{"id":67261,"date":"2018-03-16T02:00:46","date_gmt":"2018-03-16T09:00:46","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=67261"},"modified":"2018-03-09T06:10:52","modified_gmt":"2018-03-09T14:10:52","slug":"bedrohungs-kurzbericht-spear-phishing-durch-konversations-hijacking","status":"publish","type":"post","link":"https:\/\/www2.paloaltonetworks.com\/blog\/2018\/03\/bedrohungs-kurzbericht-spear-phishing-durch-konversations-hijacking\/?lang=de","title":{"rendered":"Bedrohungs-Kurzbericht: Spear Phishing durch Konversations-Hijacking"},"content":{"rendered":"<p>Spear Phishing ist eine spezielle Angriffsmethode, die sich innerhalb der letzten Jahre stark verbreitet hat. Das Team Unit 42 unseres neuen Forschungsblogs <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/2017\/10\/unit42-freemilk-highly-targeted-spear-phishing-campaign\/\">\u201eFreeMilk: A Highly Targeted Spear Phishing Campaign\u201c<\/a> hat eine Angriffskampagne aufgedeckt, die das Anvisieren von Spear-Phishing-Opfern ein ganzes St\u00fcck weiterentwickelt hat, indem laufende E-Mail-Unterhaltungen gekapert wurden. Obwohl es sich dabei nicht um breit angelegten Attacken handelt, ist diese Weiterentwicklung der Spear-Phishing-Techniken an sich trotzdem fatal. Aus diesem Grund ist es heute wichtiger denn je, gegen diese Risiken vorzugehen.<\/p>\n<p>\u00dcblicherweise wird Phishing anhand breit angelegter Attacken mithilfe gew\u00f6hnlich scheinender E-Mails ausge\u00fcbt. Solche Attacken sind nicht personalisiert: H\u00e4ufige Themen oder Aufh\u00e4nger werden in einem allt\u00e4glichen Kontext genutzt, um die Anzahl potenzieller Ziele m\u00f6glichst hoch zu halten. Der Gedanke dahinter ist, dass diese Phishing-E-Mails f\u00fcr einen gewissen Prozentsatz ihrer Empf\u00e4nger glaubw\u00fcrdig erscheinen, sodass geklickt wird.<\/p>\n<p>Im Allgemeinen setzen gew\u00f6hnliche Phishing-Attacken f\u00fcr Ihren Erfolg auf Durchschnittswerte. Aus diesem Grund ist es dem Initiator egal, <em>wer<\/em> darauf hereinf\u00e4llt, denn f\u00fcr ihn z\u00e4hlt haupts\u00e4chlich, <em>wie viele<\/em> Leute das tun.<\/p>\n<p>Ein gutes Beispiel f\u00fcr eine generische Phishing-Kampagne ist die<a href=\"https:\/\/www.paloaltonetworks.com\/blog\/2017\/03\/unit42-blank-slate-campaign-takes-advantage-hosting-providers-spread-ransomware\/\">Kampagne \u201eBlank Slate\u201c<\/a>, \u00fcber die wir im M\u00e4rz 2017 berichtet hatten. Diese war so allgemein gehalten, dass sich die Initiatoren nicht einmal Gedanken \u00fcber ein Thema oder ein Lockmittel gemacht haben: Sie haben einfach leere Nachrichten mit b\u00f6sartigen Anh\u00e4ngen versandt, damit die Empf\u00e4nger diese \u00f6ffnen.<\/p>\n<p>Spear Phishing ist eine raffiniertere, gezieltere Form des Phishing. Anstatt allgemeiner Themen oder Aufh\u00e4nger werden hier Inhalte genutzt, die f\u00fcr den Empf\u00e4nger relevant sind. So kann eine Spear-Phishing-Attacke f\u00fcr Ziele innerhalb des Milit\u00e4rs oder der Regierung beispielsweise E-Mails zu Milit\u00e4r\u00fcbungen versenden, wie wir im Rahmen unserer k\u00fcrzlich erfolgten Nachforschungen bez\u00fcglich<a href=\"https:\/\/www.paloaltonetworks.com\/blog\/2017\/09\/unit42-threat-actors-target-government-belarus-using-cmstar-trojan\/\">CMSTAR-Trojanern<\/a>gesehen haben. Da die b\u00f6sartige E-Mail auf den Empf\u00e4nger vertraut wirkt, traut er der Nachricht mit einer h\u00f6heren Wahrscheinlichkeit und \u00f6ffnet sie und eventuelle Anh\u00e4nge.