QUARTAL 2019 ERFAHREN HAT
• URL-basierte Angriffe waren die meistgenutzte Methode zur Verbreitung schädlicher Inhalte.
• Die Zahl der Phishing-Angriffe stieg im Vergleich zum 4. Quartal 2018 um 17%.
• Die Zahl der Angriffe mit gefälschten Identitäten nahm im 1. Quartal zu. Dieser Trend wird vermutlich
   auch im 2. Quartal anhalten.
• CEO Fraud war ein einträgliches Geschäft für die Angreifer, die zwei neue Varianten entwickelten.
• Die schon 2018 weit verbreiteten Erpressungsversuche unter Androhung von Imageschäden hielten
   auch im 1. Quartal 2019 an.

• Kommerzielle und kostenlose Filesharing-Services wurden missbraucht, um schädliche Inhalte zu
   verbreiten.
• Auch verschachtelte E-Mails wurden zur Verbreitung schädlicher Inhalte genutzt.

                                                        URL-basierte
                                                        Angriffe
                                                        Im Jahr 2018 berichtete FireEye, dass beim größten Teil der E-Mail-
                                                        basierten Angriffe nun URLs – und nicht mehr schädliche Anhänge
                                                        – genutzt werden. Dieser Trend hielt auch im 1. Quartal 2019 an. Zur
                                                        Erkennung URL-basierter Angriffe sind dynamischere – und damit
                                                        anspruchsvollere – Methoden erforderlich. FireEye hat einige wichtige
                                                        Trends aufgedeckt:

                                                        Nutzung von HTTPS
                                                        HTTPS (die sichere Version von HTTP) vermittelt Web-Surfern das
                                                        Gefühl, dass sie sich auf einer sicheren Webseite befinden, wo ihre
                                                        Privatsphäre geschützt ist. Das ist jedoch nicht länger unbedingt der
                                                        Fall, denn FireEye hat beobachtet, dass HTTPS-Domains zunehmend
                                                        für Phishing-Angriffe missbraucht werden. Im 1. Quartal 2019 haben
                                                        wir 26% mehr schädliche URLs gefunden, die HTTPs nutzen, als im
                                                        4. Quartal 2018.

                                                                               26%
                                                                               mehr
                                                                               schädliche
                                                                               URLs mit
                                                                               HTTPS-
                                                                               Domains
EMAIL THREAT REPORT JANUAR-MÄRZ 2019   3

Inhaltlose E-Mails                                             Nicht klickbare URLs
Inhaltlose E-Mails zur Übermittlung schädlicher URLs sind      Nicht klickbare URLs werden aktiviert, wenn jemand
nicht neu, traten im Januar 2019 aber besonders häufig         sie in die Adresszeile seines Browsers kopiert. Viele
auf. Diese E-Mails enthalten außer einer URL nur wenig         Sicherheitsfilter stufen diese Links als inaktiv ein und
oder gar keine Inhalte (siehe Abb. 1). Diese Methode ist oft   untersuchen sie nicht genauer.
erfolgreich, weil ...

• E-Mail-Filter in einer leeren E-Mail keine verdächtigen
  Worte oder Formulierungen finden.
• viele Empfänger aus Neugier auf den Link klicken (der
  natürlich zu einer schädlichen Webseite oder Datei
  führt).
      From
   Subject
  Reply to
         To

Abbildung 1: Beispiel für eine inhaltlose E-Mail

  From:
  Sent: Thursday, January 17, 2019 09:47:55 PM
  To:
  Subject:

  http://www.bing.com/search?q=&form=GVHFEERMCRUYMAK&cvid=RQPWTZUDRHXDXCD
4        EMAIL THREAT REPORT JANUAR-MÄRZ 2019

Phishing-Angriffe
                                                                                                                 17%                              Anstieg bei
                                                                                                                                                  Phishing-Angriffen

