Fake-Support via Social Media wird ernsthafte Bedrohung

In seinem Q3 Threat Report für Juli, August und September 2018 meldet Proofpoint überraschende und teilweise alarmierende Entwicklungen bei Angriffsversuchen von Cyber-Kriminellen. Der vermutlich erschreckendste Trend ist die Zunahme von Betrugsversuchen durch falschen Support via Social Media. Die Sicherheitsforscher von Proofpoint verzeichneten dabei einen Zuwachs von 486 Prozent im Vergleich zum Vorjahr. Hier ist also höchste Vorsicht geboten.

Der Q3 Threat Report analysiert Trends und Veränderungen in der Bedrohungslage für IT-Anwender. Dabei untersucht Proofpoint, welche Angriffsformen wie (CEO-Betrug, Ransomware, Banking Trojaner und andere Schadsoftware) wo, in welcher Menge und mit welchen Hilfsmitteln von den verschiedenen Angreifern für Attacken genutzt werden. Besonders drastisch haben sich hierbei der betrügerische Support via Social Media. Dabei täuschen Angreifer vor, sie wären der offizielle Support eines bekannten Unternehmens (auch Angler Phishing genannt).

Als zweite Bedrohung ist noch die CEO-Betrugsmasche zu nennen, bei der Angreifer vortäuschen, ein wichtiger Entscheidungsträger im Unternehmen zu sein (auch CEO-Fraud genannt). Während sich das Angler Phishing mit einem Plus von 486 Prozent fast versechsfacht hat, stieg das Aufkommen von CEO-Fraud im 3. Quartal 2018 im Vergleich zum Vorjahr ebenfalls deutlich um 77 Prozent an.

Bei Angler Phishing versuchen die Angreifer den Support eines bekannten Unternehmens auf Social-Media-Kanälen zu imitieren. Kommt auf diesem Weg ein hilfesuchender Kunde in Kontakt mit den Betrügern, versuchen diese ihr potenzielles Opfer beispielsweise zur Herausgabe von Login- oder Bankdaten oder der Installation vermeintlicher Updates zu verleiten, die natürlich nichts anderes als Schadsoftware sind.

Bei CEO-Fraud hingegen gehen die Cyber-Kriminellen sehr gezielt vor und versuchen durch vortäuschen einer Mail, scheinbar von einem leitenden Angestellten, einen oder auch mehrere Mitarbeiter dazu zu bewegen, entweder ein Dokument zu öffnen, das via Makros Schadsoftware aus dem Internet nachlädt, auf eine entsprechend infizierte Website zu klicken, persönliche Daten oder geistiges Eigentum an den Absender zu schicken oder geben sogar Anweisungen, Geld direkt zu überweisen. Die Kriminellen täuschen dabei pro Angriff im Schnitt fünf unterschiedliche Manager des Unternehmens vor und adressieren – ebenfalls durchschnittlich – 27 Mitarbeiter bei einer Attacke.

Allerdings gibt es auch gute Nachrichten: Nachdem 2016 und 2017 riesige Ransomware-Attacken (bei denen Rechner verschlüsselt und nur gegen Lösegeldzahlung entsperrt werden) die IT-Welt in Aufruhr versetzten, beispielsweise mit WannaCry oder NotPetya, macht diese Angriffsform im aktuellen Threat Report für das 3. Quartal nur noch ein Prozent der registrierten Attacken aus. Der Grund dürfte hier weniger in gestiegener Menschenfreundlichkeit der Angreifer liegen, als vielmehr darin, dass aus deren Sicht der zu erwartende Ertrag nicht mehr im Verhältnis zum Aufwand steht. Sie verlegen sich stattdessen darauf, langfristig Rechner mit schwer zu entdeckender Schadsoftware zu infizieren und dadurch beispielsweise Kreditkarten- und/oder Kontodaten sowie andere Informationen zu erhalten.

All diese Angriffsformen kommen heutzutage meist ohne den Versand von Anhängen aus, die direkt schädlichen Code enthalten. Diese Anhänge würden auch von fast allen aktuellen, leistungsfähigen Anti-Viren-Lösungen erkannt und damit abgefangen. Die Angreifer setzen vielmehr auf menschliche Schwäche und Neugier und versuchen die Anwender zum „Klick“ in ein Dokument oder auf einen Link zu verführen, dadurch erst den Download schädlicher Software zu initialisieren und somit dann ihre Systeme zu infizieren.

Entsprechend gilt es, die bestehende technische Sicherheitsarchitektur im Unternehmen durch permanente Weiterbildung und Sensibilisierung der Mitarbeiter in Sachen IT-Sicherheit deutlich zu ergänzen, um so die gesamte Belegschaft zu einer Art menschlicher Firewall für die Unternehmens-IT fortzubilden. (rhh)

Hier geht es zum Q3 Threat Report von Proofpoint