Sie verwenden einen veralteten Browser!

Die Seite kann inkorrekt angezeigt werden.

Im Visier

Под прицелом

  • Zu Favoriten hinzufügen
    Registerkarte hinzufügen

Wenn es auch ohne Massenspam geht

Gelesen: 19866 Kommentare: 7 Rating: 8

Dienstag, 27. Oktober 2020

Unsere Spezialisten analysierten den gezielten Angriff auf eine Reihe von Unternehmen der russischen Energiewirtschaft, der vermutlich aus China stammte. Wir möchten einige Aspekte näher behandeln.

Den Computer jedes einzelnen Mitarbeiters eines Unternehmens anzugreifen ist zu mühsam. Spammailings und Massenscans von Unternehmenscomputern durch Hacker werden von IT-Sicherheitsspezialisten sofort erkannt. In unserem Produkt Dr.Web Enterprise Security Suite ist z.B. die Funktionalität zum Schutz vor Epidemien integriert – Der Administrator wird automatisch benachrichtigt, falls zahlreiche ähnliche verdächtige Ereignisse im Netzwerk erkannt werden. Hacker müssen also eine Sicherheitslücke herausfinden, damit der Angriff ins Schwarze trifft. Wie finden sie eine Schwachstelle?

Unsere Untersuchung zeigte, dass die Hacker eine Art Ausspähung kurz vor dem Angriff durchführten. Sie sendeten harmlose E-Mails mit Bildern an Mitarbeiter der betroffenen Unternehmen, um herauszufinden, wer eine Spam-Mail höchstwahrscheinlich öffnen wird. Alle gesendeten E-Mails unterschieden sich durch die Namen der angehängten Bilder oder durch die Parameter der Anfrage zum Herunterladen. Dies ermöglichte es den Cyberkriminellen, genau zu bestimmen, welche Mitarbeiter die E-Mails öffneten. Falls die Cyberkriminellen über Informationen zur Funktion des Mitarbeiters verfügten, nutzten sie diese in der nächsten E-Mail aus. Jedenfalls wussten sie, dass ein bestimmter Mitarbeiter dazu neigte, angehängte Dateien von unbekannten Absendern zu öffnen, daher war sein Computer für Angriffe anfällig.

So war nicht einmal ein Massenspam notwendig: In der zweiten Phase des Angriffs sendeten die Hacker nur noch E-Mails an die „neugierigen“ Mitarbeiter.

Und hier möchten wir Sie auf Folgendes aufmerksam machen: Wenn Computer aller Mitarbeiter mit einer Unternehmensantivirenlösung geschützt sind, erkennt das Virenschutzprogramm eingehende bösartige E-Mails an bestimmten Merkmalen und blockiert sie. Heutzutage arbeiten viele im Homeoffice und sind somit oft nicht durch die Antiviruslösung des Unternehmens geschützt. Manche nutzen überhaupt keinen Virenscanner. Falls die Unternehmensvirenschutzlösung auf dem Computer eines Mitarbeiters nicht installiert ist, können die IT-Sicherheitsspezialisten des Unternehmens einen Cyberangriff auf diesen Computer unmöglich erkennen, da sie keine Warnmeldungen erhalten.

Ist es möglich, herauszufinden, welche Mitarbeiter remote arbeiten?

Beim Aufruf einer angehängten Datei wird eine HTTP-Anforderung an den Server gesendet, auf dem sich die Datei befindet. Dabei tauschen beide Hosts Informationen über sich selbst (einschließlich der IP-Adressen) aus. Wenn der Mail-Client eine ccs-Datei oder ein angehängtes Bild aufruft, übermittelt er automatisch die Informationen über die IP-Adresse des Empfängers.

Quelle

Wenn die IP-Adresse bekannt ist, kann sie mithilfe der kostenlosen Datenbank http://www.maxmind.com/en/home geortet werden. Die Genauigkeit beträgt 95 bis 98%. Für russische IP-Adressen kann auch die Datenbank http://ipgeobase.ru/ genutzt werden.

Quelle

HTTP-Anforderungen enthalten unter anderem den Agententitel des Nutzers mit einer Kurzbeschreibung dessen Browsers und Betriebssystems.

Quelle

Auch wenn der genaue Ort nicht bestimmt wird, können Hacker immerhin die Region erfahren. Und falls sich diese vom Standort des Unternehmens unterscheidet, kann angenommen werden, dass es sich um einen Remote-Mitarbeiter handelt.

#Antispam #Unternehmenssicherheit #Sicherheitslücken #E-Mail-Verkehr #Spam #virenbedingte_Vorfälle #betrügerische_E-Mails #Geräteortung

„Die komplette Wahrheit über Viren & Co.“ empfiehlt

  1. Deaktivieren Sie das Herunterladen von Bildern in Ihrem Mail-Client. Die Anweisungen finden Sie hier.
  2. Öffnen Sie keine E-Mails von unbekannten Absendern.
  3. Setzen Sie eine Virenschutzlösung für Unternehmen ein.

[Twitter]

Ihre Meinung ist uns wichtig

Um einen Kommentar zu publizieren, müssen Sie sich über Ihr Konto auf der Webseite von Doctor Web einloggen. Wenn Sie noch kein Konto haben, können Sie es anlegen.

Kommentare der Teilnehmer