Proofpoint, Inc. (NASDAQ: PFPT), ein führender Anbieter von Security-as-a-Service, veröffentlicht heute die Ergebnisse einer umfassenden Studie, in der eine neue Kategorie hochentwickelter, effektiver und breit angelegter Phishing-Angriffe - sogenanntes "Longlining" - identifiziert wurde, die erfolgreiche Taktiken des Spear-Phishings mit Mass Customization verbinden. Angreifer können mithilfe dieser Methode in Sekunden tausende personalisierte und mit Malware versehene Nachrichten versenden, die mit konventionellen signatur- und reputationsbasierten Sicherheitssystemen schwer erkennbar sind. Trotz des Volumens konnten diese individualisierten Massen-E-Mails mehr als zehn Prozent aller Empfänger dazu motivieren, Malware zu öffnen, wodurch Angreifer die vollständige Kontrolle über PCs erhalten und Unternehmensnetzwerke manipulieren können.
Proofpoint ist es mit seiner Sicherheitslösung Proofpoint Targeted Attack Protection, die Big Data-Analysen nutzt, gelungen, Longline-Angriffe rückzuverfolgen und zu neutralisieren.
Phishing und Mass Customization
Die beim Longlining verwendeten "Haken" (E-Mail-Nachrichten) sind äußerst variabel, im Gegensatz zu denen der Mass-Phishing-Exploits, die identisch sind. Dadurch sind sie für konventionelle signatur- und reputationsbasierte Sicherheits-Gateways praktisch kaum erkennbar. In der Regel stammen die Nachrichten von verschiedenen IP-Adressen, zudem unterscheiden sich Betreff und Inhalt. Der Text der Nachrichten enthält außerdem mehrere Mutationen eingebundener Ziel-URLs, die in der Regel zu einer Website mit einer positiven Reputation führen, welche vor dem Angriff manipuliert wurde. Die kompromittierten Websites werden vor, während oder sogar erst nach Beginn des Angriffs mit versteckter Malware infiziert.
Erst durch den Einsatz einer Vielzahl manipulierter Geräte sowie von Prozessautomationstechniken konnten Angreifer die Stealth-Techniken und betrügerische Schadensroutinen des Spear-Phishings mit massiven Parallelangriffen kombinieren. Das bedeutet, dass sie in der Lage sind, 100.000 individuelle Spear-Phishing-Nachrichten zu versenden, von denen alle die herkömmlichen Sicherheitssysteme umgehen können. Diese Fähigkeit, in wenigen Stunden tausende in E-Mails enthaltene schadhafte URL-"Haken" auszuwerfen, erhöht die Erfolgschancen und die Möglichkeiten, Zero-Day-Malware zu platzieren, bevor Unternehmen ihre Systeme schützen können.
"Cyber-Kriminelle kombinieren nun die Tarnung und Effektivität des Spear-Phishing mit der Geschwindigkeit und Reichweite herkömmlicher Phishing- und Virus-Angriffe", sagt Michael Scheffler, Regional Sales Director DACH bei Proofpoint. "Konventionelle Sicherheitssysteme und -technologien können diese komplexen Angriffsvektoren kaum erkennen. Das macht Unternehmen anfälliger für eine Vielzahl krimineller Aktivitäten sowie Datenverlust."
