Rödental, 3.08.2022

Gefahr durch Zero-Day-Angriffe

 

Es gibt immer eine Schwachstelle

Ein Zero-Day-Angriff ist auch als Zero-Day-Exploit bekannt; Cyberkriminelle nutzen ihn, um bestimmte Sicherheitslücken in Softwareanwendungen auszunutzen. Bei den Sicherheitslücken handelt es sich um solche, die vom Hersteller noch nicht bekannt gegeben wurden, weil man gerade dabei ist, ein Sicherheits-Patch für das Problem zu entwickeln.

In anderen Fällen erfolgt ein Zero-Day-Angriff als Angriff auf eine Sicherheitslücke an genau dem Tag, an dem die Schwachstelle der Öffentlichkeit bekannt gemacht wird, weshalb der Begriff Zero-Day diese Art von Angriff definiert.

Software-Sicherheitslücken werden meist vom Hersteller oder Endbenutzer entdeckt, oder sie werden einem Cyberkriminellen gefunden, der gezielt nach Schwachstellen im Softwareprogramm sucht. Im letzteren Fall ist die Sicherheitslücke nur in der Hacker-Community bekannt, bis der Hersteller auf das Problem aufmerksam wird und ein Sicherheits-Patch zur Behebung der Schwachstelle entwickelt. Dies wird gemeinhin als "less than zero day exploit" bezeichnet.

Sobald der Hersteller von der Schwachstelle erfährt, müssen sich die Entwickler der Software beeilen, um ein Patch zu erstellen, das den Endbenutzer schützt.

Das Hauptmotiv für einen Zero-Day-Angriff ist das Einschleusen von Malware oder Spyware in Ihren Computer, oder, im Falle eines großen Unternehmens, in ein ganzes Netzwerk und die angeschlossenen Geräte. Eine der gefährlichsten Arten von Angriffen ist die Infiltration von Ransomware.

 

Wie funktionieren Zero-Day-Angriffe?

Kurz und bündig: Zero-Day-Angriffe entstehen, wenn Software-Schwachstellen vorhanden sind, bevor die Entwickler des Herstellers ein Sicherheits-Patch zum Schutz herausgeben können.

Hacker sind schlau; sie sind erfahrene Programmierer, die bösartige Software entwickeln können, die speziell auf eine Software-Schwachstelle abzielt. Jeder Hacker weiß, dass die Veröffentlichung eines Sicherheits-Patches einige Zeit dauern kann. So nutzt er ein Schadprogramm, um die Sicherheitslücke zu finden und einen Zero-Day-Angriff zu starten. Dadurch können Ihr Computersystem oder Ihre Anwendungen gefährdet werden, bevor das Problem behoben werden kann.

Wie kann man Zero-Day-Angriffe verhindern?

Einen Zero-Day-Angriff können Sie nicht dadurch verhindern, dass Sie auf die Veröffentlichung eines Sicherheits-Patches durch den Hersteller warten. So vergeuden Sie nur wertvolle Zeit und öffnen Ihren Computer für eine unvermeidliche Bedrohung. Treffen Sie sofort Vorkehrungen, die das Risiko eines Zero-Day-Angriffs verringern, UND warten Sie auf die Veröffentlichung des Sicherheits-Patches durch den Hersteller.