Im 1. Quartal 2019 verzeichnete FireEye 17% mehr Phishing-                                            Wir haben auch Phisher beobachtet, die Anmeldeseiten
Angriffe als im 4. Quartal 2018. Die Phishing-E-Mails                                                 ohne Markenreferenz nutzen. Wir bezeichnen diese als
schienen in der Regel von einer Person und/oder einer                                                 „generische Phishing-Seiten“. Außerdem erkennen unsere
Firma zu stammen, die dem Empfänger gut bekannt war.                                                  Algorithmen natürlich Vorschussbetrug, Singlebörsen-
                                                                                                      Betrug und andere gängige Varianten und markieren diese
Der mit knapp 30% größte Teil der erkannten Phishing-                                                 als Spam. Beim Vorschussbetrug werden die Empfänger
E-Mails kommt vorgeblich von Microsoft (siehe Abb. 2).                                                oft auf dubiose Websites geleitet, wo sie angeblich
FireEye hat ein funktionsreiches Plug-in namens                                                       Viagra oder andere Medikamente kaufen können. Beim
PhishVision entwickelt, das die Anmeldeseiten bekannter                                               Singlebörsen-Betrug werden mögliche romantische
Marken erkennt. Microsoft, Outlook und Excel nutzen                                                   Partner „vorgestellt“.
verschiedene Anmeldeseiten. PhishVision sortiert diese in
verschiedene Buckets und zählt sie getrennt.

Abbildung 2: Die am häufigsten bei Phishing-Angriffen missbrauchten Marken*, 1. Quartal 2019

    40

    30    29%

    20

    10
                    7%        7%       7%         7%
                                                           6%
                                                                     4%      4%      3%      3%        3%        3%         2%          2%        2%    2%       2%        2%    1%       1%
    0
         FT

                   2

                             LE

                                       IC

                                                  L

                                                           N

                                                                  M

                                                                           K

                                                                                   K

                                                                                             EL

                                                                                                       E

                                                                                                                 D

                                                                                                                          IN

                                                                                                                                    _2

                                                                                                                                                S

                                                                                                                                                        L

                                                                                                                                                                 N

                                                                                                                                                                       E

                                                                                                                                                                                IX

                                                                                                                                                                                          K
                 E_

                                             PA

                                                                                                                                                        H
                                                                                                                                              ES
                                                                                                      B

                                                                                                                                                                      IC
                                                                           O

                                                                                   O

                                                                                                                                                                                         N
                                                                                                                 N
                                                       ZO

                                                                                                                                                                G
                                                                  A

                                                                                                                                                                              FL
                                   ER

                                                                                                                                   60
                         PP

                                                                                            C
      SO

                                                                                                                                                       D
                                                                                                  O

                                                                                                                       ED

                                                                                                                                                                                      A
                                                                                                             A
                                                                         O

                                                                                 O

                                                                                                                                                                SI
                                                                SP

                                                                                                                                                                      FF
               IV

                                                                                                                                             PR
                                                                                          EX
                                              Y

                                                                                                  D
                                                       A

                                                                                                                                                                                      B
                                                                                                                                                                            ET
                                                                                                            R
                                                                       TL

                                                                               TL
                                  EN

                                                                                                                                                             U
                                                                                                                               E3
                                            PA
                         A
     O

                                                                                                                      K
               R

                                                                                                  A

                                                                                                                                                                     O
                                                                                                           B
                                                      M

                                                                                                                                                            C

                                                                                                                                                                                     L
                                                                                                                                        EX
                                                                                                                     N
    R

                                                                                                                                                                            N
                                                                       U

                                                                               U
            ED

                                                                                                             I

                                                                                                                               R
                              G

                                                                                                                                                                                 YA
                                                  A

                                                                                                                                                            O
                                                                                                          LT
 IC

                                                                                                                     LI
                                                                     _O

                                                                               O

                                                                                                                            O

                                                                                                                                                        D
                                                                                                                                        N
           N

                                                                                                                                                                                O
                                                                                                       U
M

                                                                                                                          SC

                                                                                                                                    A
                                                                  FT
          O

                                                                                                      M

                                                                                                                                                                                R
                                                                                                                                   IC
                                                                                                                        EE
                                                                SO

                                                                                                                                 ER
                                                                                                                      FR
                                                               O

                                                                                                                               M
                                                              R

                                                                                                                             A
                                                            IC
                                                           M

                                                                                             * In generischen Phishing-Angriffen und Spam-E-Mails wird keine Marke erwähnt.
EMAIL THREAT REPORT JANUAR-MÄRZ 2019   5

Die Angreifer beschränken sich nicht auf den kommerziellen Bereich. Unter den 20 am
häufigsten für Phishing-Angriffe missbrauchten Marken sind auch Services für Privatpersonen
wie Netflix, LinkedIn, Amazon und Free Score 360 (siehe Abbildung 2).