Typische Angriffe
Im Rahmen der aktuellen sechsmonatigen Studie, bei der mehr als eine Milliarde E-Mail-Nachrichten untersucht wurden, hat Proofpoint dutzende von Longlining-Angriffen beobachtet, abgewehrt und dokumentiert. Am 3. Oktober 2012 entdeckte Proofpoint beispielsweise einen Angriff, der in Russland gestartet wurde und bei dem innerhalb von drei Stunden mehr als 135.000 E-Mails an über 80 Unternehmen gesendet wurden. Um nicht erkannt zu werden, verwendeten die Angreifer rund 28.000 unterschiedliche IP-Adressen sowie 35.000 unterschiedliche Aliasse und manipulierten mehr als zwanzig rechtmäßige Websites durch gehostete Drive-by-Downloads mit Zero-Day-Malware. Aufgrund dieser Maßnahmen, URLs und Textinhalte erhielt kein Unternehmen mehr als drei E-Mails mit denselben Charakteristika. Dieser Angriff repräsentierte weniger als 0,06 Prozent des gesamten E-Mail-Verkehrs des betroffenen Unternehmens (im Vergleich zu 19 Prozent Spam und 11 Prozent Virus-Mails). Der Angriff war aufgrund der Kombination von Mass Customization und proportional geringem Volumen für konventionelle Sicherheitsprodukte praktisch unsichtbar, wodurch ein breiter Zugang zu Unternehmensnetzwerken erlangt werden kann. Im vierten Quartal 2012 und zu Beginn dieses Jahres konnten ähnliche Angriffe beobachtet werden.
Alarmierende Effektivität
Trotz des relativ großen Umfangs ist die Effektivität von Longline-Angriffen alarmierend hoch.
- Zehn Prozent der manipulierten E-Mail-Nachrichten mit schadhaften URLs, die der Erkennung durch Perimeter-Systeme entgangen sind, wurden von den Empfängern geöffnet.
- Alle Longline-Angriffe verwenden sogenannte "Drive-by-Downloads", die auf manipulierten Websites installiert werden. Diese Angriffe nutzen Sicherheitslücken von Browsern, PDFs und Java, um ungesehen Rootkits zu installieren, die abgesehen vom Anklicken der in der E-Mail enthaltenen URL und dem Besuch der infizierten Website keine weitere Nutzeraktivität erfordern.
- Fast jeder fünfte Klick (19 Prozent) auf eine solche URL erfolgte von außerhalb des Netzwerks zum Beispiel über mobile Geräte und damit außerhalb der Unternehmenssicherheit.
Um mehr über Longline-Phishing-Angriffe zu erfahren, laden Sie unser Proofpoint Whitepaper Longline-Phishing: E-Mail-Bedrohungen, Cloud-Computing, große Datenmengen und die Zunahme industrieller Phishing-Angriffe auf http://www.proofpoint.com/... herunter. Eine deutsche Textversion erhalten Sie gerne über den Pressekontakt.
Proofpoint Targeted Attack Protection ist eine eingetragene Marke von Proofpoint, Inc. in den USA und anderen Ländern. Alle weiteren hierin enthaltenen Marken sind Eigentum der jeweiligen Inhaber.
Proofpoint ist es mit seiner Sicherheitslösung Proofpoint Targeted Attack Protection, die Big Data-Analysen nutzt, gelungen, Longline-Angriffe rückzuverfolgen und zu neutralisieren.
Phishing und Mass Customization
Die beim Longlining verwendeten "Haken" (E-Mail-Nachrichten) sind äußerst variabel, im Gegensatz zu denen der Mass-Phishing-Exploits, die identisch sind. Dadurch sind sie für konventionelle signatur- und reputationsbasierte Sicherheits-Gateways praktisch kaum erkennbar. In der Regel stammen die Nachrichten von verschiedenen IP-Adressen, zudem unterscheiden sich Betreff und Inhalt. Der Text der Nachrichten enthält außerdem mehrere Mutationen eingebundener Ziel-URLs, die in der Regel zu einer Website mit einer positiven Reputation führen, welche vor dem Angriff manipuliert wurde. Die kompromittierten Websites werden vor, während oder sogar erst nach Beginn des Angriffs mit versteckter Malware infiziert.
Erst durch den Einsatz einer Vielzahl manipulierter Geräte sowie von Prozessautomationstechniken konnten Angreifer die Stealth-Techniken und betrügerische Schadensroutinen des Spear-Phishings mit massiven Parallelangriffen kombinieren. Das bedeutet, dass sie in der Lage sind, 100.000 individuelle Spear-Phishing-Nachrichten zu versenden, von denen alle die herkömmlichen Sicherheitssysteme umgehen können. Diese Fähigkeit, in wenigen Stunden tausende in E-Mails enthaltene schadhafte URL-"Haken" auszuwerfen, erhöht die Erfolgschancen und die Möglichkeiten, Zero-Day-Malware zu platzieren, bevor Unternehmen ihre Systeme schützen können.