• Verwenden Sie einen Spam- und Virenfilter auf Unternehmensebene. Viele Unternehmen haben die Vorteile der Implementierung eines Spam- und Virenfilters auf Unternehmensebene erkannt, der eine äußerst wirksame und präventive Methode zur Vermeidung eines potenziellen Ransomware-Angriffs darstellt. Wie bereits erwähnt, greift die meiste Ransomware über E-Mail auf Ihr Netzwerk zu. Ein Spam- und Virenfilter auf Unternehmensebene scannt jede E-Mail, die an Sie gesendet wird, bevor sie in Ihre Netzwerkumgebung gelangt. Dieser präventive Ansatz hat sich als der effektivste Weg erwiesen, um bekannte Bedrohungen zu stoppen.
• Sichern Sie Ihre Daten und nutzen Sie eine Disaster-Recovery-Lösung! Die Implementierung einer Cloud-basierten Backup- oder Disaster-Recovery-Lösung ist eine kluge Investition. Manchmal ist die Wiederherstellung Ihrer geschäftskritischen Daten nach einem Zero-Day-/Ransomware-Angriff die einzige Möglichkeit, die Daten aus einem Backup wiederherzustellen. 90 % der Unternehmen mit einer IT-Infrastruktur verfügen über eine Backup- oder DR-Lösung. Gehören Sie NICHT zu den 10 %, die ihr Geschäft aufgeben müssen, weil Sie das nicht für nötig gehalten haben.
• Hüten Sie sich vor gefälschten E-Mails. Denken Sie nach, bevor Sie klicken. Es gibt viele E-Mails, die den Anschein erwecken, von Ihrem Finanzinstitut oder von Unternehmen zu stammen, mit denen Sie regelmäßig Geschäfte machen. Sie können legitim aussehen, sind aber in Wirklichkeit gefälschte Nachrichten, die versuchen, persönliche oder finanzielle Informationen von Ihnen stehlen. Viele dieser E-Mails enthalten einen bösartigen Anhang, der Ransomware ausführt, wenn Sie ihn öffnen. Oder sie sind darauf ausgerichtet, Ransomware oder andere bösartige Programme zu installieren, indem sie Sie dazu verleiten, auf einen Link in der Nachricht zu klicken.
• Sichern Sie Ihre drahtlosen Zugangspunkte. Die meisten Drahtlos-Router verfügen über WPA (Wi-Fi Protected Access) und WPA2-Verschlüsselung. Stellen Sie sicher, dass Sie diese Technologie nutzen, wenn Sie einen drahtlosen Zugangspunkt konfigurieren (das sollten Sie ohnehin tun!). Dies verhindert Zero-Day-Angriffe, die auf drahtlose Verbindungen abzielen.
• Verwenden Sie eine richtig konfigurierte Hardware-Firewall. Unternehmen, die von ihren IT-Netzwerken abhängig sind, sollten eine Hardware-Firewall verwenden und sich nicht nur auf eine Software-Firewall verlassen, die auf ihrem Computer installiert ist. Diese fungiert sozusagen als Ampel und Barriere, die Ihr lokales Netzwerk vor Bedrohungen von außen schützt.
• Halten Sie Ihre Antiviren-/Antimalware-Software auf dem neuesten Stand. Stellen Sie sicher, dass automatische Updates aktiviert sind, oder machen Sie es sich zur Gewohnheit, jeden Tag als Erstes die neuesten Signaturen herunterzuladen. Überprüfen Sie in regelmäßigen Abständen, ob die Updates installiert wurden, und scannen Sie Ihr System auf mögliche Infektionen.
• Verwenden Sie eine echte Anti-Ransomware-Lösung für Ihre(n) Server. Eine geeignete Lösung, die in der Lage ist, Zero-Day-Angriffe zu bewältigen, ist ein MUSS; gehen Sie auf Nummer sicher und schützen Sie Ihre Daten mit einer bewährten Lösung.

 

Social-Engineering-Angriffe und -Prävention

 

Was ist Social-Engineering?

Social Engineering (SE) steht für ein breites Spektrum böswilliger Aktivitäten, die durch menschliche Interaktionen ausgeführt werden. SE verwendet psychologische Manipulation, um Benutzer dazu zu bringen, Sicherheitsfehler zu machen oder vertrauliche Informationen preiszugeben.

Social-Engineering-Angriffe erfolgen in einem oder mehreren Schritten. Ein Täter forscht zunächst das beabsichtigte Opfer aus, um notwendige Hintergrundinformationen zu sammeln, wie z. B. potenzielle Einfallstore und schwache Sicherheitsprotokolle, die für die Fortsetzung des Angriffs erforderlich sind. Anschließend versucht der Angreifer, das Vertrauen des Opfers zu gewinnen und Anreize für nachfolgende Aktionen zu schaffen, die gegen Sicherheitspraktiken verstoßen, wie z. B. die Preisgabe vertraulicher Informationen oder die Gewährung des Zugriffs auf kritische Ressourcen.

Was Social Engineering besonders gefährlich macht, ist, dass es eher auf menschliches Versagen als auf Schwachstellen in Software und Betriebssystemen setzt. Fehler, die von legitimen Benutzern gemacht werden, sind viel weniger vorhersehbar, wodurch sie schwerer zu identifizieren und zu vereiteln sind als ein Malware-basiertes Eindringen.

Social-Engineering-Angriffstechniken

Social-Engineering-Angriffe gibt es in vielen verschiedenen Formen. Sie können überall dort ausgeführt werden, wo menschliche Interaktion involviert ist. Im Folgenden sind die fünf häufigsten Formen von digitalen Social-Engineering-Angriffen aufgeführt.