FireEye hat zahlreiche Versuche beobachtet, die                            Typische Merkmale eines solchen Angriffs sind:
Anmeldedaten für Microsoft Office 365-Konten zu stehlen.
Abbildung 3 zeigt ein Beispiel. Der Empfänger wird                          • eine gefälschte Absenderadresse, die den Eindruck
mit dem für diese Masche typischen Handlungsdruck                             erweckt, dass die E-Mail aus der Supportabteilung im
und unter Androhung einer Serviceunterbrechung                                Unternehmen des Empfängers kommt
aufgefordert, sein E-Mail-Passwort zu bestätigen.                           • täuschend echt wirkendes Microsoft-Branding

                                                                            • Kategorisierung der E-Mail als automatisch generierte
                                                                              Nachricht

Abbildung 3: Beispiel für einen E-Mail-basierten Angriff mit Microsoft Office 365-Branding

                  Wed 4/10/2019 7:47 AM

  WS
                  [Action Required] Password Confirmation On                        Office 365 Email 9 April, 2019
 To

   One Time Password Review

   Hello

   Please confirm email password for                                   to avoid login interruption.
   Reason:                        users email password confirmation with outlook.

        CHECK NOW

   Note: **This is an automated message please do not reply**

   Regards,
   Microsoft Support Team

   Was this helpful?
   Organization:
   Account Summary:

   This email was sent to
6        EMAIL THREAT REPORT JANUAR-MÄRZ 2019

Die Angreifer beschränken sich nicht auf den                                                                              Außerdem nutzten manche Phisher auch im 1. Quartal 2019
kommerziellen Bereich. Unter den 20 am häufigsten                                                                         weiterhin HTML-Anhänge, Phishing-Webseiten und andere
für Phishing-Angriffe missbrauchten Marken sind auch                                                                      bereits bekannte Phishing-Methoden. Da HTML-Anhänge
Services für Privatpersonen wie Netflix, LinkedIn, Amazon                                                                 nicht gehostet werden und mitunter sehr überzeugend
und Free Score 360 (siehe Abbildung 2). Ähnliche                                                                          wirken, passieren sie viele Erkennungsmechanismen
Phishing-Methoden werden auch zum Stehlen von                                                                             ungehindert. Manche Phishing-Seiten erfordern sogar
Anmelde- und/oder Kreditkartendaten verwendet (siehe                                                                      eine Aktion seitens der Besucher (Sleep, Captcha, Links
Abb. 4).                                                                                                                  oder grafische Schaltflächen mit Links zu schädlichen
                                                                                                                          Webseiten), um einen seriösen Eindruck zu hinterlassen.

Abbildung 4: Beispiel für einen E-Mail-basierten Angriff mit Netflix-Branding

                                                                                        Dattocon         To Manager
                                                                                        Team Email       Reply & Delete
                                                                                        Create New

                  Wed 5/17/2017 10:25 AM

     N            Netflix 
                  Problem with your membership
To
     If there are problems with how this message is displayed, click here to view it in a web browser.

                                                                                                                          Problem with your
                                                                                                                          membership
                                                                                                                          Hi,

                                                                                                                          We were unable to authorize a payment on your
                                                                                                                          credit card. Your new payment method will be
                                                                                                                          applied to your next billing cycle.

                                                                                                                            Update Payment

                                                                                                                          We’re heer to help if you need it. Visit the Help
                                                                                                                          Centre for more info or contact us.

                                                                                                                          - Your friends at Netflix

                                                                                                                          VIEW ALL TV PROGRAMMES & FILMS
EMAIL THREAT REPORT JANUAR-MÄRZ 2019         7

Angriffe mit gefälschten
Identitäten
                                                                                enthaltene Handlungsanweisung tatsächlich aus dem
Angriffe mit gefälschten Identitäten wie CEO Fraud und
                                                                                eigenen Unternehmen stammt (siehe Abb. 5).
Business E-Mail Compromise (BEC) gehören inzwischen
zum Standardrepertoire vieler Cyberkrimineller. Diese                           Die Hacker positionieren sich mit einer oder mehrerer
Angriffsarten können von E-Mail-Sicherheitslösungen                             dieser Methoden als vertrauenswürdig, um den Empfänger
kaum erkannt werden, da sie in der Regel textbasiert sind                       zu überzeugen, ihrer Forderung nachzukommen.
und wie reguläre E-Mails aussehen. Ist die E-Mail erst
einmal im Posteingang des Empfängers gelandet, muss                             Die Anzahl der Angriffe mit gefälschten Identitäten ist
er entscheiden, ob es sich um eine authentische E-Mail                          im Verlauf des Quartals kontinuierlich gestiegen (siehe
handelt oder nicht. Die Angreifer nutzen verschiedene                           Abb. 6). Dieser Trend wird voraussichtlich auch im
Methoden, um ihre Opfer davon zu überzeugen, dass die                           2. Quartal 2019 anhalten.

