Die meisten Benutzer haben den Eindruck, dass Spam E-Mails hauptsächlich für Phishing-Attacken benutzt werden. Diese Annahme ist vertretbar, jedoch steigt auch die Zahl der Malware-Attacken, die durch E-Mails initiiert werden. Im aktuellen Beispiel benutzten die Angreifer gefälschte LinkedIn Kontaktanfragen, um ihre Opfer auf mit Exploits Kits präparierte Webseiten zu locken.
Die Optik der gefälschten E-Mail ist einfach aber professionell und lässt fast keinen Rückschluss auf den Betrug zu, wenn man sie mit einem Original vergleicht. Es fällt jedoch auf, dass die Spam E-Mail eine Mischung ist aus einer LinkedIn Kontaktaufnahme-Mail (Betreffzeile) und einer Erinnerungs-Mail (Text) ist.
Die E-Mails gaukeln vor, dass der Empfänger eine Kontaktanfrage im selbsternannten „größte[n] Online-Berufsnetzwerk der Welt“ erhalten hat. Häufig wird suggeriert, dass der Kontakt von einer namhaften Firma stammt und außerdem noch weitere ausstehenden Nachrichten auf den Benutzer warten. Zusätzlich wird die E-Mail dann noch mit hoher Prioritätsstufe markiert, was sie höchst attraktiv machen soll.
Die bösen Absichten
Ein Klick auf einen der drei Links in der Mail öffnet eine Verbindung zu einer Weiterleitungswebseite. Das Opfer wird zu einer Webseite weitergeleitet, die mit Hilfe eines Exploit-Kits für Angriffe präpariert wurde. Ein Exploit-Kit ist ein Tool das, je nach Ausführung, eine Vielzahl von unterschiedlichen Angriffen auf Schwachstellen (Exploits) enthält und als Angriffsinstrument dient.
Besucht ein Nutzer eine dieser manipulierten Webseiten, wird mit Hilfe des Exploit-Kits die Konfiguration des PCs auf angreifbare Anwendungen hin überprüft (Browser, Software, OS, …). Findet sich in der ausgelesenen Konfiguration eine Schwachstelle oder gar mehrere, wird ein passender Exploit an den Client gesendet, der die gefundene Sicherheitslücke ausnutzt, um danach unbemerkt z.B. weiteren Schadcode auf den angreifbaren Rechner zu laden (Drive-by-Download).
Attacken mit Exploit Kits sind profitabel und deshalb beliebt
Exploit-Kits gehören zu den am weitesten verbreiteten Angriffsinstrumenten im Umlauf und sind bei Angreifern besonders durch ihre relativ einfache Handhabung beliebt. Sie ermöglichen es auch weniger erfahrenen Cyber-Kriminellen Angriffe über Webseiten zu fahren und an Besucher der Seite beliebigen Schadcode auszuliefern. Im Untergrund können sowohl die Exploit-Kits selbst als auch ganze Angriffs-Pakete mit allen Servern, Einrichtungen, etc. als Dienstleistung erworben werden.
Sicherheitslücken in Betriebssystemen oder Software sind ein Haupteinfallstor für Schadcode aller Art und sie stehen bei Cyber-Kriminellen sehr hoch im Kurs. Das größte Einfallstor ist das Internet. Der Besuch einer manipulierten Webseite reicht aus, um infiziert zu werden!
Dabei ist es vollkommen unerheblich, ob die Webseite eine Seite mit Ü18-Inhalten ist, eine Nachrichtenseite oder die des lokalen Sportvereins. Man kann vom Thema der Webseite nicht ableiten ob sie aktuell für den Nutzer gefährlich oder harmlos ist. Selbstverständlich ist eine populäre und gut besuchte Webseite für Angreifer attraktiver, aber potentiell ist jeder Websurfer gefährdet, egal welche Seiten er besucht!
Die Experten von Google berichteten im Juni 2012, dass sie täglich etwa 9.500 neue bösartige Seiten entdecken und die G DATA SecurityLabs ermittelten, dass die Zahl der von G DATA registrierten neuen Signaturvarianten im Bereich Exploits im zweiten Halbjahr 2012 um fast 58% gestiegen ist.
Weitere Statistiken über die Verbreitung gefährlicher Webseiten und die Entwicklungen im Bereich PC Schadcode sowie Malware für Mobilgeräte finden sie im G DATA MalwareReport H2/2012.
Wie kann man sich gegen Drive-by-Downloads und Exploit-Kits schützen?
Die Sicherheit des PC steht und fällt mit der Kombination aus der eingesetzten Sicherheitssoftware, den Updates des Betriebssystems und den Updates anderer Software. Ein mehrschichtiger Schutz ist unerlässlich!
Sicherheitslücken in Oracles Java, in Adobe Flash und auch Adobe Reader werden sehr häufig in den Medien publik gemacht und rücken damit in den Fokus der Anwender, doch viele denken sich „ich brauche nicht updaten, mir passiert eh nichts“, bzw. „auf meinem Rechner gibt es eh nichts zu holen“. Diese Annahme ist jedoch falsch, denn jeder infizierte Rechner hat einen Wert für die Angreifer.
Es ist jedoch nicht damit getan, diese drei beispielhaft genannten Programme auf dem aktuellen Stand zu halten! Um bekannte Sicherheitslücken zu schließen, müssen alle Programme und auch das Betriebssystem immer auf dem aktuellen Stand gehalten werden, durch Patches und Updates.
Zusammengefasst bedeutet das:
- Eine aktuelle und umfassende Sicherheitslösung mit einem Schadcodescanner, Firewall, Web- und Echtzeitschutz gehören zur Grundausstattung. Ein Spam-Filter, als Schutz vor ungewollten Spam-Mails ist ebenfalls sinnvoll.
Tipp für Firmennetzwerke: Die G DATA Unternehmenslösungen bieten ab dem zweiten Quartal 2013 G DATA PatchManagement als Zusatzmodul an. - Das installierte Betriebssystem, der Browser und seine Komponenten sowie die installierte Sicherheitslösung sollten immer auf dem aktuellen Stand gehalten werden. Programm-Updates sollten umgehend installiert werden, um so bestehende Sicherheitslücken zu schließen.
- Es ist ratsam, im benutzten Webbrowser die Ausführung von Plug-Ins, Skripten und meist auch Werbungsinhalten standardmäßig zu deaktivieren und diese nur gezielt zu starten. Dies kann in den Einstellungen vorgenommen oder mit entsprechenden Browser-Erweiterungen erzielt werden.