"Cyber-Kriminelle kombinieren nun die Tarnung und Effektivität des Spear-Phishing mit der Geschwindigkeit und Reichweite herkömmlicher Phishing- und Virus-Angriffe", sagt Michael Scheffler, Regional Sales Director DACH bei Proofpoint. "Konventionelle Sicherheitssysteme und -technologien können diese komplexen Angriffsvektoren kaum erkennen. Das macht Unternehmen anfälliger für eine Vielzahl krimineller Aktivitäten sowie Datenverlust."
Typische Angriffe
Im Rahmen der aktuellen sechsmonatigen Studie, bei der mehr als eine Milliarde E-Mail-Nachrichten untersucht wurden, hat Proofpoint dutzende von Longlining-Angriffen beobachtet, abgewehrt und dokumentiert. Am 3. Oktober 2012 entdeckte Proofpoint beispielsweise einen Angriff, der in Russland gestartet wurde und bei dem innerhalb von drei Stunden mehr als 135.000 E-Mails an über 80 Unternehmen gesendet wurden. Um nicht erkannt zu werden, verwendeten die Angreifer rund 28.000 unterschiedliche IP-Adressen sowie 35.000 unterschiedliche Aliasse und manipulierten mehr als zwanzig rechtmäßige Websites durch gehostete Drive-by-Downloads mit Zero-Day-Malware. Aufgrund dieser Maßnahmen, URLs und Textinhalte erhielt kein Unternehmen mehr als drei E-Mails mit denselben Charakteristika. Dieser Angriff repräsentierte weniger als 0,06 Prozent des gesamten E-Mail-Verkehrs des betroffenen Unternehmens (im Vergleich zu 19 Prozent Spam und 11 Prozent Virus-Mails). Der Angriff war aufgrund der Kombination von Mass Customization und proportional geringem Volumen für konventionelle Sicherheitsprodukte praktisch unsichtbar, wodurch ein breiter Zugang zu Unternehmensnetzwerken erlangt werden kann. Im vierten Quartal 2012 und zu Beginn dieses Jahres konnten ähnliche Angriffe beobachtet werden.
Alarmierende Effektivität
Trotz des relativ großen Umfangs ist die Effektivität von Longline-Angriffen alarmierend hoch.
- Zehn Prozent der manipulierten E-Mail-Nachrichten mit schadhaften URLs, die der Erkennung durch Perimeter-Systeme entgangen sind, wurden von den Empfängern geöffnet.
- Alle Longline-Angriffe verwenden sogenannte "Drive-by-Downloads", die auf manipulierten Websites installiert werden. Diese Angriffe nutzen Sicherheitslücken von Browsern, PDFs und Java, um ungesehen Rootkits zu installieren, die abgesehen vom Anklicken der in der E-Mail enthaltenen URL und dem Besuch der infizierten Website keine weitere Nutzeraktivität erfordern.
- Fast jeder fünfte Klick (19 Prozent) auf eine solche URL erfolgte von außerhalb des Netzwerks zum Beispiel über mobile Geräte und damit außerhalb der Unternehmenssicherheit.
Um mehr über Longline-Phishing-Angriffe zu erfahren, laden Sie unser Proofpoint Whitepaper Longline-Phishing: E-Mail-Bedrohungen, Cloud-Computing, große Datenmengen und die Zunahme industrieller Phishing-Angriffe auf http://www.proofpoint.com/... herunter. Eine deutsche Textversion erhalten Sie gerne über den Pressekontakt.
Proofpoint Targeted Attack Protection ist eine eingetragene Marke von Proofpoint, Inc. in den USA und anderen Ländern. Alle weiteren hierin enthaltenen Marken sind Eigentum der jeweiligen Inhaber.