Abbildung 5: Funktionsweise von Angriffen mit gefälschten Identitäten

                                                Aufbau einer Beziehung              Informationsaustausch                Geldüberweisung

                                           1                2                                 3                                   4
              Hacker nutzen Social                     Lückenhafte             Gutgläubige Empfänger kommen                  Ziel erreicht.
                 Engineering.                  Sicherheitsmaßnahmen lassen      Handlungsaufforderungen nach,
                                               schädliche E-Mails passieren.     wenn der Kontext sie plausibel
                                                                               erscheinen lässt und sie Angst vor
                                                                                negativen Konsequenzen haben.

Abbildung 6: Bei Angriffen mit gefälschten Identitäten war im 1. Quartal 2019 ein steigender Trend zu beobachten.
  Percentage of email identified

                                                                                                                                        Trend line
        as infected/spam

                                   JAN 1                                                                                                      MAR 31

                                                                          Q1 2019
8               EMAIL THREAT REPORT JANUAR-MÄRZ 2019

CEO Fraud
Die Anzahl der CEO Fraud-Vorfälle war bereits im                   Bei einer Version bittet der CEO oder ein anderes
gesamten 4. Quartal 2018 recht hoch und ist im                     Mitglied der Führungsriege um eine Änderung seiner
1. Quartal 2019 kontinuierlich weiter gestiegen (siehe             bzw. ihrer persönlichen Daten in der Gehaltsliste, meist
Abb. 7). Cyberkriminelle betrachten diese Angriffsform             der Bankdaten (siehe Abb. 8). Damit wird das Gehalt
nun als verlässliche Einkommensquelle.                             dieser Person – also ein nicht unerheblicher Betrag –
                                                                   auf das Konto des Angreifers umgeleitet. Eine wichtige
In ihren E-Mails geben sie sich als Vorstandsmitglieder            Konsequenz der neuen Variante ist, dass nun nicht mehr
oder Manager in gehobenen Positionen aus, um                       nur die für die Bearbeitung ausstehender Zahlungen
Angestellte dazu zu verleiten, ihren Aufforderungen                verantwortlichen Personen, sondern auch die Mitarbeiter
zu folgen und zum Beispiel nicht autorisierte                      der Gehaltsabteilung und anderer Abteilungen für CEO
Geldüberweisungen einzuleiten.                                     Fraud sensibilisiert werden müssen.

Neben der bereits bekannten Version, bei der eine                  Bei der zweiten neuen Variante geben die Angreifer
vorgeblich vom CEO oder CFO stammende E-Mail an die                sich als Mitarbeiter eines Zulieferers oder eines anderen
Finanzabteilung die schnellstmögliche Überweisung einer            Partnerunternehmens aus, mit dem das Unternehmen
ausstehenden Zahlung an einen Zulieferer verlangt, hat             häufig zu tun hat.
FireEye auch zwei neue Varianten beobachtet.

Abbildung 7: Auch bei CEO-Fraud-Versuchen verzeichnete FireEye im 1. Quartal 2019 einen steigenden Trend.
    Percentage of email identified

                                                                                                                     Trend line
          as infected/spam

                           JAN 1                                                                                         MAR 31

                                                               Q1 2019
EMAIL THREAT REPORT JANUAR-MÄRZ 2019      9

                                                                                                                   TIPP:
                                                                                                                   Etablieren Sie Prozesse
                                                                                                                   zur Prüfung aller Bitten um
                                                                                                                   Änderungen persönlicher
Abbildung 8: Beispiel für eine CEO-Fraud-E-Mail an die Gehaltsabteilung                                            Daten.