Ködern

Wie der Name schon sagt, verwenden Köderangriffe ein falsches Versprechen, um die Gier oder Neugier eines Opfers zu wecken. Sie locken Benutzer in eine Falle: Sie stehlen die persönlichen Daten ihrer Opfer oder infizieren ihre Systeme mit Malware.

Die hinterlistigste Form des Köderns verwendet physische Medien, um Malware zu verbreiten. Beispielsweise legen Angreifer den Köder – typischerweise mit Malware infizierte Flash-Laufwerke – in auffälligen Bereichen ab, wo potenzielle Opfer sie sicher sehen können (z. B. Badezimmer, Aufzüge, der Parkplatz eines Zielunternehmens). Der Köder hat ein authentisches Aussehen, wie ein Etikett, das ihn z.B. als Gehaltsliste des Unternehmens präsentiert.

Opfer nehmen den Köder aus Neugier auf und stecken ihn in einen Arbeits- oder Heimcomputer, was zu einer automatischen Malware-Infektion des Systems führt.

Köderbetrug muss nicht unbedingt in der physischen Welt durchgeführt werden. Online-Köder bestehen aus verlockenden Anzeigen, die zu bösartigen Websites führen oder Benutzer dazu anregen, eine mit Malware infizierte Anwendung herunterzuladen.

Scareware

Bei Scareware werden Opfer mit Fehlalarmen und fiktiven Bedrohungen bombardiert. Benutzer werden getäuscht und glauben, ihr System sei mit Malware infiziert, was sie dazu veranlasst, Software zu installieren, die keinen wirklichen Nutzen hat (außer für den Täter) oder selbst Malware ist. Scareware wird auch als Deception Software, Rogue Scanner Software und Fraudware bezeichnet.

Ein gängiges Beispiel für Scareware sind legitim aussehende Popup-Banner, die in Ihrem Browser erscheinen, während Sie im Internet surfen, und Texte wie „Ihr Computer ist möglicherweise mit schädlichen Spyware-Programmen infiziert“ anzeigen. Man bietet entweder an, das Tool (häufig mit Malware infiziert) für Sie zu installieren, oder leitet Sie zu einer bösartigen Website weiter, auf der Ihr Computer infiziert wird.

Scareware wird auch über Spam-E-Mails verbreitet, die falsche Warnungen verteilen oder Benutzern Angebote machen, wertlose/schädliche Dienste zu kaufen.

Vorwand ("Pretexting")

Hier erhält ein Angreifer Informationen durch eine Reihe von ausgeklügelten Lügen. Der Betrug wird oft von einem Täter initiiert, der vorgibt, vertrauliche Informationen von einem Opfer zu benötigen, um eine kritische Aufgabe auszuführen.

Der Angreifer beginnt in der Regel damit, Vertrauen zu seinem Opfer aufzubauen, indem er sich als Mitarbeiter, Polizei, Bank- und Steuerbeamte oder andere Personen mit Auskunftsrecht ausgibt. Der Pretexter stellt Fragen, die angeblich erforderlich sind, um die Identität des Opfers zu bestätigen, wodurch er wichtige persönliche Daten sammelt.

Mit diesem Betrug werden alle möglichen relevanten Informationen und Aufzeichnungen gesammelt, wie z. B. Sozialversicherungsnummern, persönliche Adressen und Telefonnummern, Telefonaufzeichnungen, Urlaubsdaten von Mitarbeitern, Bankunterlagen und sogar Sicherheitsinformationen in Bezug auf eine physische Anlage.

Phishing

Eine der beliebtesten Arten von Social-Engineering-Angriffen ist das Phishing. Es findet über E-Mail- und Textnachrichtenkampagnen statt, die darauf abzielen, bei den Opfern ein Gefühl der Dringlichkeit, Neugier oder Angst zu erzeugen. Es bringt sie dann dazu, vertrauliche Informationen preiszugeben, auf Links zu bösartigen Websites zu klicken oder Anhänge zu öffnen, die Malware enthalten.

Ein Beispiel ist eine E-Mail an den Benutzer eines Onlinedienstes, die ihn auf einen Richtlinienverstoß aufmerksam macht, der sofortige Maßnahmen erfordert, z. B. eine erforderliche Kennwortänderung. Sie enthält einen Link zu einer illegitimen Website – die im Aussehen fast identisch mit einer legitimen Version ist – und fordert den ahnungslosen Benutzer auf, seine aktuellen Anmeldeinformationen und ein neues Passwort einzugeben. Nach dem Absenden des Formulars werden die Informationen an den Angreifer gesendet.

