{"id":12680,"date":"2018-05-05T11:03:44","date_gmt":"2018-05-05T09:03:44","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=12680"},"modified":"2018-05-03T11:11:30","modified_gmt":"2018-05-03T09:11:30","slug":"clevere-passwortdiebe","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=12680","title":{"rendered":"Clevere Passwortdiebe"},"content":{"rendered":"

\"\"<\/a><\/p>\n

Autor\/Redakteur: Klaus Gheri, Vice President and General Manager Network Security bei Barracuda Networks<\/a>\/gg<\/p>\n

Passwort? 1234! Dass simple Kennw\u00f6rter ein absolutes No-Go sind, hat sich hoffentlich mittlerweile bis in den letzten Winkel herumgesprochen. Doch Passw\u00f6rter k\u00f6nnen noch so komplex mit Sonderzeichen, Zahlen und Gro\u00df- und Kleinschreibungen ausgestattet sein, wenn sie von Cyberkriminellen mithilfe von Phishing-Methoden abgegriffen werden. Sie stehlen immer mehr Benutzerkennw\u00f6rter, indem sie mit Malware infizierte, g\u00e4ngige Dateitypen in betr\u00fcgerischen Email-Anh\u00e4ngen verwenden. Mit Erfolg. Der Schwarzmarkt f\u00fcr gestohlene Passw\u00f6rter boomt.<\/p>\n

<\/p>\n

Mit dem \u00fcblichen Ziel, an ihren Cyberattacken kr\u00e4ftig zu verdienen, verbreiten Kriminelle st\u00e4ndig verschiedene Arten von Malware. Dabei ist das probate Mittel, mit Ransomware durch Datenverschl\u00fcsselung, L\u00f6segeld zu fordern, nicht die einzige Methode, Malware-Angriffe zu monetarisieren: Auch der Passwortdiebstahl erfreut sich steigender Beliebtheit.<\/p>\n

Bank-Kennw\u00f6rter sind offensichtlich am leichtesten zu Geld zu machen, da Kriminelle einfach versuchen, Geld vom Konto des Opfers auf ihr eigenes zu \u00fcberweisen \u2013 aber auch E-Mail- und Social Media-Kennw\u00f6rter haben ihren Wert. Die meisten E-Mail- und Social-Networking-Konten bieten Zugriff auf eine gro\u00dfe Anzahl weiterer Nutzer, die direkt mithilfe von Spam oder Phishing infiziert werden k\u00f6nnen. Dar\u00fcber hinaus lassen sich diese E-Mail-Adressen auch zu Listen hinzuf\u00fcgen und dann en gros an Spammer verkaufen. Zudem werden gehackte E-Mail-Konten h\u00e4ufig verwendet, um wiederum deren gespeicherte Kontakte zu betr\u00fcgen. Beispielsweise geben sich Kriminelle als Kontoinhaber aus, versenden scheinbar legitime Rechnungen oder behaupten, im Ausland gestrandet zu sein mit der Bitte um die Zusendung von Geld. Dar\u00fcber hinaus k\u00f6nnen auch gezielt Windows-Passw\u00f6rter f\u00fcr potenzielle Zugriffe auf Unternehmensnetzwerke und Ressourcen genutzt werden, wenn es sich um einen infizierten Gesch\u00e4ftscomputer handelt.<\/p>\n

Es wundert also nicht, dass in kriminellen Kreisen ein boomender Schwarzmarkt f\u00fcr gestohlene Passw\u00f6rter existiert. In Konsequenz sind dadurch Malware-Arten, die speziell darauf ausgerichtet sind, Passw\u00f6rter abzugreifen, besonders profitabel. Die E-Mail im folgenden Beispiel enth\u00e4lt ein scheinbar harmloses Word-Dokument im Anhang. Doch das \u00d6ffnen der Datei k\u00f6nnte dazu f\u00fchren, dass dem Benutzer seine Passw\u00f6rter gestohlen werden:<\/p>\n

\"\"<\/a><\/p>\n

Die Entwicklung des Passwort-Diebstahls: Gefahr durch Passwort-Speicherung<\/strong><\/p>\n

Dar\u00fcber hinaus versch\u00e4rft der weitverbreitete Einsatz von Software, die Passw\u00f6rter speichert, zum Beispiel durch Browser oder Passwort-Management-L\u00f6sungen, das Problem umso mehr, da bereits eine gro\u00dfe Anzahl von Passw\u00f6rtern auf den Computern vieler Benutzer nur noch darauf wartet, gestohlen zu werden.<\/p>\n

\"\"<\/a><\/p>\n

Bevor die M\u00f6glichkeit der Passwortspeicherung existierte, mussten Kriminelle ihre Opfer f\u00fcr einen Passwortdiebstahl mit Keylogger-Malware infizieren. Diese protokolliert Tastenanschl\u00e4ge und \u00fcbertr\u00e4gt die gesammelten Daten in regelm\u00e4\u00dfigen Abst\u00e4nden \u00fcber das Netzwerk. Zwar wird diese Technik noch verwendet, doch der anomale Netzwerkverkehr, den ein Keylogger erzeugt, erh\u00f6ht das Risiko f\u00fcr die Malware, entdeckt zu werden, bevor sie eine gro\u00dfe Zahl an Kennw\u00f6rtern stehlen kann. Mit der zunehmenden Popularit\u00e4t der Passwortspeicherung kann die neue Generation Malware diesen Sicherheitsmechanismus nun umgehen und die Passw\u00f6rter alle auf einmal hochladen. Dies erschwert die Erkennung auf Netzwerkebene, da beim Hinausschleusen der Passw\u00f6rter nur ein einziger Datenverkehr verifizierbar ist \u2013 im Gegensatz zu den periodischen \u00dcbertragungsmustern von Keyloggern, die als b\u00f6sartiger Datenverkehr identifizierbar sind.<\/p>\n