                                                                                                                 Direct Payroll Authorization

     File       Message        Help        Tell me what you want to do

                                                           Meeting       Dattocon              To Manager                          Rules
      Ignore
                                                           IM            Team Email            Done                                OneNote
      Junk      Delete Archive    Reply Reply Forward                                                                   Move
                                                           More          Reply & Delete        Create New                          Actions
                                         All
               Delete                          Respond                                Quick Steps                               Move
                        Mon 5/6/2019 5:37 PM

                        Direct Payroll Authorization
To
      We removed extra line breaks from this message.

  Please attach a Direct Deposit Authorization Form, want to make changes and want it effective for next pay check.

  Thanks.

  Sent from iphone
10   EMAIL THREAT REPORT JANUAR-MÄRZ 2019

Erpressung
Bei einer Variante von Erpressungsversuchen verzeichnete FireEye im
gesamten Jahresverlauf 2018 und bis in das 1. Quartal 2019 einen stetigen
Anstieg. Die Hacker verlangten ein Lösegeld und drohten, ihre Opfer
bloßzustellen und ihren guten Ruf zu schädigen, falls dieses nicht gezahlt
wurde (siehe Abb. 9).

                                  File       Message        Help        Tell me what you want to do
Abbildung 9:
Beispiel für eine                                                                       Meeting       Dattocon              To Manager            Rules
erpresserische                     Ignore
                                                                                        IM            Team Email            Done                  OneNote
E-Mail mit einer                   Junk      Delete Archive     Reply Reply Forward                                                      Move                Mark
Lösegeldforderung                                                                       More          Reply & Delete        Create New            Actions
                                                                       All                                                                                  Unread
                                            Delete                          Respond                                Quick Steps                  Move
                                                     Tue 4/9/2019 4:44 PM

                                    A
                                                     Be sure to read this message! Your personal data is threatened!
                             To

                              As you may have noticed, I sent you an email from your account
                              This means that I have full access to your device.

                              I’ve been watching you for a few months now.
                              The fact is that you were infected with malware through an adult site that you visited.

                              If you are not familiar with this, I will explain.
                              Trojan Virus gives me full access and control over a computer or other device.
                              This means that I can see everything on your screen, turn on the camera and micropone, but you do not know about it.

                              I also have access to all your contacts and all your correspondence.

                              Why your antivirus did not detect malware?
                              Answer: My malware uses the driver, I update its signature every 4 hours so taht your antivirus is silent.

                              I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you
                              watched.
                              With one click of the mouse, I can send this video to all your emails and contacts on social networks.
                              I can also post access to all your e-mail correspondence and messengers that you use.

                              If you want to prevent this,
                              transfer the amount of $793 to my bitcoin address (if you do not know how to do this, write to google: “Buy Bitcoin”).

                              My bitcoin address (BTC Wallet) is: 14tfS3yWL2cABhXVJZ97XRhuDXC69aWH6Y

                              After receiving the payment, I will delete the video and you will never hear me again.
                              I give you 50 hours (more than 2 days) to pay.
                              I have a notice reading this letter, and the timer will work when you see this letter.

                              Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address.
                              I do not make any mistakes.

                              If I find that you have shared this message with someone else, the video will be immediately distributed.

                              Best regards!
EMAIL THREAT REPORT JANUAR-MÄRZ 2019    11

Angriffe auf Filesharing-Services
Hacker hosten ihre Phishing-Dateien und andere schädliche Inhalte oft
auf WeTransfer, Dropbox, Google Drive, OneDrive und anderen beliebten
Filesharing-Websites. Bis vor Kurzem war Dropbox ihr klarer Favorit, aber
im 1. Quartal 2019 ist die Zahl der auf OneDrive gefundenen schädlichen
Inhalte enorm gestiegen (siehe Abb. 10).

Abbildung 10: Zum Hosten von Angriffen missbrauchte Filesharing-
Services

100
                                                                                                                  4 Quartal 2018

 80                                                                                                               1. Quartal 2019

 60

 40

 20

  0
           wetransfer            OneDrive               Dropbox                Gdrive

Hacker nutzen diese bekannten und renommierten Websites gern, weil sie
von Sicherheitsalgorithmen, die die Reputation der genutzten Domains
prüfen, als unbedenklich eingestuft werden. Vor einem Angriff laden sie                              TIPP:
ihre schädlichen Dateien bei einem Filesharing-Service hoch. Statt einer
                                                                                                     Legen Sie vertrauliche
E-Mail mit einem schädlichen Anhang erhalten die anvisierten Opfer eine                              oder sensible Dokumente
Benachrichtigung des Service, dass eine neue Datei zum Herunterladen                                 nicht auf allgemein
bereitsteht. Diese Nachricht enthält einen Link zum Herunterladen und                                zugänglichen, gehosteten
bei manchen Services auch eine Vorschauoption und einen Link, mit dem                                Filesharing-Websites ab.
sie die Datei öffnen können, ohne sie herunterzuladen. Das macht den
Angriff effizienter und schwerer erkennbar.