<\/p>\n<p>Beim Spear Phishing ist die Qualit\u00e4t des Themas und Aufh\u00e4ngers wichtig, w\u00e4hrend gew\u00f6hnliches Phishing sich auf die Menge der versendeten E-Mails konzentriert. Erstere Strategie wird genutzt, wenn es dem Angreifer wichtig ist, <em>wer<\/em> darauf hereinf\u00e4llt. F\u00fcr mancherlei Phishing-Kampagnen werden zehntausende Nachrichten versendet, doch eine Spear-Phishing-Kampagne konzentriert sich m\u00f6glicherweise auf nur eine Person. Manchmal, wenn dieses Ziel besonders viel Profit verspricht, wird so eine Attacke auch als \u201eWhaling\u201c (\u201eWalfang\u201c) bezeichnet.<\/p>\n<p>Das Forschungsteam von Unit 42 hat eine Attacke ausfindig gemacht, die die Raffinesse des Spear Phishing noch weiter vertieft: Anstatt einfach ein bekanntes Thema oder einen Vertrauten Aufh\u00e4nger zu verwenden, nutzen die Angreifer eine aktuelle E-Mail-Unterhaltung, um an Ihr Ziel zu kommen.<\/p>\n<p>Abbildung 1 zeigt, wie das funktioniert.<\/p>\n<p><div style=\"max-width:100%\" data-width=\"274\"><span class=\"ar-custom\" style=\"padding-bottom:154.01%;\"><img loading=\"lazy\" decoding=\"async\"  class=\"alignnone size-full wp-image-45093 lozad\"  data-src=\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2017\/10\/FreeMilk_featured.jpg\" alt=\"Unit 42 Threat Intelligence Unit by Palo Alto Networks\" width=\"274\" height=\"422\" \/><\/span><\/div><\/p>\n<p>Abbildung1 Konversations-Hijacking zur \u00dcbertragung von Malware<\/p>\n<p>So funktioniert das Ganze: Zwei Benutzer \u2013<a href=\"https:\/\/en.wikipedia.org\/wiki\/Alice_and_Bob\" rel=\"nofollow,noopener\" >Alice (A) und Bob (B) \u2013<\/a>f\u00fchren eine E-Mail-Unterhaltung. In der Abbildung oben sieht man, wie der Angreifer Charlie (C) mithilfe einer Attacke die vollst\u00e4ndige Kontrolle \u00fcber das E-Mail-Konto von Alice gewinnt, wahrscheinlich durch eine Art von <a href=\"https:\/\/www.paloaltonetworks.com\/blog\/2017\/03\/unit42-new-white-paper-preventing-credential-phishing-theft-abuse\/\">Nutzerdatenmissbrauch<\/a>. Sobald Charlie Zugriff auf das E-Mail-Konto von Alice hat, sucht er nach E-Mail-Unterhaltungen zwischen Alice und seinem letztendlichen Ziel, Bob. Sobald er eine Unterhaltung gefunden hat, die noch nicht abgeschlossen ist, erstellt er eine b\u00f6sartige E-Mail, die f\u00fcr die laufende Unterhaltung relevant zu sein scheint, und sendet sie wie in der Abbildung unten gezeigt an Bob. Wenn Charlie die E-Mail \u00fcberzeugend genug gestalten konnte, wird Bob die E-Mail und die dazugeh\u00f6rigen Anh\u00e4nge \u00f6ffnen und die Attacke ist erfolgreich.<\/p>\n<p>Anders als gew\u00f6hnliches Phishing oder das spezialisiertere Spear Phishing handelt es sich hierbei um eine genau geplante, arbeitsintensive Attacke. Die Durchf\u00fchrung von Spear Phishing mittels Konversations-Hijacking erfordert Kenntnis \u00fcber Konversationspartner des Ziels, eine \u00dcbernahme des Kontos dieser Person, das Finden einer laufenden E-Mail-Unterhaltung mit der Zielperson sowie das Erstellen und Senden einer E-Mail, die so wirkt, als w\u00e4re sie Teil der Unterhaltung. Selbst wenn all diese Aspekte erf\u00fcllt werden, gibt es keine Erfolgsgarantie, da die Zielperson den Schwindel immer noch erkennen k\u00f6nnte oder sich m\u00f6glicherweise mit Anwendungen sch\u00fctzt, die einen Erfolg der Attacke verhindern.<\/p>\n<p>Angesichts all dieser Punkte ist dies nun keine Problematik, \u00fcber die sich viele von uns Gedanken machen m\u00fcssen. Diejenigen jedoch, die sich mit ihren Positionen zu einem lohnenden Ziel machen, sollten dar\u00fcber informiert sein. Wenn Sie Teil der\u00a0<a href=\"https:\/\/www.securityroundtable.org\/board-members-dont-give-cybercriminals-seat-table\/\" rel=\"nofollow,noopener\" >F\u00fchrungsriege eines Unternehmens<\/a>\u00a0ein CEO, CFO oder CSO, mit wichtigen milit\u00e4rischen oder politischen Informationen betraut, ein Journalist, Aktivist oder Dissident sind, k\u00f6nnten Sie mit dieser Art von Attacke konfrontiert werden. Hier ist es jedoch genauso wie bei allen zielgerichteten Attacken: Es muss sich bei Ihnen nicht zwingenderma\u00dfen um die endg\u00fcltige Zielperson handeln, damit Sie betroffen sein k\u00f6nnen. Wenn Sie beispielsweise der Vorstandsassistent sind, k\u00f6nnten Sie zur Zielscheibe einer derartigen Attacke werden (wie \u201eBob\u201c im obigen Szenario), sodass Sie wiederum wie \u201eAlice\u201c als Werkzeug f\u00fcr eine Attacke gegen den CEO genutzt werden k\u00f6nnen, der dann wiederum die Rolle von \u201eBob\u201c einnimmt.