Da in Phishing-Kampagnen identische oder nahezu identische Nachrichten an alle Benutzer gesendet werden, ist es für Mailserver, die Zugriff auf Plattformen zum Teilen von Bedrohungen haben, viel einfacher, sie zu erkennen und zu blockieren.

Speerfischen  ("Spear Phishing")

Dies ist eine gezieltere Version des Phishing-Betrugs, bei der ein Angreifer bestimmte Personen oder Unternehmen auswählt. Hier werden Nachrichten an betroffenen Personen besonders angepasst und individualisiert, um den Angriff weniger auffällig zu machen. Spear-Phishing erfordert viel mehr Aufwand seitens des Täters und kann Wochen und Monate dauern. Solche Angriffe sind viel schwerer zu erkennen und haben bessere Erfolgsraten, wenn sie geschickt ausgeführt werden.

Ein Spear-Phishing-Szenario kann einen Angreifer darstellen, der sich als IT-Berater einer Organisation ausgibt und eine E-Mail an einen oder mehrere Mitarbeiter sendet. Sie ist genau so formuliert und unterschrieben, wie es der Berater normalerweise tut, und täuscht dadurch den Empfängern vor, es handele sich um eine authentische Nachricht. Die Nachricht fordert die Empfänger auf, ihr Passwort zu ändern, und stellt ihnen einen Link zur Verfügung, der sie auf eine bösartige Seite umleitet, auf der der Angreifer nun ihre Anmeldeinformationen erfasst.

Social-Engineering-Prävention

Social Engineering-Betrüger manipulieren menschliche Gefühle wie Neugier oder Angst, um Pläne auszuführen und Opfer in ihre Fallen zu locken. Seien Sie daher vorsichtig, wenn Sie sich durch eine E-Mail alarmiert fühlen, von einem Angebot auf einer Website angezogen werden oder wenn Sie auf herumliegende digitale Medien stoßen. Wachsamkeit kann Ihnen helfen, sich vor den meisten Social-Engineering-Angriffen zu schützen, die der digitalen Welt stattfinden.

Darüber hinaus können die folgenden Tipps dazu beitragen, Ihre Wachsamkeit in Bezug auf Social-Engineering-Hacks zu verbessern.

• Öffnen Sie keine E-Mails und Anhänge aus verdächtigen Quellen: Wenn Sie den betreffenden Absender nicht kennen, müssen Sie eine E-Mail nicht beantworten. Selbst wenn Sie ihn kennen und misstrauisch gegenüber seiner Nachricht sind, überprüfen und bestätigen Sie die Nachrichten durch andere Quellen, z. B. per Telefon oder direkt von der Website eines Dienstanbieters. Denken Sie daran, dass E-Mail-Adressen ständig gefälscht werden.Selbst eine E-Mail, die angeblich von einer vertrauenswürdigen Quelle stammt, kann tatsächlich von einem Angreifer initiiert worden sein.
• Verwenden Sie Multi-Faktor-Authentifizierung (MFA):  Eine der wertvollsten Informationen, nach der Angreifer suchen, sind Anmeldeinformationen von Benutzern. Die Verwendung der mehrstufigen Authentifizierung von MFA trägt dazu bei, den Schutz Ihres Kontos im Falle einer Systemkompromittierung sicherzustellen. iSecurity MFA ist eine einfach zu implementierende Lösung, die die Sicherheit für Ihre Anwendungen erhöhen kann.
• Seien Sie vorsichtig bei verlockenden Angeboten  – Wenn ein Angebot zu verlockend klingt, überlegen Sie es sich zweimal, bevor Sie es als Tatsache akzeptieren. Wenn Sie das Thema googeln, können Sie schnell feststellen, ob Sie es mit einem legitimen Angebot oder einer Falle zu tun haben.
• Halten Sie Ihre Antiviren-/Antimalware- Software auf dem neuesten Stand: Stellen Sie sicher, dass automatische Updates aktiviert sind, oder machen Sie es sich zur Gewohnheit, jeden Tag als Erstes die neuesten Signaturen herunterzuladen. Überprüfen Sie regelmäßig, ob die Updates angewendet wurden, und scannen Sie Ihr System auf mögliche Infektionen.

 

Fragen? Rufen Sie mich jederzeit an!
Ich bin zu erreichen unter +49 9563 7406-31 oder per E-Mail: robert.engel(at)razlee.de