FireEye hat auch Angriffe untersucht, bei denen verschachtelte E-Mails
benutzt wurden: Die erste E-Mail enthielt eine zweite E-Mail als Anhang.
Wenn der Empfänger auf einen Anhang am Ende der ersten E-Mail klickt
(siehe Abb. 11), wird die zweite E-Mail geöffnet. Diese zweite E-Mail (siehe
Abb. 12) enthält in der Regel eine schädliche URL oder andere schädliche
Inhalte, die von den meisten E-Mail-Filtern aber nicht erkannt werden.
12   EMAIL THREAT REPORT JANUAR-MÄRZ 2019

                                                                                                                                                     Project Approval
Abbildung 11:                Get Messages                   Write          Chat          Address Book                    Tag
Beispiel für die
                                                                                           From                                                                                                                                         Reply          Reply All               Forward       More
erste E-Mail bei                                                                                                                                                                                                                                                                  3/20/19, 7:30 AM
                                                                                        Subject Project Approval
einem Angriff mit                                                                           Date Wed, 20 Mar 2019 14:30:19 +0000
verschachtelten                                                                   Message ID
E-Mails                                                                               Received

                                                                                      Received

                                 This message may be a scam.                                                                                                                                                                                                                      Preferences

                          Please see below file, to access the file view the attachment.

                          Kind Regards,

                                Drews Yard | Hindon Road | Dinton | Wiltshire | SP3 5EH

                                                                                                                                                                                                                                                                                                http:

                           Registered in
                           Registered Office:
                           This Email and any attachments to it may be confidential and aree intended solely for the use of the individual to whom it is addressed. Any views or opinions expressed are solely those of the author and do not necessarily represent those of FDC (UK) Ltd.
                           If you are not the intended recipient of this email, you must neither take any action based upon its contents, nor copy or show it to anyone. Please contact the sender if you believe you have received this email in error.

                                                                                                                  Zweite E-Mail
                                                                                                                  (Anhang)

                                    1 attachment: NEW_PROJECT_FDC (UK) Ltd_109076532.eml 12.8kb                                                                                                                                                                                               Save

                                                                                                                                                            Project
Abbildung 12:                Get Messages                   Write          Chat          Address Book                    Tag
Beispiel für
die zweite                                                                                 From OneDrive                                                                                                                                Reply          Reply All               Forward       More
                                                                                        Subject Project                                                                                                                                                                           3/20/19, 7:30 AM
(als Anhang
                                                                                            Date Wed, 20 Mar 2019 13:59:57 +0000
übertragene)
                                                                                  Message ID
E-Mail bei einem                                                                      Received
solchen Angriff

                                 To protect your privacy, Thunderbird has blocked remote content in this message.                                                                                                                                                                 Preferences

                                                                 sent you a secured file via Microsoft
                               One Drive Online.
                                                                                                                                                             Der Link „Go to
                              Go to shared Document                                                                                                          shared Document“ ist
                                                                                                                                                             eine schädliche URL.
                                         Download the PDF Version of this document here

                                                                                              Eine wichtige Komponente vieler Cyberangriffe ist die verbreitete
                                                                                              Malware. Im 1. Quartal 2019 beobachtete FireEye, dass unter anderem
                                                                                              Hancitor und Emotet verbreitet wurden – zwei mehrere Jahre alte, aber
                                                                                              nach wie vor effektive Malware-Varianten.
EMAIL THREAT REPORT JANUAR-MÄRZ 2019                    13