<\/p>\n

Password Stealer-Malware: Verteilungs- und Angriffsmethoden<\/strong><\/p>\n

Kriminelle nutzen f\u00fcr Password Stealer-Malware eine Vielzahl an Verteilungsmethoden, die meisten davon umfassen Phishing-E-Mails mit b\u00f6sartigem Anhang oder Link. Da es auf Security-Seite wesentlich einfacher und kosteng\u00fcnstiger ist, b\u00f6sartige Anh\u00e4nge direkt auf dem E-Mail-Server statt auf dem Computer eines Benutzers zu erkennen, verwenden Angreifer verschiedene Dateitypen und Methoden, um diese Art Sicherheitsbarriere zu umgehen \u2013\u00a0 insbesondere die naiveren Security-Ans\u00e4tze wie das einfache Blockieren bestimmter Dateitypen. Password Stealer-Malware kann in eine beliebige Anzahl von Archivierungsformaten komprimiert werden, um das Blockieren von Dateitypen zu umgehen, zum Teil mit gef\u00e4lschten Dateierweiterungen, die das \u00d6ffnen der Datei in der gew\u00fcnschten Archivierungssoftware erm\u00f6glichen.<\/p>\n

Es ist jedoch auch \u00fcblich, g\u00e4ngige Dateitypen zu verwenden, um die Servererkennung zu umgehen und die Malware-Nutzlast herunterzuladen, wenn der Benutzer die Datei ausf\u00fchrt. Microsoft Word- und Excel-Dokumente mit Makros, welche die Password Stealer-Malware herunterladen, sind weit verbreitet und k\u00f6nnen schwieriger zu erkennen sein als das Senden der Nutzlast an sich. Zwar hat diese Methode den Nachteil, dass das Makro vom Benutzer ausgef\u00fchrt werden muss, jedoch wird hierf\u00fcr der Benutzer mithilfe von Social Engineering dazu gebracht, beispielweise durch Imitation, bei der b\u00f6sartige Anh\u00e4nge als offizielle Dokumente wie wichtige Steuerformulare getarnt sind.<\/p>\n

Drei Schutzma\u00dfnahmen f\u00fcr Unternehmen vor Passwortdiebstahl <\/strong><\/p>\n

Wie bei Phishing-Bedrohungen generell steht auch als Schutzma\u00dfnahme gegen Password Stealer-Malware allem voran eine fundierte Aufkl\u00e4rung der Mitarbeiter. Diese sollten regelm\u00e4\u00dfig geschult und getestet werden, um ihr Sicherheitsbewusstsein f\u00fcr verschiedene gezielte Angriffe zu erh\u00f6hen. Hierbei ist das simulierte Angriffstraining bei Weitem die effektivste Form solcher Schulungen.<\/p>\n

Neben Mitarbeitertrainings sollte eine E-Mail-Sicherheitsl\u00f6sung eingesetzt werden, die Sandboxing sowie erweiterten Schutz vor Bedrohungen bietet und Malware blockiert \u2013 und zwar noch bevor sie den E-Mail-Server des Unternehmens erreicht.<\/p>\n

F\u00fcr Schutz vor E-Mails mit b\u00f6sartigen Links hilft zudem ein Anti-Phishing-Schutz, der eine Link Protection-Funktion enth\u00e4lt. Diese sucht nach URLs zu Websites, die b\u00f6sartigen Code enthalten und blockiert Links zu gef\u00e4hrdeten Websites, selbst wenn diese sich im Inhalt eines Dokuments verstecken.<\/p>\n

Dar\u00fcber hinaus k\u00f6nnen diese Sicherheitsl\u00f6sungen auf Basis k\u00fcnstlicher Intelligenz Phishing-Angriffe in Echtzeit stoppen sowie besonders gef\u00e4hrdete Mitarbeiter identifizieren, indem sie die Kommunikationsmuster des jeweiligen Unternehmens erlernen. Auch bieten die L\u00f6sungen mit Domain Fraud Protection-Funktion Schutz vor Domain-Spoofing und Brand Hijacking durch DMARC-Authentifizierung und enthalten Simulationstrainings f\u00fcr Mitarbeiter. Beachten Unternehmen diese dreigeteilte Sicherheitsstrategie, k\u00f6nnen sie das Risiko f\u00fcr Password Stealer-Angriffe deutlich minimieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

Autor\/Redakteur: Klaus Gheri, Vice President and General Manager Network Security bei Barracuda Networks\/gg Passwort? 1234! Dass simple Kennw\u00f6rter ein absolutes<\/p>\n","protected":false},"author":3,"featured_media":12685,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[2964,2721,11331,9891,11333,1060,1450,11334,5779,11332,1458,11335,3753,3392,5432,984,36,897,5407,6267,1448],"class_list":["post-12680","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-bank","tag-barracuda","tag-dienstahl","tag-dmarc-authentifizierung","tag-domain-fraud-protection","tag-e-mail","tag-excel","tag-hijacking","tag-keylogger","tag-link-protection","tag-malware","tag-password-stealer","tag-passwort","tag-phishing","tag-ransomware","tag-sandbox","tag-sicherheit","tag-social-media","tag-spoofing","tag-verschlusselung","tag-word"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12680","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=12680"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12680\/revisions"}],"predecessor-version":[{"id":12686,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/12680\/revisions\/12686"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/12685"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=12680"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=12680"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=12680"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}