<\/p>\n<p>Bei dieser Art von Attacke ist es unwahrscheinlich, dass Sie einen Angriff aktiv erkennen und abwehren k\u00f6nnen, es sei denn, Sie stellen jede einzelne E-Mail infrage, die Sie erhalten. Aus diesem Grund ist es am besten, schlicht ausreichend vorzubeugen, gerade bei zwei Aspekten.<\/p>\n<p>Zun\u00e4chst ist es unerl\u00e4sslich, dass Sie Ihre Systeme und Ger\u00e4te stets mit den neuesten Software- und Sicherheitsupdates versorgen. Die vom Unit 42-Forschungsteam untersuchte spezifische Attacke nutzte eine Sicherheitsl\u00fccke in Microsoft Office, f\u00fcr die ein Patch verf\u00fcgbar ist. Wenn ein Angriff auf eine Zielperson erfolgt, die diese Sicherheitsl\u00fccke bereits gepatcht hat, schl\u00e4gt dieser fehl.<\/p>\n<p>Au\u00dferdem erf\u00fcllen Sicherheitsanwendungen mit mehreren Schutzebenen auf Ihren Systemen, Ger\u00e4ten und Netzwerken eine zus\u00e4tzliche Vorsorgefunktion.<\/p>\n<p>Spear Phishing mittels Konversations-Hijacking ist keine Bedrohung, die jedermann zu bef\u00fcrchten hat, aber f\u00fcr die Betroffenen stellt dies eine signifikante Steigerung der Raffinesse und Gezieltheit dieser Art von Angriff dar. Durch diese Weiterentwicklung werden risikobehaftete E-Mails immer schwieriger erkennbar. So ist es hier am besten, sich jederzeit mittels technologischer Vorsorge wie Patches und einer stabilen Sicherheitsanwendung effektiv zu sch\u00fctzen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Spear Phishing ist eine spezielle Angriffsmethode, die sich innerhalb der letzten Jahre stark verbreitet hat. Das Team Unit 42 unseres neuen Forschungsblogs \u201eFreeMilk: A Highly Targeted Spear Phishing Campaign\u201c hat eine Angriffskampagne &hellip;<\/p>\n","protected":false},"author":287,"featured_media":25785,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[3549],"tags":[5593,5590,193,4626,922,586],"coauthors":[3069],"class_list":["post-67261","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-unkategorisiert","tag-konversations-hijacking","tag-nutzerdatenmissbrauch","tag-palo-alto-networks","tag-spear-phishing","tag-threat-intelligence","tag-unit-42"],"jetpack_featured_media_url":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-content\/uploads\/2017\/03\/Linkedin.jpg","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/67261","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/users\/287"}],"replies":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/comments?post=67261"}],"version-history":[{"count":1,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/67261\/revisions"}],"predecessor-version":[{"id":67279,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/posts\/67261\/revisions\/67279"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media\/25785"}],"wp:attachment":[{"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/media?parent=67261"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/categories?post=67261"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/tags?post=67261"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www2.paloaltonetworks.com\/blog\/wp-json\/wp\/v2\/coauthors?post=67261"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}