Marketing-Spam
Im Bereich Marketing-Spam ist FireEye im 1. Quartal 2019                     den Empfänger nicht belästigen und seine Zeit nicht
besonders die Nutzung von E-Mail-Threads aufgefallen.                        verschwenden will. Falls der Empfänger nicht an einem
Die Betreffzeile beginnt oft mit AW: oder WG:, um den                        weiteren Austausch interessiert sei, solle er daher auf diese
Eindruck zu erwecken, dass die E-Mail Teil einer bereits                     E-Mail antworten und dem Sender dies mitteilen.
etablierten Diskussion ist (siehe Abb. 13).
                                                                             Mit diesem raffinierten Appell an das Schuldgefühl des
In der ersten E-Mail wird beispielsweise ein Produkt oder                    Empfängers soll erreicht werden, dass das Opfer auf
Service beschrieben. Die nächste E-Mail beginnt dann                         die E-Mail antwortet und dem Sender damit bestätigt,
mit „ich wende mich heute nochmals an Sie ...“. Dadurch                      dass es sich um eine gültige und aktiv genutzte E-Mail-
soll dem Empfänger suggeriert werden, dass der Sender                        Adresse handelt, die als Ziel für zukünftige Angriffe oder
bereits mehrfach versucht hat, Kontakt aufzunehmen.                          als Kontaktadresse für Spam genutzt oder weiterverkauft
Früher oder später schreibt der Sender dann, dass er                         werden kann.

Abbildung 13:                           Von:
Beispiel für
Marketing-Spam                          Gesendet: Freitag, 12. April 2019, 16.39 Uhr
mit Bezug auf                           An:
einen fiktiven                          Betreff: Aktualisierung Ihrer Vertriebspräsentation | Telefongespräch
E-Mail-Thread
                                        Hallo,
                                        ich melde mich noch einmal, weil ich nicht wieder von Ihnen gehört habe. Sollte ich vielleicht besser mit einem Ihrer
                                        Mitarbeiter über mögliche Verbesserungen der Präsentation sprechen, die Sie derzeit nutzen? Wir können Ihre aktuellen
                                        Folien bewerten und Ihnen in Form einer Scorecard übersichtlich zeigen, wie Sie im Vergleich zu Ihren Fachkollegen in
                                        ähnlichen Unternehmen abschneiden. Gleichzeitig erhalten Sie auch spezifische Empfehlungen für Verbesserungen.

                                        Wäre das nützlich für Sie?

                                        Mit freundlichen Grüßen

                                        PS: Die meisten Vertriebspräsentationen bleiben erfolglos, weil sie nicht als Basis und Ausgangspunkt für eine Diskussion
                                        konzipiert sind. Auf unserer Startseite finden Sie einige Vorher-Nachher-Beispiele. Wir können Ihnen helfen, Ihre Folien
                                        ansprechend und unvergesslich zu machen. E-Mails abbestellen

                                        Gründer und CMO

                                        LinkedIn
                                        Von:
                                        Datum: 8.4.2019 15:26:37.354
                                        An:
                                        Betreff: Aktualisierung Ihrer Vertriebspräsentation | Telefongespräch
                                        Hallo,
                                        ich komme heute noch einmal auf meine früheren E-Mails zurück. Vielleicht sollten wir persönlich darüber sprechen? (siehe
                                        E-Mail-Thread) Hätten Sie am Donnerstag Vormittag Zeit? Wir können Ihre aktuelle Präsentation gemeinsam ansehen und
                                        ich könnte Empfehlungen geben, die auf unseren Erfahrungen bei der Optimierung von Vertriebspräsentationen beruhen.
                                        Falls Sie am Donnerstag keine Zeit haben, halten Sie die Augen offen: Sie werden bald eine Einladung zu einem Webinar
                                        erhalten, bei dem wir Ihnen zeigen, wie Sie Ihre Präsentation zu einer Diskussion machen können.

                                        Mit freundlichen Grüßen

                                        PS: In meinem Webinar im Januar habe ich erläutert, warum Ihre Präsentation eine Diskussion sein sollte und drei Methoden
                                        vorgestellt, mit denen Sie das erreichen können. Die Aufzeichnung könnte interessant für Sie sein. Wenn Sie in Zukunft lieber
                                        nicht mehr von mir hören möchten, teilen Sie mir das bitte mit oder klicken Sie auf E-Mail abbestellen.
14   EMAIL THREAT REPORT JANUAR-MÄRZ 2019

                                            Neu eingerichtete
                                            Domains
                                            FireEye hat beobachtet, dass Hacker gewöhnlich neue Domains
                                            einrichten, um Phishing-E-Mails zu versenden oder andere
                                            Angriffskampagnen zu starten. Deshalb beobachten wir den
                                            Netzwerkverkehr, der von neuen Domains ausgeht, besonders intensiv.
Unternehmen,                                Unternehmen, die sich nur auf veröffentlichte Blacklists schädlicher

die sich nur auf                            Domains verlassen, sind anfällig für Angriffe, die von speziell für einen
                                            Angriff eingerichteten (und daher noch nicht in Blacklists enthaltenen)
veröffentlichte                             Domains ausgehen.

Blacklists                                  In einem aktuellen Fall waren zwei Unternehmen in Verhandlungen über
                                            einen großen Verkauf. Keiner der Verhandlungspartner wusste, dass eines
schädlicher                                 der Unternehmen mithilfe einer Phishing-E-Mail gehackt worden war

Domains verlassen,                          und dass der Angreifer nun den gesamten elektronischen Datenverkehr
                                            mitlas. Als die Verhandlungen sich einem erfolgreichen Abschluss
sind anfällig für                           näherten, richtete der Angreifer eine neue Domain ein – eine gefälschte
                                            Kopie der Domain des Verkäuferunternehmens. Von dieser Domain aus
Angriffe.                                   schickte er eine E-Mail mit Informationen über die nächsten Schritte
                                            im Verkaufsprozess an das Käuferunternehmen. Der Käufer wurde
                                            angewiesen, den vereinbarten Preis auf das in der E-Mail genannte Konto
                                            zu überweisen. Der Käufer überwies das Geld – an den Hacker.
EMAIL THREAT REPORT JANUAR-MÄRZ 2019   15

Fazit
Cyberkriminelle begannen das 1. Quartal 2019 mit einem fliegenden
Start – und die Zahl der E-Mail-basierten Angriffe aller Art nimmt weiter
zu. Auch bei cloudbasierten Angriffen (insbesondere beim Missbrauch
von Filesharing-Services) war ein deutlicher Anstieg zu verzeichnen.
FireEye geht davon aus, dass dieser Trend mit der zunehmenden
Verlagerung von Geschäftsprozessen in die Cloud Fahrt aufnehmen wird.
Neben der Erschließung neuer Angriffsziele arbeiten Cyberkriminelle
auch unermüdlich an der Weiterentwicklung ihrer Angriffsstrategien
und Methoden zur Umgehung von Sicherheitsmaßnahmen. Um sich
wirksam zu schützen, sollten Unternehmen sich mit den besten
verfügbaren Lösungen und Bedrohungsdaten wappnen. Wir werden
die Bedrohungslage weiterhin beobachten und die Öffentlichkeit in
regelmäßigen Email Threat Reports über die gefährlichsten Angreifer und
Angriffe informieren.
Unsere Erkenntnisse sind auch in die
preisgekrönte Lösung FireEye Email Security
eingeflossen, sodass diese selbst raffiniert
getarnte Bedrohungen im E-Mail-Verkehr
erkennt, die anderen Sicherheitsprodukten
entgehen.

Mit unserer einfachen Analyse in drei Schritten
können Sie herausfinden, welche Bedrohungen
Ihre aktuelle Lösung möglicherweise passieren
lässt.

KOSTENLOSE ANALYSE ANFORDERN

Weitere Informationen finden Sie unter www.FireEye.de.

FireEye, Inc.                                           Über FireEye, Inc.
601 McCarthy Blvd. Milpitas, CA 95035, USA              FireEye spezialisiert sich auf datengestützte Sicherheit. FireEye
+1 408 321 6300/+1 877-FIREEYE (347 3393)/
info-dach@FireEye.com
                                                        erweitert die Sicherheitskapazitäten seiner Kunden nahtlos
                                                        und skalierbar und bietet über eine einheitliche Plattform
                                                        die weltweit anerkannten Beratungsdienste von Mandiant®,
                                                        innovative Sicherheitstechnologien und Bedrohungsdaten an,
© 2019 FireEye, Inc. Alle Rechte vorbehalten. FireEye   die denen staatlicher Sicherheitsbehörden in nichts nachstehen.
ist eine eingetragene Marke von FireEye, Inc. Alle
                                                        Mit diesem Ansatz übernimmt FireEye die Verantwortung für die
anderen Marken, Produkte oder Servicenamen sind
Marken oder Dienstleistungsmarken der jeweiligen        Vorbereitung von Kundenunternehmen auf die Erkennung und
Eigentümer. E-EXT-R-DE-DE-000199-01                     Abwehr von Cyberangriffen.
Sie können auch lesen